28 feb. 2020

La Comisión Europea (también) pide no usar WhatsApp a sus empleados

La ONU prohibió el uso de la app de mensajería a sus empleados en enero. Y parece que la UE le va a seguir.

La Comisión Europea tampoco quiere WhatsApp

En diciembre de 2018 por ejemplo, la firma de ciberseguridad Area 1 Security encontró que miles de telegramas diplomáticos habían sido descargados del sistema COREU de la UE, usado por gobiernos nacionales e instituciones de la UE para intercambiar información a diario sobre Política Exterior. En junio de 2019 se filtró que la delegación de la UE en Moscú había sufrido 2 años antes una brecha de ciberseguridad, con dos ordenadores hackeados para robar información diplomática.

Como leemos en el medio POLITICO, al parecer la Comisión Europea ha decidido que WhatsApp no es seguro, y por tanto ha enviado a todos sus trabajadores un comunicado en el que se les pide que dejen de usar WhatsApp y se pasen a otra app de mensajería, Signal. Según Politico, la orden ha sido emitida a través de la mensajería de los canales internos de la UE, señalando que "Signal ha sido elegida como la aplicación recomendada para la mensajería pública instantánea".

Más segura y de código abierto

Fundada en 2013 y con unos 10 millones de usuarios al mes, Signal es una aplicación de mensajería instantánea apoyada por Brian Acton, cofundador de WhatsApp y quien abandonó la empresa en 2018, y que está basada en un código abierto, por lo que cualquiera puede comprobar cómo funciona, a diferencia de WhatsApp, que aunque está basada en el mismo protocolo -Open Whisper Systems-, no es de código abierto.

El uso de Signal está siendo recomendado para comunicaciones entre el personal de la UE y la gente que no trabaja dentro de la Comisión Europea, por lo que la UE deja claro que tampoco apoya otras aplicaciones de mensajería como Telegram o el iMessage de iOS y Apple.

La ONU prohibe el uso de WhatsApp

Esta decisión de la UE precede a la tomada por la ONU en 2019. Aquí os contamos en detalle el hackeo del móvil de Bezos a través de WhatsApp, que tuvo implicaciones al más alto nivel de esferas políticas como la de Arabia Saudí. La investigación levada a cabo por expertos de la ONU derivó en una nueva y tajante política de las Naciones Unidas: Prohibir a sus oficiales el uso de WhatsApp para comunicarse, ya que “no es compatible como mecanismo seguro”.

Según el representante de la ONU, Farhan Haq, la directiva se hizo oficial entre los oficiales de la ONU en junio de 2019, hace más de medio año: "Los oficiales senior de la ONU han recibido instrucciones de que no usaran WhatsApp".

Fuente: Politico.eu

Presuntos narcotraficantes liberados por un ransomware

Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden.

La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos, dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada.

Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de cocaína, venta de narcóticos, fabricación de narcóticos y entrega de narcóticos, entre otros.

Casos anteriores

Sin embargo, aunque el incidente del ransomware de la policía de Stuart se ve mal, no es un caso aislado. Las infecciones por ransomware han estado causando estragos en los EE. UU. Durante los últimos cuatro años, y lo que sucedió en Stuart también sucedió en otros lugares, y otros departamentos de policía perdieron pruebas cruciales de los casos o interrumpieron sus actividades de manera severa.

Los incidentes pasados ​​más notables incluyen:
Fuente: ZDNet

Demuestran como robar autómoviles de lujo en segundos, mediante Relay Attack

Los últimos avances tecnológicos permiten fabricar coches cada vez más conectados y seguros. Sin embargo, los ladrones también actualizan sus herramientas para que actúen sobre los puntos débiles de los sistemas de cierre a distancia de los nuevos modelos. Así, sustraer un coche es para ellos un acto cada vez más rápido y sencillo.

Buscando prevenir ataques en el futuro, en 2015, los investigadores Miller y Valasek mostraron en Las vegas este tipo de ataques con Chrysler. Aunque sólo habían probado sus trucos de hacking en el Jeep Cherokee, afirmaban que los ataques podían hacerse en cualquier vehículo Chrysler con el sistema Uconnect. De hecho, algunos expertos aseguran que cualquier vehículo moderno puede ser vulnerable a este tipo de ataques, gracias a la avanzada electrónica que se encuentra en la mayoría de los vehículos. En 2017, lo volvieron a mostrar con Mercedez Benz.

Ahora, alguien de Canadá lo demuestra (de nuevo) en un vídeo y además vende el dispostivo. En las imágenes se ve como roba (es una demostración) un Jeep Grand Cherokee (de nuevo) y lo fácil que le resulta acceder al interior del coche sin necesidad de dañarlo. Para conseguirlo utiliza un inhibidor de frecuencia y un generador de códigos avanzado, que él mismo ha fabricado.
Motherboard obtuvo un video de EvanConnect, alguien que vende repetidores sin llave que pueden usarse para entrar y robar autos de lujo. El atacante muestra el inhibidor que va a utilizar, el cual presenta un tamaño similar al de un teléfono móvil, y que tiene una antena adosada.

