La semana pasada en Malwarebytes Labs, analizamos las posibles dificultades de la tecnología de reconocimiento facial , analizamos las formas en que los sobrevivientes de abuso doméstico pueden asegurar sus datos y exploramos el panorama de amenazas educativas . También iniciamos una serie que analizaba la cadena de infección Hidden Bee , y pusimos las instalaciones de QxSearch bajo el foco de atención .

Otras noticias de ciberseguridad

• El malware de Android juega a las escondidas: se emite una advertencia cuando la infección dice ser Adobe Flash Player . (Fuente: Forbes)
• Vigilarlo: la infección enviada por correo electrónico compromete a las PC y registra la actividad del escritorio. (Fuente: The Next Web)
• Esconder y buscar: el minero intenta ir encubierto cuando la víctima mira al Administrador de tareas. (Fuente: Coindesk)
• Las páginas 404 personalizadas conducen a ataques de phishing: Microsoft informa de un ataque de estafadores haciendo uso completo de páginas de error perfectamente diseñadas . (Fuente: Bleeping Computer)
• El condado de Cabarrus en Carolina del Norte sufrió un ataque costoso: los representantes de la ciudad engañados por un ingeniero social se separaron con unos $ 2.5 millones de dólares . (Fuente: Tecnología del Gobierno) 
• Revelaciones de práctica de contraseñas deficientes: una extensión de Google Chrome destaca que podríamos hacer mucho mejor cuando se nos informa sobre contraseñas expuestas. (Fuente: The Register)
• Facebook, conozca la demanda colectiva: los usuarios de Facebook pronto entrarán en guerra con el gigante de las redes sociales por el uso de la tecnología de reconocimiento facial . (Fuente: Naked Security)
• El peligro de golpeteo vuelve a surgir: el campeón de la Copa Mundial de Fortnite recientemente sufrió un peligroso ataque de Swat en su casa . (Fuente: Kotaku)
• De guerra y bases de datos: ¿Quieres ver qué sucede cuando los usuarios de sitios de piratería deciden apuntar a otro? Por supuesto que si . (Fuente: Ars Technica)
• Google hace que la cámara Nest sea más fácil de detectar: ​​el gigante tecnológico anuncia cambios importantes en la función de luces de estado en las cámaras Nest. (Fuente: blog de Matt Crampton)

De cara al nuevo año escolar, sabemos que las instituciones educativas tienen mucho de qué preocuparse. Asignaciones de maestros. Programa de desarrollo. Recopilación de suministros. Preparando aulas.

Pero un problema debería ser la preocupación de los administradores escolares y las juntas de educación más que la mayoría: proteger sus redes contra el cibercrimen.

En el año escolar 2018-2019, la educación fue el objetivo principal para el 
malware troyano , la categoría de amenaza número uno más detectada (y por lo tanto más generalizada) para todas las empresas en 2018 y principios de 2019 . El adware y el ransomware también se sintieron particularmente atraídos por el sector educativo el año pasado, convirtiéndose en su primer y segundo objetivo más deseado entre las industrias, respectivamente.

Para analizar mejor estas amenazas, extrajimos la telemetría en instituciones educativas de nuestros productos comerciales, así como de los rangos de IP que se conectan desde dominios .edu a nuestros productos de consumo. Lo que descubrimos fue que de enero a junio de 2019, el adware, los troyanos y las puertas traseras fueron las tres amenazas más comunes para las escuelas. De hecho, el 43 por ciento de todas las detecciones educativas eran adware, mientras que el 25 por ciento eran troyanos. Otro 3 por ciento eran puertas traseras.

Entonces, ¿qué nos dice esto que esperamos para el año escolar 2019–2020? Por un lado, las instituciones educativas deben prepararse para un ataque continuo de ciberataques, ya que los elementos que los hicieron atractivos para los delincuentes no han cambiado. Sin embargo, lo que es más importante, al examinar las tendencias en el delito cibernético y considerar soluciones a las debilidades que los hicieron susceptibles a los ataques, las escuelas pueden expulsar a los actores de amenazas problemáticas de sus redes para siempre.

¿Por qué educación?

Seguramente hay objetivos más rentables para los cibercriminales que la educación. La tecnología y las finanzas tienen presupuestos exponencialmente más grandes que podrían aprovecharse a través de grandes demandas de rescate. Las operaciones y los datos de atención médica son fundamentales para la atención al paciente: la pérdida de cualquiera de los dos podría ocasionar la pérdida de vidas.

Pero los ciberdelincuentes son oportunistas: si ven un objetivo fácil maduro con datos valiosos, se aprovecharán. ¿Por qué gastar el dinero y el tiempo desarrollando código personalizado para vectores de ataque sofisticados cuando prácticamente pueden atravesar una puerta abierta hacia las redes escolares?

Hay varios factores clave que se combinan para hacer que las escuelas sean objetivos fáciles. La primera es que la mayoría de las instituciones pertenecientes al sector educativo, especialmente las de educación pública, luchan con la financiación. Por lo tanto, la mayoría de su presupuesto se difiere al plan de estudios básico y no a tanta seguridad. La contratación de personal de TI y seguridad, la capacitación en mejores prácticas y la compra de herramientas y programas de seguridad robustos son a menudo una idea de último momento.

El segundo es que la infraestructura tecnológica de las instituciones educativas está desactualizada y es fácilmente penetrada por los cibercriminales. Hardware y sistemas operativos heredados que ya no son compatibles con parches. Software escolar personalizado y sistemas de gestión de aprendizaje (LMS, por sus siglas en inglés) que llevan mucho tiempo pendientes de actualizaciones. Enrutadores Wi-Fi que funcionan con contraseñas predeterminadas. Cada uno de estos hace que las escuelas sean aún más vulnerables a los ataques.

Agregando insulto a las lesiones, las redes escolares están en riesgo porque los estudiantes y el personal se conectan desde dispositivos personales (que pueden haber sido liberados) tanto en las instalaciones como en el hogar. Con una lista rotativa de nuevos estudiantes y, a veces, personal cada año, hay una superficie de ataque más grande y abierta para que los delincuentes se infiltran. De hecho, descubrimos que los dispositivos que se conectan a la red escolar (frente a los dispositivos propiedad de la escuela) representaron 1 de cada 3 compromisos detectados en el primer semestre de 2019.

Para complicar las cosas, los propios estudiantes a menudo piratean el software escolar por puro aburrimiento o ejecutan ataques DDoS para poder cerrar Internet e interrumpir el día escolar. Cada infiltración solo amplía el perímetro de defensa, haciendo que sea casi imposible para aquellos en educación proteger a sus estudiantes y a sí mismos de los ataques cibernéticos que seguramente vendrán.

Y con un acceso tan fácil, ¿qué persiguen exactamente los delincuentes? En una palabra: datos. Las escuelas recopilan y almacenan datos valiosos y confidenciales sobre sus hijos y miembros del personal, desde alergias y trastornos del aprendizaje hasta calificaciones y números de seguridad social. Esta información es muy solicitada por los actores de amenazas, que pueden usarla para mantener las escuelas en busca de rescate o para vender con altos márgenes de ganancia en el mercado negro (los datos que pertenecen a los niños generalmente obtienen un precio más alto).

Amenazas escolares: una mirada más cercana

El adware representó el mayor porcentaje de detecciones en dispositivos escolares en el primer semestre de 2019. Muchas de las familias detectadas, como SearchEncrypt, Spigot y IronCore, se anuncian como motores de búsqueda centrados en la privacidad, complementos de Minecraft u otras herramientas de enseñanza legítimas. En cambio, bombardean a los usuarios con anuncios emergentes, barras de herramientas y redireccionamientos de sitios web. Aunque no es tan dañino como los troyanos o el ransomware, el adware debilita un sistema de defensa ya débil.

El siguiente son los troyanos, que ocuparon una cuarta parte de las detecciones de amenazas en los puntos finales de la escuela en el primer semestre de 2019. En 2018, los troyanos fueron el tema de conversación de la ciudad, y las detecciones de esta amenaza en las organizaciones aumentaron en un 132 por ciento ese año.

Aunque todavía estaba bastante activo en la primera mitad de 2019, vimos que las detecciones de troyanos disminuyeron un poco durante el verano, dando paso a una avalancha de ataques de ransomware . De hecho, los ataques de ransomware contra organizaciones aumentaron un impactante 365 por ciento del segundo trimestre de 2018 al segundo trimestre de 2019. Queda por ver si esto es un indicio de un cambio de táctica a medida que avanzamos hacia el otoño o unas breves vacaciones de verano de los troyanos.

Las dos principales familias de troyanos en educación son las mismas que han estado causando dolores de cabeza a organizaciones de todo el mundo: Emotet y TrickBot. Emotet lidera las detecciones de troyanos en todas las industrias, pero ha crecido a un ritmo acelerado en educación. En H1 2019, Emotet fue el quinto más predominante amenaza identificada en las escuelas, pasando de 11 ^ª posición en 2018. Mientras tanto TrickBot , primo intimidación de Emotet, representa el mayor tipo de detección en la educación entre los troyanos, tirando en casi un 6 por ciento de todos compromisos identificados.

Emotet y TrickBot a menudo trabajan juntos en ataques combinados contra organizaciones, con Emotet funcionando como un descargador y un módulo de spam, mientras que TrickBot se infiltra en la red y se propaga lateralmente mediante exploits robados de la NSA. A veces el dinero se detiene allí. Otras veces, TrickBot tiene un truco más bajo la manga: el ransomware Ryuk .

Afortunadamente para las escuelas, pero desafortunadamente para nuestros estudios, Malwarebytes detiene estos ataques Emote-drops-TrickBot-drops-Ryuk mucho antes en la cadena, por lo general bloqueando Emotet o TrickBot con su motor de protección en tiempo real o tecnología anti-exploit. El ataque nunca avanza a la etapa de Ryuk, pero nuestra suposición es que muchas más de estas posibles infracciones habrían sido infecciones de ransomware problemáticas para las escuelas si no hubieran tenido las soluciones de seguridad adecuadas.

Amenazas clase 2020

La clase de 2020 puede tener muchas amenazas que enfrentar, ya que algunos distritos ya están lidiando con ataques de regreso a la escuela , según The New York Times . Troyanos como Emotet y TrickBot tuvieron carreras tremendamente exitosas el año pasado (espere que ellos u otro malware multipropósito como ellos) regresen.

Además, el ransomware ya ha hecho olas para un distrito escolar en el condado de Houston , Alabama, lo que retrasó su regreso a clases en 12 días debido a un ataque. Ya sea que se entregue a través de un ataque troyano / mixto o por sí solo, el ransomware y otras amenazas sofisticadas pueden detener las lecciones si no se abordan rápidamente.

En 2019, Malwarebytes ayudó al Distrito Escolar Central East Irondequoit en Nueva York durante un brote crítico de Emotet que un proveedor de seguridad de punto final heredado no pudo detener. Emotet corrió desenfrenado a través del entorno de puntos finales del distrito, infectando 1.400 dispositivos e impactando las operaciones de red. Afortunadamente, Malwarebytes pudo aislar, remediar y recuperar todos los puntos finales infectados en 20 días sin interrumpir por completo la red para los estudiantes o el personal.

