Facebook y la protección de datos: una de cal y una de arena

Hemos de admitirlo: hace tiempo que se sabe que los datos personales son el petróleo de la sociedad 2.0, y en este sentido Facebook es el emporio de la información de personal; sin duda es la red social que más datos almacena, gestiona y monetiza en la red.

Lo supo hace tiempo y por eso no es casual que en 2014 desembolsaran nada menos que 22.000 millones de dólares para adquirir WhatsApp. Los registros obtenidos con esa adquisición convirtieron a la red social en todo un coloso monopólico en el mercado de la información personal, y hemos de recordar que Facebook también es el dueño de Instagram.

Todos recordamos aquellas vehementes promesas de nuestro ilustre amigo de Palo Alto Marc Zuckerberg, garantizando públicamente que ambas plataformas no intercambiarían los datos de los usuarios ni habría sesiones de datos entre ambas. No sé si coincidirían con el día de los inocentes, pero inocente el que lo creyó. ¿Cómo se justificaría una inversión de 22.000 millones de dólares por una aplicación gratuita sin la explotación de la única fuente clara de ingresos?

También dijeron entonces que no tenían una forma “fiable” y automática de relacionar las cuentas de WhatsApp y Facebook de sus usuarios, y claro, como no le íbamos a creer…

El caso es que WhatsApp no tardó en cambiar las condiciones de uso para que debiéramos aceptar sin rechistar y sin opción al pataleo el intercambio de información con Facebook, no hubo alternativa, ni siquiera, desmarcando la opción de dar permiso a Facebook para obtener nuestros datos. El plazo para aceptar estas nuevas condiciones fue de treinta días, en caso de no ser aceptadas, se desactivaría la cuenta de WhatsApp. Toda una declaración de principios.

Para más inri, el texto legal correspondiente a la cesión de datos a Facebook aparecía junto a una casilla premarcada, algo que contradice de forma flagrante los requisitos del consentimiento legítimo que exige el nuevo reglamento.

[Read more…]

Essential Reading for the Security Professional

Hace ya algún tiempo, desde la cuenta de twitter @securityartwork lanzamos una petición para crear lista de libros imprescindibles en el ámbito de seguridad
(https://www.securityartwork.es/2016/02/12/recopilacion-de-algunos-libros-imprescindibles-para-aprender-seguridad-informatica-secbook)

Ampliando el post original y pensando en los que empiecen ahora sus vacaciones o dispongan de tiempo y ganas de buena lectura, os hacemos partícipes de Cybersecurity Canon, una iniciativa que lleva varios años promoviéndose desde Palo Alto Networks.

Como seguramente todos sabréis, Palo Alto Networks es una empresa de seguridad con sede en California, conocida principalmente, al menos en mi caso, por su firewall de nueva generación y por su equipo de investigación de amenazas UNIT 42 (https://www.paloaltonetworks.com/threat-research).

Como el nombre del post indica, esta iniciativa pretende identificar los libros de lectura obligatoria para todos los profesionales de la ciberseguridad, sean de ficción o no, y en la que cualquier profesional puede involucrarse. Para ello se puede escribir una revisión acerca de un libro relacionado con el ámbito de la ciberseguridad, la cual debe cumplir unos requisitos establecidos. De esta forma,  una vez se valida la revisión del libro, éste pasa a la lista de candidatos publicados en la web.

Todos los años desde Palo Alto, un comité de expertos revisa las publicaciones de la lista de candidatos y organiza un ‘salón de la fama’ donde, finalmente, durante una ceremonia se intenta entrevistar a los autores de los libros seleccionados.

Por ejemplo, dentro de la iniciativa podemos encontrar algunos clásicos como The Cuckoo’s Egg, The Cryptonomicon o la serie de Hacking Exposed.

¿Qué opinan los lectores de esta iniciativa? ¿Encuentran familiares los títulos de los libros nominados? ¿Se atreverían a publicar una revisión de sus libros favoritos? Esperamos vuestros comentarios.

[Read more…]

Security On Air

Hace apenas dos meses, celebramos en Security Art Work nuestro décimo aniversario. Si bien es toda una alegría ver como nuestros “retoños” crecen y van madurando, lo es en igual medida celebrar el nacimiento de nuevos miembros de la familia. Hoy nos dirigimos a ustedes, ávidos lectores de nuestro blog, para anunciarles el comienzo de un nuevo proyecto dentro del ámbito de la difusión de la ciberseguridad. Se trata de Security On Air.

Como los más perspicaces habrán podido deducir (tanto por el nombre como por el logotipo), se trata de un programa de radio difundido a través de Internet. Dicho de otro modo: un podcast sobre ciberseguridad. Su duración rondará los 15-20 minutos (para que puedan escucharlo de camino a la oficina o añadirlo a la lista de reproducción mientras hacen un poco de deporte) y su frecuencia será mensual.