Al pasar el inhibidor cerca de la puerta, el cierre se desbloquea como por arte de magia, y el hacker puede acceder sin más problema al interior del vehículo. Una vez sentado en el asiento utiliza el mismo inhibidor para desbloquear el botón de arranque. Y toda esta operación la ha realizado sin ninguna otra herramienta.
El video muestra un ataque de relay que este sistema es capaz de captar e inhibir frecuencias entre los 22 y los 40 hertzios de un mando a distancia de un vehículo. De este modo, los coches que podrían ser robados con esta técnica son modelos premium como el Jeep del vídeo. Evan dice que "los repetidores sin llave no son caros de hacer. Pero las personas que desean usar estos dispositivos pueden no tener el conocimiento tecnológico para construir los suyos".

Fuente: La Vanguardia

27 feb. 2020

Apple decide acortar la vida de los certificados a 398 días

Apple anunció esta semana que la vida útil máxima de los certificados TLS confiables en sus dispositivos y el navegador Safari se limitará a 398 días (aproximadamente un año y un mes). El cambio, unilateralmente anunciado por Apple en la reunión de CA/Browser Forum en Bratislava, Eslovaquia, estará vigente para los certificados emitidos después del 31 de agosto de 2020.

Utilizado como la base de la autenticación HTTPS, hace poco más de una década, los registradores de dominios vendían certificados SSL/TLS que tenían una validez de entre 8 y 10 años. En 2011, un nuevo organismo llamado Foro de Navegadores de la Autoridad de Certificación (CA/Browser Forum), que incluía a todos los grandes fabricantes de navegadores, decidió que esto era demasiado largo e impuso un límite de cinco años. Luego, en 2015, el límite de tiempo se redujo a tres años, seguido de una nueva caída en 2018 a solo dos años.

Recientemente este tema se ha discutido y votado varias veces en el Forum. Los navegadores querían que fuese de como máximo un año. Las CAs no. Ahora Safari dice que marcará como inválidos los certificados de más de un año a partir de septiembre de 2020. El anuncio de Apple se realiza después votación del Foro CA/B sobre certificados (ballot SC22), celebrada en agosto de 2019, y refleja una tendencia continua hacia una vida útil más corta de los certificados.

Los principales actores de internet y las CAs votaron en septiembre de 2019 si se debía reducir (aún más) el tiempo de vida de los certificados TLS/SSL obligando a que tengan un tiempo de vida máximo. El resultado fue (de nuevo) no. Un 35% votó a favor de la reducción: Entre ellos, Google, Cisco, Apple, Microsoft, Mozilla, Opera y Qihoo360. El resto (sobre todo las CAs) votaron en contra, con lo que seguimos oficialmente con los 825 días como máximo de tiempo de vida de los certificados.

Pero esta semana en el CA/B Forum de Bratislava, Apple anunció que su máximo serán 398 días. Así sin más, sin aviso ni declaraciones al respecto. A partir del 1 de septiembre, marcará como no confiables los certificados creados a partir de esa fecha y cuya vida sea de más de 398 días. ¿Arrastrará esto al resto de navegadores? ¿A la industria en general? Safari, gracias a iPhone, tiene un 17% de mercado, con lo que cuenta con la suficiente popularidad como para empujarlo.

Fuente: SSL

KrØØk: vulnerabilidad afecta el cifrado de más de mil millones de dispositivos Wi‑Fi

Investigadores de ESET publicaron un whitepaper denominadado KrØØk – CVE-2019-15126: Serious vulnerability deep inside your Wi-Fi encryption [PDF] en el cual reportaron el hallazgo de una vulnerabilidad en múltiples chips WiFi. Este artículo resume lo más importante de este documento escrito por los investigadores Miloš Čermák, Robert Lipovský y Štefan Svorenčík.

Este fallo de seguridad severo provoca que los dispositivos vulnerables usen una clave de cifrado all-zero para cifrar parte de la comunicación del usuario. En un ataque exitoso, esto permite que un adversario descifre algunos paquetes de red inalámbrica transmitidos por un dispositivo vulnerable. KrØØk afecta a dispositivos con chips Wi-Fi de Broadcom y Cypress que aún no han sido parcheados. Estos son los chips Wi-Fi más comunes utilizados en dispositivos con capacidad de Wi-Fi contemporáneos, como smartphones, tabletas, computadoras portátiles y gadgets IoT.