Si los equipos de TI de la escuela investigan , ofrecen soluciones de seguridad inteligentes a sus juntas para obtener financiación y ayudan a los estudiantes y al personal a adoptar las mejores prácticas para la higiene en línea, pueden ayudar a garantizar que nuestras instituciones educativas sigan siendo lugares funcionales y seguros para que los estudiantes aprendan.

En todo el mundo, los gobiernos y las corporaciones buscan invertir o desarrollar tecnología de reconocimiento facial. Desde la aplicación de la ley hasta las campañas de marketing, el reconocimiento facial está listo para hacer una entrada llamativa a la corriente principal. La biometría es un gran negocio, y los contratos con terceros generan ganancias significativas para todos. Sin embargo, esas ganancias a menudo llegan a expensas de los usuarios.

Hay mucho que decir sobre la ética, la privacidad y la legalidad en la tecnología de reconocimiento facial; desafortunadamente, no hay mucho de eso que sea bonito. Pensamos que ya era hora de que echemos un vistazo a este campo en expansión para ver exactamente lo que está sucediendo en todo el mundo, detrás de escena y en la vanguardia.

Resulta que … bastante.

¿La próxima gran cosa en tecnología?

Donde quiera que mire, los organismos gubernamentales, las fuerzas del orden, los manifestantes, los activistas, los grupos de presión y política, e incluso los propios desarrolladores de tecnología están en desacuerdo. Algunos quieren un aumento en la vigilancia biométrica, otros destacan fallas debido al sesgo en la programación.

Una ciudad de los Estados Unidos ha prohibido la tecnología facial por completo, mientras que algunas naciones quieren adoptarla por completo. Aeropuerto de circuito cerrado de televisión (CCTV) ? ¿Luchar contra el crimen con levas montadas en los hombros? ¿Qué tal simplemente vender productos en un centro comercial utilizando el seguimiento facial para encontrar clientes interesados? Es un campo de batalla sin parar con nuevas líneas dibujadas en la arena 24/7.

Preparando la escena: la década de 1960

La tecnología de reconocimiento facial no es nueva. Primero fue conceptualizado y trabajado seriamente a mediados de los años 60 por pioneros como Helen Chan Wolf y Woodroe Bledsoe . Hicieron lo que pudieron para explicar las variaciones en las imágenes causadas por los grados de rotación de la cabeza usando tabletas RAND para mapear 20 distancias según las coordenadas faciales. A partir de ahí, se asignó un nombre a cada imagen. Luego, la computadora trató de eliminar el efecto de cambiar el ángulo de la cabeza de las distancias que ya había calculado, y reconocer al individuo correcto colocado delante de él.

El trabajo continuó a lo largo de los años 60, y fue, a todas luces, exitoso. Las computadoras utilizaron constantemente a los humanos con mejor rendimiento en lo que respecta a las tareas de reconocimiento.

Continuando: la década de 1990

A mediados y finales de los 90, los aeropuertos, bancos y edificios gubernamentales estaban utilizando tecnología esencialmente construida sobre su premisa original. Una nueva herramienta , ZN-face, fue diseñada para trabajar con ángulos de caras menos que ideales. Ignoraba las obstrucciones, como las barbas y los anteojos, para determinar con precisión la identidad de la persona en la lente. Anteriormente, este tipo de tecnología podía fracasar sin disparos claros y sin obstrucciones, lo que dificultaba a los operadores de software determinar la identidad de alguien. ZN-face podría determinar si tenía una coincidencia en 13 segundos.

Puede ver un buen resumen de estos y otros momentos notables en el desarrollo temprano del reconocimiento facial en esta línea de tiempo. Se extiende desde los años 60 hasta mediados de los 90.

El aquí y el ahora

Mirando la imagen global para una instantánea de la tecnología actual de reconocimiento facial revela … bueno, el caos para ser honesto. Varios sabores distintos habitan en varias regiones. En el Reino Unido, la policía reúne las pancartas para un sinfín de juicios automatizados de reconocimiento facial. Esto, a pesar de los resultados de las pruebas, la respuesta universal de los investigadores e incluso los miembros del Parlamento es esencialmente «por favor, detente».

La recepción en los Estados Unidos es un poco más helada. Las corporaciones compiten por los contratos, y las ciudades individuales aceptan o rechazan totalmente lo que se ofrece. En cuanto a Asia, Hong Kong experimenta algo similar al cyberpunk distópico real. Los manifestantes no solo evaden la tecnología de reconocimiento facial sino que intentan devolverla al gobierno.

Comencemos con los esfuerzos de la policía británica para convencer a todos de que la tecnología aparentemente defectuosa es tan buena como afirman.

En todo el mundo: el Reino Unido

El Reino Unido no es ajeno a la controversia biométrica, ya que ha hecho incursiones ocasionales en violación de la privacidad y robo de información personal . Una región adversa a las tarjetas de identidad y las bases de datos nacionales , todavía hace uso de la biometría de otras maneras.

Aquí hay un ejemplo de una pequeña porción de la actividad biométrica diaria en el Reino Unido. Los residentes no europeos pagan por los permisos de residencia biométricos cada renovación de visa, generalmente cada 30 meses. Esas tarjetas contienen información biométrica junto con una fotografía, condiciones de visa y otra información pertinente vinculada a varias bases de datos del Ministerio del Interior .

Esta solicitud de libertad de información revela que la información en una tarjeta de permiso de residencia biométrica está vinculada a cuatro bases de datos separadas:

• Sistema biométrico de inmigración y asilo (base de datos combinada de huellas digitales e imágenes faciales)
• Índice principal de pasaportes de la oficina de pasaportes de Su Majestad (base de datos de imágenes faciales solamente)
• Almacén de imágenes de la base de datos de inmigración de casos (base de datos de solo imágenes faciales)
• Almacén de documentos de permiso de residencia biométrico (base de datos combinada de huellas digitales e imágenes faciales)

Vale la pena señalar que estos son solo los que pueden compartir. Además de esto, la Ley de Protección de Datos del Reino Unido contiene una exención que impide que los inmigrantes accedan a los datos, o incluso impide que otros los procesen, como es su derecho en virtud del Reglamento Global de Protección de Datos (GDPR). En la práctica, esto da como resultado un sistema de dos niveles para datos personales, y significa que las personas no pueden acceder a sus propios historiales de casos cuando cuestionan lo que consideran una mala decisión de visa.

Reino Unido: algunas pruebas de prueba

Es en este contexto volátil que el gobierno del Reino Unido quiere introducir el reconocimiento facial al público en general, y los residentes con tarjetas biométricas seguramente serían los primeros en sentir algún impacto o consecuencias en caso de que un esquema se salga de control.

La policía británica ha estado probando la tecnología durante bastante tiempo, pero con un problema: todos los informes independientes afirman que lo que está ocurriendo es un desastre.

Big Brother Watch ha llevado a cabo una amplia investigación sobre los diversos juicios y descubrió que un asombroso 98 por ciento de los partidos de reconocimiento facial automatizados en el carnaval de Notting Hill en 2018 fueron identificados erróneamente como delincuentes. La Policía del Sur de Gales, que obtuvo un error (pero no mucho) mejor que la Policía Metropolitana, logró equivocarse el 91 por ciento del tiempo; sin embargo, al igual que otras regiones, continúa promoviendo y desplegando la tecnología. Además de eso, a no menos de 2,451 personas se les tomaron fotos biométricas y se almacenaron sin su conocimiento.

Esos son algunos números sorprendentes, y de hecho el tema actual aquí parece ser: «Esto no funciona muy bien y no estamos mejorando en eso».

Los investigadores del Centro de Derechos Humanos de la Universidad de Essex de Essex esencialmente rompieron los juicios recientes en un resumen exhaustivo de las fallas actuales de la tecnología.

• En seis pruebas, la tecnología de reconocimiento facial en vivo (LFR) realizó 42 coincidencias, pero solo ocho de ellas se consideraron una coincidencia definitiva.
• Acercarse a las pruebas como si la tecnología LFR fuera simplemente una especie de dispositivo de CCTV no explicaba su naturaleza invasiva por diseño, o de hecho la presencia de datos biométricos y almacenamiento a largo plazo sin una divulgación clara.
• La ausencia de una guía clara para el público y la suposición general de legalidad para esta tecnología utilizada por la policía, frente a la falta de uso legal explícito en la ley actual, deja a los investigadores pensando que esto sería realmente ilegal en los tribunales.
• Naturalmente, el público podría estar confundido, teniendo en cuenta que si alguien no quisiera ser incluido en el juicio, la policía supondría que la persona que evita esta tecnología puede ser sospechosa. No hay mejor ejemplo de esto que un hombre que fue multado con £ 90 (US $ 115) por evitar las cámaras LFR por «comportamiento desordenado» (cubriéndose la cara) porque sentían que no estaba haciendo nada bueno.

https://www.youtube.com/watch?v=KqFyBpcbH9A

Un veredicto condenatorio

El Comité de Ciencia y Tecnología del Reino Unido (compuesto por parlamentarios y señores ) recientemente produjo sus propios hallazgos en los ensayos, y los resultados fueron bastante duros. Algunos aspectos destacados del informe, algo aburrido llamado » El trabajo del Comisionado de Biometría y el Regulador de Ciencias Forenses » (PDF):

• Se plantearon preocupaciones de que las fuerzas del orden del Reino Unido estén conscientes o «luchen por cumplir» con un fallo del Tribunal Superior de 2012 de que la retención indefinida de imágenes de custodia de personas inocentes era ilegal, aunque la práctica aún continúa. Esas preocupaciones se exacerban cuando se considera que potencialmente se incluirían en las listas de observación de coincidencia de imágenes para cualquier tecnología LFR que utilice imágenes de custodia. Aparentemente, no hay dinero disponible para invertir en la revisión manual y la eliminación de dichas imágenes. Actualmente hay unos 21 millones de imágenes de rostros y tatuajes registrados, lo que será una tarea gigantesca. [Página 3]
• De la página 4, probablemente el golpe más fuerte para los ensayos: «Hacemos un llamado al Gobierno para que emita una moratoria sobre el uso actual de la tecnología de reconocimiento facial y no se deben realizar más ensayos hasta que se haya introducido un marco legislativo y orientación sobre los protocolos de los ensayos». , y se ha establecido un sistema de supervisión y evaluación «
• El Regulador de Ciencias Forenses no está en las listas que debe estar con respecto a la denuncia de irregularidades, por lo que los denunciantes en (digamos) el sector LFR no estarían tan protegidos por la legislación como lo estarían en otros. [Página 10]

Hay mucho más para digerir, pero esencialmente, tenemos una situación en la que la tecnología de reconocimiento facial está fallando en todas y cada una de las pruebas disponibles. Tenemos académicos, grupos de protesta e incluso comités parlamentarios que se oponen a los juicios, diciendo «La tasa de error es casi del 100 por ciento» y «Tenemos que detener estos juicios». Tenemos una colección masiva de imágenes, muchas de las cuales deben ser eliminadas en lugar de ser alimentado en la prueba de LFR. Y para agregar insulto a las lesiones, aparentemente hay poco margen para que los denunciantes denuncien el mal comportamiento debido a la tecnología que el gobierno podría desplegar en la fuerza policial de una nación.

