El director general de Facebook, Mark Zuckerberg, propuso un giro radical para su compañía este mes : comenzaría a preocuparse por la privacidad, construyendo una nueva versión de la plataforma que convierte a Facebook menos en una “plaza de la ciudad” pública, abierta y más en una privada. , íntima “sala de estar”.

Zuckerberg prometió encriptación de extremo a extremo en las plataformas de mensajería de la compañía, interoperabilidad , mensajes de desaparición, publicaciones y fotos para los usuarios, y un compromiso para almacenar menos datos de los usuarios, al tiempo que se niega a colocar esa información en países con registros de derechos humanos deficientes.

Si se llevan a cabo, estas promesas podrían llevar la privacidad del usuario al centro.

Pero las promesas de Zuckerberg han agotado a los usuarios, los defensores de la privacidad, los tecnólogos y los expertos de la industria, incluidos los de Malwarebytes. Respetar la privacidad del usuario hace que para una mejor Internet, punto. Y las propuestas de Zuckerberg son absolutamente un paso en la dirección correcta. Desafortunadamente, hay un abismo entre la propuesta de privacidad de Zuckerberg y el éxito de la privacidad de Facebook. Dado el desempeño anterior de Zuckerberg, dudamos de que realmente lo haga, y no culpamos a ningún usuario que se sienta de la misma manera.

La respuesta externa al anuncio de Zuckerberg fue rápida y crítica.

Uno de los primeros inversionistas de Facebook llamó a la acción un truco de relaciones públicas . La veterana periodista tecnológica Kara Swisher recomendó a Facebook un “robo” de la mejor idea de un competidor. El grupo de derechos digitales Electronic Frontier Foundation dijo que creería en un Facebook verdaderamente privado cuando lo viera , y el activista austriaco de derechos de privacidad en línea ( y algo espinoso en el lado de Facebook ) Max Schrems se rió de lo que veía como hipocresía : fusionar los metadatos de los usuarios en WhatsApp Facebook, e Instagram, y les dicen a los usuarios que fue por su propio bien privado.

¿El mayor obstáculo para creer las palabras de Zuckerberg? Para muchos, es la historia de Facebook.

La idea misma de un Facebook que proteja la privacidad va en contra de la comprensión del público sobre la compañía que los comentarios de Zuckerberg tienen un sabor desagradable. Estas promesas provienen de un hombre cuyas declaraciones de gestión de crisis a menudo carecen de las palabras “lo siento” o “disculpa”. Un hombre que, cuando su compañía estaba tratando de contener su propia comprensión de una campaña de desinformación de inteligencia extranjera, jugó como posible presidente , recorriendo América para una llamada ” gira de escucha “.

Los usuarios, comprensiblemente, esperan mejor. Esperan que las empresas protejan su privacidad. Pero, ¿puede Facebook realmente estar a la altura de eso?

“El futuro de internet”

Zuckerberg abre su llamamiento con un reclamo tembloroso: que en los últimos años ha centrado su atención en “comprender y abordar los mayores desafíos a los que se enfrenta Facebook”. Según Zuckerberg, “esto significa tomar posiciones sobre cuestiones importantes relacionadas con el futuro de Internet”.

La visión de Facebook del futuro de Internet ha sido, en ocasiones, muy positiva. Facebook rutinariamente respalda la neutralidad de la red, y el año pasado, la compañía se opuso a una ley anti-encriptación y anti-seguridad peligrosa en Australia que podría obligar a las empresas de todo el mundo a cumplir con las órdenes secretas del gobierno para espiar a los usuarios.

Pero el registro de cabildeo de Facebook también revela un futuro de Internet que, para algunos, es menos seguro.

El año pasado, Facebook apoyó la mitad de un par de facturas de hermanos que finalmente se fusionaron en una sola ley. La ley siguió una ruta tortuosa y tortuosa, pero su impacto hoy está claro: las trabajadoras sexuales consensuales han descubierto que sus comunidades en línea son eliminadas y una vez más son empujadas a las calles , lejos de la orientación y el apoyo, y potencialmente de regreso a las manos de los depredadores. .

“El proyecto de ley nos está matando”, dijo una trabajadora sexual a The Huffington Post .

Si bien la ley tenía la intención aparente de proteger a las víctimas de la trata sexual, solo ha empeorado sus vidas , según algunos defensores de las trabajadoras sexuales.

El 21 de marzo de 2018, el Senado de los EE. UU. Aprobó el proyecto de ley Permitir a los estados y las víctimas combatir el tráfico sexual en línea (FOSTA). El proyecto de ley fue el producto de una versión anterior de su propio homónimo, y un proyecto de ley relacionado relacionado, denominado Ley de detención de habilitación de traficantes sexuales (SESTA). A pesar de las claras advertencias de los grupos de derechos digitales y los defensores del sexo positivo , Facebook apoyó a SESTA en noviembre de 2017. Según el New York Times , Facebook hizo este movimiento calculado para ganarse el favor de algunos de sus críticos más feroces en la política estadounidense.

“[El] proyecto de ley de tráfico sexual fue defendido por el senador John Thune, un republicano de Dakota del Sur que había criticado a Facebook por acusaciones de censurar el contenido conservador, y el senador Richard Blumenthal, un demócrata de Connecticut y miembro del comité de comercio que fue crítico frecuente de Facebook ”, decía el artículo. “Facebook rompió filas con otras compañías de tecnología, esperando que la medida ayude a reparar las relaciones en ambos lados del pasillo, dijeron dos miembros del Congreso y tres funcionarios de la industria tecnológica”.

En octubre pasado, el proyecto de ley volvió a perseguir al gigante de los medios sociales: una demandante Jane Doe en Texas demandó a Facebook por no protegerla de los traficantes sexuales .

Además, en el ensayo de Zuckerberg, promete que Facebook continuará negándose a construir centros de datos en países con registros de derechos humanos deficientes.

La preocupación de Zuckerberg es bienvenida y sus advertencias están bien ubicadas. A medida que Internet ha evolucionado, también lo ha hecho el almacenamiento de datos. Los perfiles, fotos, videos y mensajes en línea de los usuarios pueden viajar a través de varios servidores ubicados en países de todo el mundo, lejos de la sede de la empresa. Pero este desarrollo plantea un reto. Colocar los datos de las personas en países con menos protecciones de privacidad, y regímenes gubernamentales potencialmente opresivos, pone en riesgo la vida privada y en línea de todos. Como dijo Zuckerberg:

“[La] información sobre datos en más países también establece un precedente que anima a otros gobiernos a buscar un mayor acceso a los datos de sus ciudadanos y, por lo tanto, debilita la protección de la privacidad y la seguridad de las personas en todo el mundo”, dijo Zuckerberg.

Pero lo que dice Zuckerberg y lo que Facebook soporta están en desacuerdo.

El año pasado, Facebook apoyó la Ley CLOUD, una ley que redujo las protecciones de privacidad en todo el mundo al permitir que los gobiernos extranjeros soliciten directamente a las empresas los datos en línea de sus ciudadanos. Es una ley que, según la Electronic Frontier Foundation , podría dar lugar a que la policía del Reino Unido se hiciera con los mensajes de Slack escritos por un estadounidense, y luego los enviara a la policía de EE. UU., Quien podría acusar a ese estadounidense de un delito, todo sin una orden judicial.

El mismo día en que se introdujo por primera vez la Ley CLOUD como un proyecto de ley, recibió apoyo inmediato de Facebook, Google, Microsoft, Apple y Oath (anteriormente Yahoo). Grupos de derechos digitales , defensores de las libertades civiles y organizaciones de derechos humanos se opusieron directamente al proyecto de ley poco después. Ninguno de sus esfuerzos sacudió a los gigantes de la tecnología. La Ley CLOUD se convirtió en ley solo unos meses después de su introducción.

Si bien el impulso de Zuckerberg para mantener la información fuera de los países que abusan de los derechos humanos es un paso en la dirección correcta para proteger la privacidad global, su compañía apoyó una ley que podría resultar en lo contrario. La Ley CLOUD no depende significativamente del historial de derechos humanos de un país. En cambio, se basa en negociaciones internas entre gobiernos, lejos de la vista del público.

El futuro de Internet ya está aquí, y Facebook es parcialmente responsable de su aspecto.

Escepticismo sobre la historia de origen 2.0 de Facebook.

Durante años, Zuckerberg le dijo a cualquiera que escuchara, incluidos los senadores estadounidenses ansiosos de respuestas , que comenzó a Facebook en su dormitorio de Harvard. Este inocente recuento involucra a un joven Zuckerberg de ojos caídos que no se preocupa por comenzar un negocio, sino más bien por conectar a las personas.

La conexión, ha repetido Zuckerberg, fue la última misión. Esta visión singular una vez fue empleada por un ejecutivo de la empresa para desestimar la muerte humana por el “* de facto * bien” de conectar a las personas .

Pero la última declaración de Zuckerberg agrega un nuevo propósito, o arruga, a la misión de Facebook: la privacidad.

“La privacidad le da a la gente la libertad de ser ellos mismos y conectarse más naturalmente, por eso construimos redes sociales”, dijo Zuckerberg.

Varios expertos ven motivos ulteriores.

Kara Swisher, la editora ejecutiva de Recode, dijo que la reorientación de Facebook es probablemente un intento de seguir siendo relevante para los usuarios más jóvenes. La privacidad en línea, según muestran los datos, es una de las principales preocupaciones de ese grupo demográfico . Pero preocuparse por la privacidad, dijo Swisher, “nunca formó parte del ADN [de Facebook], excepto tal vez como una línea de descarte en un comunicado de prensa”.

Ashkan Soltani, ex director de tecnología de la Comisión Federal de Comercio, dijo que las ideas de Zuckerberg eran intentos obvios de aprovechar la privacidad como una ventaja competitiva.

“Apoyo firmemente la privacidad de los consumidores cuando me comunico en línea, pero este movimiento es completamente un juego estratégico para usar la privacidad como una ventaja competitiva y un mayor bloqueo de Facebook como la plataforma de mensajería dominante”, dijo Soltani en Twitter .

En cuanto al compromiso de permanecer fuera de los países que violan los derechos humanos, Riana Pfefferkorn, directora asociada de vigilancia y ciberseguridad en el Centro de Internet y Sociedad de la Escuela de Derecho de Stanford, presionó más.

“No sé qué estándares están usando para determinar quiénes son los abusadores de derechos humanos”, dijo Pfefferkorn en una entrevista telefónica. “Si es la lista de países que Estados Unidos ha sancionado, donde no permiten las exportaciones, es una lista corta. Pero si tienes todos los países que alguna vez ponen a los disidentes en prisión, entonces eso comienza con algunas preguntas mucho más difíciles “.

Por ejemplo, ¿qué hará Facebook si quiere ingresar a un país que, en el papel, protege los derechos humanos, pero en la práctica, utiliza leyes opresivas contra sus ciudadanos? ¿Conservará Facebook su nuevo modelo de privacidad y renunciará por completo al mercado? ¿O se doblará?

“Ya lo veremos”, dijo Pfefferkorn en un correo electrónico anterior. “[Zuckerberg] es responsable ante los accionistas y ante la tiranía de la regla n. ° 1: crecimiento, crecimiento, crecimiento”.

Al preguntarle si el pivote de Facebook tendrá éxito, Pfefferkorn dijo que la compañía definitivamente ha hecho algunas contrataciones importantes para ayudar. En el último año, Facebook incorporó a tres críticos y expertos en derechos digitales, uno de EFF, otro del Open Technology Institute de New American y otro de AccessNow, para que asumieran las funciones de liderazgo. Además, Pfefferkorn dijo, Facebook ha impulsado exitosamente proyectos enormes y de privacidad hacia adelante antes.

“Ellos implementaron el cifrado de extremo a extremo y lo hicieron realidad para mil millones de personas en WhatsApp”, dijo Pfefferkorn. “No es necesariamente imposible”.

El pasado de WhatsApp es ahora el futuro de Facebook.

Al mirar hacia el futuro, Zuckerberg primero mira hacia atrás.

Para otorgar cierta autenticidad a este nuevo y mejorado Facebook privado, Zuckerberg invoca repetidamente la reputación de una empresa adquirida previamente para reforzar la cuenta de Facebook.

WhatsApp, dijo Zuckerberg, debería ser el modelo para el nuevo Facebook.

“Planeamos construir esta [plataforma enfocada en la privacidad] de la manera en que hemos desarrollado WhatsApp: enfocándonos en el caso de uso más fundamental y privado, la mensajería, hacerlo lo más seguro posible y luego construir más formas para que las personas interactúen en la parte superior De eso “, dijo Zuckerberg.

