Cuidado si tienes un iPhone: así pueden ver los anunciantes todos tus movimientos.

Si eres usuario de un iPhone debes saber que los anunciantes pueden vigilar todos tus movimientos en las aplicaciones y hacerse un perfil sobre ti.

“Si la privacidad es importante en tu vida, también debería serlo en tu teléfono”. Este es el eslogan de la última y actual campaña publicitaria de Apple, que pasa por poner al iPhone como ejemplo de ciberseguridad para sus usuarios y todos los datos e información que albergan en su teléfono, in embargo, la realidad parece ser bien distinta.

Apple abre las puertas a los anunciantes para que rastreen tus movimientos en las ‘apps’ y hagan un perfil propio sobre tus hábitos de uso a través de IDFA (Apple Identifier for Advertisers), un código con el que la compañía identifica de manera única el terminal de cada usuario para distinguirlo de cualquier otro disponible en el mundo. Este ID analiza y registra todos los movimientos que hace un usuario.

Más información

#HablemosDeSeguridad

Vía @elconfidencial

10 year challenge

Morgan Freeman decía: “Desafíate a ti mismo; es el único camino que conduce al crecimiento”. Una frase fuerte que evoca a la superación personal, y que nos hace recordar que los retos y su conquista son importantes en nuestro progreso como profesionales y en consecuencia como personas.

Photo by Mikito Tateisi on Unsplash

Lamentablemente, hay retos malentendidos que persiguen objetivos intrascendentes, difundidos masivamente por mera moda y peor aún, con resultados en ocasiones no muy gratos para los desafiados. En ese sentido ¿Cuántos retos se han viralizado en redes sociales? Saltan a mi memoria desde el “Ice bucket” hasta el tristemente célebre “In my feellings” mejor conocido en nuestro país como “Chona Challenge” -qué desafortunado nombre-. Ociosos todos ellos, algunos graciosos y otros más que representan un gran riesgo y que penosamente se han vuelto atractivos para menores. Recientemente ha ganado terreno en las redes sociales el “10 year challenge”, un reto que busca que la gente comparta fotografías de 10 años atrás y las compare con su imagen actual evidenciando las diferencias en su aspecto físico. Por cierto, este desafío parece inofensivo, sin embargo se sospecha que su difusión tiene como finalidad entrenar a algoritmos de sistemas de reconocimiento facial[1].

Sobre este último reto me gustaría proponerles un giro. Si tuviéramos la oportunidad de jugar el mismo desafío y obtener una fotografía del estado de la seguridad en nuestro país hace 10 años y la comparamos con otra obtenida del día de hoy, ¿Qué nos encontraríamos? Es curioso pero al igual que esas fotos de personajes que te arrancan alguna carcajada, ya sea porque al individuo en cuestión le ha cobrado el tiempo alguna factura con varios kilos de más o cabellos de menos, el estado de la seguridad en el país refleja una entidad que ha perdido ciertos encantos por batallas que le han dejado en el camino aprendizajes, experiencias y por supuesto varios desaguisados. Una decada atrás se comenzaban a trazar los primeros esbozos en la costrucción de capacidades en la materia, sustentados en el Plan Nacional de Desarrollo y el Programa de Seguridad Nacional de esos ayeres[2], y que  posteriormente fueron tomando forma en una Estrategia Nacional de Seguridad de la Información, con esfuerzos aislados y sin el impulso que ésta ameritaba. Al igual que en el proceso de madurez de un ser humano, este ente no aprende a la primera, comete los mismos errores y es hasta que le duelen que toma conciencia de que hay que cambiar, que hay que evolucionar. Como referencia, estamos hablando que durante esa década, ya existía una preocupación latente en el orbe por los impactos económicos y políticos producidos por ciber-delincuencia, hacktivismo y ciber-espionaje; se vislumbra a la ciberseguridad como un riesgo global y en otras latitudes con economías no tan alejadas de la mexicana, emergen proyectos más sólidos: Argentina, Colombia, Panamá o España son algunos ejemplos. Finalmente, y muy de la mano de la OEA, llegamos a la definición de una Estrategia Nacional de Ciberseguridad, que si bien debe aterrizarse, madurar y darle continuidad en esta nueva administración, es un hito importante en nuestro país. 

Ahora bien, relativicemos el reto a nuestras organizaciones, ¿Qué nos encontramos? ¿Será una fotografía similar?

Photo by Tristan Colangelo on Unsplash

CISO, te reto a que rescates esa fotografía de hace 10 años en tu organización y la contrastes con la situación que vives ahora. ¿Es mejor? ¿Has ganado kilos y experiencia? Compártenos qué te has encontrado. Si la imagen no te es tan clara o peor aún, no tienes fotografías, creo que es un buen momento para emprender el reto. Analiza cómo estás -qué tal esa gestión del riesgo, tus controles de seguridad, tu respuesta a incidentes, tus lecciones aprendidas, tu estrategia…-. Busca mejorar, traza un camino, gana experiencia, compárate con los demás y mide tu evolución. Espero que en el próximo reto puedas preciarte de que tu organización se vea mejor. Desafíate a ti mismo.

