bookmark_borderJusticia europea confirma multa a Google

Reading Time: 2 minutes

La Corte General Europea confirmó este 10 de noviembre, la multa impuesta hace más de 4 años a Google por €2,424,495.000 euros. La multa también involucra a Alphabet, la compañia matriz de Google.

El 27 de junio de 2017 la Comisión Europea encontró a Google culpable de abusar de su posición dominante en el mercado de buscadores en 13 países del área económica europea. El caso se baso en acusar a Google de ajustar los algoritmos de su motor de busqueda, para presentar los resultados de una forma que visualmente favoresca a sus propios servicios de compras.

Al momento del caso, la comisionada Margrethe Vestager expreso

Google ha creado muchos productos y servicios innovadores que han cambiado nuestras vidas. Esto es algo bueno. Pero la estrategia de Google para su servicio de comparación de precios –Comparison Shopping Service (CSS)- no se trata únicamente de atraer a los clientes haciendo sus productos mejores que los de sus rivales. En lugar de eso, Google abusa su dominio de mercado como motor de busqueda, promoviendo su propio servicio de comparación de precio en los resultados de busquedas, degradando la de los otros competidores.

Google ingreso al mercado europeo de comparación de precios en 2004. Inicialmente su plataforma se llamaba Froogle, en 2008 se llamo Google Product Search y a partir de 2013 se conoce como Google Shopping. Desde 2008 Google cambio su estrategia para empujar su servicio de comparación de precios, basada en el dominio de su motor de busqueda en Internet, lo que segun la Comisión Europea le permitió sistematicamente en cada resultado de busqueda:

  • Otorgar un lugar privilegiado a su servicio de comparación de precios.
  • Degradar a los rivales de servicios similares

El posicionamiento en los resultados tras una busqueda en Google son vitales para un servicio en línea. Se estima que el 95% de los clicks ocure en los 10 primeros resultados de la primera página, los de la segunda página solo representan el 1%.

Vestager concluyó

Lo que Google ha hecho es ilegal ante las leyes antimonopolio de la Unión Europea. Le niega a otras empresas la oportunidad de competir en base a meritos e innovación. Y los más importante, niega a los consumidores europeos una oportunidad genuina de servicios y todos los beneficios de la innovación.

La astronomica multa se basó en el reglamento de multas del año 2006, calculando el monto en base a los ingresos de su servicio de comparación de precios en los 13 paises del Área Económica Europea. Google y Alphabet apelaron la decisión de la Comisión Europea, pero la misma fue declarada casi en su totalidad sin lugar. La decisión se basó en 4 puntos:

  1. La naturaleza anticompetitiva de la práctica de Google.
  2. Los efectos dañinos para la competencia.
  3. Se rechaza la justificación objetiva de la conducta de Google.
  4. Se confirma la multa.

En un mensaje de Twitter, la Comisión Europea celebró la decisión asegurando que

La sentencia de hoy transmite el claro mensaje de que la conducta de Google fue ilegal y provee la claridad legal necesaria para el mercado.

La sentencia aclara que la conducta monopolica se limita al mercado de servicio comparación de precios, dejando fuera el mercado de motores de busqueda en general. Aún queda la posibilidad de apelar ante la Corte de Justicia Europea.

Bibliografía

bookmark_borderThe Facebook Papers: un salón de rumores mal comprendido

Reading Time: 4 minutes

Imaginemos una reunión social (boda, graduación, aniversario, etc.) de entre 500 y 2000 personas. Inicialmente se observan mesas de entre 8 y 12 personas bien ubicadas y diferenciadas, quiza en grupos de amistad, parentesco o por algún criterio extraño para que sea un salón ordenado, con espacios claros: el bar, la pista de baile, área de fumadores y las mesas.

Con el pasar de las horas, la dinámica cambia, los asistentes se movilizan y la estructura inicial queda en el olvido. Los asistentes encuentran conocidos que no sabian que estarían presentes, brindan y bailan con desconocidos y crean nuevos lazos de amistad. No resulta extraño que surjan relaciones de nogocios o amorosas, en fin toda una interacción social con resultados inesperados. No pueden faltar por supuesto las miradas de envidia, los comentarios ofensivos y hasta uno que otro enfrentamiento verbal o físico cuando las cosas suben de tono. En cuestion de horas, aquel salón bien estructurado y ordenado se convierte en un salón de rumores mal comprendido.

¿Se parece la visión sugerida a la plataforma Facebook?… es una analogía que surgió en mi mente tras leer e investigar sobre los Papeles de Facebook, un escándalo que surgió a inicios de octubre de 2021, cuya protagonista principal es la ingeniera y científica de datos Frances Haugen, que en septiembre compartió documentos internos de Facebook con autoridades estadounidenses. Ella afirma que investigaciones internas de de la compañia revalaron que la red social amplifica el odio, la desinformación y la inestabilidad política, sin embargo, Facebook esconde toda esta preocupante situación. En una entrevista con el programa 60 minutos dio a conocer lo siguiente

Lo que observé una y otra vez en Facebook fue un conflicto de interéses entre lo que es bueno para el público y lo que es bueno para Facebook… pero la compañía eligió siempre por optimizar lo que es bueno soló para sus interéses y cómo ganar más dinero

Haugen ha trabajado por al menos 15 años en compañias muy importantes, entre ellas Google, Pinterest y finalmente en Facebook, la que decidió dejar en mayo, pero no sin antes de hacerse, de forma cuestionable, con copias de miles de documentos internos que son la base de su denuncia, la que inicialmente fue anónima, pero que decidió dar la cara y mostrar al mundo lo que sucede dentro del gigante de las redes sociales.