No solo los dispositivos cliente, sino también puntos de acceso Wi-Fi y routers con chips Broadcom se vieron afectados por la vulnerabilidad, lo que hace que muchos entornos con dispositivos cliente no afectados o ya parcheados sean vulnerables de todos modos.

Nuestras pruebas confirmaron que antes de lanzarse el parche algunos dispositivos así como algunos puntos de acceso de Asus y Huawei, eran vulnerables a KrØØk.
  • Amazon Echo 2nd gen
  • Amazon Kindle 8th gen
  • Apple iPad mini 2
  • Apple iPhone 6, 6S, 8, XR
  • Apple MacBook Air Retina 13-inch 2018
  • Google Nexus 5
  • Google Nexus 6
  • Google Nexus 6S
  • Raspberry Pi 3
  • Samsung Galaxy S4 GT-I9505
  • Samsung Galaxy S8
  • Xiaomi Redmi 3S
  • Asus RT-N12
  • Huawei B612S-25d
  • Huawei EchoLife HG8245H
  • Huawei E5577Cs-321
Esto involucra a más de mil millones de dispositivos con capacidad de Wi-Fi y puntos de acceso, en una estimación conservadora. Además, muchos otros proveedores, cuyos productos no probamos, también usan los conjuntos de chips afectados en sus dispositivos.

La vulnerabilidad afecta a los protocolos WPA2-Personal y WPA2-Enterprise con cifrado AES-CCMP.

KrØØk está relacionado con KRACK (Key Reinstallation Attacks), descubierta en 2017 por Mathy Vanhoef, pero también fundamentalmente diferente. Al comienzo de nuestra investigación descubrimos que KrØØk era una de las posibles causas detrás de la "reinstalación" de una clave de cifrado all-zero que fue observada en pruebas de ataques KRACK. Esto siguió a nuestros hallazgos previos de que Amazon Echo era vulnerable a KRACK.
Revelamos responsablemente la vulnerabilidad a los fabricantes de chips Broadcom y Cypress, quienes posteriormente lanzaron actualizaciones durante un período de divulgación extendido. También trabajamos con el Consorcio de la Industria para el Avance de la Seguridad en Internet (ICASI) para garantizar que todas las partes potencialmente afectadas, incluidos los fabricantes de dispositivos afectados que usan los chips vulnerables, así como cualquier otro fabricante de chips posiblemente afectado, conozcan KrØØk.

Según nuestra información, los parches para dispositivos de los principales fabricantes ya se han lanzado. Para protegerse, como usuario, asegúrese de haber instalado las últimas actualizaciones disponibles para sus dispositivos con capacidad Wi-Fi, incluidos teléfonos, tabletas, computadoras portátiles, dispositivos IoT y puntos de acceso y routers Wi-Fi. Como fabricante de dispositivos, consulte directamente con su fabricante de chips sobre los parches para la vulnerabilidad KrØØk.

Estos hallazgos se presentaron públicamente por primera vez en la Conferencia RSA 2020.

Fuente: WeLiveSecurity

Delincuentes podrían publicar información robada de Pemex y otras empresas

Todo parece indicar que la brecha de seguridad de Pemex del mes de noviembre dará para mucho de qué hablar. Los operadores del ransomware DoppelPaymer han anunciado que crearán un sitio web especial para "avergonzar" a las víctimas de sus ataques que no pagaron por el rescate obtenido por los perpetradores del ataque. El sitio que está en pruebas ya tiene los nombres de cuatro empresas de las cuales de tres se tienen "pocos archivos", pero que de Pemex, se dice, tienen una "gran cantidad de información todavía sin clasificar".

La información obtenida por Bleeping Computer, en donde han tenido comunicación directa con los operadores de DoppelPaymer, los atacantes que se hicieron con información de Pemex, y que pidieron un rescate de 5 millones de dólares por ella. En su momento Pemex negó que el ciberataque ocurriera, y dijo que habría desconexiones en computadoras de la paraestatal "debido a actualizaciones informáticas". Un día después confirmó el ciberataque pero dijo que solo habría afectado al 5% de computadoras, y posteriormente el presidente de la república aseguró que "no fue nada grave".

El rescate por la información obtenida de servidores internos y luego encriptada para que sus usuarios ya no pudieran acceder a ella, tendría que pagarse antes del 30 de noviembre, advirtieron los operadores de DoppelPaymer.