El mensajero seguro, que Facebook compró en 2014 por $ 19 mil millones, es un ejemplo de privacidad. Desarrolló el cifrado de extremo a extremo predeterminado para los usuarios en 2016 (en lugar de Facebook), se niega a almacenar claves para otorgar acceso a los mensajes de los usuarios e intenta limitar la recopilación de datos del usuario tanto como sea posible.

Aún así, varios usuarios creían que WhatsApp que se unía a Facebook representaba una sentencia de muerte para la privacidad del usuario. Un mes después de la venta, el cofundador de WhatsApp, Jan Kaum, trató de disipar cualquier información errónea sobre la visión comprometida de WhatsApp.

“Si asociarse con Facebook significaba que teníamos que cambiar nuestros valores, no lo habríamos hecho”, escribió Kaum.

Cuatro años después de la venta, algo cambió.

Kaum dejó Facebook en marzo de 2018, según se informa , preocupado por el enfoque de la privacidad y la recopilación de datos de Facebook. La partida de Kaum siguió a la de su co-fundador Brian Acton el año anterior .

En una entrevista exclusiva con Forbes , Acton explicó su decisión de abandonar Facebook. Era, dijo, mucho sobre la privacidad.

“Vendí la privacidad de mis usuarios a un mayor beneficio”, dijo Acton. “Hice una elección y un compromiso. Y vivo con eso todos los días “.

Extrañamente, al defender el registro de privacidad de Facebook, Zuckerberg evita un episodio reciente de cifrado profesional. El año pasado, Facebook luchó, y prevaleció, contra una solicitud del gobierno de EE. UU. Para, según se informa, “romper el cifrado” en su aplicación Facebook Messenger . Zuckerberg también se olvida de mencionar el exitoso despliegue de encriptación de extremo a extremo de Facebook en su aplicación Messenger.

Además, confiar tanto en WhatsApp como símbolo de privacidad es complicado. Después de todo, Facebook no compró la compañía debido a su filosofía. Facebook compró WhatsApp porque era una amenaza . 

Historia de Facebook de promesas incumplidas

La declaración de Zuckerberg promete a los usuarios un Facebook completamente nuevo, completo con encriptación de extremo a extremo, mensajes y mensajes efímeros, recolección de datos permanente, menos intrusiva y sin almacenamiento de datos en países que han abusado de los derechos humanos.

Estas son ideas fuertes. El cifrado de extremo a extremo es una medida de seguridad crucial para proteger la vida privada de las personas, y la promesa de Facebook de negarse a almacenar las claves de cifrado solo refuerza esa seguridad. Los mensajes, fotos, fotos y videos efímeros brindan a los usuarios la oportunidad de compartir sus vidas en sus propios términos. Rehusarse a incluir datos en regímenes conocidos de abuso de derechos humanos podría representar un sacrificio de participación de mercado potencialmente significativo, dando a Facebook la oportunidad de demostrar su compromiso con la privacidad del usuario.

Pero el registro de promesas de Facebook es mucho más ligero que el de hacer promesas. En el pasado, ya sea que Facebook prometiera una nueva característica del producto o una mejor responsabilidad para sus usuarios, la compañía repetidamente perdió su propia marca.

En abril de 2018, TechCrunch reveló que, ya en 2010, Facebook eliminó algunas de las conversaciones privadas de Zuckerberg y cualquier registro de su participación, retrayendo los mensajes enviados desde su bandeja de entrada y desde la bandeja de entrada de sus amigos. La compañía también realizó esta eliminación, que no está disponible para los usuarios, para otros ejecutivos.

Tras las noticias, Facebook anunció un plan para dar a sus usuarios una función de “no envío”.

Pero casi seis meses después, la compañía no había cumplido su promesa . No fue hasta febrero de este año que Facebook produjo una medida a medias: en lugar de darles a los usuarios la capacidad de eliminar realmente los mensajes enviados, como lo hizo Facebook para Zuckerberg, los usuarios podían “anular” un mensaje accidental en la aplicación Messenger en 10 minutos. del tiempo de envío inicial.

Gizmodo lo etiquetó como “cebo y cambio”.

En octubre de 2016, ProPublica compró un anuncio en las “categorías de vivienda” de Facebook que excluía a grupos de usuarios que eran potencialmente afroamericanos, asiáticos o hispanos. Un abogado de derechos civiles calificó esta función de exclusión como “espantosa”.

Facebook rápidamente prometió mejorar su plataforma de publicidad al eliminar las opciones de exclusión para anuncios de vivienda, crédito y empleo, y al implementar una mejor tecnología de detección automática para detener los anuncios potencialmente discriminatorios antes de que se publiquen.

Un año después, en noviembre de 2017, ProPublica ejecutó nuevamente su experimento. La discriminación, una vez más, resultó posible . Las herramientas contra la discriminación que Facebook anunció el año anterior no captaron nada.

“Cada anuncio individual fue aprobado en minutos”, decía el artículo.

Esta vez, Facebook cerró toda la funcionalidad, según una carta de la Directora de Operaciones Sheryl Sandberg al Congreso Negro del Congreso. (Facebook también anunció los cambios en su sitio web ).

Más recientemente, Facebook no cumplió con la promesa de que los números de teléfono de los usuarios estarían protegidos de la búsqueda . Hoy en día, a través de una extraña solución, los usuarios aún pueden ser “encontrados” a través del número de teléfono que Facebook les pidió que proporcionen específicamente para la autenticación de dos factores.

Lejos de los cambios en el producto, Facebook ha dicho repetidamente a los usuarios que se comprometería con la seguridad, la seguridad y la privacidad del usuario. Sin embargo, el historial real después de esas declaraciones cuenta una historia diferente.

En 2013, un cineasta documental australiano se reunió con el líder de políticas públicas y comunicaciones de Facebook y le advirtió sobre el creciente problema del discurso de odio en la plataforma de Facebook en Myanmar. Los budistas ultranacionalistas del país estaban haciendo publicaciones falsas e inflamatorias sobre la población musulmana rohingya local, a veces exigiendo violencia contra ellos. Los disturbios se habían cobrado la vida de 80 personas el año anterior, y miles de rohingya fueron obligados a internarse en campos de internamiento.

El líder de políticas públicas y comunicaciones de Facebook, Elliot Schrage, envió a la cineasta australiana, Aela Callan, a un callejón sin salida.

“No me conectó con nadie dentro de Facebook que pudiera lidiar con el problema real”, dijo Callan a Reuters .

Para noviembre de 2017, el problema había estallado, con Myanmar desgarrado y su gobierno involucrado en lo que Estados Unidos llamó “limpieza étnica” contra los rohingya . En 2018, los investigadores de las Naciones Unidas culparon a Facebook.

“Me temo que Facebook ahora se ha convertido en una bestia”, dijo un investigador.

Durante los años anteriores, Facebook no hizo ningún esfuerzo visible para solucionar el problema. Para 2015, la compañía empleó solo a dos moderadores de contenido que hablaban birmano, el idioma principal en Myanmar. A mediados de 2018, las herramientas de informes de contenido de la compañía aún no se habían traducido al birmano, lo que dificultaba la capacidad de la población para protegerse en línea. Facebook tampoco había contratado a un solo empleado en Myanmar en ese momento.

En abril de 2018, Zuckerberg prometió hacerlo mejor. Cuatro meses más tarde, Reuters descubrió que el discurso de odio todavía corría desenfrenado en la plataforma y que los mensajes odiosos desde hacía seis años no habían sido eliminados.

Las crisis internacionales continuaron.

En marzo de 2018, The Guardian reveló que una empresa europea de análisis de datos había recopilado los perfiles de Facebook de decenas de millones de usuarios . Este fue el escándalo de Cambridge Analytica y, por primera vez, implicó directamente a Facebook en una campaña internacional para influir en las elecciones presidenciales de Estados Unidos.

Buffeted en todos los lados, Facebook lanzó … una campaña publicitaria . Empapado en sentimentalismo y desprovisto de culpabilidad, un anuncio de campaña dijo vagamente que “algo sucedió” en Facebook: “spam, clickbait, noticias falsas y uso indebido de datos”.

“Eso va a cambiar”, prometió el comercial. “De ahora en adelante, Facebook hará más para mantenerte seguro y proteger tu privacidad”.

Esto es lo que sucedió desde que se emitió ese anuncio en abril de 2018.

El New York Times reveló que, durante los últimos 10 años, Facebook compartió datos con al menos 60 fabricantes de dispositivos , incluidos Apple, Samsung, Amazon, Microsoft y Blackberry. El New York Times también publicó una bomba de investigación en la cultura corporativa de Facebook, mostrando que, una y otra vez, Zuckerberg y Sandberg respondieron a las crisis corporativas con ofuscación, desviación y, en el caso de un proyecto centrado en la transparencia, la ira absoluta.

Un  comité parlamentario británico publicó documentos  que mostraban cómo Facebook le dio a algunas compañías, incluyendo Airbnb y Netflix, acceso a su plataforma a cambio de favores. (Más documentos publicados este año mostraron intentos anteriores de Facebook para vender datos de usuarios ). La aplicación Onava de Facebook se inició en la tienda de aplicaciones de Apple para recopilar datos de usuarios. Se informó que Facebook también pagó a usuarios de tan solo 13 años de edad para instalar la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada exclusivamente para el uso de los empleados de Facebook.

Ah, y Facebook sufrió una violación de datos que potencialmente afectó a hasta 50 millones de usuarios.

Si bien la esencia de las promesas de Zuckerberg podría proteger la privacidad del usuario, la ejecución de esas promesas aún está en el aire. No es que los usuarios no quieran lo que Zuckerberg está describiendo, es que están agotados con él. ¿Cuántas veces se verán obligados a escuchar acerca de otro cambio de corazón antes de que Facebook cambie para siempre?

Facebook de mañana

Cambiar la dirección de una empresa internacional multimillonaria es un trabajo duro, aunque varios expertos se muestran optimistas sobre la hoja de ruta de la privacidad de Zuckerberg. Pero al igual que muchos expertos han agotado su fe en la empresa. En todo caso, las presiones públicas de Facebook podrían estar en su punto más bajo: los detractores se han retirado de la plataforma por completo y los partidarios continuarán profundizando en su propia buena voluntad.

Lo que Facebook hace con esta oportunidad está totalmente bajo su propio control. Los usuarios de todo el mundo estarán mejor si la empresa decide que, esta vez, se trata de un cambio serio. La privacidad del usuario vale la pena el esfuerzo.

Los ávidos lectores del blog Malwarebytes Labs sabrían que nos esforzamos por preparar empresas de todos los tamaños para la inevitabilidad de los ataques cibernéticos. Desde la capacitación efectiva de empleados sobre higiene básica en seguridad cibernética hasta orientar a las organizaciones en la formulación de un programa de respuesta a incidentes (IR) , una política de seguridad cibernética e introducir una cultura de seguridad intencional , nuestro objetivo es promover la prevención proactiva.

Sin embargo, hay ocasiones en que las organizaciones necesitan ser reactivas. Y uno de ellos es la gestión de la reputación empresarial (BRM, por sus siglas en inglés), una palabra de moda que se refiere a la práctica de garantizar que las organizaciones siempre estén dando lo mejor de sí, en línea y fuera de línea, mediante el monitoreo constante y el tratamiento de la información y las comunicaciones que dan forma a la percepción pública. Este es un proceso que los ejecutivos no deben perderse, especialmente cuando la compañía se encuentra en el centro de una tormenta mediática después de revelar un incidente de ciberseguridad que potencialmente ha afectado a millones de sus clientes.

En esta publicación, analizamos por qué las empresas de todos los tamaños deberían tener un sistema de este tipo al tener un repaso sobre qué forma una reputación y cuánto ha evolucionado la confianza y lealtad del consumidor. También le mostraremos cómo se vería el BRM proactivo y reactivo antes, durante y después de una lluvia cibernética.

La reputación, como la belleza, está en el ojo del espectador.

La reputación de una empresa (cómo los clientes, los inversores, los empleados, los proveedores y los socios la perciben) es su activo más valioso e intangible. Gideon Spanier, Director Global de Medios de Campaign, ha dicho en su artículo de Raconteur que se basa en tres cosas: lo que dices, lo que haces y lo que otros dicen de ti cuando no estás en la sala. Debido al mundo altamente digitalizado y en red en el que vivimos, las paredes de esta sala se han vuelto imaginarias, y ahora todos escuchan lo que tienes que decir.