Provehito in altum 
Por: Juan Pablo Carsi


[1]FACEBOOK’S ’10 YEAR CHALLENGE’ IS JUST A HARMLESS MEME—RIGHT? https://www.wired.com/story/facebook-10-year-meme-challenge/

[2]Revista de Administración Pública. Hacia una estrategia nacional de ciberseguridad en México. Edgar Iván Espinosa.

Facebook supo sobre la actividad rusa en 2014: parlamentario británico.

Un parlamentario británico dijo el martes que Facebook sabía sobre la actividad rusa potencialmente maliciosa en 2014, mucho antes de que dicha actividad se hiciera pública, durante una audiencia parlamentaria en la que los legisladores internacionales interrogaron a la compañía.

Damian Collins, jefe de una investigación parlamentaria sobre noticias falsas y desinformación, citó correos electrónicos internos de Facebook incautados de la compañía estadounidense de software Six4Tree bajo un procedimiento de aplicación parlamentaria raramente utilizado.

Collins citó uno de los correos electrónicos, que forman parte de una demanda en Estados Unidos, alegando que un ingeniero de Facebook notificó a la compañía en octubre de 2014 que las direcciones IP rusas accedían a “tres mil millones de puntos de datos por día” en la red.

“Si las direcciones IP rusas estaban reduciendo una gran cantidad de datos de la plataforma, se informó o se guardó, como parece ser el caso, dentro de la familia y no se mencionó”, preguntó Collins a Richard Allan, vicepresidente de Facebook. Presidente de Policy Solutions.

Allan respondió diciendo: “Cualquier información que hayas visto … es, en el mejor de los casos, parcial y, en el peor, potencialmente engañosa”.

Más información
#HablemosDeSeguridad
Vía @Securityweek

Hacker que robó documentos militares de drones de USA los vendió en el dark web por 200 USD

Recorded Future reportó que se descubrió a un hacker vendiendo documentos secretos sobre el dron MQ-9 Reaper utilizado en diversas agencias federales. El hacker logró el acceso a esta información a través de un router Netgear que utilizaba las credenciales por defecto en su servicio FTP.

#HablemosdeSeguridad
URL: https://thehackernews.com/2018/07/dark-web-military-drone_11.html
Vía @thehackersnews

Hackers utilizan una solución MDM maliciosa para espiar usuarios de iPhone

Investigadores descubrieron una campaña de malware dirigida a dispositivos móviles que espían a 13 usuarios seleccionados en la India. Los hackers hacen uso del protocolo MDM para controlar e instalar aplicaciones maliciosas de manera remota.

#HablemosdeSeguridad
URL: https://thehackernews.com/2018/07/mobile-device-management-hacking.html
Vía @thehackernews

Ex empleado de NSO Group acusado de intentar vender propiedad intelectual de la empresa

Un ex empleado de la  firma israelí de ciberseguridad fue arrestado por supuestamente intentar vender la propiedad intelectual de la compañía en Dark Net. El ex empleado también fue acusado de intentar dañar la seguridad del estado y tratar de comercializar información en materia de seguridad sin una licencia apropiada.

https://www.reuters.com/article/us-cyber-israel-nso/israel-charges-former-employee-of-nso-group-with-cyber-crimes-idUSKBN1JV18E
#HablemosDeSeguridad
Vía Reuters

Estados Unidos impone sanciones a Rusia

Estados Unidos ha impuesto nuevas sanciones a Rusia por interferir en las elecciones, por el ataque de malware NotPetya y por otras actividades cibernéticas maliciosas. El Tesoro de los Estados Unidos ha presentado sanciones contra cinco organizaciones y 19 personas.

#HablemosDeSeguridad
Vía SC Magazine
Más información

Computadoras del Gobierno de Alemania infiltradas, datos robados

Las redes informáticas del gobierno de Alemania han sido blanco de un ciberataque. Los intrusos se detectaron por primera vez en diciembre de 2017. Pudieron robar información y pueden haber estado extrayendo datos durante un año antes de que se detectaran. Los informes sugieren que los ataques pueden ser el trabajo de un grupo de piratas informáticos conocido como Fancy Bear o APT28.

#HablemosDeSeguridad
Vía Reuters
Más información

Inteligencia de EE.UU. señala que Rusia lanzó un ciberataque de “bandera falsa” en Olimpiadas

Funcionarios de inteligencia de EE. UU. señalan que Rusia estaba detrás de ciberataques en las Olimpiadas y que hackers tomaron medidas para que pareciera que el ataque provino de Corea del Norte. Funcionarios de los Juegos Olímpicos reconocieron que los hackers interrumpieron la disponibilidad de Wi-Fi, los sistemas de transmisión y la red olímpica durante las ceremonias de apertura del evento el 9 de febrero. Algunos investigadores han advertido sobre la atribución del ataque.

#HablemosDeSeguridad
Vía Ars Technica
Más información