Dopple Leaks

El sitio se llama Dopple Leaks y se podría acceder a él a través de Tor. El sitio tiene en su descripción:
Debajo podrás encontrar información privada de compañías que fueron hackeadas por DoppelPaymer. Estas compañías decidieron mantener la filtración en secreto. Ahora su tiempo de pagar se ha terminado.
DoppelPaymer asegura que la cantidad de información obtenida de Pemex es mucha más que la obtenida de las otras tres empresas de las que subirán información. De ahí que el rescate pedido haya sido mucho mayor en comparación. A una empresa mercantil de Estados Unidos se le habrían pedido 150.000 dólares, a un servicio de almacenamiento en nube francés 330.000 dólares, a una empresa de logística y suministros de Sudáfrica 500.000 dólares, y a Pemex, según lo dicho, 4,9 millones de dólares.
DopplePaymer seguirá comprometiendo redes privadas de empresas, firmas privadas y dependencias gubernamentales. De cumplir la amenaza se sabrá si en efecto la magnitud del ciberataque "no fue tan grave"; pero si algún documento se ha obtenido, querría decir que el posicionamiento de Pemex sobre que el ciberataque "no próspero" no fue del todo preciso.

Fuentes internas señalaron en noviembre a diversos medios que las afectaciones continuaron al interior de Pemex días después del ciberataque. Para el final del mes se reportó que Pemex estaría migrando de Windows a Ubuntu luego del episodio con ransomware, sistema operativo que desde luego no está libre de vulnerabilidades.

Fuente: Xataka

26 feb. 2020

Investigadores y usuarios afirman que existen vulnerabilidades que Paypal no soluciona

El éxito de PayPal como uno de los métodos de pago y transferencia de dinero más usados en Internet se debe tanto a su sencillez de uso como a su seguridad. En este sentido, PayPal presume de aceptar y premiar los descubrimientos de los hackers que intentan buscar fallos en su plataforma.

Sin embargo, dos casos recientes han revelado que en realidad PayPal podría no estar escuchando a estos expertos en seguridad; y las consecuencias pueden ser desastrosas.

Esta semana Forbes advierte a los usuarios de una nueva táctica para robar dinero en las cuentas de PayPal, aprovechándose de una vulnerabilidad que la compañía supuestamente ya conocía. Todo empezó el pasado febrero de 2019, cuando el investigador Markus Fenske descubrió una vulnerabilidad en la manera en la que la app de PayPal realizaba pagos usando el chip NFC de nuestro smartphone. Inmediatamente, contactó con la compañía a través de la plataforma HackerOne, pero su sugerencia fue rechazada; fue sólo después de "varias discusiones" que PayPal aceptó pagar 4.400 dólares por el descubrimiento del bug.

Varios usuarios alemanes de PayPal afirman haberse encontrado con transferencias fradulentas desde su cuenta a tiendas estadounidenses; estos pagos pueden ser de hasta 1.000 € por cada transacción, pero según los investigadores no hay límite en la cantidad de dinero y operaciones que se pueden realizar con esta vulnerabilidad. Para retirar dinero de nuestra cuenta de esta manera, sólo es necesario que el atacante esté cerca de nuestro móvil. El problema se encuentra en la manera en la que PayPal implementó los pagos por NFC; cuando queremos pagar en un punto de venta, por ejemplo.

Como el punto de venta espera una tarjeta, la app crea una "tarjeta de crédito virtual", que sirve de interfaz hacia la cuenta de PayPal. El fallo está en que esta tarjeta virtual no solo puede ser usada para pagos presenciales, sino también para pagos online; y en este último caso, los únicos datos necesarios son el número de la tarjeta y su fecha de caducidad. Ni el CVC como el nombre del titular son necesarios.

Un atacante tiene dos opciones; puede obtener el número de la tarjeta y la fecha de caducidad acercando un lector NFC al móvil, por ejemplo. Pero es incluso más probable que eso no sea necesario, y que sea posible adivinar los números de la tarjeta simplemente probándolos todos.

Estos ataques de "fuerza bruta" normalmente no funcionan porque es necesario dar datos como el CVC o el nombre del titular para realizar un pago con tarjeta de crédito; pero en el caso de la app de PayPal, sólo con adivinar el número es suficiente. No solo eso, sino que el número generado por la app no es aleatorio, y los primeros dígitos siempre se repiten, lo que simplifica mucho las cosas.

Tanto, que es posible que uno o varios atacantes lo esté aprovechando para vaciar las cuentas de los usuarios. Además, también cabe la posibilidad de que Google Pay esté involucrada, ya que algunas de las víctimas habían asociado su cuenta de PayPal con la de Google para hacer compras en su móvil Android.

Ante estos problemas, PayPal ha explicado que "rápidamente abordamos y solucionamos el problema, que afectó a un número muy pequeño de clientes de PayPal que usaban Google Pay en Alemania. En ningún momento se vio comprometida ninguna información personal y financiera y tampoco se accedió a ninguna cuenta de PayPal por parte de terceros. Dicho esto, siguiendo nuestra política habitual, le comunicamos también que PayPal reembolsará cualquier transacción no autorizada a los clientes afectados". De la misma manera, Google ha elogiado a PayPal por la "rápida acción", sin hacer mención a los doce meses que habrían pasado entre el descubrimiento del bug.