Un punto clave para comprender lo que Haugen denuncia es el cambio introducido en 2018 por Facebook en el funcionamiento de sus algoritmos. Con la actualización implementada el programa decide que publicaciones se muestran al usuario, utilizando el historial de aquellas publicaciones identificadas como de mayor interés para el propio usuario, con el objetivo de generar mayor interés y mayor tiempo de conexión con la aplicación. Según Haugen

Facebook reconoció lo peligroso del algoritmo para las elecciones de 2020 en Estados Unidos, por lo que desabilitó este comportamiento, pero al terminar el proceso de elección presidencial, nuevamente fué habilitado… lo que es una grave traición para la democracia

En un comunicado oficial, Facebook indicó

Si alguna investigación hubiese encontrado una solución a un reto tan complejo, la industria tecnológica, los gobiernos y la sociedad ya hubieran solucionado el problema hace mucho tiempo.

Todo empresario de espacios de convivencia social sabe que su negocio es un lugar de reuniones de donde surgen relaciones de todo tipo. Sucede en los salones de eventos como el descrito inicialmente, pero también pasa en restaurantes, cafeterías, bares, salones de belleza y muchos más. La genialidad de las plataformas de convivencia virtual es haber logrado generar ingresos extras, aprovechando esa aglomeración de millones de personas las 24 horas del día, con diversidad de intereses, formas de pensar y concebir el mundo.

Si regresamos a la analogía del salón de eventos, no resulta sorpresivo que en los grupos que se forman entre los asistentes, opera una dinámica similar al algoritmo explicado por Haugen. Cada grupo habla de un tema de interés común, que se retroalimenta con comentarios y opiniones sobre el mismo tema, que hace que todos sigan con el interés de hablar de lo mismo, como si aquel tema fuera lo más importante para la socidad, algo de lo que depende el mañana de la humanidad. Sin embargo, lo que se comenta en la mayoría de los grupos, no es más que un momento de charlas irrelavantes para el resto de los otros grupos del salón.

Para muchos la situación que afronta Facebook es la peor crisis en sus 17 años de historia, algo que seguramente marcará un antes y un después. En Estados Unidos se desarrolla un momento clave para la relación entre la Tecnología y el Derecho. De la pugna entre los denunciantes y el sector político contra el gigante de las redes sociales surgirán criterios, directrices y normativa que de no realizarse de forma responsable, afectará una dinámica impresionante y de gran utilidad para millones de personas alrededor del mundo.

Se reclama que Facebook no hace mucho por las actitudes de los usuarios, algo que me hace plantear las siguientes inquietudes:

  • ¿Es Facebook o cualquier otra compañía responsable de lo que transita en sus plataformas?
  • ¿Es factible y razonable hacerle responsable?

Si algún lector considera responder las preguntas planteadas, debe recordar siempre la analogía del salón de eventos.

Considero que las preocupaciones sobre los efectos de la interacción en redes sociales es algo útil y necesario, pero es solo un pequeño aspecto de un problema más grande, algo que lamentable y peligrosamente es mal comprendido por quienes hoy ponen el grito en el cielo. Irónicamente se acude al gobierno a solicitar apoyo contra un peligro o daño social, cuando la manipulación social ha sido, es y será algo de mucho interés para los políticos y gobernantes.

A título personal me sorprende lo que sucede en Estados Unidos, me parecería más lógico en Europa, donde existe una infraestructura normativa más formal y agresiva de control tecnológico, reforzada por una tradición jurídica paternalista de larga trayectoria. Las reflecciones sobre los efectos –positivos y negativos– de la tecnología en la sociedad no son nuevas, pero hoy van tomando importancia en diversos grupos de la sociedad, algo que en principio es positivo, sin embargo, existe el grave riesgo de abordar la situación con poca o ninguna comprensión sobre lo que es tecnología y como ha sido pieza clave para el progreso humano.

En los próximos meses la humanidad atestiguará como lo jurídico aborda lo tecnológico. Seremos testigos del juicio del salón de los rumores. Ojalá se haga de la mejor manera posible, de tal forma que se logre un equilibrio entre los intereses de los creadores de tecnología y los derechos de los usuarios y la ciudadania en general.

Bibliografía

bookmark_borderAtaques DDoS contra proveedores de VoIP

Reading Time: 2 minutes

A mediados de septiembre de 2021, un proveedor de servicio VoIP, VoIP.ms reportó ser víctima de un ataque de denegación de servicio distribuido -DDoS-.

VoIP –Voice over Internet Protocol– es un servicio que permite utilizar Internet o una red privada para realizar llamadas de voz, haciendo que los mensajes viajen como paquetes, al igual que un correo electrónico por ejemplo. Gracias a este recurso, es posible realizar llamadas telefónicas a cualquier lugar del mundo, sin depender de la infraestructura tradicional de las compañias telefónicas, lo que representa ahorro y conveniencia para los usuarios. Claro está, que sin señal de Internet o datos en el teléfono móvil no pueden realizarse este tipo de llamadas.

Las llamadas se realizan mediante aplicaciones para teléfonos móviles, pero afortunadamente, plataformas de mensajeria como WhatsApp, Telegram y Messenger también incluyen esta función. Lamentablemente, este útil servicio también es de interés para los ciberdelincuentes.

Los ataques de denegación de servicio, afectaron a muchos usuarios corporativos de VoIP. Un experto de Kaspersky explica sobre este tipo de ataques los siguiente:

Este tipo de ataque aprovecha los límites de capacidad específicos que se aplican a cualquier recurso de red, tal como la infraestructura que habilita el sitio web de la empresa. El ataque DDoS envía varias solicitudes al recurso web atacado, con la intención de desbordar la capacidad del sitio web para administrar varias solicitudes y de evitar que este funcione correctamente.