Buscar organizaciones y marcas en línea se ha convertido en parte del proceso de toma de decisiones de un consumidor, por lo que tener una presencia en línea fuerte y positiva es más importante que nunca. Pero para ver que solo el 15 por ciento de los ejecutivos están abordando la necesidad de administrar la reputación de su empresa, claramente hay trabajo por hacer.

La confianza y lealtad del consumidor evolucionaron.

La confianza de la marca ha crecido. Antes, nos basábamos en el boca a boca, tanto las recomendaciones como las condenas, de amigos y familiares, la positividad o la negatividad de nuestras propias experiencias y las de otros sobre un producto o servicio, y el respaldo de alguien a quien admiramos (como las celebridades y los atletas ). Hoy en día, muchos de nosotros tendemos a creer lo que dicen los extrañossobre una marca, un producto o un servicio; lea las noticias sobre lo que está pasando con las instituciones; y siga la charla de las redes sociales sobre ellos.

La relación entre la confianza del consumidor y la reputación de la marca también ha cambiado. Si bien los nombres generales siguen siendo preferidos sobre marcas nuevas o desconocidas (incluso si ofrecen un producto o servicio similar a un costo más barato), los consumidores conectados han aprendido el valor de sus datos. No solo quieren que se satisfagan sus necesidades, sino que también esperan que las empresas se ocupen de ellas y, por extensión, de la información que escogen, para que puedan sentirse seguros y felices.

Por supuesto, con la confianza viene la lealtad. Weber Shandwick, una firma de relaciones públicas global, ha recordado a los líderes de negocios en su informe, La compañía detrás de la marca: Reputación en la que confiamos [PDF], encontró que los consumidores en el Reino Unido tienden a asociarse con un producto, y si la compañía que produce ese producto no cumple con lo que se espera de ellos, se retiran en busca de uno mejor, que generalmente ofrece una marca de la competencia. No es difícil imaginar esta misma reacción de los consumidores en los Estados Unidos en el contexto de datos de clientes robados debido a una violación de datos en toda la empresa.

Gestión de la reputación empresarial en acción.

La posibilidad de encontrar su negocio en la mira de los actores de amenazas ya no es solo una posibilidad, sino algo para lo que los ejecutivos siempre deben estar preparados. La buena noticia es que no es imposible proteger su reputación comercial de los riesgos.

En esta sección, describimos lo que las empresas pueden hacer en tres fases: antes, durante y después de un ataque, mediante una ilustración basada en un escenario del mundo real para dar a las organizaciones una idea de cómo pueden formular un plan de juego para administrar su reputación ahora. o en el futuro. Tenga en cuenta que hemos alineado nuestros indicadores en el contexto de los incidentes de ciberseguridad y privacidad.

Antes de un ataque: prepárate para una brecha

• Identifique y asegure los datos más confidenciales de su empresa. Esto incluye la propiedad intelectual (IP) y la información de identificación personal (PII) de sus clientes .
• Copia de seguridad de sus datos. Tenemos una guía práctica para eso.
• Parche todo. Puede tomar un tiempo y puede causar alguna interrupción, pero valdrá la pena.
• Educar a los empleados sobre medidas básicas de seguridad de datos, tácticas de ingeniería social y cómo identificar las señales de alerta de una posible violación.
• Armar un equipo de socorristas. Es decir, si la empresa ha decidido manejar los incidentes de forma interna. Si este es el caso:
  • Proporcionarles las herramientas que necesitarán para el trabajo.
  • Capacítelos sobre cómo usar estas herramientas y sobre los procesos establecidos para la recolección y el almacenamiento adecuados de la evidencia.
• Crear un plan de respuesta de violación de datos. Este es un conjunto de acciones que realiza una organización para abordar de manera rápida y efectiva un incidente de seguridad o privacidad. Lamentablemente, de acuerdo con la Encuesta Mundial de Delitos Económicos y Fraude de 2018 de PwC , solo el 30 por ciento de las empresas tienen este plan en marcha.
  • Una vez creados, asegúrese de que todas las partes interesadas internas (sus empleados, ejecutivos, unidades de negocios, inversores y contactos B2B) estén informadas sobre este plan, para que sepan qué hacer y qué esperar.
• Conozca las leyes de notificación de violaciones de seguridad en el estado en el que se basa su empresa. Asegúrese de que su empresa cumpla con la legislación.
• Establecer un proceso de alerta y seguimiento. Esto incluye mantener un canal de comunicación que sea accesible 24/7. En caso de un ataque, las partes interesadas internas deben ser informadas primero.
• En una nota similar, crear un proceso de notificación. Involucre a los departamentos clave relevantes, como marketing y asuntos legales, para que sepan qué decirles a los clientes (si la violación implica un robo de PII), a los reguladores y a las fuerzas del orden público, y cómo notificarlos mejor.
• Dependiendo de la naturaleza de su empresa y de los activos potenciales que puedan verse afectados por un incumplimiento, prepare una lista de los posibles servicios especiales que su empresa puede ofrecer a los clientes que puedan verse afectados. Por ejemplo, si su empresa almacena información de tarjetas de crédito, puede proporcionar protección de identidad a los clientes con un número de contacto al que pueden llamar para hacer uso del servicio. Esto fue lo que hizo Home Depot cuando se rompió en 2014.

---

Leer: Cómo navegar por Internet de forma segura en el trabajo.

---

Durante un ataque: sé estratégico.

• Mantenga a las partes interesadas internas actualizadas sobre los desarrollos y los pasos que su empresa ha tomado para mitigar y remediar la gravedad de la situación. Mantenga las líneas telefónicas abiertas, pero sería más eficiente enviar actualizaciones periódicas por correo electrónico. Cree una línea de tiempo de eventos a medida que avanza.
• Identifique y documente la siguiente información y evidencia lo más que pueda, ya que éstas son necesarias cuando llegue el momento de notificar a los clientes y al público sobre la violación:
  • Sistemas comprometidos, activos y redes
  • Paciente cero, o como ocurrió la brecha.
  • Información en las máquinas afectadas que ha sido divulgada, tomada, eliminada o dañada.
• Si su compañía tiene un blog o una página donde puede publicar noticias de la compañía, redacte una cuenta de los eventos de principio a fin y lo que continuará planeando hacer en las próximas semanas después de la violación. Se transparente y eficaz. Esta es una buena oportunidad para mostrar a los clientes que la compañía no solo está hablando, sino que también está caminando. El Director de Marketing (CMO) debe tomar la iniciativa en esto.

Después de un ataque: ser excelente para sus partes interesadas

• Notifique a sus clientes y otras entidades que puedan haber sido afectadas por el incumplimiento.
  • Publique las noticias de la compañía o la publicación en el blog que la compañía ha redactado sobre el incidente de ciberseguridad.
  • Envíe notificaciones de incumplimiento por correo electrónico, enlace al blog y redes sociales.
• Prepárese para recibir preguntas de los clientes y de cualquier persona que esté interesada en aprender más sobre lo que sucedió. Espera tener conversaciones incómodas.
• Ofrezca servicios adicionales a sus clientes, que ya ha pensado y preparado en la primera fase de este ejercicio BRM.
• Continúe aceptando y abordando las inquietudes y preguntas de los clientes durante períodos prolongados durante un cierto período de tiempo.
• Implemente nuevos procesos y utilice nuevos productos basados ​​en discusiones posteriores al incidente para minimizar aún más las futuras violaciones de los sucesos.
• Rejuvenezca la confianza de las partes interesadas y céntrese en las estrategias de preparación, contención y mitigación de violaciones, como prueba del compromiso de la empresa con sus clientes. Esto puede convertir el estigma de las violaciones de datos en su cabeza. Recuerde que una infracción puede suceder a cualquier empresa de cualquier industria. Lo que se recordará es cómo actuó la compañía antes, durante y después del incidente. Así que usa eso para tu ventaja.
• Audite la información que su empresa recopila y almacena para ver si tiene datos que no son necesariamente necesarios para cumplir con sus obligaciones de productos y servicios para con los clientes. La lógica detrás de esto es que se guardan menos datos sobre los clientes; Los menos datos están en riesgo. Asegúrese de que todas sus partes interesadas, especialmente sus clientes, conozcan qué datos no recopilarán ni almacenarán más.
  • Tras una violación en diciembre de 2015, Wetherspoon eliminó toda su base de datos de direcciones de correo electrónico de los clientes , que era su forma de minimizar la cantidad de datos que almacenaban sobre sus clientes.
• Reconoce el arduo trabajo de tus empleados y recompénsalos por ello. Sí, también son sus partes interesadas, y no deben ser olvidadas, especialmente después de un incidente de ciberseguridad.

La gestión de la reputación empresarial es el nuevo negro.

De hecho, las empresas siguen siendo el blanco favorito de los actores de amenazas y los estados nacionales de hoy. Es la nueva normalidad en este punto, algo que muchas organizaciones todavía están optando por negar.

Saber cómo administrar la reputación de su empresa se considera una ventaja competitiva. Claro, una cosa es saber cómo recuperarse de un incidente de ciberseguridad . Pero otra cosa es saber qué hacer para mantener la imagen de la marca intacta en medio de la atención negativa y qué decir a los afectados por el ataque, a sus partes interesadas, y al público en general.

Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo.

Si bien los objetivos pueden ser cualquiera o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.

Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.

Hoy, vamos a revisar las actividades del grupo de Lázaro, alternativamente llamado Cobra Oculta y Guardianes de la Paz.

¿Quién es el Grupo Lázaro?

Se cree que el Grupo Lazarus está dirigido por el gobierno de Corea del Norte, motivado principalmente por la ganancia financiera como un método para eludir las sanciones de larga duración contra el régimen. La primera vez que llegaron a un importante aviso en los medios fue en 2013 con una serie de ataques coordinados contra una variedad de organismos de radiodifusión e instituciones financieras de Corea del Sur que utilizan DarkSeoul, un programa de limpiaparabrisas que sobrescribe secciones del registro maestro de arranque de las víctimas.

En noviembre de 2014, se atribuyó a Lazarus una violación a gran escala de Sony Pictures . El ataque fue notable debido a su penetración sustancial en las redes de Sony, la gran cantidad de datos exfiltrados y filtrados, así como el uso de un limpiaparabrisas en un posible intento de borrar evidencia forense. La atribución de los ataques fue en gran medida confusa, pero el FBI publicó una declaración que vinculaba la brecha de Sony con el ataque DarkSeoul anterior, y atribuyó oficialmente ambos incidentes a Corea del Norte.

Avance a mayo de 2017 con el brote generalizado de WannaCry , una pieza de ransomware que utilizó un exploit SMB como un vector de ataque. La atribución a Corea del Norte se basó en gran medida en la reutilización del código entre WannaCry y los ataques anteriores de Corea del Norte, pero se consideró que esto se debía a razones limitadas dada la práctica común de compartir herramientas entre grupos de amenazas regionales. Las agencias de inteligencia occidentales emitieron declaraciones oficiales al público reafirmando la atribución, y el 6 de septiembre de 2018, el Departamento de Justicia de los Estados Unidos acusó a un ciudadano norcoreano de participar en WannaCry y Sony.

Más recientemente, el brazo motivado financieramente de Lazarus Group ha estado captando la atención por los ataques contra las instituciones financieras, así como los intercambios de criptomonedas. Este último es notable por involucrar aplicaciones de comercio troyano para Windows y MacOS.

Malware implementado comúnmente

• DarkSeoul
• Fallchill
• Trojan.Fastcash
• Bitsran
• Puertas traseras surtidas para la persistencia.

¿Debería estar preocupado?

Sí, pero no en la medida en que puedas pensar. Las actividades del Grupo Lazarus se centran en la ganancia financiera, así como en el logro de los objetivos políticos del régimen de Corea del Norte. Dado que los objetivos políticos declarados de Corea del Norte tienden a centrarse en los conflictos regionales con Corea del Sur y Japón, es probable que las empresas fuera de esa esfera corran un bajo riesgo de ataques por motivos políticos.

Sin embargo, las motivaciones financieras representan un riesgo significativo para casi todas las organizaciones. Afortunadamente, la defensa contra estos tipos de ataques es en gran medida la misma, ya sea que estén o no patrocinados por el estado. Los defensores deben tener una sólida capacidad de monitoreo de registros, un programa de administración de parches, protección anti-phishing y marcas para distinguir las comunicaciones legítimas del liderazgo de los impostores.

¿Qué podrían hacer después?