Este no es el único problema similar descubierto en PayPal sólo este mes. La semana pasada los investigadores de CyberNews sorprendieron al afirmar que habían descubierto seis vulnerabilidades en PayPal; pero que lejos de agradecérselo, la compañía les castigó. En vez de aceptar que las vulnerabilidades existen, PayPal otorgó puntuaciones negativas a los investigadores en la plataforma HackerOne; por lo que su reputación se ha visto dañada y pueden no ser tenidos en cuenta en futuros descubrimientos.

Fuente: El Español

Crypto AG: la máquina espía Suiza/CIA utilizada para coordinar el Plan Cóndor

Al raíz del caso de la empresa Crypto AG, se conoció que sus máquinas de encriptación fueron utilizadas por regímenes militares en Sudamérica para llevar a cabo sus planes de desapariciones y ejecuciones sumariales.
El general chileno Augusto Pinochet y su colega argentino Jorge Rafael Videla.
En los últimos días, se destapó un entramado de espionaje que reveló cómo los servicios de inteligenciade los gobiernos de EE.UU. y Alemania espiaron durante décadas las operaciones de cerca de 100 países, mediante un dispositivo de encriptación que producía la empresa suiza Crypto AG.

El escándalo fue develado por el diario The Washington Post y la cadena de televisión alemana BDZ.

Sin embargo, gracias al Archivo de Seguridad Nacional, adscrito a la Universidad George Washington, también se conoció que los regímenes militares que controlaron varios países de Sudamérica en las décadas de 1970 y 1980, y que orquestaron la llamada Operación Cóndor, ut

Utilizaban las máquinas de Crypto AG para comunicarse entre ellos.

La Operación Cóndor fue un plan de inteligencia coordinada entre los gobiernos de facto que se instauraron en países del Cono Sur - principalmente Argentina, Chile, Paraguay, Uruguay y Brasil - a finales de la década de los 70. Tenía como objetivo la represión de los miembros de grupos opositores, conllevando la vigilancia, tortura y traslado entre países de miles de personas, muchas de las cuales fueron víctimas de desapariciones forzadas.

A la red de comunicaciones que estuvo detrás esta coordinación regional entre los regímenes militares se la conoció como "Condortel". "Aunque en el papel comenzó en 1975, la red comenzó a ser utilizada en 1976 para rastrear a las personas que habían buscado refugio en Buenos Aires, que para ese entonces era el último rincón democrático en el Cono Sur hasta el golpe de ese año", le dijo a BBC Mundo, Carlos Osorio, coordinador del proyecto de documentación del Cono Sur del Archivo de Seguridad Nacional.
La compañía suiza Crypto AG fabricó máquinas que nutrieron de información secreta de otros gobiernos a la inteligencia estadounidense y alemana.

Condortel

Habría que remontarse a noviembre de 1975. Según los documentos revelados por el Servicio Nacional de Archivos de EE.UU., en esa fecha y en Santiago de Chile, los responsables de cinco regímenes militares en Sudamérica firmaron un acuerdo para emplear un sistema de encriptación de las comunicaciones.

Dicho sistema iba a estar "disponible para los países miembro en los siguientes 30 días, con el entendimiento de que podría ser vulnerable" y el compromiso de que sería "reemplazado en el futuro con máquinas criptográficas que serán elegidas de acuerdo común", reza el texto del acuerdo firmado.

"Esas eran máquinas muy apreciadas en esos años y los militares las tenían para comunicarse y utilizarlas principalmente en el seguimiento de los refugiados que habían huido de los países que estaban bajo estos regímenes", señaló Osorio. "Primero las utilizaron para seguir a las personas en Sudamérica, pero pronto comenzaron a buscar personas en Reino Unido, España e Italia", añadió.

Tras una segunda reunión en junio de 1976, la Agencia Central de Inteligencia Estadounidense (CIA, por sus siglas en inglés) informó que Brasil había aceptado "proporcionar equipamiento para 'Condortel'" , que provendría de la suiza Crypto AG.

Crypto AG era una empresa fundada en los años 30 por el inventor sueco Boris Hagelin, que en los años 50 fue adquirida secretamente por la CIA y la BND ( Bundesnachrichtendienst , la agencia federal de inteligencia del gobierno de Alemania Occidental).

Esa primera máquina del Condortel , comprada directamente a Hagelin, era una CX52 y su descripción establecía que era "similar en apariencia a una vieja caja registradora que tiene números, manijas deslizantes y un dial operado manualmente a un lado que se gira después de cada entrada".

El sistema funcionaba mediante la codificación de archivos secretos de inteligencia que se compartían para coordinar acciones conjuntas entre países. Las investigaciones hechas por el Washington Post y el Archivo de Seguridad Nacional no precisan las acciones para las que el sistema Condortel fue utilizado.