El objetivo de este tipo de ataques es interrumpir el acceso a los usuarios de los servicios en línea. Las personas que intenten acceder al servicio recibiran un mensaje que indica que el recurso no esta disponible o en el mejor de los casos, percibiran una lentitud de respuesta en la plataforma.

Otra victima fue la empresa Bandwidth, que dió a conocer sobre la situación, ofreciendo disculpas a sus clientes y ofreciendo realizar lo que fuese necesario para mitigar el impacto del ataque. Adicionalmente implementaron una página para actualizaciones en tiempo real sobre el incidente.

Otros proveedores también fueron afectados, quienes debieron incorporar a sus plataformas información para sus clientes sobre el estatus de los servicios. Al parecer, lo que le sucedió en Estados Unidos es sólo una parte de algo más grande. Según la Cloud Communications Alliance -CCA-, entre finales de agosto e inicios de septiembre al menos tres proveedores VoIP en el Reino Unido fueron también victimas de ataques de denegación de servicios. Los ataques se basaron en bombardear las red de las empresas con trafico de entre 100 y 450 gigabits por segundo, hasta por 24 horas en varias ocasiones.

Para el 18 de septiembre, se dió a conocer que el grupo criminal ruso REvil, se atribuyó el la autoría del ciberincidente, reclamando un pago de un bitcoin –US$ 45 mil– para detener el ataque, pero en corto tiempo la extorción se incremento a 100 bitcoins –US$ 4.3 millones-.

Desafortunadamente los servicios VoIP no cuentan con estrategias maduras contra ataques DDoS, al igual que muchos otros servicios basados en Internet. Seguramente continuaremos presenciando incidentes que pondrán de manifiesto lo mucho que falta por avanzar.

Bibliografía

bookmark_borderEmpresa colombiana expone datos de miles de clientes

Reading Time: 3 minutes

La empresa colombiana Coninsa registró una fuga de datos de 1TB de información, unos 5.5 millones de registros con la información de más de 100 mil clientes.

El problema se generó por una mala configuración de un medio de almacenamiento AWS S3, lo que permitió a los atacantes acceder sin necesidad de claves o credenciales de acceso para ver la información sin cifrar y contenia fotos, direcciones y números teléfonicos entre otros.

El equipo de ciberseguridad de WizCase que detectó el incidente lo reportó a Coninsa, pero no hubo respuesta

WizCase’s security team recently found a major breach affecting the online database of Colombian real estate development firm… We reached out to the company, but did not receive a reply so far

¿Qué información fue expuesta?

El reporte de WizCase es bastante interesente, del que presento los puntos más relevantes

  • Información de la compañia
  • Información de identificación personal (PII): nombres, teléfonos, dirección, pagos y valores de activos (propiedades)
  • Información de empresas clientes
  • La mayoría son documentos: facturas, notas de crédito, cotizaciones, estados de cuenta y notas de crédito
  • Los documentos son de años entre 2014 y 2021
  • También se encontró una base de datos de respaldo con mayores de talles: fotografía de perfil, usuario de acceso y claves en hash
  • En términos monetarios, la información expuesta revela transacciones de entre 140 y 200 billones de dolares

El medio de almacenamiento también contenia otra información de servicios internos de la empresa. También se encontro código Backdoor en el sitio web oficial, que permite a cualquir grupo criminal poder modificar el contenido y crear páginas fraudulentas para fines de Phishing.

WizCase proporcionó parte del código malicioso encontrado

Pictured: Malicious code in the backend of Coninsa Ramon’s website. Fuente: WizCase

En el sitio web de la empresa Coninsa existe el apartado de Política para tratamiento de datos personales. En el capítulo IV, sección 2 indica

2. DEBERES DE CONINSA RAMÓN H. S.A.
De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, la Compañía se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con el tratamiento de datos personales:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

Más allá de lo indicado ¿Será que se lo toman en serio?

¿Qué legislación existe en Colombia sobre violación de datos?

En Colombia existen dos leyes enfocadas en la protección de datos personales

  • Ley Estatuaria 1266 de 2008
  • Ley Estatuaria 1581 de 2012

En el año 2020 la Superintendencia de Industria y Comercio (SIC) impuso multas por 7,580 millones de pesos colombianos, consecuencia de 16 mil quejas recibidas. El 89% de las sanciones fue por infracciones a la ley 1266 y el 11% restante por infracciones a la ley 1581.

En julio de 2021 la SIC presentó una guía sobre protección de datos personales con el fín de apoyar a las empresas a evitar ser sancionadas.

¿Qué lección deja lo sucedido?

Ingenuamente muchos piensan que únicamente bancos o instituciones gubernamentales son víctimas de la ciberdelincuencia, sin embargo, esto no es cierto. Los departamentos de IT de empresas pequeñas y grandes suelen implementar tecnología de hardware y software sin considerar aspectos de Cibserseguridad, lo que facilita incidentes como el de la empresa Coninsa. La información personal es un recurso valioso en el mundo digital, ya que su comercialización y posterior uso para cometer fraude genera reditos millonarios, que hoy forman parte de un mercado creciente y de gran dinamismo.

Bibliografía

bookmark_borderMēris: la madre de las Botnets

Reading Time: 2 minutes

A finales de junio de 2021, Qrator Labs identificó un nuevo tipo de ataque DDoS, un tipo de botnet nunca antes vista.

Qrator Labs y Yandex unieron esfuerzos para analizar la amenaza emergente. Durante los últimos 5 años la industria de Ciberseguridad no detectó ataques a escala global a nivel de capa de aplicación –Application Layer-, sin embargo, Qrator detectó 30 mil dispositivos vulnerados, en tanto que Yandex logró identificar 56 mil ataques similares.

