DeepFake: roban la voz de Stephen Fry con una IA

Stephen Fry, el clásico narrador de la saga de libros de "Harry Potter", asegura que una IA ha utilizado su participación en la saga para robar su voz.

Los pequeños artistas no son los únicos que se han visto afectados por la IA. Las malas prácticas de las compañías han llegado también hasta los grandes de la industria. Este es el caso de Stephen Fry, una de las voces británicas más reconocibles, y que además ha sido víctima de robo por parte de la inteligencia artificial.

Stephen Fry reveló al mundo este hecho durante el festival CogX, llevado a cabo en Londres, Inglaterra. Desde aquí, el actor reproducía ante sus seguidores un trozo de documental, narrado con su voz. Sin embargo, tras terminar, Fry se levantó y aseguró que ninguna de esas palabras había salido de su boca, y tampoco había dado su permiso para que alguien la usara. Tanto el actor como los asistentes del evento estaban igual de sorprendidos. Era culpa de la IA.

Según comenta Stephen Fry, los creadores de dicha inteligencia artificial habrían empleado su lectura de los siete libros de la saga Harry Potter para alimentarla y entrenarla. Después de eso, la ofrecieron al mercado para quien desease utilizarla en sus creaciones.

Recordemos que uno de los trabajos más ilustres de Stephen Fry en su larga trayectoria ha sido narrar los libros de Harry Potter en Reino Unido, pero él no ha dado permiso a nadie para utilizarla.

La situación asustó a Stephen Fry. Después de todo, y en sus propias palabras, "podrían hacerme leer cualquier cosa, desde una llamada a asaltar al parlamento hasta porno duro, todo ello sin mi consentimiento. Esto es solo audio", aseguró Fry tras llamar a sus agentes, quienes estaban igual de sorprendidos por la situación. "Lo que se escuchó no fue el resultado de una compilación, sino que proviene de una voz artificial flexible en la que las palabras se modulan de tal manera que corresponden al significado de cada oración. No tardará demasiado hasta que los vídeos deepfake sean igual de convincentes".

Esta situación vivida por Stephen Fry ha sucedido justamente cuando la industria de Hollywood está viviendo su mayor huelga en los últimos 60 años. Actores, guionistas, y muchos otros puestos de la industria cinematográfica han unido en la protesta por los bajos salarios, las condiciones actuales de trabajo y la utilización de la inteligencia artificial para abaratar costes de formas poco éticas.

Por su parte, el sindicato de actores SAG-AFTRA, del que Fry forma parte, asegura que algunos estudios han negociado crear copias digitales de actores de fondo. De esta forma, se pueden reutilizar en otras producciones sin ninguna compensación o consentimiento. Esto, por supuesto, no ha gustado a nadie.

Stephen Fry no es el primer actor de voz en sufrir los efectos de la IA. A mediados de 2022, un grupo de actores para comerciales confirmaron que una empresa había robado sus voces para utilizarlas en anuncios. Todo esto, por supuesto, sin consentimiento o retribución de ningún tipo. Una escena distópica donde las haya.

Fuente: HyperTextual

Seguir leyendo...

Cómo interpretar una evaluación MITRE Engenuity sobre proveedores de seguridad

Las pruebas exhaustivas e independientes son un recurso vital para analizar las capacidades del proveedor para protegerse contra amenazas cada vez más sofisticadas contra la organización. Y quizás ninguna evaluación sea más confiable que la evaluación anual MITRE Engenuity ATT&CK.

Esta prueba es fundamental para evaluar a los proveedores porque es prácticamente imposible evaluar a los proveedores de ciberseguridad en función de sus propias afirmaciones de desempeño. Junto con las verificaciones de referencias de proveedores y las evaluaciones de prueba de valor (POV), una prueba en vivo, los resultados de MITRE agregan información objetiva adicional para evaluar de manera integral a los proveedores de ciberseguridad.

A continuación analizaremos la metodología de MITRE para probar a los proveedores de seguridad contra amenazas del mundo real, y la empresa Cynet ofrece una interpretación de los resultados e identifica las principales conclusiones.

¿Cómo prueba MITRE Engenuity a los proveedores durante la evaluación?

La evaluación realizada por MITRE Engenuity prueba las soluciones de protección de end-points contra una secuencia de ataque simulada, basada en enfoques de la vida real adoptados por conocidos grupos de amenazas persistentes avanzadas (APT). La evaluación de 2023 probó 31 soluciones de proveedores emulando las secuencias de ataque de Turla, un sofisticado grupo de amenazas con sede en Rusia y conocido por haber infectado a víctimas en más de 45 países.

Una advertencia importante es que MITRE no clasifica ni califica los resultados de los proveedores. En cambio, los datos de prueba sin procesar se publican junto con algunas herramientas básicas de comparación en línea. Luego, los compradores pueden utilizar esos datos para evaluar a los proveedores en función de las prioridades y necesidades únicas de su organización. Las interpretaciones de los resultados por parte de los proveedores participantes son sólo eso: sus interpretaciones.

Entonces, ¿cómo se interpretan los resultados?

Ésa es una gran pregunta. Los resultados de la evaluación MITRE ATT&CK no se presentan en un formato al cual estemos acostumbrados a digerir. En general, los investigadores declaran "ganadores" para aligerar la carga cognitiva de determinar qué proveedores tienen el mejor desempeño. En este caso, identificar al "mejor" proveedor es subjetivo.