Sin embargo, sí revelan que la CIA pudo obtener de esta manera detalles de operaciones como el golpe militar de 1973 en Chile o el de 1976 en Argentina; el asesinato del excanciller chileno Orlando Letelier en Washington en 1976, la revolución sandinista en Nicaragua o la guerra de Malvinas que enfrentó a Argentina con el Reino Unido.

"Ahora esperamos que la CIA desclasifique estos documentos, para tener certeza de varios hechos. Por ejemplo, sabemos que la Operación Cóndor es responsable de la muerte de Orlando Letelier", dijo Osorio. "Y tenemos información de que hay mensajes cifrados entre la Dima (Inteligencia chilena) y los militares paraguayos", añadió.

La operación Cóndor fue un plan de colaboración entre cinco regímenes militares que fueron responsables de la muerte y desaparición de miles de personas en Sudamérica. Además, en un archivo dado a conocer como parte de la investigación, se señala que el sistema tuvo varias actualizaciones. Una de ellas ocurrió en 1977 y fue hecha por el gobierno argentino con la compra de un nuevo dispositivo "para mejorar la seguridad de sus comunicaciones a través del teletipo".

Otra tuvo lugar en 1978, cuando se incluyó dentro de la red a las fuerzas armadas de Ecuador.

El papel de EE.UU.

Sin embargo, muchos de los representantes de esos gobiernos desconocían la relación entre Crypto AG y la CIA, señala la investigación. Así, la empresa suiza no solo hacía millones de dólares con la venta de sus dispositivos -los vendieron a alrededor de 100 países y los únicos que no los compraron fueron la Unión Soviética y China, que rechazaban la conexión de la marca con Occidente-, sino que obtenían datos cifrados a los que de otra manera les hubiera sido imposible acceder.

Según el informe del Post, los agentes de la CIA anotaron en aquella época sus preocupaciones por la violación de derechos humanos que ocurrían en el sur del continente, pero el gobierno de EE.UU. señaló en dichos documentos que ellos estaban más "intranquilos" por las muertes fuera de las fronteras de estos países sudamericanos que por lo que ocurría dentro.

"Siempre se sospechó sobre la participación de EE.UU. y el saber, el conocer la situación, es una forma de participación", señaló Osorio. "Esta es la confirmación de esa sospecha", explicó.
Otro de los señalamientos que se desprenden de la investigación es la falta de acción por parte de los gobiernos estadounidenses de entonces frente a los regímenes militares que hacían parte de la Operación Cóndor.

"Las revelaciones en estos documentos tal vez nos permitan preguntarnos por qué EE.UU. no intervino cuando se estaban cometiendo estas atrocidades o, al menos, por qué no las expuso ante la opinión pública mundial", señalaron los periodistas Greg Miller y Peter Mueller, del Washington Post.

El diario subrayó que los productos de Crypto AG se siguen empleando en más de una decena de países y su logotipo, en color naranja y blanco, todavía se exhibe en lo alto de la sede de la marca en Zug, Suiza, aunque la compañía fue liquidada y desmantelada en 2018 por sus inversores, a través de una empresa de Liechtenstein.

Dos empresas compraron casi todos los activos de Crypto AG: CyOne Security y Crypto International , que controla la marca y el negocio internacional de la antigua compañía.

Ambas han insistido en que en la actualidad no tienen conexión alguna con ningún servicio de inteligencia, aunque CyOne tiene al mismo director ejecutivo que tuvo Crypto AG durante las casi dos décadas que fue propiedad de la CIA.

Fuente: BBC

Azure Sphere: SO de Microsoft orientado a IoT

Microsoft anunció hace dos años que trabajaba en un sistema operativo llamado Azure Sphere OS, destinado exclusivamente al Internet de las Cosas y enfocado en reforzar la seguridad de los 41.600 millones de dispositivos que se espera que la integren en 2025.

Pero si por algo destacó dicho anuncio fue por la base utilizada por Microsoft para desarrollar Azure Sphere OS: estaría basado en Linux, siendo así, en los más de 40 años de existencia de la compañía, el primer sistema operativo completo desarrollado por Microsoft dotado de un kernel Linux 'customizado' (por aquel entonces el subsistema Linux de Windows 10 aún no existía).

Brad Smith, presidente de Microsoft, explicó entonces que Windows, sencillamente "se quedaba grande" para un proyecto de este tipo (pese a que hace 6 años llegaron a acariciar la idea de un 'Windows on Devices'), y que la versatilidad de Linux lo convertía en la opción ideal para el mismo.

En estos dos años no ha habido demasiadas novedades con respecto a este proyecto... hasta hoy, cuando Microsoft ha anunciado por sorpresa que ya está disponible para el público, y que los clientes podrán empezar a registrarse en los próximos días.