A principios de septiembre de 2021, diversos sitios relacionados con Ciberseguridad dieron a conocer al mundo la existencia de una nueva Botnet, que ha roto todos los records de estructuras similares anteriores, convirtiendose en la más grande hasta ahora registrada, bautizada con el nombre Mēris que en lengua letona significa Plaga. Mēris logró superar dos veces al mayor ataque DDoS conocido, logrando dejar fuera de línea a equipos importantes al realizar grandes cantidades de solicitudes por segundo – Request per secound (RPS)-.

Los ataques DDoS suelen identificarse como de un solo tipo, sin embargo, existen tres clases:

  • Ataque volumétrico (Gbps): conocidos también como “inundaciones” ya que se basan en inundar recursos con solicitudes. Se suelen medir en bps –bits per secound- o gbps –Gigabits per second-. El concepto es muy sencillo, ya que se basa en enviar la mayor cantidad de tráfico posible a un sitio, sobrepasando su capacidad y dejandolo prácticamente fuera de línea. Estos ataques han sido facilitados gracias a la IOT –Internet Of Things-.
  • Ataque protocolo de red (pps): centrada en el protocolo TCP/IP , que busca sobrepasar la capacidad de memoria asignadas a los paquetes transmitidos, generando una denegación de servicio.
  • Ataque capa de aplicación (rps): se enfoncan en servidores que ejecutan aplicaciones web, por ejemplo WordPress. Estos ataques son dificiles de detectar, ya que los atacantes hacen solicitudes teoricamente legitimas. Los ataques se miden en rps –request per second- , que tiene por objetivo sobrepasar la memoria y la capacidad del procesador. El ataque se centra en afectar el servidor, ejecutar código PHP o utilizar la base de datos para agenerar páginas web, de tal forma que una simple solicitud puede generar tantas solicitudes internas que logran afectar el rendimiento del sistema cuando este proceso se realiza miles de veces.

El mayor ataque tipo DDoS conocido anterioermente fue la Botnet Mirai, que se basó en la modalidad de ataque volumétrico, centrado en dispositivos unidos bajo el esquema command & control –C2C-. Algunos consideran que la nueva Botnet es el retorno de Mirai, sin embargo, los análisis de Yandex y Qrator concluyen que se trata de algo completamente nuevo. En lugar de realizar ataques mediante solicitudes de gran tamaño, utiliza muchas solicitudes de un tamaño no sospechoso, reforzada con una gran cantidad de bots. Se tienen registro que actualmente el ataque registra hasta 21.8 millones de solicitudes por segundo.

Mēris ha logrado dejar fuera de linea a diversos servicios en Rusia, Reino Unido, Estados Unidos y Nueva Zelanda. Hasta el momento ha demostrado su fuerza y

Bibliografía

bookmark_borderPerú: crean página falsa de bono YANAPAY

Reading Time: 3 minutes

La Autoriad Nacional de Protección de Datos (ANPD) de Perú, confirmó el 16 de septiembre de 2021 sobre la existencia de un sitio web falso sobre el bono YANAPAY.

A través de la Dirección de Fiscalización e Instrucción (DFI) de la ANPD, se informó a la población sobre la página fraudulenta con dirección https://bonoyanapay.com, que contiene una apariencia y estructura similar a los sitios oficiales del gobierno de Perú. El sitio utiliza un formulario donde los usuarios ingresan su Documento Nacional de Identidad (DNI) y luego solicita información de una tarjeta de crédito o débito, tales como numeración, fecha de vencimiento y código verificador.

Usuarios que se han percadato de la falsedad del sitio detallan algunas características que regularmente identifican este tipo de delitos informáticos:

  • Los sitios oficiales del gobierno terminan con .GOB.PE no con .COM
  • Los sitios oficiales del gobierno cuentan con una sección de Políticas de Privacidad
  • El test para confirmar si quien accede es un humano, siempre muestra el mismo código
  • Los programa de gobierno no necesitan datos de una tarjeta de crédito o débito
  • El sitio oficial del programa YANAPAY únicamente solicita DNI y fecha de emisión

Cuando un usuario incauto, proporciona la información sobre su tarjeta de crédito o débito, esta permitiendo a los estafadores poder realizar compras en línea. El Ministerio de Desarrollo e Inclusión Social (Midis) advirtió a la ciudadania en las redes sociales

!Atención, no pongas en riesgo tu información personal!

Si desea obtener información oficial sobre el #YanapayPerú, ingresa a la web yanapay.gob.pe o comunicate a la línea gratuita 101.

El término YANAPAY corresponde al verbo que en culturas Quechua, Aymara y Puquina hace referencia a solidaridad humana, amor humano o amor fraterno. El gobierno de Perú, creo, con el nombre YANAPAY, un programa de ayuda económica de 350 soles peruanos, equivalentes a unos US$ 700, destinado a más de 13.5 millones de peruanos. Las condiciones para recibir la ayuda gubernamental son:

  • Estar en situación de pobreza o pobreza extrema
  • Pertenecer a alguno de los programas de gobierno Juntos, Pensión 65 o Contigo
  • No estar registrado en planilla pública o privada, excepto pensionistas o prácticantes
  • Tener un ingreso menor a 3 mil soles (US$ 725) al mes por hogar

El programa inició el 13 de septiembre y en 3 días ya existía un sitio falso. La dirección del sitio fraudulento es http://bonoyanapay.com, que ya no se encuentra activo, pero se desconoce cuántos usuarios pudieron haber ingresado y proporcionado su información financiera.

Uno de los efectos de la pandemia COVID-19 ha sido la creción de programas gubernamentales, los que aprovechan las ventajas que ofrece la tecnología para que los beneficiario puedan acceder de una forma sencilla, sin embargo, esta conveniencia tecnológica también es aprovechada por los ciber delincuentes.