Una vez emitidas estas exenciones de responsabilidad, revisemos ahora los resultados para comparar y contrastar el desempeño de los proveedores participantes con respecto a Turla.

Resumen de resultados de MITRE ATT&CK

La visibilidad general es el número total de pasos de ataque detectados en los 143 subpasos. Cynet define la calidad de la detección como el porcentaje de subpasos del ataque que incluyen "detecciones analíticas: aquellas que identifican la táctica (por qué puede estar ocurriendo una actividad) o la técnica (por qué y cómo está ocurriendo la técnica).

MITRE permite a los proveedores reconfigurar sus sistemas para intentar detectar amenazas que pasaron por alto o mejorar la información que proporcionan para la detección. En el mundo real no podemos darnos el lujo de reconfigurar nuestros sistemas debido a una detección deficiente o fallida, por lo que la medida más realista son las detecciones antes de que se implementen los cambios de configuración.

Este análisis ilustra qué tan bien funciona una solución a la hora de detectar amenazas y proporciona el contexto necesario para que las detecciones sean procesables. Las detecciones omitidas son una invitación a una infracción, mientras que las detecciones de mala calidad crean trabajo innecesario para los analistas de seguridad o potencialmente provocan que se ignore la alerta, lo que nuevamente es una invitación a una infracción.

Fuente: THN

Seguir leyendo...

CISO Mindmap 2023 ¿Qué hacen realmente los profesionales InfoSec y CISOs?

La mayoría de las personas ajenas a la profesión de ciberseguridad no se dan cuenta ni aprecian plenamente la complejidad del trabajo de un profesional de la seguridad. Desde 2012, CISO MindMap de Rafeeq Rehman ha sido una herramienta educativa eficaz para comunicar las responsabilidades de los CISO y ha permitido a los profesionales de la seguridad diseñar y perfeccionar sus programas de seguridad.

Aquí está el CISO MindMap más reciente y actualizado para 2023/2024 con una serie de actualizaciones y nuevas recomendaciones para este año.

¿Qué ha cambiado?

Con el tiempo, las responsabilidades de los profesionales de la seguridad no hacen más que aumentar. ¿Por qué? La tecnología está cambiando rápidamente, trayendo nuevas formas de hacer negocios, la adopción continua de la nube y muchas tecnologías emergentes como el fenómeno ChatGPT con muchos proveedores trabajando en soluciones similares.

No sólo se "espera" que los profesionales de InfoSec comprendan profundamente estas tecnologías, sino que también brinden políticas/orientación sobre cómo protegerlas. Por este motivo, cada año encuentras cosas nuevas en el CISO MindMap. Como cada año, se agregan, cambian o eliminan pocas cosas del CISO MindMap dependiendo de su relevancia. Los artículos nuevos y modificados están marcados en color rojo para su comodidad.

Fuente y : Rafeeq Rehman

Seguir leyendo...

Apple parchea 3 nuevos Zero-Days para iOS, macOS, watchOS y Safari

Apple ha lanzado otra ronda de parches de seguridad para abordar tres fallas de Zero-Days explotadas activamente que afectan a iOS, iPadOS, macOS, watchOS y Safari, elevando a 16 el total de errores de día cero descubiertos en su software este año.

La lista de vulnerabilidades de seguridad es la siguiente:

• CVE-2023-41991: un problema de validación de certificados en el Security framework que podría permitir que una aplicación maliciosa omita la validación de firmas.
• CVE-2023-41992: una falla de seguridad en el Kernel que podría permitir a un atacante local elevar sus privilegios.
• CVE-2023-41993: una falla de WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web especialmente diseñado.

Apple no proporcionó detalles adicionales, salvo un reconocimiento de que "el problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.7".

Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:

• iOS 16.7 y iPadOS 16.7: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
• iOS 17.0.1 y iPadOS 17.0.1: iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación generación y posteriores, iPad mini de 5.ª generación y posteriores
• MacOS Monterey 12.7 y MacOS Ventura 13.6
• WatchOS 9.6.3 y WatchOS 10.0.1: Apple Watch Series 4 y posteriores
• Safari 16.6.1 - macOS Big Sur y macOS Monterey

A Bill Marczak, del Citizen Lab de la Escuela Munk de la Universidad de Toronto, y a Maddie Stone, del Grupo de Análisis de Amenazas (TAG) de Google, se les atribuye el mérito de descubrir e informar sobre las deficiencias, lo que indica que es posible que se haya abusado de ellos como parte de un software espía altamente dirigido a civiles, miembros de la sociedad que corren un mayor riesgo de sufrir amenazas cibernéticas.

La divulgación se produce dos semanas después de que Apple resolvió otros dos días cero explotados activamente (CVE-2023-41061 y CVE-2023-41064) que se habían encadenado como parte de una cadena de exploits de iMessage de Zero-Clic llamada BLASTPASS para implementar un software espía mercenario conocido. como Pegaso.

A esto le siguieron correcciones de envío de Google y Mozilla para contener una falla de seguridad (CVE-2023-4863) que podría resultar en la ejecución de código arbitrario al procesar una imagen especialmente diseñada.