UKGOV: sigue adelante

Esto suena como una buena receta para el desastre, sin embargo, nadie parece estar escuchando. La aplicación de la ley insiste en que los controles y equilibrios humanos ayudarán a abordar esos terribles números de juicio, pero hasta ahora no parece haber ayudado mucho . El Ministerio del Interior afirma que hay apoyo público para el uso de LFR para combatir el terrorismo y otros delitos, pero «apoyará un debate abierto» sobre los usos de la tecnología. Queda por ver qué forma toma este debate.

En todo el mundo: los Estados Unidos

La experiencia de los EE. UU. Con la tecnología de reconocimiento facial se está convirtiendo rápidamente en comercial, ya que los grandes jugadores esperan extender sus sistemas personalizados a las masas. Sin embargo, muchas de las mismas preocupaciones que persiguen las operaciones del Reino Unido también están presentes aquí. La falta de supervisión, la ética, la tasa de fracaso de la tecnología y el sesgo contra los grupos marginados son preocupaciones urgentes.

Preocupaciones corporativas

Amazon, potencialmente uno de los jugadores más importantes en este espacio, tiene su propia tecnología personalizada llamada Rekognition . Tiene licencia para las empresas y las fuerzas del orden , y es completamente posible que alguien ya lo haya experimentado sin saberlo. La Unión Americana de Libertades Civiles no estaba exactamente entusiasmada con esta perspectiva, y lo dijo .

El deseo de implementar la tecnología personalizada de Amazon para la aplicación de la ley, e ICE específicamente, fue rechazado por varios grupos, incluidos sus propios empleados . Al igual que con muchas objeciones a la tecnología de reconocimiento facial, el tema se centró en los derechos humanos. De la carta abierta:

“Nos negamos a construir la plataforma que impulsa a ICE, y nos negamos a contribuir a herramientas que violen los derechos humanos. Como amazónicos éticamente preocupados, exigimos una elección en lo que construimos, y una opinión sobre cómo se usa ”.

Incluso algunos accionistas tienen los pies fríos sobre los usos potenciales de este poderoso sistema de reconocimiento impulsado por IA. Sin embargo, la mejor respuesta que probablemente encontrará a algunas de estas preocupaciones de Amazon es una publicación de blog de febrero llamada » Algunas ideas sobre la legislación de reconocimiento facial «.

Y en la esquina azul

No todos en la tecnología comercial de EE. UU. Están totalmente de acuerdo con la tecnología facial, y es interesante ver algunas de las respuestas de otros gigantes tecnológicos para trabajar en este campo. En abril, Microsoft reveló que se habían negado a vender tecnología facial a la policía californiana. Según ese artículo, Google se negó rotundamente a venderlo también a las fuerzas del orden público, pero tienen otras ofertas relacionadas con la IA que han causado una reacción violenta .

Las abrumadoras preocupaciones estaban (nuevamente) ancladas en posibles abusos de los derechos civiles. Además, las tasas de error ya altas en LFR casadas con sesgos potenciales en género y raza jugaron un papel importante.

De ciudad en ciudad, la batalla continúa

En un giro de los acontecimientos algo novedoso, San Francisco se convirtió en la primera ciudad de los Estados Unidos en prohibir por completo la tecnología de reconocimiento facial . La policía, las autoridades de transporte y cualquier otra persona que desee utilizarlo necesitará la aprobación de los administradores de la ciudad. En otra parte, Orlando transmitió la tecnología de Rekognition de Amazondespués de unos 15 meses de, lo adivinaron, problemas técnicos y problemas técnicos . Aparentemente, las cosas eran tan problemáticas que nunca llegaron a un punto en el que pudieran probar imágenes.

En Brooklyn, Nueva York, la presión ha comenzado a presionar sobre la tecnología facial en un nivel mucho más pequeño y de nicho. La ley No Barreras biométricas a la vivienda quiere:

… prohíbe el uso de tecnología de reconocimiento biométrico en ciertas unidades de vivienda con asistencia federal y para otros fines.

Este es un desarrollo sorprendente. Un número creciente de propietarios y propietarios de edificios están insertando tecnología IoT / inteligente en los hogares de las personas. Esto está sucediendo si los quieren o no , independientemente de cuán seguros sean o no .

Si bien acepto que puedo sonar como un disco rayado, estas preocupaciones son válidas. Quizás, solo quizás, la privacidad no sea tan muerta como a algunos les gustaría pensar. Las tasas de error, fallos técnicos, la explotación de ciertas comunidades y utilizarlos como conejillos de indias para las tecnologías emergentes están listados como razones para el gran retroceso Estados Unidos LFR de 2019 .

En todo el mundo: China

China ya es un lugar profundamente vinculado a múltiples sistemas de seguimiento / vigilancia .

Actualmente hay 170 millones de cámaras de CCTV en China, con planes de agregar 400 millones adicionales entre 2018 y 2021. Este sistema está diseñado para combinarse con la tecnología de reconocimiento facial vinculada a múltiples actividades diarias, desde conseguir el papel higiénico en un baño público hasta abriendo puertas. Unirlo todo será 190 millones de tarjetas de identidad , con una tasa de precisión de reconocimiento facial prevista del 90 por ciento.

https://www.youtube.com/watch?v=lH2gMNrUuEY

Las personas también están tratando de usar «moldes faciales hiperrealistas» para evitar los sistemas de pago de autenticación biométrica. Ciertamente, no hay fin de la innovación que tiene lugar tanto del gobierno como de la población en general.

Moldes faciales hiperrealistas capaces de engañar a los sistemas de autenticación de pago de reconocimiento facial. Alta probabilidad de ser ilegalizado en China, siento (los subtítulos son míos) pic.twitter.com/7kj3AxA2XL

– Matthew Brennan (@mbrennanchina) 5 de agosto de 2019

https://platform.twitter.com/widgets.js

Hong Kong

Hong Kong ya ha experimentado algunos enfrentamientos con biometría y tecnología facial, pero principalmente con fines promocionales / de marketing. Por ejemplo, en 2015, una campaña diseñada para crear conciencia sobre la basura en toda la región hizo uso del ADN y la tecnología producida en los EE. UU. Para avergonzar a las chinches. Tomando muestras de basura encontradas en las calles, extrajeron ADN y produjeron reconstrucciones faciales. Esas maquetas faciales se colocaron en vallas publicitarias en Hong Kong en áreas de alto tráfico y lugares donde originalmente se recuperó la basura.

El kilometraje variará drásticamente en la precisión de estas imágenes porque, como se ha señalado, «el ADN solo puede producir una alta probabilidad de cómo se ve alguien» y la idea era generar debate, no señalar con el dedo.

De todos modos, avanza unos años y la tecnología se está utilizando para dispensar papel higiénico y avergonzar a los jaywalkers . Más en serio, nos enfrentamos a protestas diarias en Hong Kong por el proyecto de ley de extradición propuesto . Con la capacidad de protestar de manera segura en la vanguardia de las mentes de las personas, la tecnología de reconocimiento facial avanza al plato. Lamentablemente, todo lo que logra es lograr que todo el proceso sea aún más tenso de lo que ya es .

Los manifestantes cubren sus rostros y los propietarios de teléfonos deshabilitan la tecnología de inicio de sesión de reconocimiento facial. La policía retira las credenciales de identificación, por lo que las personas en los canales de Telegram comparten información personal sobre los oficiales y sus familias. La policía antidisturbios lleva cámaras en postes porque los dispositivos montados en la pared están obstaculizados con lápices láser y pintura en aerosol .

Estos láseres manifestantes de Hong Kong están apuntando a la policía antidisturbios a través de gases lacrimógenos, es como algo salido de una película de ciencia ficción. #AntiELAB pic.twitter.com/noTllDuc09

– Alejandro Alvarez (@aletweetsnews) 28 de julio de 2019

https://platform.twitter.com/widgets.js

Reglas y regulaciones (flexión)

Hong Kong tiene un estricto conjunto de reglas para el reconocimiento facial automático. Un manifestante intentó hacer un sistema de reconocimiento facial casero utilizando fotos en línea de agentes de policía. El proyecto finalmente se archivó debido a la falta de tiempo, pero la escalada del desarrollo tecnológico de reconocimiento por parte de un residente habitual es bastante única.

Todo esto puede sonar un poco por ahí o por encima. Aun así, con  1.000 disparos de gas lacrimógenojunto con cientos de balas de goma, los manifestantes no se arriesgan . Por ahora, estamos obteniendo una vista panorámica de cómo se vería si LFR fuera colocado al frente y al centro en una batalla entre la supervisión del gobierno y los derechos civiles. Queda por ver si inclina la balanza de una forma u otra.

Mirando … y esperando

Rumores legales lentos e implacables en el Reino Unido son una cosa. Las ciudades que adoptan o rechazan la tecnología en los Estados Unidos es otra muy distinta, especialmente cuando el rango de posturas es desde organizaciones y políticas hasta el nivel de la vivienda. En el lado opuesto del espectro, ver LFR en las protestas de Hong Kong es una idea alarmante de hacia dónde podría conducir el estado de la biometría y el reconocimiento facial si no se abordan las preocupaciones antes de la implementación.

Parece que la tecnología, como suele suceder, se ha adelantado mucho a nuestra capacidad para definir su uso ético.

La pregunta es: ¿Cómo nos ponemos al día?

El ransomware ha vuelto, tanto que creamos un informe completo sobre él.

Durante 10 trimestres, hemos cubierto tácticas y técnicas de cibercrimen , cubriendo una amplia gama de amenazas que vimos alojadas contra consumidores y empresas a través de nuestra telemetría de productos, honeypots e inteligencia de amenazas. Hemos analizado troyanos peligrosos como Emotet y TrickBot, la explosión y la posterior caída de la criptominería, las tendencias en el malware de Mac y Android, y todo lo demás.

Pero este trimestre, notamos una amenaza que dominaba el paisaje tanto que merecía su propia mirada dura durante un período más largo que un solo trimestre. El ransomware, que muchos investigadores han notado que tomó un largo respiro después de su apogeo de 2016 y 2017, está de regreso a lo grande, apuntando a negocios con determinación feroz, código personalizado y fuerza bruta.

Durante el último año, hemos sido testigos de un aumento casi constante en las detecciones comerciales de ransomware, aumentando un sorprendente 365 por ciento del segundo trimestre de 2018 al segundo trimestre de 2019.

Por lo tanto, este trimestre, nuestro informe de Tácticas y técnicas de cibercrimen es una retrospectiva completa de ransomware, que analiza a las principales familias que causan el mayor daño a los consumidores, empresas, regiones, países e incluso estados específicos de los EE. UU. Examinamos los aumentos en los ataques presentados contra ciudades , organizaciones de atención médica y escuelas, así como las tácticas de distribución que son más populares hoy en día. También observamos el cambio táctico del ransomware de campañas masivas generales contra los consumidores a ataques dirigidos contra organizaciones.

Para profundizar en el informe completo, incluidas nuestras predicciones para el ransomware del futuro, descargue las Tácticas y técnicas de cibercrimen: Retrospectiva de ransomware aquí .