Azure Sphere es una plataforma que integra tanto el sistema operativo Azure Sphere OS, como el servicio de seguridad basado en la nube Azure Sphere Security Service, así como hardware desarrollado específicamente para integrarse con ambos.

Este 'pack' de software y hardware está destinado a garantizar que los dispositivos IoT (un objetivo frecuente de los ciberdelincuentes, por su potencial como fuente involuntaria de big data) se conectan y comunican de forma segura, autenticando las conexiones y las actualizaciones de software para evitar ciberataques.

De hecho, el sistema operativo -que no se venderá por separado- se conectará automáticamente al servicio de seguridad y sólo podrá ejecutarse en un modelo de chips, los MediaTek MT3620, que saldrán a la venta por 8,65 dólares, un precio que incluirá las pertinentes actualizaciones del sistema operativo durante toda la vida útil del chip.

Además, Microsoft ofrecerá a los desarrolladores la opción de licenciar Visual Studio y los servicios de Azure IoT con el objetivo de permitirles desarrollar aplicaciones para Azure Sphere "de manera más eficiente", en palabras de Sam George, vicepresidente corporativo de Azure IoT.

Fuente: Genbeta | Windows Report

25 feb. 2020

Así funciona el reconocimiento facial

Pese a que hemos aceptado el reconocimiento facial con cierta normalidad, las implicaciones de esta tecnología son, como poco, inquietantes. Lo usas para desbloquear el teléfono móvil, es la tecnología que está detrás de esos filtros que te hacen más Kardashian, que te ponen nariz y orejas de perro o que te facilitan imaginar como serás en 30 años.

El reconocimiento facial es una de las revoluciones tecnológicas de la última década, presente en nuestro día a día pretende estarlo aún más, por ejemplo, siendo el añadido perfecto para las cámaras de vigilancia. ¿Estamos camino de un Gran Hermano? Estamos en 2020, no en 1984, pero parece que George Orwell se acercó bastante al concepto de mayor seguridad a cambio de menor privacidad.

Las cámaras se quedan con tu cara

China fue de los primeros países en utilizar el reconocimiento facial como aliado y salvaguarda de la seguridad en las calles. Allí, más de 300 millones de cámaras de seguridad, gracias a esta tecnología, detectan una cara entre una multitud en cuestión de segundos.

Aunque Estados Unidos cuenta con este sistema de detección en muchos de sus aeropuertos, en ciudades como San Francisco ha prohibido técnicas de reconocimiento facial para identificar a criminales, tal como acaban de hacerlo Oakland, Portland, Sommerville, entre otras. En España, donde no existe una legislación específica sobre reconocimiento facial, sí existe una legislación sobre protección de datos.

Alemania lo prohíbe para su policía y Francia en las instituciones educativas, mientras otras ciudades, como Londres, llevan el camino contrario. En concreto, la Policía Metropolitana londinense anunció a principios de año que la tecnología de reconocimiento facial en las calles ha superado la etapa de prueba previa y está lista para integrarse permanentemente en la vigilancia diaria de la ciudad.

Mientras, la Unión Europea planea discutir el tema anunciando una estrategia en materia de inteligencia artificial y datos para una transformación digital que sitúe en un lugar preferente a las personas. En este marco, la Comisión Europea presentó la semana pasada un Libro Blanco sobre la Inteligencia Artificial, con normas claras en ámbitos como la salud, el transporte o las actividades policiales, donde señala que los sistemas de IA deben ser transparentes y trazables, además de estar sometidos a una verificación humana.

El documento, en el que advierte a los países miembros sobre los riesgos que trae la videovigilancia masiva, contempla iniciar un debate sobre las circunstancias que podrían justificar el uso del reconocimiento facial para la identificación biométrica a distancia, que hoy en día sólo está autorizada en casos excepcionales, justificados y proporcionados. Bruselas, que también quiere que se discuta sobre las condiciones de esas excepciones, prevé un sistema de etiquetado voluntario en caso de que apliquen normas más estrictas para las aplicaciones de inteligencia artificial de menor riesgo.

No exento de generar ansiedades, el reconocimiento facial provoca polémica debido a sus implicaciones éticas y legales, una cosa es combatir el crimen y otra identificar manifestantes políticos. Los derechos humanos y la privacidad son las principales víctimas de este particular Gran Hermano. De nuevo se trata de sacrificar privacidad y libertades a cambio de aumentar la seguridad.

Para funcionar, el reconocimiento facial sólo necesita una cámara precisa y un software que, mediante algoritmos, es capaz de reconocer patrones en las facciones de la cara. Una imagen bidimensional o tridimensional crea una matriz de similitudes, un patrón que cotejar con una base de datos de cientos de miles de fotos. Aunque está en pleno desarrollo, ofrece ya mejores resultados que la biométrica por huella dactilar.