Hay evidencia que sugiere que tanto CVE-2023-41064, una vulnerabilidad de desbordamiento de búfer en el marco de análisis de imágenes Image I/O de Apple, como CVE-2023-4863, un desbordamiento de búfer de montón en la biblioteca de imágenes WebP (libwebp), podrían referirse a el mismo error, según el fundador de Isosceles y exinvestigador del Zero Project de Google, Ben Hawkes.

Rezilion reveló que la biblioteca libwebp se utiliza en varios sistemas operativos, paquetes de software, aplicaciones Linux e imágenes de contenedores, destacando que el alcance de la vulnerabilidad es mucho más amplio de lo que se suponía inicialmente.

"La buena noticia es que el error parece haber sido parcheado correctamente en libwebp, y ese parche está llegando a donde debería ir", dijo Hawkes. "La mala noticia es que libwebp se utiliza en muchos lugares y podría pasar algún tiempo hasta que el parche alcance la saturación".

Fuente: THN

Seguir leyendo...

Exploit FALSO para WinRAR propaga troyano VenomRAT

Un delincuente está difundiendo un exploit de prueba de concepto (PoC) falso para una vulnerabilidad real WinRAR recientemente corregida en GitHub, intentando infectar a los descargadores con el malware VenomRAT.

El falso exploit PoC fue detectado por el equipo de investigadores de la Unidad 42 de Palo Alto Networks, quienes informaron que el atacante subió el código malicioso en GitHub el 21 de agosto de 2023. El código ya no está activo, pero una vez más resalta los riesgos de obtener PoC de GitHub y ejecutarlos sin un escrutinio adicional para garantizar que sean seguros.

Difundiendo el PoC de WinRAR

El PoC falso es para la vulnerabilidad real identificada como CVE-2023-40477. Esta vulnerabilidad permite ejecutar código arbitrario que puede activarse cuando se abren archivos RAR especialmente diseñados en WinRAR anteriores a la versión 6.23. WinRAR solucionó la falla en la versión 6.23, que se lanzó el 2 de agosto.

Un actor de amenazas que operaba bajo el nombre "whalersplonk" actuó rápidamente para aprovechar la oportunidad propagando malware bajo la apariencia de un código de explotación para la vulnerabilidad. El actor de la amenaza incluyó un resumen en el archivo README y un video que muestra cómo usar el PoC, lo que agregó más legitimidad al paquete malicioso.

Sin embargo, Unit 42 informa que el script Python PoC falso es en realidad una modificación de un exploit disponible públicamente para otra falla, CVE-2023-25157, una falla crítica de inyección SQL que afecta a GeoServer. Cuando se ejecuta, en lugar de ejecutar el exploit, se crea un BAT que descarga un script de PowerShell codificado y lo ejecuta en el host. Ese script finalmente descarga el malware VenomRAT y crea una tarea programada para ejecutarlo cada tres minutos. La URL desde donde se descarga el malware es checkblacklistwords[.]eu.

Una vez que VenomRAT se inicia en un dispositivo Windows, ejecuta un keylogger que registra todas las pulsaciones de teclas y las escribe en un archivo de texto almacenado localmente. A continuación, el malware establece comunicación con el servidor C2, desde donde se recibe comandos para ejecutar en el dispositivo infectado.

Como el malware se puede utilizar para implementar otras cargas útiles y robar credenciales, cualquiera que haya ejecutado este PoC falso debería cambiar sus contraseñas de todos los sitios y entornos en los que tenga cuentas.

La línea de tiempo de los eventos compartida por la Unidad 42 sugiere que el actor de amenazas preparó la infraestructura para el ataque y la carga útil mucho antes de la divulgación pública de la falla de WinRAR y luego esperó el momento adecuado para elaborar una prueba de concepto engañosa.

Esto implica que el mismo atacante podría, en el futuro, aprovechar la mayor atención de la comunidad de seguridad sobre las vulnerabilidades recientemente reveladas para difundir otras PoC engañosas sobre diversas fallas.

Las PoC falsas en GitHub son un ataque bien documentado en el que los actores de amenazas apuntan a otros delincuentes e investigadores de seguridad. A finales de 2022, los investigadores descubrieron miles de repositorios de GitHub que promovían exploits PoC fraudulentos para diversas vulnerabilidades, y varios de ellos implementaban malware, scripts de PowerShell maliciosos, descargadores de robo de información ocultos y Droppers de Cobalt Strike.

Más recientemente, en junio de 2023, atacantes que se hacían pasar por investigadores de ciberseguridad lanzaron varios exploits 0-Day falsos dirigidos a sistemas Linux y Windows con malware.

Fuente: BC

Seguir leyendo...

Microsoft filtra 38 TB de datos privados a través del almacenamiento no seguro de Azure

La división de investigación de IA de Microsoft filtró accidentalmente 38 terabytes de datos confidenciales a partir de julio de 2020 mientras contribuía con modelos de aprendizaje de IA de código abierto a un repositorio público de GitHub.

Casi tres años después, esto fue descubierto por la empresa de seguridad en la nube Wiz, cuyos investigadores de seguridad descubrieron que un empleado de Microsoft compartió sin darse cuenta la URL de un almacenamiento Azure Blob mal configurado y que contenía la información filtrada.