La atribución de los ataques de Lázaro es más suave que con muchos otros grupos de amenazas, y las motivaciones políticas de Corea del Norte han resultado difíciles durante décadas. Como resultado, es difícil proyectar cuáles podrían ser sus próximos objetivos. Sin embargo, es razonable suponer que mientras se mantengan las sanciones para el liderazgo de Corea del Norte, las motivaciones financieras de Lázaro también se mantendrán. Las organizaciones con un riesgo particular de ataques motivados financieramente deben incluir a Lázaro mientras consideran las medidas de seguridad.

Las leyes de ciberseguridad y privacidad de los datos de EE. UU. Son, por decirlo así, un desastre.

Los años de legislación poco sistemática, las decisiones de la Corte Suprema y las crisis de vigilancia del gobierno, junto con las reiteradas fallas corporativas para proteger los datos de los usuarios, han creado un panorama legal que, para el público estadounidense y las empresas estadounidenses, es confuso, complicado y francamente molesto.

Se espera que las empresas cumplan con las leyes de privacidad de datos basadas en el tipo de datos. Por ejemplo, hay una ley que protege la información médica y de salud, otra ley que protege la información que pertenece a los niños y otra ley que protege los registros de alquiler de videos. (En serio, hay.) Sin embargo, confusamente, algunas de esas leyes solo se aplican a ciertos tipos de negocios , en lugar de a ciertos tipos de datos .

Por otro lado, se espera que los organismos encargados de hacer cumplir la ley y la comunidad de inteligencia cumplan con un marco diferente que a veces separa los datos según el “contenido” y el “no contenido”. Por ejemplo, hay una ley que protege las conversaciones telefónicas, pero otra La ley protege los números reales marcados en el teclado.

E incluso cuando los datos parecen similares, sus protecciones pueden diferir. Los datos de ubicación GPS pueden, por ejemplo, recibir una protección diferente si se mantiene con un proveedor de telefonía celular en comparación con si se cargó voluntariamente a través de un servicio de “registro” de ubicación en línea o mediante una aplicación de aptitud que permite a los usuarios compartir rutas de jogging.

El Congreso podría racionalizar esta red inconexa al aprobar una legislación federal exhaustiva sobre privacidad de datos; sin embargo, sigue habiendo dudas sobre la aplicación de la normativa y si las leyes de privacidad de datos individuales de los estados se respetarán o se verán afectadas en el proceso.

Para comprender mejor el campo actual, Malwarebytes está lanzando una serie limitada de blogs sobre privacidad de datos y leyes de ciberseguridad en los Estados Unidos. Cubriremos el cumplimiento comercial, la legislación sectorial, la vigilancia gubernamental y la próxima legislación federal.

A continuación se muestra nuestro primer blog de la serie. Explora el cumplimiento de la privacidad de los datos en los Estados Unidos hoy en día desde la perspectiva de una startup.

Un cuento de startups: abundan las leyes de privacidad de datos

Cada año, un sinnúmero de personas viajan a Silicon Valley para unirse a la 21 ^st fiebre del oro del siglo, rompiendo lanzas no a lo largo de la costa, pero arriba y abajo Sand Hill Road, donde golpeándolo medios ricos que traen algún tipo de financiación de capital de riesgo grave.

Pero antes de que cualquier inicio incipiente pueda convertirse en el próximo Facebook, Uber, Google o Airbnb, debe cumplir con una gran variedad de leyes de privacidad de datos, a veces vertiginosas.

Por suerte, hay abogados de privacidad de datos para ayudar.

Hablamos con D. Reed Freeman Jr., copresidente de la práctica de ciberseguridad y privacidad en el bufete de abogados Wilmer Cutler Pickering Hale y Dorr, con sede en Washington, DC, sobre lo que una startup hipotética de recopilación de datos debería cumplir con los requisitos actuales de EE. UU. Leyes de privacidad de datos. ¿Cómo es su mapa de ruta?

Nuestra hipotética puesta en marcha, llamémosla Spuri.us, se basa en San Francisco y se centra por completo en un mercado estadounidense. La compañía desarrolló una aplicación que recopila datos de los usuarios para mejorar el rendimiento de la aplicación y, potencialmente, ofrecer anuncios dirigidos en el futuro.

Esta no es una lista exhaustiva de todas las leyes de privacidad de datos que una empresa debe tener en cuenta para el cumplimiento de la privacidad de datos en los Estados Unidos. En cambio, es una instantánea, que brinda información y respuestas a algunas de las preguntas más comunes en la actualidad.

Política de privacidad en línea de Spuri.us

Para dar inicio al cumplimiento de la privacidad de los datos con el pie derecho, Freeman dijo que la empresa de inicio debe escribir y publicar una política de privacidad clara y veraz en línea, tal como se define en la Ley de Protección de la Privacidad en Línea de California de 2004 .

La ley exige que las empresas y los operadores de sitios web comerciales que recopilan información de identificación personal publiquen en línea una política de privacidad clara y de fácil acceso. Estas políticas de privacidad deben detallar los tipos de información recopilada de los usuarios, los tipos de información que pueden compartirse con terceros, la fecha de vigencia de la política de privacidad y el proceso, si lo hubiera, para que un usuario revise y solicite cambios en sus información recopilada.

Las políticas de privacidad también deben incluir información sobre cómo responde una empresa a las solicitudes de “No rastrear”, que son configuraciones del navegador web destinadas a evitar que un usuario sea rastreado en línea. La eficacia de estas configuraciones se debate, y Apple retiró recientemente la función en su navegador Safari .

Freeman dijo que las empresas no tienen que preocuparse por cumplir con las solicitudes de “No rastrear” tanto como deberían preocuparse por cumplir con la ley.

“Está bien decir ‘No lo hacemos'”, dijo Freeman, “pero tienes que decir algo”.

La ley cubre más de lo que se dice en una política de privacidad. También cubre qué tan prominente debe mostrar una empresa. De acuerdo con la ley, las políticas de privacidad deben estar “visibles” en un sitio web.

Hace más de 10 años, Google intentó probar esa interpretación y luego retrocedió. Tras un informe del New York Times de 2007 que reveló que la política de privacidad de la compañía estaba al menos a dos clics de la página de inicio, varias organizaciones de derechos de privacidad enviaron una carta al entonces CEO Eric Schmidt, instando a la compañía a cumplir de manera más proactiva.

“La renuencia de Google a publicar un enlace a su política de privacidad en su página de inicio es alarmante”, decía la carta , que fue firmada por la American Civil Liberties Union, el Center for Digital Democracy y Electronic Frontier Foundation. “Le instamos a cumplir con la Ley de Protección de Privacidad en Línea de California y la práctica generalizada de sitios web comerciales tan pronto como sea posible”.

La carta funcionó. Hoy, los usuarios pueden hacer clic en el enlace “Privacidad” en la página de inicio del gigante de búsqueda.

¿Qué pasa con COPPA y HIPAA?

Spuri.us, como cualquier nueva empresa ágil de Silicon Valley, está lista para girar. En un momento dado de su crecimiento, consideró convertirse en una aplicación de seguimiento de salud y estado físico, lo que significa que recopilaría la frecuencia cardíaca, los regímenes de sueño, la ingesta de agua, las rutinas de ejercicio e incluso su ubicación GPS de los usuarios para las rutas seleccionadas de jogging y ciclismo. Spuri.us también alguna vez consideró la posibilidad de integrarse a los juegos móviles, desarrollando una aplicación que no está diseñada para niños, pero que aún se puede descargar en dispositivos infantiles y jugar con niños.

El fundador de Spuri.us está familiarizado con al menos dos leyes federales de privacidad de datos: la Ley de Portabilidad y Responsabilidad de los Seguros de Salud ( HIPAA ), que regula la información médica, y la Ley de Protección de la Privacidad en Línea de los Niños ( COPPA ), que regula la información que pertenece a los niños.

El fundador de Spuri.us quiere saber: si su compañía comienza a recopilar información relacionada con la salud, ¿tendrá que cumplir con HIPAA?

No es así, dijo Freeman.

“HIPAA, la forma en que se presenta, no cubre toda la información médica”, dijo Freeman. “Eso es un malentendido común”.

En su lugar, dijo Freeman, HIPAA solo se aplica a tres tipos de empresas: proveedores de atención médica (como médicos, clínicas, dentistas y farmacias), planes de salud (como compañías de seguros de salud y HMO) y centros de intercambio de información de atención médica (como servicios de facturación que se procesan). información de salud no estándar).

Sin ajustar ninguna de esas descripciones, Spuri.us no tiene que preocuparse por el cumplimiento de HIPAA.

En cuanto al cumplimiento de la COPPA, Freeman calificó la ley de “complicada” y “muy difícil de cumplir”. Junto con un proyecto de ley general masivo al cierre de la sesión legislativa de 1998, la COPPA es una ley que “nadie sabía que estaba allí hasta que se aprobó”. “, Dijo Freeman.

Dicho esto, el alcance de la COPPA es fácil de entender.

“Algunas cosas son simples”, dijo Freeman. “Usted está regulado por el Congreso y obligado a cumplir con sus requisitos bizantinos si su sitio web está dirigido a niños menores de 13 años, o si tiene conocimiento real de que está recopilando información de niños menores de 13 años”.

Eso plantea la pregunta: ¿Qué es un sitio web dirigido a niños? Según Freeman, la Comisión Federal de Comercio creó una regla que ayuda a responder esa pregunta .

“Cosas como las animaciones en el sitio, el lenguaje que parece estar orientado a los niños, una variedad de factores que son intuitivos se tienen en cuenta”, dijo Freeman.

Otros factores incluyen el tema de un sitio web, su música, la edad de sus modelos, la exhibición de “actividades orientadas a los niños” y la presencia de cualquier celebridad infantil.

Debido a que Spuri.us no está creando una aplicación dirigida a niños, y no recopila información a sabiendas de niños menores de 13 años, no tiene que cumplir con COPPA.

Una nota rápida sobre GDPR

Ninguna preocupación sobre el cumplimiento de la privacidad de los datos está completa sin que aparezca el Reglamento general de protección de datos (GDPR) de la Unión Europea . Aprobado en 2016 y que entró en vigencia el año pasado, GDPR regula la forma en que las empresas recopilan, almacenan, usan y comparten la información personal de los ciudadanos de la UE en línea. El día que GDPR entró en vigencia, innumerables estadounidenses recibieron correos electrónicos después de un correo electrónico sobre políticas de privacidad actualizadas, a menudo de compañías que se fundaron en los Estados Unidos.

El fundador de Spuri.us está preocupado. Ella podría tener usuarios de la UE pero no está segura. ¿Los usuarios la obligan a cumplir con GDPR?

“Esa es una percepción errónea común”, dijo Freeman. Dijo que una sección de GDPR explica este tema, al que llamó “aplicación extraterritorial”. O, para ponerlo un poco más claro, Freeman dijo: “Si eres una empresa estadounidense, ¿cuándo llega GDPR y te atrapa?”

GDPR afecta a las empresas de todo el mundo en función de tres factores. Primero, si la empresa está establecida dentro de la UE, ya sea a través de empleados, oficinas o equipos. En segundo lugar, si la empresa comercializa directamente o se comunica con los residentes de la UE. En tercer lugar, si la empresa supervisa el comportamiento de los residentes de la UE.

“El número tres es lo que hace tropezar a la gente”, dijo Freeman. Dijo que los sitios web y las aplicaciones de EE. UU., Incluidas las operadas por compañías sin una presencia física en la UE, aún deben cumplir con GDPR si hacen un seguimiento específico del comportamiento de los usuarios que tiene lugar en la UE.

“Si tiene un servicio o red de análisis, o píxeles en su sitio web, o si coloca cookies en las máquinas de los residentes de la UE que rastrean su comportamiento”, todo eso podría contar como un seguimiento del comportamiento de los residentes de la UE, dijo Freeman.

Debido a que esos servicios son bastante comunes, Freeman dijo que muchas compañías ya han encontrado una solución. En lugar de desmantelar una operación analítica completa, las empresas pueden capturar las direcciones IP de los usuarios que visitan sus sitios web. Las empresas luego realizan una búsqueda de geolocalización inversa. Si las compañías encuentran alguna dirección IP asociada con una ubicación en la UE, eliminan a los usuarios detrás de esas direcciones para evitar el seguimiento en línea.

Cuando se le preguntó si esta configuración ha demostrado proteger contra los reguladores de GDPR, Freeman dijo que estos pasos muestran un entendimiento y una preocupación por la ley. Esa preocupación, dijo, debería resistir el escrutinio.

“Si es una empresa nueva y un regulador de la UE inicia una investigación y demuestra que ha hecho todo lo posible para evitar el seguimiento (que lo obtiene), conoce la ley. Mi esperanza sería que los reguladores más razonables no aceptaran Una acción draconiana contra ti “, dijo Freeman. “Has hecho lo mejor que puedes para evitar lo que está regulado, que es la pista”.