Tecnología del siglo XIX

La primera tecnología de reconocimiento facial fue ideada por el oficial de policía francés Alphonse Bertillon hace más de un siglo. A fines del XIX, Bertillon creó un método para identificar criminales en función de sus características físicas. Las fichas asignadas a cada persona incluían 11 mediciones físicas, retratos fotográficos estandarizados y una descripción física por escrito.

En la actualidad, el rostro humano está catalogado a una escala que Bertillon no podría haber imaginado. Un camino digital que comenzó en 1994, cuando el pionero en biométrica Joseph Atick, teorizaba sobre que las computadoras podrían algún día procesar información biológica, en concreto rostros.

La idea se basaba en la forma en la que el cerebro humano procesa la información visual en casos como la pareidolia, un fenómeno psicológico donde un estímulo vago y aleatorio es percibido erróneamente como una forma reconocible, básicamente sería el reconocer patrones faciales en objetos cotidianos como unas manchas en la pared (como las famosísimas caras de Bélmez), en el moho de una tostada o en los nudos de un árbol. Atick, junto a su equipo, pasó largas noches escribiendo un software que imitara este proceso. Más de 25 años después, los principios básicos de esta tecnología siguen siendo los mismos.

¿Y cómo funciona?

En primer lugar, aún no existe una aplicación que reconozca o identifique en una imagen a una persona (Sarah Connor puede respirar tranquila). Para el software no entrenado, una imagen facial sólo es un puñado de píxeles que convierte en valores numéricos en función de la intensidad y dirección de la luz y la sombra. A partir de aquí puede comenzar a identificar patrones que corresponden a rasgos faciales, cuencas oculares, narices, mandíbulas o mentones.

La forma que tiene el software de identificar una cara en concreto es a través de un conjunto de referencias o puntos concretos (suelen ser aproximadamente 68) cuya distancia entre ellos y configuración son distintos para cada persona, confiriendo patrones únicos como una huella digital. También existen otros métodos más modernos de identificación como el análisis de textura superficial que mapea y cataloga la textura de la piel, como si cartografiase cada poro y cada arruga de la cara.

Por ahora, el software sólo puede reconocer una cara cuando está de frente, pero esto se puede entrenar. Si se toman datos históricos de esa misma persona de perfil o en escorzo, escalando y rotando la cara, el programa puede aprender a ajustar las imágenes faciales que están orientadas de manera diferente. Esto es observable cualquier tarde tonta distrayéndose con los filtros de Instagram, estos se ajustan al rostro del usuario mueva o gire la cara. El límite es el perfil o los ángulos imposibles, entonces es cuando desaparece la magia del filtro y sólo queda la cruda realidad.

Retomando la parte más técnica, en un principio los algoritmos de reconocimiento facial se escribían manualmente, ahora esta titánica labor ha sido sustituida por el aprendizaje automático, aunque los humanos aún están involucrados en su revisión y supervisión (Skynet tendrá que esperar).

Necesita entrenamiento por humanos

¿Qué comen estos algoritmos? Caras. Sí, suena crudo, como una cata gastronómica con Hannibal Lecter o una reunión familiar con Saturno. Los técnicos que trabajan en esta tecnología alimentan las bases de datos (dónde el software compara patrones y aprende) con imágenes.

Un rasgo muy humano de esta tecnología es que, como todos, tiene sus preferencias. El reconocimiento facial siente debilidad por los hombres blancos, funciona mejor a la hora de reconocer patrones en este tipo de cara, pero por qué. Antes de tachar de racista a un pobre e imparcial software, echemos un vistazo a las bases de datos con las que se le ha entrenado. Ahí está la clave, muchos sistemas de reconocimiento facial se han adiestrado con conjuntos de datos que son principalmente blancos y masculinos.

Una investigación del Media Lab del MIT (Massachusetts Institute of Technology) expuso como la tecnología de reconocimiento facial tiene 'preferencias' raciales y de género porque los sistemas están parcializados por las bases de datos que contiene y las condiciones en las que se generan los algoritmos.

Para demostrar esto, la investigadora Joy Buolamwini estableció una base de datos de 1.270 caras usando rostros de políticos. Estas se seleccionaron según el ránking de paridad de género de su país, básicamente según el número de mujeres en oficios públicos. Buolamwini probó la precisión de los sistemas de Microsoft, IBM y una empresa china, Megvii.

Durante el experimento, los softwares identificaron con mayor precisión a los hombres que a las mujeres. Siendo mucho más precisos con las personas con pieles más claras. Investigaciones como estas exculpan a los sistemas informáticos, pero evidencian la necesidad de 'alimentar' las bases de datos con imágenes más diversas para evitar estos sesgos por raza y género.

Fuente: El Mundo