En una entrada al blog sobre el Phishing, comenté como los usuarios utilizan los buscadores para acceder a servicios en línea, lo que puede llevarlos a sitios fraudulentos. No sería extraño que los peruanos interesados en el bono, ingresaran en Google el nombre del bono, haciendo click en el primero resultado, con el riesgo que los trasladara a una página falsa como la encontrada por DNI. ¿Será que es la única?

Lo que sucedió con el bono YANAPAY es un problema serio, ya que es relativamente fácil crear sitios web o aplicaciones móviles fraudalentas, que son utilizadas por usuarios que confían en lo que encuentran en Internet. Otro aspecto preocupante es que, al ser descubierto un sitio web falso, no es dificil generar otro, esperando a que otra buena cantidad de internautas caigan en la trampa.

Actualmente existen programas gubernamentales similares a YANAPAY en prácticamente todo el mundo, con una alta probabilidad que también esten siendo utilzados para acceder a información sensible de los beneficiarios, sin que las autoridades lo sepan o puedan hacer algo al respecto. El término YANAPAY en general significa ayuda, pero sin considerar aspectos de Seguridad Informática, parece que también ayuda a los ciber criminales.

Bibliografía

bookmark_borderWindows 11: con más pena que gloria

Reading Time: 3 minutes

El 24 de junio de 2021 la empresa Microsoft anunció oficialmente el lanzamiento de Windows 11, que estará disponible a partir del próximo 5 de octubre. La primera version del sistema operativo Windows salió al mercado en 1985, hace más de 35 años. A continuación el listado cronológico de todas las versiones :

  • 1985, Windows 1.0
  • 1987, Windows 2.0
  • 1990, Windows 3.0
  • 1995, Windows 95
  • 1996, Windows NT 4.0
  • 1998, Windows 98
  • 1999, Windows 2000 (marzo)
  • 1999, Windows Me (septiembre)
  • 2001, Windows XP
  • 2007, Windows Vista
  • 2009, Windows 7
  • 2012, Windows 8
  • 2015, Windows 10

Microsoft domina el 76% del mercado en PCs, una posición que ha mantenido por mucho tiempo y que le permite determinar con facilidad el rumbo de la industria. El lanzamiento de la nueva versión sorprendió al público, ya que tras el lanzamiento de Windows 10, en la conferencia Microsoft Ignite se dio a entender que la compañia apuntaba a un concepto de Windows As A Service -WAAS-. El modelo propuesto era interesante, ya que se basaría en una plataforma de actualizaciones a Windows 10, sin tener que pensar en versiones futuras como Windows 11, 12 o 13, de tal forma que los usuarios solo se refirieran al sistema operativo como Windows, sin preocuparse por la versión.

El modelo es similar al navegador Google Chrome, que es el más utilizado a nivel mundial y que casi el 99.99% de los usuarios desconocen que versión estan utilizando. Para implementar Windows como un servicio, Microsoft utilizó la plataforma Patch Tuesday, que en los últimos meses ha sido calificada como catastrófica, ya que las actualizaciones, que tienen por objetivo mejorar el sistema y corregir errores, han generado muchos problemas a los usuarios, llegandose a identificar el proceso con el dicho “La cura, es peor que la enfermedad

Windows 11 ¿Qué hay de nuevo?

Tras el anuncio de Windows 11, menos de una semana después se filtró una imagen ISO del instalador, que se propago por Internet, generando mucho interés y discusión sobre el tema. La primera preocupación surgió por la gran cantidad de links para descargar el archivo, lo que podía ser aprovechado por ciberdelincuentes para distribuir software malicioso o cobrar a usuarios inexpertos por falsas licencias.

Por ser un archivvo no oficial, los usuarios interesados en probar Windows 11 no contaron con información sobre procedimientos o requisitos del sistema para su instalación. Se reportaron muchas fallas en instalación en máquinas un poco antiguas, pero que funcionaban correctamente con Windows 10. Otro problema que encontraron los usuarios fue la imposiblidad de crear una cuenta “offline”, algo que no es problema con Windows 10.

A medida que se expandió el uso del instalador no oficial, mayores dudas surgieron en los usuarios. El más preocupante es que no se conoce exactamente los requisitos del sistema. Para los expertos en software esta claro que Windows 10 y Windows 11 son básicamente lo mismo, por lo que no existe razón para que una máquina que soporte la versión 10 no pueda ejecutar la versión 11.

Otra barrera a superar es la exigencia de contar con un Modulo de Plataforma de Confianzatrusted platform model (TPM)- con versión 2.0, un chip que va instalado en la tarjeta principal de la computadora y que mejora la seguridad del equipo. Se exigió su incorporación a los fabricantes de computadoras en 2016, pero modelos anteriores no lo tienen necesariamente, por lo que esos equipos no podrán instalar la nueva versión de Windows. Investigadores y expertos han revisado que tiene que ver Windows 11 y la existencia de utilizar TPM 2.0. Luego de analizar la situación han llegado a la conclusión que no deberia ser necesario y que los equipos con versión TPM 1.2 son aptos instalar y ejecutar Windows 11.

Quienes han logrado instalar Windows 11 lo describen como estupendo en cuanto a diseño y el menu aparece ahora al centro. Algo que ha sido muy comentado es que los íconos son más redondeados, lo que ofrece al usuario una mejor experiencia visual. Panos Panay, director ejecutivo de Windows expresó “Con Windows 11 ponemos al ser humano en el centro“.