Microsoft vinculó esta exposición de los datos al uso de un token de firma de acceso compartido (Shared Access Signature - SAS) excesivamente permisivo, que permitía un control total sobre los archivos compartidos. Esta característica de Azure permite compartir datos de una manera que los investigadores de Wiz describen como difícil de monitorear y revocar.

Cuando se usan correctamente, los tokens de firma de acceso compartido (SAS) ofrecen un medio seguro para otorgar acceso delegado a los recursos dentro de su cuenta de almacenamiento. Esto incluye un control preciso sobre el acceso a los datos del cliente, especificando los recursos con los que puede interactuar, definiendo sus permisos con respecto a estos recursos y determinando la duración de la validez del token SAS.

"Debido a la falta de monitoreo y gobernanza, los tokens SAS representan un riesgo para la seguridad y su uso debe ser lo más limitado posible. Estos tokens son muy difíciles de rastrear, ya que Microsoft no proporciona una forma centralizada de administrarlos dentro del portal Azure", advirtió Wiz hoy.

"Además, estos tokens se pueden configurar para que duren efectivamente para siempre, sin límite superior en su tiempo de caducidad. Por lo tanto, usar tokens Account SAS para compartir externamente no es seguro y debe evitarse".

38 TB de datos privados expuestos a través del almacenamiento de Azure

El equipo de investigación de Wiz descubrió que, además de los modelos de código abierto, la cuenta de almacenamiento interno también permitía sin darse cuenta el acceso a 38 TB de datos privados adicionales.

Los datos expuestos incluían copias de seguridad de información personal de empleados de Microsoft, incluidas contraseñas de servicios de Microsoft, claves secretas y un archivo de más de 30.000 mensajes internos de Microsoft Teams procedentes de 359 empleados de Microsoft.

En un aviso del lunes del equipo del Centro de respuesta de seguridad de Microsoft (MSRC), Microsoft dijo que no se expusieron datos de clientes y que ningún otro servicio interno corría peligro debido a este incidente.

Wiz informó el incidente a MSRC el 22 de junio de 2023, que revocó el token SAS para bloquear todo acceso externo a la cuenta de almacenamiento de Azure, mitigando el problema el 24 de junio de 2023.

"Esta tecnología emergente requiere grandes conjuntos de datos para entrenar. Dado que muchos equipos de desarrollo necesitan manipular cantidades masivas de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar".

BleepingComputer también informó hace un año que, en septiembre de 2022, la empresa de inteligencia sobre amenazas SOCRadar detectó otro depósito de Azure Blob Storage mal configurado perteneciente a Microsoft, que contenía datos confidenciales almacenados en archivos con fecha de 2017 a agosto de 2022 y vinculados a más de 65.000 entidades de 111 países.

SOCRadar también creó un portal de búsqueda de fugas de datos llamado BlueBleed que permite a las empresas averiguar si sus datos confidenciales estuvieron expuestos en línea. Microsoft añadió más tarde que creía que SOCRadar "exageró enormemente el alcance de este problema" y "los números".

Fuente: BC

Seguir leyendo...

"Los automóviles son la peor categoría que hayamos revisado en cuanto a privacidad" [Mozilla] (y II)

 Es oficial: los automóviles son la peor categoría de productos que jamás hayamos revisado en cuanto a privacidad

Misha Rykov

Zoë MacDonald

Por Jen Caltrider, Misha Rykov y Zoë MacDonald

6 de septiembre de 2023

Ah, el viento en tu cabello, el camino abierto por delante y sin ninguna preocupación en el mundo... excepto todos los rastreadores, cámaras, micrófonos y sensores que capturan cada uno de tus movimientos. Puaj. Según Mozilla, los coches modernos son una pesadilla para la privacidad.

Aquí se puede leer la primera parte

Algunos datos no tan divertidos sobre las clasificaciones

Tesla es el segundo producto que Mozilla ha revisado y que recibe todos los "dings" de privacidad (todo negativo). El primero fue un chatbot de IA que revisaron a principios de este año. Según los informes, el piloto automático impulsado por IA de la Tesla estuvo involucrado en 17 muertes y 736 accidentes y actualmente es objeto de múltiples investigaciones gubernamentales.

Nissan obtuvo el penúltimo lugar por recopilar algunas de las categorías de datos más espeluznantes jamás visto. Vale la pena leer la reseña completa, pero debes saber que incluye tu "actividad sexual". Para no quedarse atrás, Kia también menciona que pueden recopilar información sobre su "vida sexual" en su política de privacidad. Ah, y seis compañías automotrices dicen que pueden recopilar su "información genética" o "características genéticas". Sí, leer las políticas de privacidad del automóvil es una tarea aterradora.

Ninguna de las marcas de automóviles utiliza un lenguaje que cumpla con el estándar de privacidad de Mozilla sobre el intercambio de información con el gobierno o las autoridades, pero Hyundai va más allá. En su política de privacidad, dice que cumplirán con "solicitudes legales, ya sean formales o informales". Esa es una señal de alerta grave.