Una ley de violación de datos para cada estado

Spuri.us tiene una política de privacidad claramente publicada. Sabe sobre HIPAA y COPPA y tiene un plan para GDPR. Todo va bien … hasta que no lo es.

Spuri.us sufre una violación de datos.

Dependiendo de qué datos se tomaron de Spuri.us y a quién se refería, la empresa de inicio deberá cumplir con los muchos requisitos establecidos en la ley de notificación de violación de datos de California . Existen reglas sobre cuándo se activa la ley, qué se considera una infracción, a quién notificar y qué decirles.

La ley protege la “información personal” de los californianos, que define como una combinación de información. Por ejemplo, un nombre y apellido más un número de Seguro Social cuentan como información personal. También haga una primera inicial y un apellido más un número de licencia de conducir, o un nombre y apellido más cualquier reclamación de seguro médico anterior o diagnóstico médico. El nombre de usuario y la contraseña asociada de un californiano también califican como “información personal”, según la ley.

La ley también define una violación como cualquier “adquisición no autorizada” de datos de información personal. Entonces, ¿un actor de amenaza deshonesto que accede a una base de datos? No es una brecha. ¿Ese mismo actor de amenazas descargando la información de la base de datos? Incumplimiento.

En California, una vez que una empresa descubre una violación de datos, debe notificar a las personas afectadas. Estas notificaciones deben incluir detalles sobre el tipo de información personal que se tomó, una descripción de la violación, información de contacto de la empresa y, si la empresa fue realmente la fuente de la violación, una oferta de servicios gratuitos de prevención de robo de identidad por al menos un año.

La ley es particularmente estricta en estas notificaciones a clientes e individuos afectados. Hay reglas sobre el tamaño de la fuente y los requisitos para los subtítulos que se deben incluir en cada aviso: “Qué sucedió”, “Qué información se involucró”, “Qué estamos haciendo”, “Qué puede hacer” y “Más información”.

Después de que Spuri.us envíe su gran cantidad de avisos, todavía podría tener mucho más que hacer.

A partir de abril de 2018, cada estado de EE. UU. Tiene su propia ley de notificación de violación de datos . Estas leyes, que a veces se pueden superponer, aún incluyen importantes diferencias, dijo Freeman.

“Algunos estados requieren que notifiques a los consumidores afectados. Algunos requieren que notifique al Fiscal General del estado ”, dijo Freeman. “Algunos requieren que notifiques a las agencias de crédito”.

Por ejemplo, la ley de Florida requiere que, si más de 1,000 residentes se ven afectados, la compañía debe notificar a todas las agencias de informes de consumidores de todo el país. La ley de Utah, por otro lado, solo requiere notificaciones si, después de una investigación, la compañía encuentra que ocurrió un robo de identidad o fraude, o que probablemente ocurrió. Y Iowa tiene una de las pocas leyes estatales que protege tanto los registros electrónicos como los impresos.

De todos los dolores de cabeza relacionados con el cumplimiento de los datos, este podría ser el más lento para Spuri.us.

Mientras tanto, dijo Freeman, adoptar un enfoque proactivo, como publicar la política de privacidad precisa y veraz y ser sincero y honesto con los usuarios acerca de las prácticas comerciales, dará al inicio una ventaja clara.

“Si comienzan a saber esas cosas desde el punto de vista de la privacidad y solo en los Estados Unidos”, dijo Freeman, “ese es un gran comienzo que los pone por delante de muchas otras empresas emergentes”.

Manténgase atento a nuestro segundo blog de la serie, que cubrirá la lucha actual por la legislación integral de privacidad de datos en los Estados Unidos.

A pesar de la disminución en el número de infecciones por ransomware en el último año, hay varias familias de ransomware que aún están activas. Ransom.Troldesh , aka Shade, es uno de ellos. Según la telemetría de nuestro producto, Shade ha experimentado un fuerte aumento en las detecciones desde el cuarto trimestre de 2018 hasta el primer trimestre de 2019.

Cuando vemos un rápido aumento en las detecciones de una familia de malware, eso nos dice que estamos en medio de una campaña activa y exitosa. Así que echemos un vistazo a este ransomware “sombrío” para saber cómo se propaga, cuáles son sus síntomas, por qué es peligroso para su negocio y cómo puede protegerse contra él.

Vector de infeccion

Troldesh, que ha existido desde 2014, generalmente se propaga por malspam, específicamente archivos adjuntos de correo electrónico maliciosos. Los archivos adjuntos suelen ser archivos zip presentados al receptor como algo que “tiene que” abrir rápidamente. El zip extraído es un Javascript que descarga la carga útil maliciosa (también conocido como el propio ransomware). La carga útil a menudo se aloja en sitios con un Sistema de gestión de contenido (CMS) comprometido .

Como el remitente en los correos electrónicos de Troldesh generalmente es falsificado , podemos suponer que los actores de la amenaza detrás de esta campaña son phishing , con la esperanza de atraer la atención de los usuarios para que abran el archivo adjunto.

Se cree que el origen de Troldesh es ruso porque sus notas de rescate están escritas tanto en ruso como en inglés.

Los sistemas de destino están ejecutando el sistema operativo Windows. Las víctimas deberán descomprimir el archivo adjunto y hacer doble clic en el archivo Javascript para que comience la infección.

Comportamiento ransomware

Una vez implementado, el ransomware deja caer una gran cantidad de archivos readme # .txt numerados en la computadora infectada una vez que se completa la rutina de cifrado, lo más probable es que se asegure de que la víctima lea al menos uno de ellos. Estos archivos de texto contienen el mismo mensaje que la nota de rescate.

Extensiones de archivo de destino

Troldesh busca archivos con estas extensiones en unidades fijas, extraíbles y remotas:

.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai3, .ai4 , .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx,. avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm,. dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc,. jpe, .jpeg,, .jpf, .jpg, .jpx, .js,.jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4. mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm,. pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl , .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .rw, .ssi, .st, .stm, .svg, .svgz. swf, .tab, .tar, .tbb, .tbi,.tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wb2, .wav, .wbm, .wbm, .wbm .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt,. xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, y .zip

Cifrado

Los archivos se cifran utilizando AES 256 en modo CBC . Para cada archivo cifrado, se generan dos claves AES de 256 bits aleatorias: una se utiliza para cifrar el contenido del archivo, mientras que la otra se utiliza para cifrar el nombre del archivo. Las extensiones mencionadas anteriormente se agregan después del cifrado del nombre de archivo.

Proteger contra Troldesh

Los usuarios de Malwarebytes pueden bloquear Ransom.Troldesh a través de varios módulos de protección diferentes, que pueden impedir que el ransomware cifre archivos en tiempo real.

La protección en tiempo real contra los archivos en nuestras definiciones detiene el propio ransomware:

Nuestros módulos anti-exploit y anti-ransomware bloquean el comportamiento sospechoso:

Mientras tanto, la protección de sitios web maliciosos de Malwarebytes bloquea los sitios comprometidos:

Otros métodos de protección.

Hay algunas medidas de seguridad que puede tomar para evitar llegar a la fase en la que la protección debe activarse o los archivos deben recuperarse.

• Escanear correos electrónicos con archivos adjuntos. Estos correos sospechosos no deben llegar al usuario final.
• Educación del usuario. Si llegan al usuario final, se les debe informar que no abran archivos adjuntos de esta naturaleza o que ejecuten archivos ejecutables en archivos adjuntos. Además, si su empresa tiene un plan contra el phishing , deben saber a quién reenviar el correo electrónico en la organización para su investigación.
• Lista negra La mayoría de los usuarios finales no necesitan poder ejecutar scripts. En esos casos, puede hacer una lista negra de  wscript.exe.
• Actualización de software y sistemas. La actualización del software puede tapar vulnerabilidades y mantener a raya las vulnerabilidades conocidas.
• Archivos de respaldo. Las copias de seguridad confiables y fáciles de implementar pueden acortar el tiempo de recuperación.

Remediación

Si debe llegar al punto donde es necesaria la reparación, estos son los pasos a seguir:

• Realizar un escaneo completo del sistema. Malwarebytes puede detectar y eliminar Ransom.Troldesh sin más interacción del usuario.
• Recuperar archivos. La eliminación de Troldesh no descifra sus archivos. Solo puede recuperar sus archivos de las copias de seguridad que realizó antes de que ocurriera la infección o realizando una operación de reversión.
• Deshazte del culpable. Eliminar el correo electrónico que fue la causa raíz.

Descifrado

A pesar de que AES 256 es un algoritmo de cifrado sólido, existen herramientas gratuitas de descifrado disponibles para algunas de las variantes de Troldesh. Puede encontrar más información sobre estas herramientas de descifrado en NoMoreRansom.org (busque bajo “Sombra” en la lista alfabética).

Las víctimas de Troldesh reciben un código único, una dirección de correo electrónico y una URL a una dirección de cebolla. Se les pide que se pongan en contacto con la dirección de correo electrónico mencionando su código o que vayan al sitio de cebolla para obtener más instrucciones. No se recomienda pagar a los autores del rescate, ya que financiará su próxima ola de ataques.

Lo que diferencia a Troldesh de otras variantes de ransomware es la gran cantidad de archivos readme # .txt con la nota de rescate colocada en el sistema afectado y el contacto por correo electrónico con el actor de amenazas. De lo contrario, emplea un vector de ataque clásico que se basa principalmente en engañar a las víctimas no informadas. Sin embargo, ha tenido bastante éxito en el pasado y en su actual ola de ataques. Los descifradores gratuitos disponibles solo funcionan en algunas de las variantes más antiguas, por lo que las víctimas probablemente tendrán que confiar en las copias de seguridad o en las funciones de retroceso.

IOCs

Ransom.Troldesh ha usado las siguientes extensiones para archivos encriptados:

.xtbl 
.ytbl 
.cbtl 
.no_more_ransom 
.better_call_saul 
.breaking_bad 
.heisenberg 
.da_vinci_code 
.magic_software_syndicate 
.windows10 
.crypted000007 
.crypted000078

La privacidad es un derecho humano, y la privacidad en línea no debe ser una excepción.

Sin embargo, a medida que EE. UU. Considera nuevas leyes para proteger los datos en línea de las personas, al menos dos propuestas (una ley estatal que aún puede modificarse y un proyecto de ley federal que aún no se ha presentado) incluyen una negociación no deseada: intercambiar dinero por privacidad.

Este marco, a veces llamado “pago por privacidad”, es claramente incorrecto. Echa la privacidad como un producto que los individuos con los medios pueden comprar fácilmente. Pero un movimiento en esta dirección podría profundizar aún más la separación entre clases socioeconómicas. Los “que tienen” pueden operar en línea libre de miradas indiscretas. Pero los “no tienen” deben renunciar a ese derecho.

Aunque este marco ha sido utilizado por al menos una de las principales compañías de telecomunicaciones antes, y no hay leyes que impidan su práctica hoy en día, los que están en ciberseguridad y la industria de la tecnología en general deben ponerle fin. Antes de que el pago por la privacidad se convierta en ley, la privacidad como derecho debería convertirse en una práctica de la industria.

Las leyes de privacidad de datos son populares, pero defectuosas

El año pasado, la Unión Europea implementó una de las leyes de privacidad de datos más amplias del mundo. El Reglamento general de protección de datos, o GDPR, regula la forma en que las empresas recopilan, almacenan, comparten y utilizan los datos de los ciudadanos de la UE. La ley ha inspirado a los países de todo el mundo a seguir su ejemplo, con Italia emitiendo multas reglamentarias contra Facebook, Brasil aprobando un nuevo proyecto de ley de protección de datos y Chile modificando su constitución para incluir derechos de protección de datos.

Los Estados Unidos no son una excepción a este efecto de onda.

El año pasado, los senadores Ron Wyden de Oregon, Marco Rubio de Florida, Amy Klobuchar de Minnesota y Brian Schatz, junto con otros 14 senadores como copatrocinadores, de Hawaii, propusieron proyectos de ley federales por separado para regular la forma en que las empresas recolectan y utilizan y proteger los datos de los estadounidenses.

El proyecto de ley del senador Rubio le pide a la Comisión Federal de Comercio que escriba su propio conjunto de reglas , que el Congreso votará dos años después. El proyecto de ley del senador Klobuchar requeriría que las compañías redacten términos claros de acuerdos de servicio y envíen notificaciones a los usuarios sobre violaciones de privacidad dentro de las 72 horas. El proyecto de ley del senador Schatz introduce la idea de que las empresas tienen el “deber de cuidar” de los datos de los consumidores al proporcionar un nivel de seguridad “razonable”.