Más alla de los visual, aún no se vislumbran otras mejoras. Parece ser que se trata de un Windows 10 mejor maquillado, lo que incrementa la expectativa y presión en el gigante del software, que en menos de 2 semanas lanzará al mercado el nuevo Sistema Operativo. ¿Será el hit que espera Microsoft? ¿Será que esta vez, si es el último Windows? !! Pronto lo sabremos !!

Bibliografía

bookmark_borderPhishing: un peligro latente para los chapines

Reading Time: 4 minutes

Si eres usuario de Banca Electrónica y tu banco tiene ya cierta madurez respecto de la Ciberseguridad, seguramente has recibido en los últimos meses o años, correos de tu proveedor financiero informando y adviertiendo sobre el Phishing.

Revisando en mi historial de correos, encontré uno de Banco Industrial de noviembre de 2016, en el que me recomiendan actualizar mi contraseña mediante algunos consejos para su protección. El correo también incluye los siguientes consejos para evitar ser victima de Phishing:

  • Asegurar que la dirección de la plataforma sea la correcta y que inicie con https.
  • No utilizar la plataforma desde cualquier lugar
  • No ingresar desde conexiones de WiFi pública

¿Qué es y cómo funciona el phishing?

El origen del término es la palabra inglesa fishing -pescar-, que literalmente hace alusión a que los atacantes lanzan un ansuelo a sus víctimas, esperando que alguna de ellas lo muerda. El ansuelo consiste en la utilización de mensajes electrónicos (correo, texto, WhatApp, FaceBook, etc), haciendose pasar por una persona o entidad con la que la víctima tiene alguna relación. La identidad falsa de una persona puede ser de un amigo o familiar, en tanto las entidades pueden ser proveedores comerciales, centros educativos o instituciones gubernamentales. Si el mensaje falso es lo suficientemente convincente, el usuario tendrá confianza en la comunicación, que usualmente tiene por objetivo que inocentemente provea información delicada o confidencial.

La técnica detrás del Phishing requiere conocer cierta información del objetivo, ya que la confianza del proceso se basa en mostrar al usuario información que le hagan creer que la fuente de la comunicación es legítima. El complemento del Phishing es lo que se conoce como Ingenieria Social, que proveé al atacante de información básica sobre el uso frecuente de algún servicio o relación con alguna entidad, para así, suplantar su identidad.

¿Un fenómeno nuevo?

En 2021 se cumplen 25 años de la identificación de este tipo de ataques. En 1996 la plataforma de AOL identificó que sus usuarios estaban recibiendo mensajes falsos, con la intención de que proporcionaran información que le permitiera adueñarse de la cuenta de la víctima, que posteriormente se utiliza para cometer crímenes.

El Anti-Phishing Working Group publicó un informe al primer trimestre de 2021 con datos muy interesantes, entre ellos se mencionan:

  • 245,771 sitios web únicos de Phishing
  • La industria financiera es la más atacada (24.9%), seguido de las redes sociales (23.6) y luego proveedores de servicios (19.6%)
  • 172,793 textos únicos en ataques mediante correo electrónico

Desde su aparición los atacantes han mejorado la técnica y actualmente se utilizan diversas variantes y/o técnicas de Phishing. Hoy existen millones de plataformas elecrónicas que proveen servicios remotos a los usuarios, todo se realiza desde la comodidad del hogar o la oficina y desde cualquier dispositivo conectado a Internet. El problema radica en que, como usuarios, pocas veces confirmamos que la dirección del servicio al que se accede o del mensaje que se recibe sea legítima, lo que es en sí un problema dificil de resolver dejandolo en manos de los usuarios.

Para iniciar, no siempre es algo facil de comprender. Por ejemplo, en el caso de un sitio web de algun servicio, la forma de acceder es mediante la URLUniform Resource Locator-, que es el medio para encontrar recursos en internet, como pueden ser las páginas web, algunos ejemplos son:

  • Wikipedia: https://www.wikipedia.org
  • Naciones Unidas: https://www.un.org

Muchos, quizás más del 90 por ciento de los usuarios no escriben la URL de los servicios que utilizan en la barra del navegador… un momento ¿Sábes que existe y qué es verdad? Lo que hacen es escribir en el buscador, seguramente de Google la expresión Wikipedia o Naciones Unidas, que mostrará como resultado los links a páginas relacionadas con el término. Esto lo realizan a diario millones de personas para acceder a sus cuentas de banco, centros de estudio, tiendas en línea o redes sociales.

El riesgo es que uno de los links que muestra Google, apunte a un sitio de apariencia similar, pero que sólo es una imitación maliciosa, cuyo objetivo es que el víctima introduzca su usuario y contraseña, para luego mostrale un mensaje distractor que informe que de momento la plataforma esta en mantenimiento y que lo intente más tarde… !! Para el usuario, ya es demasiado tarde !!

Más dificil, quizás imposible, es pretender que los usuarios puedan identificar que un mensaje de correo electrónico, con toda la apariencia de ser confiable, proviene de un remitente legítimo. Si lográ llegar a la bandeja de entrada de la víctima, posiblemente llamará su atención y si esta bien diseñado el ataque, seguramente realizará acciones que son útiles para el atacante.

¿Cómo esta Guatemala respecto del Phishing?

Guatemala se encuentra muy rezagada en materia de Ciberseguridad. Recientemente la Unión Internacional de Telecomunicaciones publicó el Índice Global de Ciberseguridad 2020. El país se ubica a nivel mundial en el puesto 150 de 182 países y con una calificación de 13.3 puntos de 100, respecto del continente americano ocupa el puesto 26 de 35. Los resultados no son alentadores, lo que implica que existe poca institucionalidad que respalde a los guatemaltecos en materia de Ciberseguridad, lo que deber ser una razón de alerta para todo usuario.