Justo cuando estábamos terminando las secuelas de la violación de Equifax, ¿ cómo fue eso hace ya dos años? Nos enfrentamos a otra violación de aproximadamente el mismo orden de magnitud.

Capital One se vio afectado por una violación de datos en marzo. El pirata informático obtuvo acceso a información relacionada con las solicitudes de tarjetas de crédito desde 2005 hasta principios de 2019 para consumidores y pequeñas empresas. Según el banco, la violación afectó a unos 100 millones de personas en los Estados Unidos y a unos 6 millones de personas en Canadá.

Lo que es muy diferente en esta violación es que un sospechoso ya ha sido detenido. Además de eso, la sospechosa admitió que actuó ilegalmente y reveló el método que usó para obtener los datos. Por el comportamiento del sospechoso, casi asumirías que quería ser atrapada. Ella hizo un esfuerzo mínimo para ocultar su identidad cuando habló de tener acceso a los datos, casi alardeando en línea de cuánto había podido copiar.

¿Que pasó?

Una ex ingeniera de software de una compañía de tecnología que solía ser empleada por Amazon Web Services (AWS) estaba almacenando la información que obtuvo de la violación en un repositorio de acceso público. AWS es la empresa de alojamiento en la nube que Capital One estaba usando. De las presentaciones judiciales podemos concluir que Paige Thompson utilizó su conocimiento práctico de cómo funciona AWS y lo combinó con la explotación de un firewall de aplicación web mal configurado. Como resultado, pudo copiar grandes cantidades de datos de los cubos de AWS. Publicó acerca de tener esta información en varias plataformas que conducen a que alguien informe el hecho a Capital One. Esto condujo a la investigación de la violación y al arresto del sospechoso.

¿Cómo deben proceder los clientes de Capital One?

Capital One ha prometido llegar a todas las personas potencialmente afectadas por la violación y proporcionar servicios gratuitos de monitoreo de crédito y protección de identidad. Si bien Capital One declaró que ninguna credencial de inicio de sesión se vio comprometida, no estaría de más cambiar su contraseña si es un cliente actual o si solicitó recientemente una tarjeta de crédito con la compañía. Para otros consejos útiles, puede leer nuestra publicación de blog sobre cómo mantenerse a salvo después de la violación de Equifax. Encontrará una gran cantidad de consejos para evitar los peores problemas. También tenga cuidado con las estafas habituales que entrarán en línea como spin-offs de esta violación.

¿Qué pueden aprender otras empresas de este incidente?

Si bien la vulnerabilidad se ha solucionado, hay otras lecciones que aprender de este incidente.

Aunque no es práctico para las empresas del tamaño de Capital One ejecutar sus propios servicios web, podemos preguntarnos si toda la información confidencial necesita ser almacenada en un lugar donde no tenemos control total. Empresas como Capital One utilizan estos servicios de alojamiento para escalabilidad, redundancia y protección. Una de las ventajas es que los empleados de todo el mundo pueden acceder, almacenar y recuperar cualquier cantidad de datos. Esto también puede ser el inconveniente en casos de empleados descontentos o servicios de Gestión de Identidad y Acceso (IAM) mal configurados. Cualquier persona que pueda hacerse pasar con éxito por un empleado con derechos de acceso puede usar los mismos datos para sus propios fines. Amazon Elastic Compute Cloud (EC2) es un servicio basado en la web que permite a las empresas ejecutar programas de aplicación en la nube pública de AWS. Cuando ejecuta la interfaz de línea de comandos de AWS desde una instancia de Amazon EC2, puede simplificar el suministro de credenciales a sus comandos. Según las presentaciones de la corte, parece que aquí es donde se explotó la vulnerabilidad.

Las empresas que usan AWS y servicios de alojamiento en la nube similares deben prestar atención a:

• Aprovisionamiento de IAM: Sea restrictivo al asignar roles de IAM, de modo que el acceso se limite a aquellos que lo necesitan y se elimine de aquellos que ya no lo necesitan.
• Metadatos de instancia: limite el acceso a los metadatos EC2, ya que se puede abusar de ellos para asumir un rol de IAM con permisos que no pertenecen al usuario.
• Monitoreo integral: si bien el monitoreo es importante para cada servidor e instancia que contiene datos importantes, es imprescindible aplicar una consideración adicional a aquellos que son accesibles a través de Internet. Las alarmas deberían haberse activado tan pronto como se utilizó TOR para acceder al EC2.
• Configuraciones erróneas: si no tiene el conocimiento interno o desea verificar dos veces, existen servicios profesionales que pueden buscar servidores mal configurados.

Irónicamente, Capital One ha lanzado algunas herramientas de código abierto muy útiles para el cumplimiento de AWS y ha demostrado tener el conocimiento interno. Capital One siempre ha estado más en el lado de Fintech que la mayoría de los bancos tradicionales, y fueron los primeros en usar el Cloud . Por lo tanto, el hecho de que esta violación les haya sucedido es bastante preocupante, ya que esperaríamos que otros bancos sean aún más vulnerables.

Mantente publicado

A pesar de que ya conocemos muchos más detalles sobre esta violación de datos de lo habitual, seguiremos este a medida que se desenrede aún más.

Si desea hacer un seguimiento directo con algunos recursos, puede hacer clic a continuación:

Declaración oficial de Capital One

Queja Criminal Paige Thompson

Después de la enorme violación de datos de Equifax en 2017, en la que aproximadamente 147 millones de estadounidenses sufrieron la pérdida de sus números de Seguro Social, direcciones, información de tarjetas de crédito y licencias de conducir, fechas de nacimiento y más, la compañía ha acordado un acuerdo con los EE. UU. Comisión Federal de Comercio, en la que pagará al menos $ 650 millones.

Gran parte de ese acuerdo, hasta $ 425 millones, está reservado para ustedes, los consumidores. Así es como puede ver si es elegible para un pago.

Primero, puede verificar si sus datos confidenciales se vieron comprometidos durante la violación de datos de 2017 yendo al nuevo sitio web de liquidación de Equifax:

https://www.equifaxbreachsettlement.com/

Es importante señalar rápidamente aquí que este sitio web, que no se parece al sitio web normal de Equifax, es una mejora reportada desde la última vez que Equifax intentó establecer su propia respuesta, que, inmediatamente después de la violación de 2017, se describió como » Completamente roto en el mejor de los casos, y poco más que una táctica dilatoria o una farsa en el peor «.

Volviendo a ese dinero de liquidación: ingresando su apellido y los últimos seis dígitos de su Número de Seguro Social (que es demasiados números, deberíamos decir), puede averiguar si es elegible para un reclamo de al menos, 10 años de monitoreo de crédito gratuito o $ 125 pagados a través de un cheque o una tarjeta prepaga.

Puede presentar un reclamo en el portal web de Equifax aquí:

https://www.equifaxbreachsettlement.com/file-a-claim

Dependiendo de cómo lo haya afectado la violación de datos de 2017, puede ser elegible para más pagos.

Por ejemplo, si pasó tiempo tratando de recuperarse del robo de identidad o fraude derivado de la violación de datos de Equifax, se le puede pagar $ 25 por hora por cada hora que dedicó a ese trabajo. Ese trabajo incluye colocar y eliminar congelaciones de crédito y comprar servicios de monitoreo de crédito.

Además, si realmente perdió dinero por robo de identidad o fraude causado por la violación, puede hacer un reclamo para obtener un reembolso de hasta $ 20,000. Se debe proporcionar evidencia documentada.

Cuidado con las estafas

Otro acuerdo de violación de datos corporativos con el gobierno de los Estados Unidos significa otro momento para una mayor vigilancia de la seguridad cibernética.

El asentamiento extremadamente amplio de Equifax es, si perdona nuestra metáfora extendida, similar a una ballena muerta en el océano abierto: los tiburones están llegando.

Al igual que con cualquier noticia importante en Estados Unidos, especialmente las noticias que afectan a más de 100 millones de personas, la oportunidad de un ataque cibercriminal es alta. Por ejemplo, después de que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea entró en vigencia, innumerables correos electrónicos de empresas inundaron las bandejas de entrada de los estadounidenses. Los cibercriminales no se quedaron atrás y enviaron sus propios correos electrónicos de phishing que se hicieron pasar por avisos legítimos .

Lo mismo podría suceder con el acuerdo de Equifax.

Recuerde, solo hay un sitio web en este momento para verificar si es elegible para un reclamo, y es el que hemos enumerado anteriormente.

Con la violación una vez más en la mente de todos, también es un buen momento para recordar cómo protegerse del robo de identidad. Revise nuestro blog de 2017 que cubre varias precauciones de seguridad, incluida la obtención de monitoreo de crédito, negarse a responder mensajes de texto y llamadas de números de teléfono desconocidos e intensificar su protocolo de contraseña (no repita las contraseñas, complételas). Y para obtener información aún más detallada sobre el robo de identidad, eche un vistazo a este completo artículo en nuestro centro básico de ciberseguridad.

Manténgase a salvo, todos.

Android Q, la próxima décima versión principal del sistema operativo móvil Android, fue desarrollada por Google con tres temas principales en mente: innovación, seguridad y privacidad. Hoy, nos vamos a centrar principalmente en la seguridad y la privacidad, aunque todavía hay muchos cambios y actualizaciones potenciales en el horizonte que pueden discutirse.

Intimidad

La privacidad ha sido una prioridad en el desarrollo de Android Q, ya que hoy es importante dar a los usuarios control y transparencia sobre cómo su información es recopilada y utilizada por las aplicaciones y nuestros teléfonos. Se han realizado cambios significativos en Android Q en toda la plataforma para mejorar la privacidad, y vamos a inspeccionarlos uno por uno.

Nota: Los desarrolladores deberán revisar las nuevas funciones de privacidad y probar sus aplicaciones. Los impactos pueden variar según la funcionalidad principal, la orientación y otros factores de cada aplicación. 

Ubicación del dispositivo

Comencemos con la ubicación. Las aplicaciones aún pueden pedirle al usuario permiso para acceder a la ubicación, pero ahora en Android Q, el usuario ve una pantalla más grande con más opciones sobre cuándo permitir el acceso a la ubicación, como se muestra en la Imagen 1. Los usuarios podrán dar acceso a las aplicaciones a datos de ubicación todo el tiempo o solo cuando la aplicación está enfocada (en uso y en primer plano).

Este control adicional fue posible gracias a que Android Q introdujo un nuevo permiso de ubicación  ACCESS_BACKGROUND_LOCATION , que permite que una aplicación acceda a la ubicación en segundo plano.

Hay disponible una guía detallada sobre cómo adaptar su aplicación para los nuevos controles de ubicación. 

Almacenamiento con alcance

Fuera de la ubicación, se introdujo una nueva característica llamada «almacenamiento con ámbito» para brindar a los usuarios más seguridad y reducir el desorden de aplicaciones. Android Q seguirá utilizando los permisos READ_EXTERNAL_STORAGE  y  WRITE_EXTERNAL_STORAGE  , pero ahora las aplicaciones que apuntan a Android Q de forma predeterminada tienen una  vista filtrada  en el almacenamiento externo.