Pero es el proyecto de ley del senador Wyden, la Ley de Protección de Datos del Consumidor, lo que se destaca, y no por una buena razón. Oculta entre varias disposiciones de privacidad hacia adelante, como una autoridad de cumplimiento más fuerte para la FTC e informes de privacidad obligatorios para compañías de cierto tamaño, es una estipulación peligrosa de pago por privacidad.

De acuerdo con la Ley de Protección de Datos del Consumidor, las compañías que requieren el consentimiento del usuario para sus servicios podrían cobrar una tarifa a los usuarios si los usuarios han optado por no seguir el seguimiento en línea.

Si se aprueba, así es como funcionaría la Ley de Protección de Datos del Consumidor:

Digamos que un usuario, Alice, ya no se siente cómodo al hacer que las empresas recopilen, compartan y vendan su información personal a terceros con el fin de hacer publicidad dirigida y aumentar los ingresos corporativos. Primero, Alice se registraría en el sitio web “No rastrear” de la Comisión Federal de Comercio, donde elegiría optar por no participar en el seguimiento en línea. Luego, las compañías en línea con las que interactúa Alice deberán verificar el estado “No rastrear” de Alice.

Si una compañía ve que Alice ha optado por no seguir el seguimiento en línea, esa compañía no puede compartir su información con terceros y seguirla en línea para crear y vender un perfil de su actividad en Internet. Las empresas que se ejecutan casi en su totalidad en los datos de los usuarios, incluidos Facebook, Amazon, Google, Uber, Fitbit, Spotify y Tinder, deberán prestar atención a las decisiones individuales de los usuarios. Sin embargo, esas mismas compañías podrían presentar a Alice una elección difícil: puede seguir usando sus servicios, sin el seguimiento en línea, siempre que pague un precio.

Esto representa un precio literal para la privacidad.

El abogado senior de Electronic Frontier Foundation, Adam Schwartz, dijo que su organización se opone firmemente a los sistemas de pago por privacidad.

“La gente debería ser capaz de no solo optar por la vigilancia corporativa”, dijo Schwartz. “Además, cuando eligen mantener su privacidad, no deberían tener que pagar un precio más alto”.

Los esquemas de pago por privacidad pueden venir en dos variedades: se le puede pedir a las personas que paguen más por más privacidad, o pueden pagar una cantidad menor (con descuento) y recibir menos privacidad. Ambas opciones, dijo Schwartz, incentivan a las personas a no ejercer sus derechos de privacidad, ya sea porque el costo es demasiado alto o porque la ganancia monetaria es demasiado atractiva.

Ambas opciones también dañan a las comunidades de bajos ingresos, dijo Schwartz.

“Las personas pobres tienen más probabilidades de ser obligadas a renunciar a su privacidad porque necesitan el dinero”, dijo Schwartz. “Podríamos estar yendo a un mundo de ‘personas que tienen privacidad’ y ‘personas que no tienen’ que se ajustan a los estados económicos actuales. Es suficientemente difícil para las personas de bajos ingresos vivir en California con su alto costo de vida. Esto solo agravaría aún más la calidad de vida “.

Desafortunadamente, una disposición de pago por privacidad también se incluye en la Ley de Privacidad del Consumidor de California, que el estado aprobó el año pasado. Aunque la ley incluye una cláusula de “no discriminación” destinada a prevenir solo este tipo de práctica, también incluye una exención que permite a las empresas proporcionar “incentivos” a los usuarios para que aún recopilen y vendan información personal.

En un blog más grande sobre formas de mejorar la ley , que era entonces un proyecto de ley, Schwartz y otros abogados de la EFF escribieron:

“Por ejemplo, si un servicio cuesta dinero y un usuario de este servicio se niega a dar su consentimiento para la recopilación y venta de sus datos, entonces el servicio puede cobrarles más de lo que cobra a los usuarios que dan su consentimiento”.

Aplicaciones del mundo real

La alarma de pago por privacidad no es teórica: se implementó en el pasado y no existe ninguna ley que impida que las empresas vuelvan a hacerlo.

En 2015, AT&T ofreció un servicio de banda ancha con un descuento de $ 30 por mes si los usuarios aceptaron que se rastreara su actividad de Internet. De acuerdo con las propias palabras de AT&T, esa actividad en Internet incluía las ” páginas web que visita, el tiempo que dedica a cada una, los enlaces o anuncios que ve y sigue, y los términos de búsqueda que ingresa “.

La mayoría de las veces, pagar por la privacidad no siempre es tan obvio, con dólares reales que salen o van a la billetera o cuenta corriente de un usuario. En cambio, sucede detrás de la escena, y no es el usuario cada vez más rico, son las empresas.

Desarrollado por montañas de datos de usuario para anuncios dirigidos, Alphabet, el padre de Google, registró $ 32.6 mil millones en ingresos por publicidad solo en el último trimestre de 2018. En el mismo trimestre, Twitter registró $ 791 millones en ingresos por publicidad. Y, notable por la insistencia de su director general en que la compañía no vende datos de usuarios, los planes previos de Facebook para hacerlo fueron revelados en los documentos publicados esta semana . Registrarse para estos servicios puede ser “gratuito”, pero eso solo se debe a que el producto no es la plataforma, es el usuario.

Sin embargo, un puñado de compañías actualmente rechazan este enfoque, negándose a vender o monetizar la información privada de los usuarios.

En 2014, CREDO Mobile se separó de AT&T al prometer a los usuarios que su privacidad “no está a la venta. Período.” (La compañía admite en su política de privacidad que puede‘vender o listas de correo comerciales’que contienen los nombres de los usuarios y direcciones de calles, sin embargo.) Protonmail, un servicio de correo electrónico cifrado, se posiciona como hoja a Gmail , ya que hace no hace publicidad en su sitio, y promete que los correos electrónicos encriptados de los usuarios nunca se escanearán, accederán ni leerán. De hecho, la compañía afirma que no puede acceder a estos correos electrónicos incluso si lo desea.

En cuanto al primer producto de Google, la búsqueda en línea, la alternativa de privacidad más clara es DuckDuckGo. El servicio enfocado en la privacidad no rastrea las búsquedas de los usuarios, y no construye perfiles individualizados de sus usuarios para entregar resultados únicos.

Incluso sin monetizar los datos de los usuarios, DuckDuckGo ha sido rentable desde 2014, dijo el gerente de la comunidad, Daniel Davis.

“En DuckDuckGo, hemos podido hacer esto con anuncios basados ​​en contexto (consultas de búsqueda individuales) en lugar de personalización”.

Davis dijo que las decisiones de DuckDuckGo se guían por la creencia de que la privacidad es un derecho fundamental. “Cuando se trata del mundo en línea”, dijo Davis, “las cosas no deberían ser diferentes, y la privacidad por defecto debería ser la norma”.

Es hora de que otras compañías sigan su ejemplo, dijo Davis.

“El control de los propios datos no debe tener un precio, por lo que es esencial que [la] industria trabaje más para desarrollar modelos de negocios que no hagan de la privacidad un lujo”, dijo Davis. “Somos una prueba de que esto es posible”.

Con suerte, otras compañías están escuchando, porque no debería importar si el pago por privacidad está codificado como ley, nunca debe aceptarse como una práctica de la industria.

El phishing es un problema casi tan antiguo como Internet. Sin embargo, los delincuentes siguen buscando en su bolsa de trucos de phishing en 2019 porque, en pocas palabras, simplemente funciona. Al atacar a la psique humana y sacar provecho de emociones como el miedo, la ansiedad o la pereza, los ataques de phishing tienen éxito porque apuntan a nuestras debilidades y las explotan, de la misma manera que un kit de explotación aprovecha una vulnerabilidad en un software. programa.

Para comprender por qué los ataques de phishing siguen funcionando, buscamos tácticas de vanguardia diseñadas por actores de amenazas para ofuscar sus verdaderas intenciones y capitalizar la negligencia básica. Para ese fin, hemos reunido un resumen de campañas notables de suplantación de identidad del año pasado. Aquí están los ataques que se destacaron.

No puedes descartar fácilmente este

Myki , creadores del administrador de contraseñas de mayor calificación con el mismo nombre, descubrió recientemente una estafa engañosa de phishing en Facebook que es tan convincente que despertó el interés de los investigadores de seguridad.

El hullabaloo comenzó cuando la compañía comenzó a recibir múltiples informes de los usuarios de que su administrador de contraseñas Myki se negaba a llenar automáticamente una ventana emergente de Facebook en los sitios que visitaban, citando esto como un error.

Después de una investigación adicional, los investigadores de seguridad de Myki se dieron cuenta de que no se trataba de un error y, de hecho, su producto estaba protegiendo a sus clientes de confiar en la supuesta ventana emergente de Facebook. A continuación se muestra una demostración en video de la campaña de phishing que pudieron desenterrar y reproducir con éxito:

Video de demostración (Cortesía de Myki)

“[The] Hacker diseña un mensaje emergente de inicio de sesión social en HTML de aspecto muy realista”, escribió Antoine Vincent Jebara, cofundador y CEO de Myki, en una publicación de blog . “La barra de estado, la barra de navegación, las sombras y el contenido se reproducen perfectamente para que se vean exactamente como un mensaje de inicio de sesión legítimo”.

El pop-up falso se ve y se siente tan real que los usuarios pueden arrastrarlo y descartarlo como se podría con un pop-up legítimo. Pero aunque aporta un nivel convincente de legitimidad al ataque, la ventana emergente cede el juego una vez que los usuarios intentan arrastrarlo fuera de la página, lo que no puede suceder porque las partes que tocan el borde de la ventana del navegador desaparecen, lo que hace que los usuarios se dan cuenta de que la ventana emergente es parte de la propia página web.

Por lo tanto, la próxima vez que note que su administrador de contraseñas está actuando de forma extraña, como no rellenar previamente las ventanas emergentes como sabe que se supone, intente arrastrar la ventana emergente desde su navegador. Si una sección (o casi toda) desaparece después de alcanzar el borde del navegador, es una ventana emergente falsa. Cierra la pestaña de la página inmediatamente!

Phishing por mil personajes

Por cualquier cuerdo estándar, una URL larga de 400 a 1.000 caracteres es una exageración. Sin embargo, esto no impidió que un phisher lo usara en su campaña. No solo una vez, sino en varias instancias en un correo electrónico de campaña de suplantación de identidad (phishing), para gran molestia de los destinatarios inteligentes .

Captura de pantalla de la URL kilométrica larga utilizada en la campaña (Cortesía de MyOnlineSecurity)

La URL extraída anterior se tomó de un correo electrónico que aparentaba ser una notificación del dominio de correo electrónico del destinatario, diciéndoles que su cuenta estaba en la lista negra debido a fallas de inicio de sesión múltiples. Luego instruyó a los destinatarios para actualizar y verificar su cuenta de correo electrónico antes de que el proveedor del servicio suspenda o finalice la cuenta.

Nadie sabe a ciencia cierta por qué alguien estaría lo suficientemente loco como para intentar esto. Por ahora, los estafadores conocidos existen formas mejores y más sostenibles de ofuscar las URL. Pero, por desgracia, los phishers trabajadores todavía están por ahí. No es fácil copiar y pegar todos esos caracteres, después de todo, y mucho menos escribirlos manualmente.

Vamos a darles una A por esfuerzo, ¿vale? Sin embargo, el phishing no es cosa de risa, así que vigilémoslo.

(No) perdido en (Google) traducción

Los servicios de traducción en línea fueron diseñados para cumplir un propósito: traducir el contenido de su idioma original a otro. ¿Quién hubiera esperado que los phishers pudieran usar una página de Google Translate legítima como la página de destino para los usuarios que intentan poseer?

Captura de pantalla del correo electrónico de phishing (Cortesía de Akamai)

Para: {destinatario} 
De: Cuentas de seguridad <facebook_secur @ hotmail [.] Com> 
Asunto: Alerta de seguridad 
Cuerpo del mensaje:

Conectándose a un nuevo dispositivo

[redactado]

Un usuario acaba de iniciar sesión en su cuenta de Google desde un nuevo dispositivo de Windows. Le enviamos este correo electrónico para verificar que es usted.

[Consultar la actividad]

‘¿Por qué hacer esto?’ usted podría preguntarse De acuerdo con Larry Cashdollar, ingeniero sénior de respuesta de seguridad de Akamai, en una publicación de blog , “Usar Google Translate hace algunas cosas; llena la barra de URL (dirección) con gran cantidad de texto aleatorio, pero lo más importante visualmente es que la víctima ve un dominio legítimo de Google. En algunos casos, este truco ayudará a que el delincuente evite las defensas de los puntos finales “.