El tema del Phishing, como muchos otros del mundo tecnológico no es sencillo, a pesar que aparenta serlo. La comodidad y conveniencia que ofrecen las diveras plataformas digitales que se utilizan a diario, afectan en gran medida la seguridad, lo que dificilmente es captado y comprendido por los usuarios. Es importante aclarar que no es un tema exclusivo de la banca, pero es un sector de mucho interés para quienes realizan este tipo de ataques.

Extraoficialmente se rumora de muchos casos de Phishing en instituciones bancarias, que han afectado a los usuarios, que han sufrido estáfas y pérdidas financieras que dificilmente logran resolver. Entre los atacantes, que puedan estar en el país o en cualquier lugar del mundo y las instituciones bancarias, que dificilmente aceptan tener algun grado de responsabildid, los usuarios quedan desprotegidos, llegando en muchas ocasiones a tener que aceptar las pérdidas.

Algo positivo que esta ocurriendo es la publicación en medios y páginas de diversas instituciones privadas y públicas sobre el tema de Phishing y Cibersguridad en General. Todo usuario debe conocer los aspectos generales del tema y tomar sus precauciones, de lo contrario, corre el riesgo de aprenderlo de una forma muy dolorosa y posiblemente costosa.

Bibliografía

bookmark_borderChivo Wallet: expectativas y temores de la implementación del Bitcoin en El Salvador

Reading Time: 4 minutes

El 8 de junio de 2021, la Comisión Financiera de la Asamblea Legislativa de El Salvador emitió el tercer dictamen favorable al expediente 73-6-2021-1, que contiene la iniciativa presentada por el el presidente Nayib Bukele. El dictamen referido contiene antecedentes, ventajas del uso de la criptomoneda Bitcoin y dictamen del decreto presentado. Dentro de las ventajas del uso del Bitcoin, el documento establece:

  • Es una moneda global
  • Es una moneda divisible
  • Transacciones en tiempo real

Se señala que debido a que la moneda no esta regulada por ningun ente público o privado, es una oportunidad para que el país sea un referente en su utilización. Indica además que en el caso de El Salvador, no es una práctica nueva, ya que en el lugar conocido como Playa El Zonte, el uso del Bitcoin ha representado un mecanismo idoneo y efectivo para llevar a cabo prácticas comerciales, lo que puede mejorar la inclusión financiera de muchos ciudadanos . El documento concluye con la emisión del DICTAMEN FAVORABLE -en mayúsculas y negrilla-, lo que daria vida al Decreto No. 57, conocido como Ley Bitcoin.

La Ley Bitcoin esta compuesta de únicamente 2 capítulos y 16 artículos, que da a la criptomoneda la categoría de moneda de curso legal, con poder liberatorio, ilimitado en cualquier transacción y cualquier título que las personas naturales o jurídicas, públicas o privadas requiera realizar. Otras disposiciones básicas de la ley establecen:

  • El tipo de cambio entre Bitcoin y el Dolar sera establecido libremente por el mercado
  • Todo precio y contribuciones tributarias (impuestos), podrán ser expresados en Bitcoin
  • Las transacciones en Bitcoin no estan sujetas a impuestos de ganancia de capital
  • Todo agente deberá aceptar Bitcoin cuando así lo desee el consumidor, sin embargo, si es notorio que un proveedor de bienes o servicios no tiene acceso a la tecnología no será obligatorio.
  • Se crea un fideicomiso en el banco BANDESAL
  • La ley entra en vigencia el 7 de septiembre de 2021

El Reglamento

El 27 de agosto de 2021, se publicó el reglamento de la Ley Bitcoin emitido por el Ministerio de Economía, que entro en vigencia un días despues de la entrada en vigencia de la ley. El reglamento de tan solo 8 artículos, se emite para desarrollar, facilitar y asegurar la Ley Bitcoin. Algunos aspectos importantes del reglamento son:

  • Registro de Proveedores de Servicios de Bitcoin. Establece además normas de conducta para dichos proveedores.
  • Billeteras digitales para bitcoin ofrecidas por el Estado.

La billetera digital Chivo Wallet

La billetera digital para manejo del Bitcoin se denomina Chivo Wallet, una aplicación desarrollada por el Gobierno de El Salvador, que fue puesta para uso de los salvadoreños el 7 de septiembre de 2021 y con una carga inicial de 30 dolares equivalentes en Bitcoin. El término “Chivo” en el El Salvador es utilizado como sinónimo de “Bonito”, por lo que la idea que se vendió con la aplicación es una “Billetera bonita”.

La página del gobierno sobre la billetera digital aclara que el uso del bitcoin es opcional y nadie esta obligado a usarlo, que el dolar es la moneda de referencia del país para los precios, los salarios y los registros contables del país. Sin embargo, existe mucha información confusa en las redes y blogs de tecnología, lo que se agrava con lo establecido por el artículo 7 de la ley.

Antes de su entrada en vigencia las opiniones a favor y encontra del proyecto de la presidencia no se hicieron esperar. Luego de la entrada en vigencia de la ley y la habilitación de la aplicación, con más de medio millon de descargas, las fallas por una implementación apresurada y con poco análisis técnico salieron a la luz. El propio presidente reconoció las fallas, aceptando que nos pusimos un reto demasiado alto y cometimos errores. Por una parte esta bien aceptar la falla, pero no es aceptable por tratarse de recursos públicos ¿Habrá alguna consecuencia? Existen además otros señalamientos y preocupaciones sobre la el uso de Bitcoin y la aplicación:

  • Vulneración de privacidad y datos personales
  • Acceso a componentes del movil que no tienen relación con el uso de la aplicación (cámara, micrófono, etc.)
  • No hay garantía en materia de seguridad digital
  • Al ser centralizada, presenta muchos problemas de compatibilidad con diversas plataformas de teléfonos celulares
  • No hay posibilidad de comunicación con otras billeteras digitales. Importante: ¿Qué significa esto? ¿Es una plataforma exclusiva para el proyecto del gobierno?
  • No es clara la responsabilidad por fallas de la aplicación. Ver artículo 5 de los Términos y Condiciones del desarrollador (consultado el 08/09/2021).
  • Una encuesta realizada por UCA obtuvo los siguientes resultados de opinión de los salvadoreños
    • El 95.9% considera que el uso de Bitcoin debe ser voluntario
    • 7 de cada 10 consideran que la Ley Bitcoin debe ser derogada
    • 7 de cada 10 tienen una noción imprecisa sobre lo que es Bitcoin
    • 8 de cada 10 están poco o nada interesados en descargar la Chivo Wallet
    • 4 de cada 10 salvadoreños abondonarían el país si el uso del Bitcoin afecta su economía familiar

Las criptomonedas han fomentado un sinfín de negocios desde su popularización en 2009, creando un mercado de miles de millones de dolares a nivel mundial, sin embargo también han dado lugar a muchas estafas y problemas de credibilidad. Hay que tener claro que las criptomonedas no son en principio un medio de intercambio ordinario e idoneo, sobre todo por la volatilidad que experimentan y las complicaciones tecnológicas que su uso implica . Las dudas y riesgos de las criptomonedas, no implican que no puedan implementarse proyectos sobre su utilización, pero en mi opinión, debe ser de una forma menos agresiva y en entornos del tipo Sandbox, para evitar daños innecesarios a las personas y sus finanzas. Contrario a lo que sucede en el Salvador, la mayoría de paises que analizan el uso de criptomonedas, lo han considerado con muchas reservas y precauciones.

El proyecto del presidente salvadoreño es interesante, si tiene éxito será algo sin precedentes, sobre todo al tratarse de un país pequeño y con poco impacto en el sector financierio mundial. De fallar, que hay muchas apuestas por ese resultado, las consecuencias serán desastrozas. Por un lado los perdedores serán los usuarios y las finanzas gubernamentales, por el otro, los ganadores serán expertos en el mundo de la especulación financiera y el cibercrimen, quienes seguramente ven el ambiente como un botín a manos llenas.

Bibliografía

bookmark_borderT-mobile: fuga de datos y robo de identidad

Reading Time: 3 minutes

El 17 de agosto de 2021, el operador de red inalámbrica estadounidense T-Mobile confirmó un incidente de seguridad informática conocido como Violación de Datos, data breach en inglés. El ataque es el quinto que sufre este gigante de las telecomunicaciones en los últimos cuatro años, sin embargo, existen reportes de incidentes de seguridad informática desde el año 2009, siendo uno de los más recordados el nombrado Sidekick Data Loss.

En esta ocasión, el ataque que sufrió T-mobile sorprende por la cantidad de usuarios afectados por la filtración de datos privados. El ataque salió a la luz cuando se supo de la venta de la base de datos con información de 100 millones de usuarios de T-Mobile en la Dark Web, lo que levanto las alarmas en diversos sectores de ciberseguridad y la propia compañia. Un aspecto preocupante e interesante del incidente es que la información incluye registros desde el año 2004, que incluye números telefónicos, nombres, PIN de seguridad, fecha de nacimiento, seguro social y licencia de conducir.

El ataque ha sido reconocido por John Binns, un joven de 21 años, ciudadano norteaméricano de descendencia turca, quien actualmente reside en Turquia y que, según sus propias declaraciones, realizó el ataque en represalia por el secuestro y tortura que sufrió a manos de agencias de Estados Unidos. Indica que inició la infiltración a la infraestructura de T-Mobile en julio, logrando detectar un servidor vulnerable que le permitió con herramientas básicas y disponibles en la red, acceder y analizar el data center compuesto de más de 100 servidores de la compañia ubicado en Washington. El atacante también indicó que la seguridad en la infraestructura tecnológica de T-Mobile es muy mala, ya que no le fue muy dificil lograr infiltrarse en la red, además, la información se encontro en texto plano, incluyendo la de años anteriores, es decir, registros que ya no estan en uso. La compañia publicó un comunicado aceptando su responsabilidad y ofreciendo mejorar sus políticas de ciberseguridad.

¿Por qué tanto escándalo?

Muchas veces las personas no comprenden el impacto y el peligro de este tipo de incidentes. El experto en ciberseguridad Steve Gibson, denominó a la información contenida en la base de datos como Las llaves del reino de la identidad. Con dichos datos es posible realizar estafas o fraudes mediante el robo de identidad, que permite al delincuente solicitar créditos o servicios en nombre de terceros, que afectan la reputación de las víctimas y pueden llegar a generar daños importantes en sus finanzas.

A partir de la nueva normalidad que vive el mundo, los casos de robo de identidad se han incrementado exponencialmente. La Comisión Federal del Comercio (FTC) publicó en febrero de 2021, un artículo en el que se informa que durante el año 2020, la Comisión recibió apróximadamente 1.4 millones de reportes sobre robo de identidad, el doble de lo que recibió en 2019. Las solicitudes fraudulentas de ayuda gubernamental por desempleo subieron de 12,900 en 2019 a 394,280 en 2020, si !! 2956.43 % de incremento !!

El robo de identidad no es exclusivo de Estados Unidos. Es un mal que silenciosamente se expande por todo el mundo y que no es del todo conocido o comprendido por las personas. Es común escuchar decir a los usuarios que su información no es importante, que no exista razón para precuparse por que sus datos sean conocidos por terceros, sin embargo, incidentes como el de T-Mobile ponen en rojo las alarmas y es necesario tomar precauciones.

Bibliografía