Dichas aplicaciones solo pueden ver su directorio específico y tipos específicos de medios, por lo que no necesitan permiso para leer o escribir ningún archivo en esta carpeta. También permite que un desarrollador tenga su propio espacio en el almacenamiento de su dispositivo que es privado sin solicitar ningún permiso específico.

Nota: Hay una  guía que describe cómo se incluyen los archivos en la vista filtrada, y cómo actualizar su aplicación para que pueda continuar compartiendo, accediendo y modificando archivos guardados en un dispositivo de almacenamiento externo.

Desde el punto de vista de la seguridad, esta es una actualización beneficiosa. Detiene las aplicaciones maliciosas que dependen de que usted otorgue acceso a datos confidenciales porque no leyó lo que vio en el cuadro de diálogo y simplemente hizo clic en «sí».

Restricciones de fondo

Otro cambio importante es que los desarrolladores han creado restricciones en el lanzamiento de actividades desde el fondo sin interacción del usuario. Este comportamiento ayuda a reducir las interrupciones y mantiene al usuario más en control de lo que se muestra en su pantalla.

Este nuevo cambio tiene efecto en todas las aplicaciones que se ejecutan en Android Q. Incluso si su aplicación tiene un nivel de API 28 o inferior y se instaló originalmente en un dispositivo con Android 9, las restricciones funcionarán después de que el dispositivo se actualice a Android Q.

Nota: Las aplicaciones que se ejecutan en Android Q pueden iniciar actividades solo cuando se cumplen una o más de las siguientes  condiciones .

Datos e identificadores

Para evitar el seguimiento, comenzando en Android Q, Google requerirá que los desarrolladores de aplicaciones soliciten un permiso especial con privilegios (READ_PRIVILEGED_PHONE_STATE) antes de que puedan acceder a los identificadores no reiniciables del dispositivo, tanto IMEI como el número de serie.

Nota: Lea las  mejores prácticas para elegir los identificadores correctos para su caso específico, ya que muchos no necesitan identificadores de dispositivo no reiniciables (por ejemplo, para fines analíticos).

Además, los dispositivos Android Q ahora transmitirán una dirección MAC aleatoria de forma predeterminada. Aunque Google introdujo la asignación aleatoria de direcciones MAC  en Android 6.0 , los dispositivos solo podían transmitir una dirección MAC aleatoria si el teléfono inteligente iniciaba un escaneo de Wi-Fi o Bluetooth en segundo plano. Sin embargo, vale la pena mencionar que los investigadores de seguridad demostraron que aún pueden rastrear dispositivos con direcciones MAC aleatorias.

Restricciones de red inalámbrica

Otra característica nueva de Android Q es que las aplicaciones no pueden habilitar o deshabilitar Wi-Fi. El WifiManager.setWifiEnabled()método siempre regresa  false.

A partir de ahora, con Android Q, los usuarios deben activar o desactivar Wi-Fi a través del Panel de configuración, una API que permite a las aplicaciones mostrar la configuración a los usuarios en el contexto de su aplicación.

Además, para proteger la privacidad del usuario, la configuración manual de la lista de redes Wi-Fi ahora está restringida a las aplicaciones del sistema y los controladores de políticas de dispositivos (DPC) . Un DPC determinado puede ser el propietario del dispositivo o el propietario del perfil.

Permisos

Android Q cambió el alcance de los permisos READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT y CAPTURE_SECURE_VIDEO_OUTPUT. Ahora  solo tienen acceso de firma , por lo que evitarán el acceso silencioso al contenido de la pantalla del dispositivo.

Las aplicaciones que necesitan acceso al contenido de la pantalla del dispositivo utilizarán la API de MediaProjection . Si su aplicación se dirige a Android 5.1 (nivel de API 22) o inferior, los usuarios verán una pantalla de permisos cuando ejecuten su aplicación en Android Q por primera vez, como se muestra en la Imagen 2. Esto les brinda a los usuarios la oportunidad de cancelar / cambiar el acceso a los permisos que el sistema otorgó previamente a la aplicación durante la instalación.

Además, Android Q introduce un nuevo  permiso ACTIVITY_RECOGNITIONpara aplicaciones que necesitan detectar el recuento de pasos del usuario o clasificar la actividad física del usuario. Esto se hace para que los usuarios vean cómo se usan los datos del sensor del dispositivo en la Configuración.

Nota: si su aplicación se basa en datos de otros sensores integrados  en el dispositivo, como el acelerómetro y el giroscopio, no necesita declarar este nuevo permiso en su aplicación.

Seguridad

Android Pie introdujo la API BiometricPrompt para ayudar a las aplicaciones a utilizar la biometría, incluida la cara, la huella digital y el iris. Para mantener a los usuarios seguros, la API se expandió en Android Q para admitir casos de uso adicionales, incluida la autenticación implícita y explícita.

Si hablamos de autenticación explícita, los usuarios deben realizar una acción para continuar. Eso puede ser un toque en el sensor de huellas dactilares o, si se trata de autenticación de cara o iris, entonces el usuario debe hacer clic en un botón adicional para continuar. Todos los pagos de alto valor deben hacerse a través de un flujo explícito, por ejemplo.

El flujo implícito no requiere una acción adicional del usuario. En la mayoría de los casos, el inicio de sesión y el autocompletar se utilizan en estos casos, ya que no es necesario realizar acciones complejas en transacciones simples y sin importancia que pueden revertirse fácilmente.

Otro cambio interesante realizado en Android Q es el soporte para  TLS 1.3. Se afirma que se pueden establecer conexiones seguras hasta un 40 por ciento más rápido con TLS 1.3 en comparación con TLS 1.2. Desde una perspectiva de seguridad, TLS 1.3 es más limpio, menos propenso a errores y más confiable. Y desde una perspectiva de privacidad, TLS 1.3 encripta más del apretón de manos para proteger mejor las identidades de las partes participantes.

Otra nueva característica útil en BiometricPrompt es la capacidad de verificar si un dispositivo admite autenticación biométrica antes de invocar BiometricPrompt. Esto es útil cuando la aplicación quiere mostrar un «habilitar el inicio de sesión biométrico» o un elemento similar en su página de inicio de sesión o en el menú de configuración de la aplicación. 

La última característica que queríamos señalar es Adiantum , un cifrado de almacenamiento que protege sus datos si su teléfono cae en manos de otra persona. Adiantum es una innovación en criptografía diseñada para hacer que el cifrado de almacenamiento sea más eficiente para dispositivos sin aceleración criptográfica para garantizar que todos los  dispositivos se puedan cifrar. 

En Android Q, Adiantum formará parte de la plataforma Android, y Google tiene la intención de actualizar el Documento de definición de compatibilidad de Android  (CDD) para exigir que todos los dispositivos Android nuevos se cifren con uno de los algoritmos de cifrado permitidos.

Beta 5 y más allá

Android Q Beta 1 se lanzó el 13 de marzo y ya tenemos Beta 5 disponible para descargar. Si desea probar la versión Beta, vaya a android.com/beta para verificar si su dispositivo está en la lista de compatibilidad y descargue la versión beta.

Todavía hay una versión beta más antes de que la versión final caiga en algún momento antes de que termine el tercer trimestre, según la línea de tiempo. Los desarrolladores deben sumergirse en Android Q y comenzar a aprender sobre las nuevas funciones y API que pueden usar en sus aplicaciones antes de realizar ajustes.

Y quizás la pregunta más importante de todas: ¿cómo se llamará Android Q? La lista de postres que comienza con Q es bastante pequeña, y algunas sugerencias que ya surgieron entre los usuarios de la red son:

• Qurabiya
• Quindim
• Reina de pudines
• Qottab
• Quesito
• Queijadinha
• Extravagantes
• Membrillo

La semana pasada, si buscó en Facebook, Instagram y Twitter, probablemente vio fotos alteradas de sus amigos con algunas décadas adicionales escritas en sus caras: arrugas agregadas, piel hundida, cabello desprovisto de color.

¿El 2019 realmente ha sido tan largo? Realmente no.

Las fotos son el trabajo de FaceApp, la popular aplicación impulsada por la inteligencia artificial que permite a los usuarios «envejecer» imágenes de sí mismos, cambiar sus peinados, ponerse gafas y presentar un género diferente.

Luego, aparentemente de la noche a la mañana, los usuarios, los informes de los medios de comunicación y los miembros del Congreso convirtieron a FaceApp en la última parábola de privacidad: si le importa su privacidad en línea, evite esta aplicación a toda costa, dijeron.  

Es operado por el gobierno ruso, sugirió la salida de investigación Forensic News .

Es un encubrimiento para entrenar software avanzado de reconocimiento facial, teorizado para múltiples usuarios de Twitter .

Es digno de una investigación del FBI, dijo el senador Chuck Schumer de Nueva York .

La verdad es menos salaz. Esto es lo que sabemos.

Los ingenieros de FaceApp trabajan en San Petersburgo, Rusia, lo que de ninguna manera es una marca en contra de la compañía. FaceApp no ​​carga, como se afirmó anteriormente, un rollo de fotos completo de un usuario a servidores en cualquier parte del mundo. El acuerdo de los Términos de servicio de FaceApp no ​​pretende transferir la propiedad de las fotos de un usuario a la compañía, y el CEO de FaceApp dijo que la compañía pronto actualizará su acuerdo para describir con mayor precisión que la compañía no utiliza el contenido del usuario para «fines comerciales».

Finalmente, el soplo contra FaceApp, por lo que la compañía podría recopilar, según su política de privacidad y cómo podría usar esa información, está un poco sesgado. Innumerables empresas estadounidenses se permiten hacer exactamente lo mismo hoy.

«El lenguaje que me citó, le recomiendo que consulte los términos en Facebook o cualquier otro tipo de servicio generado por el usuario, como YouTube», dijo Mitch Stoltz, abogado senior de Electronic Frontier Foundation, cuando le leemos el acuerdo de FaceApp. sobre el telefono.  

«Es casi palabra por palabra», dijo Stoltz. «Toda esa vergüenza, en un vacío, suena amplia, pero si lo piensas, esos son los términos utilizados por casi cualquier sitio web que permite a los usuarios subir fotos».

Pero la conclusión de esta semana de casi histeria no debería ser la complacencia. En cambio, la historia de FaceApp debería servir como otro ejemplo más que respalda la guía siempre relevante, a veces aburrida para la privacidad en línea: haga preguntas primero, descargue más tarde (si es que lo hace).

Acuerdo de términos de servicio de FaceApp

Cuando los usuarios descargan y usan FaceApp, se les exige que acepten los acuerdos generales de los Términos de servicio de la empresa matriz . Esos términos son extensos:

«Usted otorga a FaceApp una licencia perpetua, irrevocable, no exclusiva, libre de regalías, mundial, totalmente pagada y sujeto a licencia transferible para usar, reproducir, modificar, adaptar, publicar, traducir, crear trabajos derivados, distribuir, realizar públicamente y mostrar «su Contenido de usuario y cualquier nombre, nombre de usuario o imagen proporcionada en relación con su Contenido de usuario en todos los formatos de medios y canales conocidos o desarrollados posteriormente, sin compensación para usted».

Además, a través del acuerdo de Términos de servicio, se les dice a los usuarios que «al utilizar los Servicios, usted acepta que el Contenido del usuario puede ser utilizado con fines comerciales».