Todas las marcas de automóviles de esta lista, excepto Tesla, Renault y Dacia, se suscribieron a una lista de Principios de Protección al Consumidor del grupo de la industria automotriz estadounidense ALLIANCE FOR AUTOMOTIVE INNOVATION, INC. La lista incluye excelentes principios de preservación de la privacidad, como "minimización de datos", "transparencia" y "elección". ¿Pero cuántas marcas de automóviles siguen estos principios? Cero. Es interesante aunque sólo sea porque significa que las compañías de automóviles saben claramente lo que deberían hacer para respetar su privacidad, aunque no lo hagan en absoluto.

¿Qué puedes hacer al respecto? 

Por lo general, aquí es donde le recomendamos que lea las reseñas y elija los productos en los que pueda confiar cuando pueda. Pero los coches no son realmente así.

Claro, hay algunos pasos que puede seguir para proteger más su privacidad, y los enumeramos todos en cada una de las revisiones y consejos para protegerse. Definitivamente vale la pena hacerlo. También puedes evitar el uso de la aplicación de tu coche o limitar sus permisos en tu teléfono. (Dado que muchas de las aplicaciones comparten una política de privacidad con el vehículo, no siempre podemos saber qué datos se toman de su teléfono, por lo que probablemente sea mejor pecar de cauteloso y no usarlos).

Pero en comparación con todos los datos colección que no puedes controlar, estos pasos se sienten como pequeñas gotas en un cubo enorme. Además, mereces beneficiarte de todas las funciones por las que pagas sin tener que renunciar también a tu privacidad.

La falta de opciones ha sido realmente una de las mayores decepciones al leer sobre automóviles y privacidad. Las opciones de los consumidores están limitadas de muchas maneras con los automóviles porque:

Son todos malos

La gente no compara precios de automóviles basándose en su privacidad. Y no se debería esperar que lo hagan. Esto se debe a que existen muchos otros factores limitantes para los compradores de automóviles. Como costo, eficiencia de combustible, disponibilidad, confiabilidad y las funciones que necesita. Incluso si tuviera los fondos y los recursos para comparar precios de su automóvil basándose en la privacidad, no encontraría mucha diferencia.

Porque según la investigación, ¡todos son malos! Además de todo eso, investigar los automóviles y la privacidad fue una tareas muy difícil. Clasificar el amplio y confuso ecosistema de políticas de privacidad para automóviles, aplicaciones para automóviles, servicios conectados a automóviles y más no es algo que la mayoría de la gente tenga el tiempo o la experiencia para hacer.

Todos los autos investigados obtuvieron la etiqueta de advertencia *Privacidad no incluida*. Todas las marcas de automóviles que investigados recibieron críticas de "uso de datos" y "seguridad", ¡y la mayoría también obtuvieron críticas por un control deficiente de los datos y un historial deficiente! No podemos enfatizar lo suficiente lo malo y anormal que es que una guía de productos completa obtenga etiquetas de advertencia.

Son tan confusos

Los investigadores pasaron más de 600 horas investigando las prácticas de privacidad de las marcas de automóviles. Eso es tres veces más tiempo por producto de lo que se dedica normalmente. Aún así, quedaron muchas preguntas. Ninguna de las políticas de privacidad promete una imagen completa de cómo se utilizan y comparten sus datos. Si tres investigadores de privacidad apenas pueden llegar al fondo de lo que sucede con los automóviles, ¿qué posibilidades tiene la persona promedio con poco tiempo?

El "consentimiento" es una ilusión.

Muchas personas tienen estilos de vida que requieren conducir. Entonces, a diferencia de un grifo inteligente o un asistente de voz, no tienes la misma libertad para optar por no participar y no conducir un automóvil. Hemos hablado antes de las formas turbias en que las empresas pueden manipular su consentimiento. Y las empresas de automóviles no son una excepción. A menudo ignoran su consentimiento. A veces lo asumen. Las compañías de automóviles lo hacen asumiendo que usted ha leído y aceptado sus políticas antes de poner un pie en sus automóviles.

La política de privacidad de Subaru dice que incluso los pasajeros de un automóvil que utiliza servicios conectados han "consentido" para permitirles usar, y tal vez incluso vender, su información personal con solo estar dentro.

Entonces, cuando las compañías automotrices dicen que tienen su "consentimiento" o que no harán algo "sin su consentimiento", a menudo no significa lo que debería significar. Como cuando Tesla dice, ¡seguro! Puede optar por no participar en la recopilación de datos, pero esto podría dañar su automóvil:

Sin embargo, "si ya no desea que recopilemos datos del vehículo o cualquier otro dato de su vehículo Tesla, comuníquese con nosotros para desactivar la conectividad. Tenga en cuenta que ciertas funciones avanzadas, como actualizaciones inalámbricas, servicios remotos e interactividad con aplicaciones móviles y funciones en el automóvil, como búsqueda de ubicación, radio por Internet, comandos de voz y funcionalidad de navegador web, dependen de dicha conectividad. Si elige no participar en la recopilación de datos del vehículo (con la excepción de las preferencias de intercambio de datos en el automóvil), no podremos conocerlo ni notificarle los problemas aplicables a su vehículo en tiempo real. Esto puede provocar que su vehículo sufra una funcionalidad reducida, daños graves o inoperatividad".