También señaló que este tipo de táctica podría ser aceptada por objetivos sin sospecha cuando se ve en un dispositivo móvil, ya que el correo electrónico de phishing y la página de destino parecen más legítimos. Sin embargo, cuando se ve en una computadora portátil o de escritorio, las fallas de esta táctica son evidentes.

Cashdollar mencionó que esta campaña de phishing es un ataque de dos puntas, en el que los phishers intentaron obtener las credenciales de Google primero y luego las de Facebook. El dominio para el inicio de sesión falso de Facebook no está alojado en una página de Google Translate, eso sí.

“… Es muy poco común ver que un ataque de ese tipo apunte a dos marcas en la misma sesión”, escribió Cashdollar.

Para que los usuarios eviten caer en semejante phish, Cashdollar tiene esto para decir: “La mejor defensa es un buen ataque. Eso significa tomarse su tiempo y examinar el mensaje completamente antes de tomar cualquier acción. ¿La dirección “de” coincide con lo que está esperando? ¿El mensaje crea un curioso sentido de urgencia, temor o autoridad, casi exigiéndole que haga algo? Si es así, esos son los mensajes de los que hay que sospechar y los que tienen más probabilidades de resultar en cuentas comprometidas “.

¿A dónde fue el zorro marrón rápido?

Desafortunadamente, fue reemplazado por letras colocadas en lugares donde no se suponía que debían hacerlo, por lo que los phishers podían ocultar el código fuente de su página de destino para que pareciera menos sospechoso.

Esto fue lo que encontraron nuestros amigos en Proofpoint cuando se encontraron con una campaña que aprovechaba los archivos de fuentes personalizados para decodificar y ocultar contenido.

Este ataque de phishing en particular comenzó como un correo electrónico que aparentemente se originó en un banco importante de los EE. UU., Y cuando los usuarios hicieron clic en el enlace del correo electrónico, fueron enviados a una réplica convincente de la página oficial del banco, lista y en espera de recibir información de credenciales.

Los archivos de fuentes personalizados, concretamente woff y woff2 , instalaron un cifrado de sustitución, que luego reemplazó las letras que los usuarios ven en la página con otras letras en el código fuente mediante la sustitución directa de caracteres. Por lo tanto, el texto “El zorro marrón rápido …” que se ve en el archivo de fuente normal, por ejemplo, era “Eht wprcx bivqn fvk …” en el archivo de fuente personalizado.

Captura de pantalla del archivo de fuente woff (Cortesía de Proofpoint)

Proofpoint observó que el kit de phishing puede haber estado disponible desde mayo de 2018, si no antes.

Para combatir esta táctica y las demás que se mencionan en este resumen, los usuarios deben seguir apegándose a los protocolos informáticos seguros establecidos , como no hacer clic en los enlaces de correos electrónicos sospechosos y visitar los sitios web de los bancos directamente desde el navegador en lugar de hacerlo por correo electrónico.

Las empresas también pueden estar al tanto de los ataques de phishing menos obvios incorporándolos a los programas de capacitación de los empleados. Cualquier buen plan anti-phishing utilizará las técnicas que se utilizan actualmente en la naturaleza (mientras que el Príncipe de Nigeria, aunque todavía está por ahí, probablemente no sea necesario entrenar).

Te sientes como si hubieras tenido suficiente. Todas las noticias recientes, desde el error de Cambridge Analytica de Facebook hasta varios abusos de las vulnerabilidades de Twitter, me preguntan: ¿Debo eliminarme de las redes sociales?

Las redes sociales tienen sus aspectos positivos. Puede mantenerse en contacto con familiares lejanos (o no), ser incluido en la planificación de eventos sociales dentro de su círculo de amigos, recibir actualizaciones en tiempo real de noticias regionales y nacionales, y promover su empresa, contenido u otras empresas personales. Además, puedes experimentar todos los memes geniales  dos semanas después de haber sido publicados en Reddit.

Por otra parte, hay bastantes razones, que abarcan la seguridad, la privacidad y las prácticas comerciales sombrías en general, para irse. Solo en 2018, Facebook experimentó una brecha de seguridad que afectó a 50 millones de cuentas , fue responsable de  un genocidio incitado mediante el uso de su plataforma, mantuvo los datos del usuario que dijo que eliminó y se descubrió que estaba abusando de las aplicaciones de desarrollo de Apple para probar en niños. Twitter, mientras tanto, no solo ha estado en el extremo final de los errores de contraseña , los piratas informáticos y las violaciones de datos , sino que algunos podrían decir que estos días es un incendio general de las cuentas de bots.

Instagram y Snapchat tampoco carecen de defectos. Los piratas informáticos están apuntando a las cuentas de personas influyentes en Insta, mientras que Snapchat ha recibido ataques de suplantación de identidad y violaciones de seguridad .

Desafortunadamente, no podemos tomar la decisión de dejar las redes sociales por ti. En su lugar, le recomendamos que haga una lista de pros y contras. Considere qué datos podrían perderse. Considere qué tiempo y paz mental se puede ganar. Sopesar las recompensas contra los riesgos. Si se retira con ganas de dar un paso atrás, pero no del todo sin dejar de fumar, podemos ayudarlo a mejorar la configuración de seguridad y privacidad. Y si eso no es suficiente, le mostraremos cómo eliminar sus cuentas.

Vamos a empezar lentamente

Si no estás listo para cortar el acorde, una buena opción para refrescarte en las redes sociales es ajustar la configuración de privacidad en todas tus cuentas. Esto es algo sensato de hacer, incluso si no está considerando irse. También tiene el efecto secundario adicional de aumentar la conciencia de cuánto compartes en las redes sociales.

En un blog anterior, discutimos cómo asegurar sus perfiles de redes sociales con gran detalle. Recomendamos a los usuarios que no se están eliminando a sí mismos, lea esto primero para comprender las complejidades. A continuación, le ofrecemos una lista rápida y sucia de enlaces a seguir para ajustar la configuración de privacidad en las cuatro plataformas de redes sociales más importantes:

• Configuraciones de privacidad de Facebook
• Configuraciones de privacidad de Twitter
• Configuraciones de privacidad de Instagram
• Configuraciones de privacidad de Snapchat

Después de ajustar la configuración, es una buena idea monitorear y hacer un seguimiento del uso de las redes sociales para avanzar, ya sea con el fin de administrar el tiempo, concentrarse o vencer la adicción a las redes sociales. A medida que más y más de nuestro consumo de medios se traslada a los teléfonos inteligentes, puede aprovechar varias aplicaciones que lo ayudarán a alcanzar estos objetivos. Éstos incluyen:

• Fiebre social (solo Android)
• Fuera de tiempo
• Momento (solo Android)
• Appdetox

¡Adiós, top cuatro!

Digamos que te sentaste, pensaste bien y decidiste que es hora de pasar de las redes sociales. Puedes comenzar por recoger los enlaces apropiados. A continuación, hemos incluido enlaces para descargar sus datos desde las plataformas más populares. Debe descargar su información personal de estos sitios de redes sociales antes de la opción nuclear, en caso de que experimente remordimientos. Además, es realmente revelador descubrir exactamente la cantidad de datos que genera y comparte en las plataformas de redes sociales.

Facebook

• Cómo eliminar permanentemente Facebook
• Cómo descargar tu información personal

Tiempo para la eliminación permanente: una  vez que hayan transcurrido 14 días, se iniciará su solicitud de eliminación. Esto puede tardar más de 90 días en completarse.

Gorjeo

• Cómo desactivar tu cuenta de Twitter
• Cómo borrar tu cuenta de Twitter
• Cómo descargar tu archivo de Twitter

Tiempo para la eliminación permanente:  Twitter tarda hasta 30 días en eliminar por completo su cuenta.

Instagram

• Cómo borrar Instagram
• Cómo descargar tu información personal

Tiempo para la eliminación permanente:  inmediatamente!

Snapchat

• Cómo borrar tu cuenta de Snapchat
• Cómo descargar tus datos

Tiempo hasta la eliminación permanente:  30 días.

Google+

Ja ja ja, ho ho ho, he he he he. Este es principalmente para las risitas. Google abandonará este esfuerzo en particular el 2 de abril de 2019. Pero si siente la necesidad de eliminarse antes de eso, esto es lo que debe hacer:

• Cómo borrar tu perfil de Google+
• Cómo borrar tu cuenta de Google

El tiempo justo

A los investigadores de seguridad les encantan las plataformas de redes sociales. Son una gran fuente de inteligencia de código abierto ( OSINT ) y nos ayudan a hacer posible la atribución (siempre que su adversario tenga una mala OPSEC ). Sin embargo, las razones por las que disfrutamos de las redes sociales también pueden ser las razones por las que los consumidores regulares deberían tomar un impulso y considerar los beneficios.

Cuando esté listo para tomar una decisión, le brindamos todos los enlaces necesarios para realizar copias de seguridad y eliminar estas cuentas, así como también algunos materiales que pueden ayudarlo a decidir cuáles conservar y cómo protegerlos adecuadamente.

Si los medios sociales están causando ansiedad, estrés o depresión; si está cansado de que sus datos se extraigan y compartan con terceros; Si está empezando a sentirse más como un trabajo para mantener en lugar de placer, entonces puede ser el momento de reforzar las defensas y tomar un descanso, o incluso alejarse para siempre. Y si ese momento llega, estamos aquí para ti.

Las campañas de publicidad maliciosa en diciembre y el nuevo año han evitado que la actividad de los kits de explotaciones hibernen en el invierno de 2019. En su mayoría observamos Fallout y RIG con la aparición ocasional y limitada de GrandSoft para una orientación geográfica más amplia.

Además, los kits de exploits con un enfoque limitado como Magnitude, Underminer y GreenFlash Sundown se mantuvieron en el mismo camino: entregar ransomware a países mayormente asiáticos, y en particular a Corea del Sur.

Resumen de invierno 2019

• Fallout EK
• RIG EK
• GrandSoft EK
• Magnitud EK
• Socavador ek
• GreenFlash Sundown EK

De Internet Explorer  CVE-2018-8174  y de flash  CVE-2018-4878  siguen siendo las vulnerabilidades más comunes en todos los ámbitos, a pesar de que un par exploits han integrado la más reciente de Flash CVE-2.018-15.982 .

Fallout EK

Fallout sigue trayendo aire fresco a una atmósfera por otra parte obsoleta mediante la introducción de nuevas funciones e incluso la adopción de nuevas vulnerabilidades. También parece ser un buen marco experimental para algunos actores que han personalizado la entrega de la carga útil. Fallout fue el segundo kit de explotación para agregar  CVE-2018-15982 , una vulnerabilidad más reciente para Flash Player.

RIG EK

Good old RIG todavía está dando vueltas, pero ha tomado un asiento trasero ante el nuevo Fallout en muchas de las cadenas de malvertising que rastreamos, excepto quizás por Fobos . No ha habido cambios notables para informar desde la última vez que lo revisamos.

GrandSoft EK

GrandSoft y su carga útil Ramnit todavía van de la mano a través de una distribución limitada vinculada a sitios web comprometidos. Es quizás uno de los kits de explotación menos sofisticados en el mercado en este momento.

Magnitud EK

Mientras tanto, Magnitude EK está activa y servida a través de cadenas de publicidad maliciosa, con un enfoque en algunos países APAC como Corea del Sur. Magnitude continúa entregando su carga útil de ransomware Magniber sin archivos.

Socavador ek

Los esquemas de encriptación over-the-top de Underminer para ocultar sus proezas nos mantienen a los investigadores honestos cuando intentamos identificar exactamente qué hay debajo del capó. Vale la pena señalar que solo unos pocos días después de la publicación de Flash day-day y Proof of Concept (PoC) ( CVE-2018-15982 ), Underminer ya lo estaba implementando  .

GreenFlash Sundown EK

GreenFlash Sundown, también un kit de exploits geográfico específico, ha estado entregando varias razas de ransomware a objetivos en Asia. En nuestra última captura, lo vimos soltar el ransomware Seon en usuarios de Corea del Sur.

Mitigación

Si bien los parches oportunos y la evitación de Internet Explorer como navegador web ofrecerían protección contra los kits de explotación mencionados anteriormente, la realidad es que muchos usuarios (especialmente en entornos corporativos) todavía están detrás. Además, mientras que el IE se está eliminando gradualmente en América del Norte, todavía es muy adoptado en los países asiáticos, lo que explica por qué están siendo atacados actualmente.