Esto cubre, para decirlo ligeramente, mucho. Pero está lejos de ser único, dijo Stoltz.  

«Cualquier sitio web que permita que cualquier persona en el mundo publique fotos tendrá una cláusula como esa: ‘al subir las fotos, nos da permiso para hacer algo con eso’ ‘, dijo Stoltz. “Los protege contra toda clase de usuarios que intentan presentar reclamos legales, donde, solo quieren cuatro copias de una foto, no 10 copias. Las posibilidades son infinitas.»

Hace varios años, CNN investigó algunos de los términos más dictatoriales de los acuerdos de serviciospara plataformas populares de redes sociales, servicios de Internet y compañías, y descubrió que, por ejemplo, LinkedIn afirmó que podría beneficiarse de las ideas de los usuarios.

De manera relacionada, los Términos de servicio, No se leyeron , que evalúan los acuerdos de usuarios de las empresas, actualmente muestran que Google y Facebook pueden usar las identidades de los usuarios en los anuncios que se muestran a otros usuarios, y que las dos compañías también pueden rastrear su actividad en línea en otros sitios web .

Stoltz también aclaró que el acuerdo de los Términos de servicio de FaceApp no ​​pretende quitar los derechos de autor de una foto a quien la tomó, un proceso que sería difícil hacer en un contrato.

«Se ha intentado, es algo que a los tribunales no les gusta», dijo Stoltz.

Stoltz también dijo que, si bien los consumidores tienen la opción de presentar un desafío legal contra un contrato que alegan que es injusto, estos desafíos exitosos son raros. Sin embargo, Stoltz dio un ejemplo de dónde funcionó: un juez se puso del lado de un cliente de alquiler de autos que desafió los cargos adicionales de una compañía cada vez que el conductor pasaba el límite de velocidad .

«La corte dijo» no, no puedes enterrar eso en un contrato y esperar que la gente lo entienda completamente «, dijo Stolz.

En cuanto a cómo FaceApp utilizará realmente las fotos generadas por los usuarios, el CEO de FaceApp, Yaroslav Goncharov, dijo a Malwarebytes Labs en un correo electrónico que la compañía planea actualizar sus términos para reflejar mejor que no utiliza las imágenes de los usuarios para “fines comerciales”.

«A pesar de que nuestra política se reserva un posible» uso comercial «, no la usamos para ningún propósito comercial», dijo Goncharov. «Estamos planeando actualizar nuestra política de privacidad y TC para reflejar este hecho».

Disipando los rumores.

El 17 de julio, el senador estadounidense Schumer pidió al FBI y a la Comisión Federal de Comercio que investigaran FaceApp debido a la popularidad de la aplicación, la ubicación de su empresa matriz y su supuesto vínculo potencial con las operaciones de inteligencia extranjera en Rusia.

Al día siguiente, el senador Schumer habló directamente a los consumidores en un video compartido en Twitter , que abordaba los mismos puntos:

«El riesgo de que sus datos faciales también puedan caer en manos de algo como la inteligencia rusa, o el aparato militar ruso, es preocupante», dijo Schumer.

Pero, según el CEO de FaceApp, eso no es cierto. Al responder a las preguntas de The Washington Post , Goncharov dijo que el gobierno ruso no tiene acceso a las fotos de los usuarios y, además, que a menos que un usuario viva en Rusia, los datos de los usuarios no se encuentran en el país.

Goncharov también le dijo a The Washington Post que las fotos de usuario procesadas por FaceApp se almacenan en servidores ejecutados por Google y Amazon.

Al responder a las preguntas de Malwarebytes Labs, Goncharov aclaró que la compañía elimina las fotos de esos servidores basándose en un temporizador, pero que a veces, si hay una gran cantidad de fotos, el proceso de eliminación puede demorar más que el límite de tiempo elegido.

«Puede establecer una política para un depósito [Amazon Simple Storage] que diga ‘eliminar todos los archivos que tengan más de un día’. En este caso, casi todas las fotos pueden borrarse en aproximadamente 25 horas. Sin embargo, si tiene demasiadas fotos entrantes, puede llevar más de una hora (o incluso 24 horas) borrar todas las fotos que tengan más de 24 horas ”, dijo Goncharov. “[Amazon Web Services] no ofrece una garantía de que se necesita menos de un día para completar una política de depósito. Tenemos una situación similar con Google Cloud «.

Otra preocupación que algunos usuarios plantearon acerca de FaceApp fue la posibilidad de que la aplicación estuviera accediendo y descargando todas las fotos almacenadas localmente en el dispositivo de un usuario.

Pero, una vez más, los rumores demostraron ser exagerados. Los investigadores de ciberseguridad y una investigación de Buzzfeed News revelaron que el tráfico de red entre FaceApp y sus servidores no mostró ningún acaparamiento nefasto de datos de usuario.

«No vimos ningún aumento sospechoso en el tamaño del tráfico saliente que indicara una fuga de datos más allá de las cargas permitidas», escribió Buzzfeed News. «Subimos cuatro fotos a FaceApp, que se corresponde con los cuatro picos en el gráfico, con algo de ruido al final después de la cuarta subida».

Finalmente, a pesar de los muchos comentarios angustiados en Twitter, Goncharov también le dijo a The Washington Post que su compañía no está utilizando su tecnología para fines de reconocimiento facial.

Lo que debes hacer

Lo conseguimos, FaceApp es divertido. Lamentablemente, para muchos, la privacidad en línea no lo es tanto. (No estamos de acuerdo). Pero eso no hace que la privacidad en línea sea menos importante.

Para aquellos de ustedes que ya han descargado y usado FaceApp, la compañía describió recientemente un método ad hoc para eliminar sus datos de sus servidores:

“Aceptamos solicitudes de los usuarios para eliminar todos sus datos de nuestros servidores. Nuestro equipo de soporte está sobrecargado actualmente, pero estas solicitudes tienen nuestra prioridad. Para el procesamiento más rápido, recomendamos enviar las solicitudes desde la aplicación móvil FaceApp usando ‘Configuración-> Soporte-> Reportar un error’ con la palabra ‘privacidad’ en la línea del asunto. Estamos trabajando en la mejor interfaz de usuario para eso «.

Para aquellos de ustedes que quieran evitar este tipo de problemas en el futuro, hay una regla simple: lea los términos del acuerdo de servicio y la política de privacidad de una aplicación antes de descargarla y usarla. Si los acuerdos y las políticas son demasiado largos para leerlos o están demasiado llenos de jerga para analizarlos, siempre puede evitar descargar la aplicación por completo.

Recuerde siempre, el temor a perderse la última moda en línea debe sopesarse frente al temor de que su privacidad en línea sea potencialmente invadida.

A finales de junio, Malwarebytes revivió su campaña de larga duración contra un tipo malicioso de malware en uso hoy en día. Este malware se asemeja a los mensajes de texto. Identifica los movimientos de las víctimas en diferentes lugares. Revela la navegación y el historial de búsqueda. A menudo oculto a los usuarios, elimina su expectativa de privacidad del derecho a la vida real y del derecho a la misma.

Pero después de volver a comprometernos con nuestra firme oposición a este tipo de malware, llamado stalkerware, recibimos preguntas sobre otra cosa: las aplicaciones de monitoreo parental.

Las capacidades entre los dos a menudo se superponen.

TeenSafe, que reorganizó su producto para enfocarse en una conducción segura, previamente permitió a los padres leer los mensajes de texto de sus hijos. Qustodio, recomendado por Wirecutter para los padres que desean limitar el uso de dispositivos de sus hijos , les permite rastrear las ubicaciones de sus hijos. Kidguard, claramente nombrado y anunciado como una aplicación de seguridad infantil, permite a los padres ver el historial de navegación y búsqueda de sus hijos.

Rápidamente, la línea se vuelve borrosa. ¿Cuáles son las diferencias entre las aplicaciones stalkerware y las aplicaciones de monitoreo parental? ¿Qué es una aplicación de monitoreo parental «aceptable» o «segura»? ¿Y cómo puede un padre saber si está descargando una aplicación de monitoreo parental «legítima» en lugar de una aplicación de software para acosar disfrazada simplemente como una herramienta para padres?

Malwarebytes Labs no está aquí para decirle a la gente cómo criar a sus hijos. Estamos aquí para investigar, informar e informar.

Sabiendo lo que hacemos con las aplicaciones de monitoreo parental (sus capacidades, sus vulnerabilidades de seguridad informática y sus implicaciones de privacidad), nuestra recomendación más segura es evitar estas aplicaciones.

Sin embargo, entendemos los desafíos digitales que enfrentan los padres hoy. El acoso cibernético sigue siendo una preocupación constante , las imágenes y los videos violentos deslumbrantes en línea y el contenido extremista persiste en múltiples plataformas.

Diana Freed, estudiante de doctorado en el laboratorio de investigación de tecnología Intimate Partner Violence liderado por la facultad de Cornell Tech, dijo que entiende el atractivo de estas herramientas para los padres. Anuncian seguridad, dijo ella.

«Creo que cuando los padres están poniendo estas aplicaciones en el teléfono de alguien, están tratando de hacerlo para que sus hijos estén más seguros», dijo Freed. «No están diciendo ‘No quiero que mi hijo no tenga privacidad’. Creen que están haciendo lo mejor que pueden para hacer de este un lugar más seguro para sus hijos «.

Sin embargo, explicó Freed, hay muchas aplicaciones que los padres deben saber.

«Supongamos que todo el mundo es un buen actor y quiere hacer lo correcto», dijo Freed. «Pero es una cuestión de, ¿está claro para el padre qué hacen estas aplicaciones?»

¿Cual es la diferencia?

Múltiples defensores de la privacidad y los investigadores de la ciberseguridad dijeron que, al comparar las capacidades técnicas de las aplicaciones de monitoreo parental con las de las aplicaciones de software de aceros, la luz que brilla entre las dos es débil, si no completamente ausente.

«¿Existe una línea entre las aplicaciones de monitoreo legítimas y las aplicaciones de software para acosadores?», Dijo Cynthia Khoo, autora del informe CitizenLab sobre el software para acosadores » Predator in Your Pocket «.

Ella respondió a su propia pregunta:

“A nivel tecnológico, no. No hay diferenciación ”.

Khoo explicó que, cuando trabajaba con sus coautores en el documento Predator in Your Pocket, el equipo inicialmente tuvo problemas para abordar las aplicaciones de monitoreo que se publicitan de forma benigna y no depredadora, pero que proporcionan a los usuarios una gran cantidad de información confidencial. Es el famoso problema de «doble uso» con el software para acechar: algunas aplicaciones, aunque no están publicitadas o diseñadas para un monitoreo invasivo, aún ofrecen las mismas capacidades.

Sin embargo, esa lucha desapareció, dijo Khoo, cuando el equipo se dio cuenta de que las aplicaciones podían ser evaluadas por sus capacidades y si esas capacidades podrían violar las leyes de Canadá, donde se encuentra CitizenLab.

“Nos dimos cuenta de que si una aplicación no solo proporciona monitoreo de ubicación, si recopila información de cuentas de redes sociales, el contenido privado del teléfono de alguien, en la ley canadiense, eso podría verse como una interceptación ilegal del teléfono de alguien, acceso no autorizado a la computadora de alguien «, Dijo Khoo. «Independientemente de la marca o el marketing, eso es un delito penal».