AVISO DE PRIVACIDAD DEL CLIENTE DE TESLA

https://www.tesla.com/legal/privacy

Algunas de las empresas de automóviles analizadas llevan la manipulación de su consentimiento un paso más allá al convertirlo en cómplice de obtener el "consentimiento" de otros, diciendo que es usted quien debe informarles sobre las políticas de privacidad de su automóvil. Como cuando Nissan le hace "prometes educar e informar a todos los usuarios y ocupantes de su Vehículo sobre los Servicios y las características y limitaciones del Sistema, los términos del Acuerdo, incluidos los términos relacionados con la recopilación y el uso de datos y la privacidad, y la Política de Privacidad de Nissan". ¡Bien, Nissan! Nos encantaría conocer a quien redactó esa línea.

¡¡No te preocupes!! ¡Hay algo que puedes hacer!

¡Oye, no cuelgues tus guantes de conducir todavía! No estamos diciendo que la situación sea desesperada. Lo que estamos diciendo es que no es justo que recaiga en los consumidores la carga de tomar "mejores decisiones" que en este caso no existen. Y no queremos tomar una página de los libros de las compañías automotrices al pedirle que haga cosas que ninguna persona razonable haría jamás, como recitar una política de privacidad de 9.461 palabras a todos los que abren las puertas de su automóvil.

Ya estás ayudando a correr la voz con solo leer esta investigación. Nuestra esperanza es que una mayor concientización aliente a otros a responsabilizar también a las compañías automotrices por sus terribles prácticas de privacidad. Pero eso no es todo. En nombre de la comunidad, pedimos a las empresas automotrices que detengan sus enormes programas de recopilación de datos que solo los benefician a ellos.

¡Únete a nosotros, firma la consigna! Pide a las compañías automotrices que respeten la privacidad de los conductores y que dejen de recopilar, compartir y vender nuestra información personal.

Fuente: Mozilla

Seguir leyendo...

"Los automóviles son la peor categoría que hayamos revisado en cuanto a privacidad" [Mozilla] (I)

Es oficial: los automóviles son la peor categoría de productos que jamás se haya revisado en cuanto a privacidad

Misha Rykov

Zoë MacDonald

Por Jen Caltrider, Misha Rykov y Zoë MacDonald

6 de septiembre de 2023

Ah, el viento en tu cabello, el camino abierto por delante y sin ninguna preocupación en el mundo... excepto todos los rastreadores, cámaras, micrófonos y sensores que capturan cada uno de tus movimientos. Puaj. Según Mozilla, los coches modernos son una pesadilla para la privacidad.

Decididos a ayudar a los consumidores a llegar al fondo de la privacidad y seguridad de los automóviles, esto es lo que los investigadores de Mozilla aprendieron después de analizar 25 de las (muchas) políticas de privacidad de las marcas de automóviles más populares.

• ¿Cómo recopila mi coche datos sobre mí?
• ¿Qué datos recoge mi coche?
• ¿A dónde van todos los datos?

Los fabricantes de automóviles han estado alardeando durante años de que sus automóviles son "computadoras sobre ruedas" para promover sus funciones avanzadas. Sin embargo, la conversación sobre lo que significa conducir una computadora para la privacidad de sus ocupantes realmente no ha llegado a su fin y podrían estar espiándonos: las marcas de automóviles entraron discretamente en el negocio de los datos convirtiendo sus vehículos en poderosas máquinas devoradoras de datos. Máquinas que, debido a todas sus funcionalidades, tienen el poder incomparable para mirar, escuchar y recopilar información sobre lo que hace y adónde va en su automóvil.

Las 25 marcas de automóviles que investigó Mozilla obtuvieron una etiqueta de advertencia *Privacidad no incluida*, lo que convierte a los automóviles en la peor categoría oficial de productos para la privacidad que jamás hayamos revisado.

Las marcas de automóviles que investigaron son terribles en términos de privacidad y seguridad. ¿Por qué los coches son tan malos en términos de privacidad? ¿Y cómo cayeron tan por debajo de nuestros estándares? ¡Vamos a contarlo!

De un vistazo: cómo se comparan las marcas de automóviles

Así es como se comportaron los automóviles según nuestros criterios de privacidad y seguridad. VER TODOS LOS DATOS POR MARCA, AQUÍ.

1. Todos recopilan demasiados datos personales

Revisaron 25 marcas de automóviles en nuestra investigación y repartieron 25 "dings" sobre cómo esas empresas recopilan y utilizan datos e información personal. Así es: cada marca (100%) de automóviles analizados recopila más datos personales de los necesarios y utiliza esa información por un motivo distinto al de operar su vehículo y administrar su relación con usted. Para ponerlo en contexto, "solo" el 63% de las aplicaciones de salud mental (otra categoría de productos que apesta respecto la privacidad) recibieron este "ding".

Y las empresas automotrices tienen muchas más oportunidades de recopilación de datos que otros productos y aplicaciones que utilizamos, incluso más que los dispositivos inteligentes en nuestros hogares o los teléfonos celulares que llevamos a donde quiera que vamos.

Pueden recopilar información personal sobre cómo interactúa con su automóvil, los servicios conectados que utiliza en su automóvil, la aplicación del automóvil (que proporciona una puerta de entrada a la información en su teléfono) y pueden recopilar aún más información sobre usted de fuentes de terceros como Sirius XM o Google Maps. Es un desastre.