La tecnología anti-exploit de Malwarebytes bloquea cada uno de estos kits de exploits (Fallout, RIG, GrandSoft, Magnitude, Underminer y GreenFlash Sundown) antes de que tengan la oportunidad de reducir su carga útil.

A medida que avanzamos en 2019, podemos decir que los kits de exploits, aunque no se acercan a su actividad máxima en 2017, aún se mantienen, y se utilizan principalmente en campañas de distribución de publicidad maliciosa. En términos de actividad global, Fallout lidera la carga, proporcionando las campañas y la carga útil más diversas. Mientras tanto, los EK específicos de Asia continúan en su mayor parte con su patrón habitual de impulsar la innovación (hasta cierto punto) y distribuir ransomware.

Se supone que la mensajería segura es solo eso: segura. Eso significa que no hay puertas traseras, cifrado sólido, mensajes privados que permanecen privados y, para algunos usuarios, la capacidad de comunicarse de forma segura sin entregar toneladas de datos personales.

Por lo tanto, cuando se produjera la noticia, el paria de privacidad en línea y escándalo de Facebook expandiría la mensajería segura a través de sus aplicaciones Messenger, WhatsApp e Instagram, una amplia comunidad de criptógrafos, legisladores y usuarios preguntaron: ¿Espere, qué?

La tecnología no solo es difícil de implementar, sino que la compañía que la implementa tiene un historial deficiente tanto en la privacidad del usuario como en la seguridad en línea.

El 25 de enero, el New York Times informó que el CEO de Facebook, Mark Zuckerberg, había comenzado los planes para integrar las tres plataformas de mensajería de la compañía en un solo servicio, permitiendo a los usuarios comunicarse entre ellos a través de aplicaciones móviles separadas. Según el New York Times, Zuckerberg “ordenó que todas las aplicaciones incorporen cifrado de extremo a extremo”.

La respuesta inicial fue dura.

En el extranjero, la Comisión de Protección de Datos de Irlanda, que regula Facebook en la Unión Europea, solicitó de inmediato una “sesión informativa urgente” de la compañía, advirtiendo que las propuestas anteriores de intercambio de datos plantearon “problemas importantes de protección de datos”.

En los Estados Unidos, el senador demócrata Ed Markey de Massachusetts dijo en una declaración : “No podemos permitir que la integración de la plataforma se convierta en una desintegración de la privacidad”.

Los tecnólogos de seguridad cibernética oscilaron entre el optimismo cauteloso y la simple cautela.

Algunos profesionales se enfocaron en los beneficios claros de habilitar el cifrado de extremo a extremo en las plataformas de mensajería de Facebook, enfatizando que cualquier cifrado de extremo a extremo es mejor que ninguno.

El ex ingeniero de software de Facebook Alec Muffet, quien dirigió el equipo que agregó el cifrado de extremo a extremo a Facebook Messenger , dijo en Twitter que el plan de integración “claramente maximiza la privacidad que se brinda a la mayor cantidad de personas y es una buena idea”. ”

Otros cuestionaron los motivos y la reputación de Facebook, examinando el modelo de negocios establecido por la compañía de la recolección de cantidades masivas de datos de usuarios para entregar anuncios dirigidos.

El profesor asociado y criptógrafo de la Universidad John Hopkins, Matthew Green, dijo en Twitter que “este movimiento podría ser bueno o malo para la seguridad / privacidad. Pero dada la historia reciente y las motivaciones financieras de Facebook, no apostaría el dinero de mi almuerzo en “bueno”.

El 30 de enero, Zuckerberg confirmó el plan de integración durante una llamada trimestral de ganancias. La compañía espera completar el proyecto este año o a principios de 2020.

Va a ser una batalla cuesta arriba.

Tres aplicaciones, una mala reputación.

Fusionar tres aplicaciones de mensajería separadas es más fácil decirlo que hacerlo.

En una entrevista telefónica, Green dijo que el obstáculo tecnológico inmediato de Facebook será la integración de “tres sistemas diferentes, uno que no tenga ningún cifrado de extremo a extremo, uno donde sea predeterminado y otro con una función opcional”.

Actualmente, los servicios de mensajería en WhatsApp, Facebook Messenger e Instagram tienen diversos grados de encriptación de extremo a extremo. WhatsApp proporciona cifrado de extremo a extremo predeterminado, mientras que Facebook Messenger proporciona cifrado de extremo a extremo opcional si los usuarios activan las “Conversaciones secretas”. Instagram no ofrece cifrado de extremo a extremo en su servicio de mensajería.

Además, Facebook Messenger, WhatsApp e Instagram tienen características separadas, como la capacidad de Facebook Messenger para admitir más de un dispositivo y el soporte de WhatsApp para conversaciones grupales, junto con clientes de escritorio o web independientes.

Green dijo que se imagina que alguien utilice el cliente web de Facebook Messenger, que actualmente no admite el cifrado de extremo a extremo, iniciando una conversación con un usuario de WhatsApp, donde el cifrado se establece de forma predeterminada. Estos lapsos en el cifrado predeterminado, dijo Green, podrían crear vulnerabilidades. El desafío está en reunir todos esos sistemas con todas esas variables.

“Primero, es probable que Facebook tenga que crear una plataforma y luego mover todos esos sistemas diferentes a un sistema un tanto compatible, que, por lo que puedo decir, incluiría la centralización de servidores clave, usando el mismo protocolo y un montón de desarrollo técnico. Eso tiene que pasar ”, dijo Green. “No es imposible. Solo duro “.

Pero hay más en el éxito de Facebook que el conocimiento técnico de sus ingenieros. También está su reputación, que, en los últimos tiempos, presenta a la empresa como un barón de los datos de hoy en día, planteándose en fallas en la privacidad después de una falla en la privacidad.

Después de las elecciones presidenciales de los Estados Unidos de 2016, Facebook se negó a calificar la ” subrepticia colección de información personal de 50 millones de usuarios ” cuando fue presentada ante el Congreso para testificar sobre el papel de su compañía en una potencial campaña internacional de desinformación. La empresa no “vende” datos de usuario a los anunciantes. Pero menos de un año después, un comité parlamentario británico publicó documentos que mostraban cómo Facebook dio a algunas compañías, entre ellas Airbnb y Netflix, acceso a su plataforma a cambio de favores, sin necesidad de venta.

Hace cinco meses, la aplicación Onavo de Facebook se inició desde la App Store de Apple para recopilar datos, y a principios de este año, se dice que Facebook les pagó a usuarios de tan solo 13 años para que instalaran la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada estrictamente para el uso de los empleados de Facebook. Facebook retiró la aplicación, pero Apple tenía en mente repercusiones adicionales: eliminó el certificado empresarial de Facebook, en el que la empresa confiaba para ejecutar sus aplicaciones internas de desarrollador.

Estas repetidas fallas en la privacidad son suficientes para que algunos usuarios eviten por completo el experimento de encriptación de extremo a extremo de Facebook.

“Si no confías en Facebook, el lugar de preocupación no es si arruinan el cifrado”, dijo Green. “Quieren saber quién está hablando con quién y cuándo. El cifrado no protege eso en absoluto “.

Si no es Facebook, ¿entonces quién?

Reputacionalmente, hay al menos dos compañías que los usuarios buscan tanto para un cifrado de extremo a extremo sólido y un respaldo sólido para la privacidad y seguridad del usuario: Apple y Signal, que ejecutan respectivamente las aplicaciones iMessage y Signal Messenger.

En 2013, Open Whisper Systems desarrolló el protocolo de señal. Este protocolo de encriptación proporciona encriptación de extremo a extremo para llamadas de voz, videollamadas y mensajería instantánea, y es implementado por WhatsApp, Facebook Messenger, Allo de Google y Skype de Microsoft en diversos grados. Periodistas, defensores de la privacidad, criptógrafos e investigadores de seguridad cibernética elogian habitualmente a Signal Messenger, Signal Protocol y Open Whisper Systems.

“Use cualquier cosa de Open Whisper Systems”, dijo el ex contratista de defensa de la NSA y el denunciante del gobierno Edward Snowden.

“[Signal es] mi primera opción para una conversación encriptada”, dijo el investigador en seguridad cibernética y defensor de la privacidad digital Bruce Schneier.

Por otra parte, Apple ha demostrado su compromiso con la privacidad y seguridad del usuario a través de declaraciones hechas por ejecutivos de la compañía, actualizaciones para solucionar vulnerabilidades y acciones legales tomadas en los tribunales de EE. UU.

En 2016, Apple contraatacó una solicitud del gobierno de que la compañía diseñara un sistema operativo capaz de permitir que el FBI descifre un iPhone individual. Un argumento así, argumentó Apple, sería demasiado peligroso de crear. A principios del año pasado, cuando una empresa estadounidense comenzó a vender dispositivos para descifrar el iPhone, llamado GrayKey, Apple solucionó la vulnerabilidad a través de una actualización de iOS.

En repetidas ocasiones, el CEO de Apple, Tim Cook, ha apoyado la seguridad y privacidad del usuario, y dijo en 2015: “Creemos que las personas tienen un derecho fundamental a la privacidad. El pueblo estadounidense lo exige, la constitución lo exige, la moral lo exige ”.

Pero incluso con estas reputaciones esterlinas, la verdad es que la seguridad cibernética es difícil de hacer bien.

El año pasado, los investigadores de ciberseguridad encontraron una vulnerabilidad crítica en la aplicación de escritorio de Signal que permitía a los actores de amenazas obtener los mensajes de texto sin formato de los usuarios. Los desarrolladores de Signal arreglaron la vulnerabilidad dentro de las cinco horas reportadas .

La semana pasada, la aplicación FaceTime de Apple, que encripta las videollamadas entre usuarios, sufrió un error de privacidad que permitió a los actores de amenazas espiar brevemente a las víctimas . Apple corrigió el error luego de que se difundiera la noticia de la vulnerabilidad.

De hecho, varias aplicaciones de mensajería seguras, incluyendo Telegram , Viber , Confide , Allo y WhatsApp, han reportado vulnerabilidades de seguridad, mientras que otras, incluyendo Wire , se han visto afectadas por las prácticas de almacenamiento de datos.

Pero las vulnerabilidades no deben asustar a las personas para que no utilicen el cifrado de extremo a extremo. Por el contrario, deberían alentar a las personas a que encuentren la aplicación de mensajería cifrada de extremo a extremo adecuada para ellas.

No hay una talla única para todos, y eso está bien

No existe tal cosa como una aplicación de mensajería segura perfecta, de talla única, dijo la Directora Asociada de Investigación de Electronic Frontier Foundation, Gennie Gebhart, porque no existe una definición de seguridad perfecta, de talla única. .

“En la práctica, para algunas personas, seguro significa que el gobierno no puede interceptar sus mensajes”, dijo Gebhart. “Para otros, seguro significa que un socio en su espacio físico no puede tomar su dispositivo y leer sus mensajes. Esas son dos tareas completamente diferentes para una aplicación ”.

Al elegir la aplicación de mensajería segura adecuada para ellos, Gebhart dijo que las personas deberían preguntar qué necesitan y qué quieren . ¿Están preocupados de que los gobiernos o los proveedores de servicios intercepten sus mensajes? ¿Están preocupados de que las personas en su entorno físico obtengan acceso a sus mensajes? ¿Están preocupados por dar su número de teléfono y perder el anonimato?

Además, vale la pena preguntar: ¿Cuáles son los riesgos de un accidente, como, por ejemplo, el envío erróneo de un mensaje no cifrado que debería estar cifrado? Y, por supuesto, ¿qué aplicación están usando los amigos y la familia?

En cuanto a las constantes noticias de vulnerabilidades en las aplicaciones de mensajería segura, Gebhart aconsejó no reaccionar de forma exagerada. La buena noticia es que, si está leyendo acerca de una vulnerabilidad en una herramienta de mensajería segura, entonces las personas que crean esa herramienta también conocerán la vulnerabilidad. (De hecho, los desarrolladores solucionaron la mayoría de las vulnerabilidades de seguridad enumeradas anteriormente). El mejor consejo en esa situación, dijo Gebhart, es actualizar su software.

“Ese es el número uno”, dijo Gebhart, explicando que, aunque esta línea de defensa es “tediosa y quizás aburrida”, a veces los consejos aburridos simplemente funcionan. “Cepille sus dientes, cierre su puerta, actualice su software”.

La ciberseguridad es muchas cosas. Es difícil, es complejo, y es un deporte de equipo. Ese equipo te incluye a ti, el usuario. Antes de utilizar un servicio de mensajería, o conectarse en línea, recuerde seguir los consejos aburridos. Será mejor que se asegure su privacidad.