Emory Roane, asesor de políticas de Privacy Rights Clearinghouse, dijo que no solo las capacidades técnicas de las aplicaciones de software de acoso y las aplicaciones de monitoreo de los padres son muy similares, sino que se pueden encontrar en el tipo de herramientas de piratería utilizadas por los estados nacionales.

“Si observa las capacidades: ¿Qué resultados se pueden obtener de los dispositivos implantados con stalkerware en lugar de los dispositivos pirateados por los estados nacionales? Es lo mismo «, dijo Roane. «Encender y apagar el dispositivo de forma remota, los registradores de teclas, el seguimiento a través de GPS, todo esto».

Roane continuó: «Tenemos que tener mucho cuidado con el uso de estos por los padres».

Tanto Roane como Khoo también advirtieron sobre la falta de consentimiento permitido por muchas de estas aplicaciones. Algunas aplicaciones stalkerware, como mSpy, FlexiSPY y Hoverwatch, pueden operar completamente ocultas de la vista, ausentes del cajón de aplicaciones de un dispositivo.

Algunas aplicaciones de monitoreo parental ofrecen exactamente la misma característica.

Particularmente preocupante, encontramos que la aplicación Kidguard realmente revisó la aplicación stalkerware mSpy en su propio sitio web. En la lista de ventajas y desventajas de mSpy, Kidguard incluyó lo siguiente como positivo:

«Funciona al 100% de manera invisible, no puede ser detectado».

Esta capacidad invisible es una clara señal de advertencia sobre cualquier aplicación de monitoreo, dijo Khoo.

«No hay una razón legítima o la necesidad de ocultar la vigilancia si es realmente por un propósito genuino, de buena fe, legal, legítimo», dijo Khoo. “Si tiene el consentimiento de la persona, no necesita esconderse. Si no tiene consentimiento, esto no debe usarse en primer lugar «.

Estamos de acuerdo.

Cualquier aplicación de monitoreo diseñada para ocultarse del usuario final está diseñada contra el consentimiento.

Los riesgos de la ciberseguridad.

Las reputaciones de seguridad cibernética de varias aplicaciones de monitoreo de los padres son cuestionables, ya que las compañías que las respaldan han dejado datos, incluidas fotos y videos de niños, vulnerables a los actores y hackers de amenazas.

En 2017, los investigadores de Cisco revelaron múltiples vulnerabilidades para el dispositivo de red «Círculo con Disney», una herramienta diseñada para monitorear el uso de Internet de un niño. Los investigadores descubrieron que Circle con Disney tenía vulnerabilidades que podrían haber permitido a un pirata informático «obtener diversos niveles de acceso y privilegios, incluida la capacidad de alterar el tráfico de la red, ejecutar código remoto arbitrario, inyectar comandos, instalar firmware sin firma, aceptar un certificado diferente al previsto. , omita la autenticación, amplíe los privilegios, reinicie el dispositivo, instale una puerta trasera persistente, sobrescriba archivos o incluso bloquee completamente el dispositivo «.

En 2018, un investigador de ciberseguridad con sede en el Reino Unido encontró dos servidores en la nube no seguros operados por TeenSafe . En los servidores se encontraban decenas de miles de detalles de cuentas, incluidas las direcciones de correo electrónico de los padres y las direcciones de correo electrónico de Apple ID de los niños, junto con sus nombres de dispositivos, identificadores únicos y contraseñas de texto sin formato.

ZDNet, que cubrió la vulnerabilidad, escribió:

«Debido a que la aplicación requiere  que la autenticación de dos factores esté desactivada , un actor malintencionado que ve estos datos solo necesita usar las credenciales para ingresar en la cuenta del niño para acceder a sus datos de contenido personal».

También en 2018, la compañía de monitoreo parental Family Orbit, que ofrece una aplicación en iOS y Android, dejó abiertos servidores de almacenamiento en la nube que contenían 281 gigabytes de datos confidenciales . Los servidores vulnerables, identificados por un hacker en línea, contenían fotografías y videos de niños.

Estos son solo los defectos de la ciberseguridad. Esto no es nada para mencionar la red laberíntica de terceros relacionados que podrían trabajar con las aplicaciones de monitoreo de los padres, recibir los datos recopilados y almacenarlos en otros servidores potencialmente inseguros dispersos en la web.

De manera constante, el público estadounidense ha comenzado a comprender y rechazar las muchas maneras en que sus datos se comparten con numerosos terceros, a menudo sin su consentimiento expreso e individualizado. Si no está bien para los adultos, ¿está bien para los niños?

Los riesgos de privacidad

Las aplicaciones de monitoreo para padres pueden brindar a los padres una visión casi omnisciente y sin filtros de las vidas de sus hijos, permitiéndoles acceder a mensajes de texto, fotos compartidas, actividad de navegación web, ubicaciones visitadas y registros de llamadas. Sin obtener el consentimiento de un niño, estas capacidades de vigilancia representan graves invasiones de la privacidad.

El Roane de Clearinghouse de Privacy Rights comparó el uso clandestino de estas aplicaciones con un análogo más familiar:

«¿Apoyarías entrar en el diario de tu hijo si fuera la década de los 80?», Dijo Roane. «Esta es información extremadamente sensible».

Múltiples estudios han sugerido que la relación entre padres e hijos puede alterarse significativamente dependiendo de los tipos de vigilancia que se ejerzan en ellos, con la edad de un niño jugando un papel importante. A medida que el niño crece, y su necesidad de privacidad está estrechamente relacionada con su autonomía, el monitoreo digital puede potencialmente dificultar su confianza en sus padres, su autoexpresión y su salud mental.

Hace unos años, UNICEF publicó un documento de discusión que advirtió sobre este problema:

“La tensión entre los controles parentales y el derecho a la privacidad de los niños se puede ver mejor a través de la lente de las capacidades en evolución de los niños. Si bien los controles parentales pueden ser apropiados para los niños pequeños que tienen menos capacidad para dirigir y moderar su comportamiento en línea, tales controles son más difíciles de justificar para los adolescentes que desean explorar temas como la sexualidad, la política y la religión «.

El documento también advirtió que los estrictos controles parentales podrían afectar la capacidad de un niño para «buscar ayuda o consejos externos con problemas en el hogar».

De acuerdo con la revista de ciencia Nautilus, un estudio de un año de duración en estudiantes de secundaria en los Países Bajos mostró que los estudiantes que fueron fisgoneados por sus padres informaron “comportamientos más secretos, y sus padres informaron que sabían menos acerca de las actividades, los amigos y el paradero del niño. , en comparación con otros padres «.

Laurence Steinberg, profesor de psicología en la Universidad de Temple, le dijo a Nautilus que cuando los padres invaden la privacidad de sus hijos, esos niños podrían correr un mayor riesgo de sufrir depresión, ansiedad y abstinencia. Ella le dijo a la salida:

«Hay muchas investigaciones que indican que los niños que crecen con padres demasiado intrusivos son más susceptibles a esos problemas de salud mental, en parte porque socavan la confianza del niño en su capacidad para funcionar de manera independiente».

Además, en el informe de 2012, » Tecnologías de vigilancia y niños «, la Oficina del Comisionado de Privacidad de Canadá sugirió que los padres que dependen de la vigilancia para mantener a sus hijos a salvo corran el riesgo de atrofiar la madurez de esos niños.

Tonya Rooney, investigadora en desarrollo infantil y relaciones en la Australian Catholic University, dijo en el informe:  

«Necesitamos preguntarnos si las tecnologías pueden estar privando a los niños de la oportunidad de desarrollar confianza y competencia en las habilidades que a su vez los dejaría en una posición más fuerte para evaluar y gestionar los riesgos en una amplia gama de experiencias de vida». 

Desafortunadamente, este campo de estudio es relativamente nuevo. A medida que los niños sujetos a aplicaciones de monitoreo parental llegan a la edad adulta, se puede medir más, incluso si esos niños aceptarán otras formas de vigilancia, como las de los socios domésticos y los gobiernos.

Si está buscando una comida para llevar, quizás lea el artículo de Gizmodo sobre un estudio de la Universidad de Florida Central sobre aplicaciones de monitoreo para adolescentes: » Las aplicaciones de monitoreo para adolescentes no funcionan y simplemente hacen que los adolescentes odien a sus padres, según encuentra un estudio «.

Conversaciones difíciles, necesarias.

Entendemos que informar a los lectores sobre las desventajas interminables de las aplicaciones de monitoreo parental no aborda la realidad probable de que muchos padres se han involucrado en algún tipo de monitoreo digital de una manera segura, saludable y comunicada de manera abierta.

Para aquellos que han encontrado un pasaje seguro, bien hecho. Para aquellos que no lo han hecho, los investigadores con los que hablamos coincidieron en una prioridad: si usted insiste absolutamente en usar una de estas aplicaciones, debe discutirlo con sus hijos.

«Puedes decir abiertamente [a un niño] ‘Voy a empezar a buscar tu ubicación porque estamos preocupados y así es como lo vamos a hacer'», dijo Freed, del laboratorio de tecnología IPV en Cornell. «En cuanto a la privacidad del niño, converse sobre las preocupaciones y por qué lo hace, qué hará la aplicación que está poniendo en su teléfono, qué información sabrá».

Freed continuó:

«Trabajen juntos a través de esto».

Freed también sugirió que los padres podrían introducir solo un tipo de monitoreo digital a la vez. Para cada capacidad adicional (seguimiento de ubicación, monitoreo de redes sociales, monitoreo de actividad del navegador), Freed dijo que los padres deberían tener una nueva conversación.

Los padres que tengan curiosidad acerca de las capacidades de una aplicación de monitoreo parental, incluso si esa aplicación podría violar la privacidad, deben leer la descripción disponible en línea a través de la App Store o Google Play Store, dijo Sam Havron, otro investigador y estudiante de doctorado en el laboratorio de tecnología IPV.

«Lo mejor, o lo más cercano, es mirar las descripciones de los desarrolladores en los mercados, mirar los niveles de permiso», dijo Havron. Dijo que los padres también podrían descargar la aplicación y probarla en un dispositivo separado antes de utilizarla en el dispositivo de un niño.

Ellen Zavian, madre de un niño de 13 años y miembro del Subcomité de Tecnología y Seguridad del Consejo del Condado de Montgomery de Asociaciones de Padres y Maestros en Maryland, sugirió que los padres vean el problema de manera diferente: no se centre tanto En el software del dispositivo, enfóquese en el dispositivo.

En lugar de instalar una aplicación con límite de tiempo de pantalla en el dispositivo de un niño, o limitar lo que ven, o qué aplicaciones pueden usar, retire el dispositivo por completo de la habitación del niño y no permita que lo usen por la noche cuando van a La cama, dijo Zavian. O tal vez no les permita tener un dispositivo en absoluto, lo que Zavian se compromete a hacer hasta que su hijo comience el octavo grado, un movimiento popular entre los padres llamado Wait Until 8th .