Las formas en que las empresas de automóviles recopilan y comparten sus datos son tan amplias y complicadas que la empresa escribió un artículo completo sobre cómo funciona. La esencia es: pueden recopilar información súper íntima sobre usted, desde su información médica, su información genética, hasta su "vida sexual" (en serio), hasta qué tan rápido conduce, dónde conduce y qué canciones toca en su auto. coche... en enormes cantidades.

Luego lo usan para inventar más datos sobre usted a través de "inferencias" sobre cosas como su inteligencia, habilidades e intereses.

2. La mayoría (84%) comparte o vende sus datos

Ya es bastante malo que las gigantescas corporaciones propietarias de las marcas de automóviles tengan toda esa información personal en su poder para utilizarla en sus propias investigaciones, marketing o para los ultravagos "fines comerciales".

Pero claro, la mayoría (84%) de las marcas de automóviles investigadas dicen que pueden compartir sus datos personales con proveedores de servicios, intermediarios de datos y otras empresas de las que sabemos poco o nada. Peor aún, diecinueve (76%) dicen que pueden vender sus datos personales.

Un número sorprendente (56%) también dice que puede compartir su información con el gobierno o las autoridades en respuesta a una "solicitud". No es una orden de un tribunal superior, sino algo tan fácil como una "solicitud informal".

Una reescritura de Thelma y Louise en 2023 tendría a las mujeres bajo custodia antes de que tuvieras la oportunidad de comer algunas de tus palomitas de maíz. Pero en serio, la disposición de las empresas automotrices a compartir sus datos es más que espeluznante. Tiene el potencial de causar un daño real e inspiró nuestras peores pesadillas sobre automóviles y privacidad.

Y tenga en cuenta que solo sabemos qué hacen las empresas con los datos personales debido a las leyes de privacidad que hacen ilegal no revelar esa información (¡consulte la Ley de Privacidad del Consumidor de California!).

Los llamados datos anonimizados y agregados también se pueden compartir (y probablemente se comparten) con centros de datos de vehículos (los intermediarios de datos de la industria automotriz) y otros. Entonces, mientras va de A a B, también está financiando el próspero negocio secundario de su automóvil en el negocio de los datos en más de un sentido.

3. La mayoría (92%) otorga a los conductores poco o ningún control sobre sus datos personales.

Todas menos dos de las 25 marcas de automóviles revisadas obtuvieron el "ding" por el control de datos, lo que significa que solo dos marcas de automóviles, Renault y Dacia (que son propiedad de la misma empresa matriz) dicen que todos los conductores tienen derecho a borrar los datos personales.

Sin embargo, probablemente no sea una coincidencia que estos automóviles solo estén disponibles en Europa, país que está protegido por la sólida ley de privacidad del Reglamento General de Protección de Datos (GDPR). En otras palabras: las marcas de automóviles a menudo hacen todo lo que pueden legalmente con respecto a sus datos personales.

4. No se puede confirmar si alguno de ellos cumple con los estándares mínimos de seguridad

Resulta muy extraño que hasta las aplicaciones de citas y los juguetes sexuales publiquen información de seguridad más detallada que los coches. Aunque las marcas de automóviles investigadas tenían varias políticas de privacidad extensas (Toyota gana con 12), no es posible encontrar confirmación de que alguna de las marcas cumpliera con los Estándares Mínimos de Seguridad de Mozilla.

La preocupación principal es que no es posible saber si alguno de los automóviles cifra toda la información personal que se encuentra en el automóvil. ¡Y eso es lo mínimo! Mozilla se comunicó (como siempre) por correo electrónico para pedir claridad, pero la mayoría de las compañías de automóviles ignoraron el pedido por completo. Aquellos que al menos respondieron (Mercedes-Benz, Honda y técnicamente Ford) todavía no respondieron completamente las preguntas básicas de seguridad.

No abordar adecuadamente la ciberseguridad podría explicar sus historiales de seguridad y privacidad, francamente vergonzosos. Solo analizando los últimos tres años, se puede encontrar mucho por hacer: 17 (68%) de las marcas de automóviles obtuvieron el calificativo de "historial malo" por filtraciones, hackeos e infracciones que amenazaban la privacidad de sus conductores.

Continua...

Fuente: Mozilla

Seguir leyendo...

Tipos de engaños en el control de acceso físico

Un sistema de entrada, como un pasillo motorizado o un torno, debe poder detener la entrada no autorizada. A continuación, se incluye una lista de los tipos de engaños más comunes que los controles de acceso deben detectar en los edificios de oficinas, públicos y comerciales.

El propósito principal de un sistema de entrada es permitir el paso de una sola persona cada vez que se recibe una señal válida. Una señal válida autentifica que la persona está autorizada a pasar y generalmente se genera mediante una tarjeta de identificación, código de barras o por biometría.

Los engaños más típicos en el control de entrada van desde el tailgating y piggybacking hasta el gatear y saltar por encima de la puerta

Utilizando una serie de sensores cuidadosamente colocados, los sistemas de entrada, como los pasillos motorizados, pueden detectar muchos tipos diferentes de fraude a la entrada. El sistema puede rechazar el paso o alertar al personal de seguridad de que alguien está intentando acceder sin autorización.