También sugirió que solo se le dé a un niño un dispositivo habilitado para Wi-Fi sin plan de datos, y luego desconectar el enrutador de la casa para detener cualquier actividad de Internet. O los padres podrían incluso evitar que el dispositivo de un niño se conecte a Internet en casa, una configuración que se puede configurar en la mayoría de los enrutadores modernos.

Zavian insistió en su punto, haciendo una comparación con otro momento estresante en la crianza de los hijos: dejar que los adolescentes conduzcan. Ella dijo que hay una diferencia entre monitorear la conducción de un adolescente a través de las aplicaciones y monitorear el acceso del adolescente al auto en sí.

«Cuando mis amigos vigilaban a sus hijos con el camino a donde iban, mis hijos simplemente no tenían las llaves del auto», dijo Zavian. «¿Por qué quieres participar en esa pelea? Tienes suficientes peleas cuando son adolescentes, donde dices ‘te vi aquí’ o ‘te vi acelerando’ ‘.

Zavian sugirió que los padres recuerden que siempre hay alternativas al uso de una aplicación de monitoreo parental. De hecho, esas alternativas han existido por mucho más tiempo, y ella aprendió sobre ellas cuando aprendió a conducir.

«Así como lo hicimos nosotros: te metes en un accidente automovilístico, estás fuera del seguro», dijo Zavian.

El ransomware Sodinokibi, también conocido como Sodin y REvil, apenas tiene tres meses, pero se ha convertido rápidamente en un tema de discusión entre los profesionales de la ciberseguridad debido a su aparente conexión con el infame ransomware GandCrab.

Detectado por Malwarebytes como Ransom.Sodinokibi , Sodinokibi es un ransomware-as-a-service(RaaS), tal como lo fue GandCrab, aunque los investigadores creen que es más avanzado que su predecesor. Hemos observado que esta amenaza se dirige a empresas y consumidores por igual desde principios de mayo, con un aumento en las empresas a principios de junio y elevaciones en las detecciones de consumidores a mediados de junio y mediados de julio. Basándose en nuestra telemetría, Sodinokibi ha aumentado desde la salida de GandCrab a finales de mayo.

El 31 de mayo, los actores de la amenaza detrás de GandCrab anunciaron formalmente su retiro, detallando su plan para dejar de vender y publicitar a GandCrab en una publicación oscura del foro web.

Si bien muchos pueden haber emitido suspiros de alivio ante la «aprobación» de GandCrab, algunos expresaron su escepticismo sobre si el equipo realmente pondría detrás de su exitoso plan para hacer dinero. Lo que siguió fue una sombría anticipación de otra operación de ransomware, o una reaparición del grupo que vendía nuevas mercancías, y se hizo cargo de llenar el agujero que GandCrab había dejado atrás.

Entra Sodinokibi

Dar un giro a un producto antiguo es un concepto que no se desconoce en los círculos comerciales legítimos. A menudo, la rotación implica la creación de un nuevo nombre para el producto, algunas modificaciones de sus características existentes y la búsqueda de nuevos influenciadores, «afiliados» en el caso de las operaciones de RaaS, para usar (y comercializar) el producto. Además, los actores de amenazas inicialmente limitarían la disponibilidad del nuevo producto y seguirían con una campaña de marketing completamente nueva, todo sin tocar el estándar del producto. En retrospectiva, parece que el equipo GandCrab ha tomado esta ruta.

Un mes antes del anuncio de retiro de GandCrab, los investigadores de Cisco Talos dieron a conocerinformación sobre su descubrimiento de Sodinokibi. Los atacantes infectaron manualmente el servidor de destino después de explotar una vulnerabilidad de día cero en su aplicación Oracle WebLogic.

Hasta la fecha, se han visto seis versiones de Sodinokibi en la naturaleza.

Vectores de infeccion de Sodinokibi

Al igual que GandCrab, el ransomware Sodinokibi sigue un sistema de ingresos de afiliados, que permite a otros ciberdelincuentes difundirlo a través de varios vectores. Sus métodos de ataque incluyen:

• Explotación activa de una vulnerabilidad en Oracle WebLogic, oficialmente nombrado CVE-2019-2725
• Spam malicioso o campañas de phishing con enlaces o archivos adjuntos.
• Campañas de publicidad maliciosa que llevan al kit de explotación RIG, una avenida que GandCrab usó antes
• Proveedores de servicios gestionados (MSP) comprometidos o infiltrados, que son empresas de terceros que administran de forma remota la infraestructura de TI y / o los sistemas de usuario final de otras compañías, para impulsar el ransomware en masa. Esto se hace al acceder a las redes a través de un protocolo de escritorio remoto (RDP) y luego usar la consola MSP para implementar el ransomware.

Aunque los afiliados utilizaron estas tácticas para impulsar a GandCrab, también, muchos ciberdelincuentes , incluidos los actores del estado-nación, han hecho lo mismo para impulsar sus propias campañas de malware.

Síntomas de la infección por Sodinokibi

Los sistemas infectados con Sodinokibi ransomware muestran los siguientes síntomas:

Se ha cambiado el fondo de escritorio. Al igual que cualquier otro ransomware, Sodinokibi cambia el fondo de escritorio de los sistemas afectados en un aviso, informando a los usuarios que sus archivos han sido cifrados. El fondo de pantalla tiene un fondo azul, como se puede ver parcialmente en la captura de pantalla anterior, con el texto:

Todos tus archivos están encriptados! 
Encuentre {5-8 caracteres alfanuméricos} -readme.txt y siga las instrucciones

Presencia de nota ransomware. El archivo {5-8 caracteres alfanuméricos} -readme.txt al que se refiere es la nota de rescate que viene con cada ataque de ransomware. En el caso de Sodinokibi, se ve así:

La nota contiene instrucciones sobre cómo los usuarios afectados pueden pagar el rescate y cómo funciona el proceso de descifrado.

Archivos cifrados con un nombre de extensión de 5–8 caracteres. Sodinokibi cifra ciertos archivos en unidades locales con el algoritmo de cifrado Salsa20, y cada archivo se renombra para incluir una extensión alfanumérica pseudoaleatoria pre generada de cinco a ocho caracteres.

El nombre de la extensión y la cadena de caracteres incluidos en el nombre del archivo de la nota de rescate son los mismos. Por ejemplo, si Sodinokibi ha cifrado un archivo de imagen y lo ha cambiado a paris2017.r4nd01 , su correspondiente nota de rescate tendrá el nombre de archivo r4nd01-readme.txt .

Sodinokibi busca archivos que están relacionados principalmente con medios y programación, con las siguientes extensiones para cifrar:

• .jpg
• .jpeg
• .crudo
• .tif
• .png
• .bmp
• .3dm
• .max
• .accdb
• .db
• .mdb
• .dwg
• .dxf
• .cpp
• .cs
• .h
• .php
• .áspid
• .rb
• .Java
• .aaf
• .aep
• .aepx
• .plb
• .prel
• .aet
• .ppj
• .gif
• .psd

Copias de seguridad de instantáneas eliminadas y herramienta de reparación de inicio de Windows deshabilitada. La instantánea (también conocida como Volume Snapshot Service, Volume Shadow Copy Service o VSS) y Startup Repair son tecnologías inherentes al sistema operativo Windows. El primero es «una instantánea de un volumen que duplica todos los datos que se mantienen en ese volumen en un instante bien definido en el tiempo», según el Centro de desarrollo de Windows . La última es una herramienta de recuperación utilizada para solucionar ciertos problemas de Windows.

La eliminación de las instantáneas evita que los usuarios se restauren desde la copia de seguridad cuando descubren que sus archivos están cifrados por ransomware. Deshabilitar la herramienta de reparación de inicio evita que los usuarios intenten corregir los errores del sistema que pueden haber sido causados ​​por una infección de ransomware.

Otros trucos bajo la manga de Sodinokibi.

El ransomware normalmente no aprovecha las vulnerabilidades de día cero en sus ataques, pero Sodinokibi no es su ransomware promedio. Aprovecha una vulnerabilidad de día cero con privilegios elevados en el archivo de componentes de Win32k en Windows.

Designada como CVE-2018-8453 , esta falla puede otorgar al administrador de Sodinokibi acceso a los puntos finales que infecta. Esto significa que puede llevar a cabo las mismas tareas que los administradores en los sistemas, como deshabilitar el software de seguridad y otras funciones destinadas a proteger el sistema contra el malware.

CVE-2018-8453 era la misma vulnerabilidad que el FruitArmor APT explotado en su campaña de malware año pasado.

También se ha encontrado que las nuevas variantes de Sodinokibi usan «Heaven’s Gate», una antigua técnica de evasión utilizada para ejecutar código de 64 bits en un proceso de 32 bits, que permite que el malware se ejecute sin ser detectado. Tocamos esta técnica a principios de 2018 cuando analizamos un cryptominer interesante que capturamos en la naturaleza.

Protege tu sistema de Sodinokibi

Malwarebytes rastrea las campañas de Sodinokibi y protege a los usuarios consumidores premium y usuarios empresariales con una detección sin firma , lo que afecta al ataque antes de que comience la cadena de infección. Los usuarios de nuestra versión gratuita no están protegidos contra esta amenaza sin protección en tiempo real.

Recomendamos a los consumidores que realicen las siguientes acciones si no son clientes premium de Malwarebytes:

• Cree copias de seguridad seguras de sus datos, ya sea en un disco externo o en la nube . Asegúrese de desconectar la unidad externa de su computadora una vez que haya guardado toda su información, ya que también podría estar infectada si aún está conectada.
• Ejecute actualizaciones en todos sus sistemas y software, parcheando para cualquier vulnerabilidad.
• Tenga en cuenta los correos electrónicos sospechosos, especialmente aquellos que contienen enlaces o archivos adjuntos. Lea sobre cómo detectar intentos de phishing tanto en su computadora como en sus dispositivos móviles .

Para mitigar el aspecto comercial, también recomendamos a los administradores de TI que hagan lo siguiente:

• Denegar el acceso IP público al puerto RDP 3389.
• Reemplace el complemento de integración ConnectWise ManagedITSync de su compañía con la última versión antes de volver a conectar su servidor VSA a Internet.
• Bloque SMB puerto 445. De hecho, es una buena práctica de seguridad bloquear todos los puertos no utilizados.
• Aplicar los últimos paquetes de actualización de Microsoft.
• En este sentido, asegúrese de que todo el software en los puntos finales esté actualizado.
• Limite el uso de las herramientas de administración del sistema al personal de TI o a los empleados que solo necesitan acceso.
• Deshabilitar macro en productos de Microsoft Office.
• Informa regularmente a los empleados sobre las amenazas que podrían estar dirigidas a la industria de la organización o a la propia compañía con recordatorios sobre cómo manejar correos electrónicos sospechosos , como evitar hacer clic en enlaces o abrir archivos adjuntos si no están seguros de la fuente.
• Aplicar el filtrado de archivos adjuntos a los mensajes de correo electrónico.
• Cree con regularidad múltiples copias de seguridad de datos, preferiblemente en dispositivos que no estén conectados a Internet.

Indicadores de compromiso (COI)

Hashes de archivo:

• e713658b666ff04c9863ebecb458f174
• bf9359046c4f5c24de0a9de28bbabd14
• 177a571d7c6a6e4592c60a78b574fe0e