Estos son los 7 tipos de engaño más comunes en el control la entrada, con los que deben lidiar los edificios de oficinas, públicos y comerciales.

1. Tailgating y Piggybacking

El Tailgating y el Piggybacking son intentos de acceder a un área sin autorización siguiendo de cerca a alguien con autorización.

• Tailgating es seguir a una persona autorizada sin su consentimiento
• El Piggybacking es lo mismo, excepto que la persona autorizada participa en el acto.

Los sensores deberían detectar si hay más de una persona entrando en el sistema de entrada, basándose en un concepto denominado "detección de una sola persona".

2. Sentido Contrario

Es el intentar pasar por un sistema de entrada en dirección contraria.

La mayoría de las puertas rápidas se pueden configurar para permitir el paso en cualquier dirección, pero siempre se indica claramente dónde se permite el paso (flecha verde) y dónde se niega (cruz roja).

Los sensores deberían detectar si hay alguien accediendo a la zona de salida desde la dirección incorrecta.

3. Tiempo de Espera en la Zona de Seguridad

El área más cercana a donde se abren las solapas o paneles de un sistema de entrada se llama zona de seguridad.

Si alguien se detiene en esta área demasiado tiempo, obliga a que los paneles permanezcan abiertos y permite el paso a otra persona que no se ha autenticado, esto se considera como un intento de engaño.

4. Arrastrarse por Debajo de los Paneles

Consiste en intentar arrastrarse por debajo de las solapas o paneles de cristal de un sistema de entrada.

Los sensores del sistema de entrada colocados alrededor de la base, deberían detectar el cuerpo de una persona arrastrándose o gateando.

5. Trepar

Consiste en intentar saltar o escalar el sistema de entrada.

Este tipo de fraude es muy típico entre los evasores de pagos en los sistemas de metro.

6. Forzar la apertura

Otro engaño comúnmente utilizado, es el de forzar manualmente la apertura de las solapas o paneles de cristal de un sistema de entrada.

7. Tiempo de Espera en la Zona de Acceso

Permanecer en el área de entrada demasiado tiempo también se considera un intento de engaño, ya que la persona espera a que otra persona, con una identificación válida, abra las puertas para que pueda pasar.

Fuente: Gunnebo

Seguir leyendo...

Nuevo ransomware 3AM activo

Recientemente se descubrió una nueva cepa de ransomware llamada 3AM después de que un actor de amenazas la usara en un ataque en el que inicialmente no logró implementar LockBit ransomware en una red objetivo.

Los investigadores de Symantec dijeron que el nuevo malware "sólo se ha utilizado de forma limitada y fue una alternativa de un afiliado de ransomware cuando los mecanismos de defensa bloquearon LockBit". El equipo de Symantec dice que 3AM está escrito en Rust y parece no tener relación con ninguna familia de ransomware conocida, lo que lo convierte en un malware completamente nuevo.

Por ahora, los ataques que utilizan el ransomware 3AM son raros pero la extorsión de este ransomware sigue la tendencia común de robar datos antes de cifrarlos y enviar una nota de rescate amenazando con vender la información robada a menos que se le pague al atacante.

La operación tiene un sitio de negociación muy básico en la red TOR que solo brinda acceso a una ventana de chat de negociación basada en una clave de acceso proporcionada en la nota de rescate.

Antes de comenzar a cifrar archivos, 3AM intenta detener múltiples servicios que se ejecutan en el sistema infectado para diversos productos de seguridad y respaldo de proveedores como Veeam, Acronis, Ivanti, McAfee o Symantec.

Una vez que se completa el proceso de cifrado, los archivos tienen la extensión .THREEAMTIME y el malware también intenta eliminar instantáneas de volumen que podrían usarse para recuperar los datos.

Los investigadores dicen que un ataque de este ransomware está precedido por el uso de un comando "gpresult" que vuelca la configuración de políticas del sistema para un usuario específico. "El atacante también ejecutó varios componentes de Cobalt Strike e intentó escalar privilegios en la computadora usando PsExec".

Los investigadores observaron el uso de comandos comúnmente utilizados para reconocimiento (por ejemplo, whoami, netstat, quser y net share), enumerar servidores (por ejemplo, quser, net view), agregar un nuevo usuario para persistencia y el uso del antiguo cliente FTP wput para copiar archivos al servidor del atacante.

Según el análisis de malware de Symantec, el ejecutable de 64 bits basado en 3AM Rust reconoce los siguientes parámetros de línea de comandos:

• "-k" - 32 Base64 characters, the "access key" in the ransom note
• "-p" - unknown
• "-h" - unknown
• "-m" - method, where the code checks one of two values before running encryption logic:"local"
• "net"
• "-s" - determines offsets within files for encryption to control encryption speed, expressed as decimal digits.

Aunque los investigadores ven con frecuencia nuevas familias de ransomware, pocas de ellas ganan suficiente popularidad como para convertirse en una operación estable. Dado que 3AM se utilizó como alternativa a LockBit, es probable que atraiga el interés de otros atacantes y se utilice con más frecuencia.

Los investigadores dicen que el actor de amenazas pudo implementar el malware sólo en tres máquinas de la organización objetivo y su actividad fue bloqueada en dos de los sistemas, lo que demuestra que ya existen defensas contra él.

Fuente: BC

Seguir leyendo...