[Read more…]

ImageGate: Ransomware en Facebook y Linkedin

Los investigadores de la empresa de seguridad Check Point han hecho un descubrimiento que puede hacer temblar los cimientos de las comunicaciones de hoy en día. En un mundo gobernado por las redes sociales y con Facebook como máximo exponente de las mismas, parece que los ciberdelincuentes han encontrado la vía de infección más extensa y de mayor repercusión. Y es que, como la firma de seguridad ha notificado a las compañías Facebook y Linkedin, usuarios malintencionados pueden usar sus respectivas plataformas para expandir el ransomware Locky (malware del que se ha hablado recientemente en este mismo blog).... Leer Más

La Agencia Mundial Antidoping, en la mira de los hackers

La importancia de los sistemas de seguridad informáticos en el deporte quedó patente en los últimos meses, cuando la base de datos de la Agencia Mundial Antidoping (AMA) fue hackeada en varias ocasiones.

El primer ataque cibernético ocurrió durante los Juegos Olímpicos de Río de Janeiro, en agosto, cuando unos hackers accedieron a la cuenta de la atleta rusa Yuliya Stepanova. El segundo fue semanas después, cuando la AMA denunció que un grupo de hackers rusos, conocidos como “Fancy Bears“, accedieron a su sistema y filtraron información médica confidencial de algunos deportistas, entre ellos Rafael Nadal, Chris Froome, Bradley Wiggins, Venus Williams o Simone Biles.
Los “Fancy Bears” publicaron en su página web los nombres de numerosos atletas de primer nivel que recibieron por parte de la AMA exenciones de uso terapéutico, unas autorizaciones especiales que permiten a los deportistas consumir sustancias prohibidas durante un determinado periodo de tiempo después de una lesión física o con el objetivo de curar una enfermedad aguda o crónica.
La principal lacra del deporte en las últimas décadas es el doping. Normalmente conectado con escándalos de corrupción en los máximos organismos deportivos internacionales, el doping no es sólo una herramienta para ganar. Es una herramienta de poder.
[Read more…]

Los wearable como testigo

Subir escaleras, caminar, correr, dormir,… son algunas de las actividades que hoy en día monitorizamos. O “nos monitorizan”. Gran parte de los smartphones registran, por defecto, una parte de la actividad física que realiza el usuario, donde se registra –además- el día y la hora en que se realiza y en algunos casos incluso la ubicación donde se ha realizado. Pero hoy en día hay otro tipo de dispositivos que también registran este tipo de actividad y son más cómodos “de llevar”. Estos son los wearable, que como sabemos son pequeños dispositivos que “llevamos puestos” como pueden ser relojes, pulseras, gafas inteligentes, sensores en zapatillas, etc.

Desde luego, en muchos casos la información que registran estos dispositivos es muy útil. Más ahora que existe el síndrome “runner” y tantísimas personas practican este deporte. Los más avanzados utilizan relojes GPS que registran la velocidad, el ritmo, el recorrido y otras variables. Otros utilizan los smartphones con aplicaciones que también registran la actividad del corredor y además la mayoría permiten publicar en tiempo real esta información, así como la situación en el mapa de nuestro “atleta”. Es de sobra sabido que quien publica esta información se expone a que cualquier persona esté viendo lo que está haciendo, dónde está e incluso si mantiene una rutina, se la está dando a conocer para que la utilice a discreción.

[Read more…]

¿Abierta la caja de pandora? Hacked Team.

No hace falta explicar qué ha pasado con #HackingTeam, ¿verdad? El pasado domingo se desató un revuelo en redes sociales, blogs, páginas de noticias,etc. HackingTeam había sido hackeado, pwned.

hackedteam

Twit enviado desde la cuenta oficial

Así que la gente preparó palomitas, preparados para digerir todo lo que había pasado (y estaba por pasar).

[Read more…]

Hacking Team: El espionaje como negocio

¿Quiénes son y a qué se dedican?

Hacking Team es una empresa de ciberseguridad que realiza software, el cual se puede considerar de dudable legitimidad ya que su función es conseguir/recopilar información sensible y de carácter privado.

Dicha empresa tiene una suite de seguridad, compuesta por un gran número de herramientas y funcionalidades. Esta suite se conoce como Da Vinci. Como es de esperar, se puede personalizar para cada cliente, dependiendo de necesidades y presupuesto.

Tienen (o tenían, ya que a raíz de lo sucedido, dudo que continúen siendo clientes…) un gran abanico de clientes, entre los cuales se encuentran gobiernos y fuerzas del orden de diferentes países como Alemania, Arabia Saudita, Australia, Azerbaiyán, Bahrein, Chile, Chipre, Colombia, Corea del Sur, Ecuador, Egipto, Emiratos Árabes Unidos, España, Estados Unidos, Etiopía, Honduras, Hungría, Italia, Kazajstán, Luxemburgo, Malasia, Marruecos, México, Mongolia, Nigeria, Omán, Panamá, Polonia, República Checa, Rusia, Singapur, Sudán, Suiza, Tailandia, Uzbekistán, Vietnam… Y cómo no, (¡qué curioso!), entre ellos está España.

[Read more…]

Un lugar seguro donde comunicarse

Tristes acontecimientos como los sucedidos en París tienen un gran impacto en la sociedad. Como efectos positivos, este tipo de desgracias suscitan que paremos nuestra rutina diaria para reflexionar sobre las causas y las repercusiones de estos lamentables sucesos. Se establece una ola de solidaridad global, muy intensa en los comienzos y que tendrá eco durante un periodo más prolongado.

De la misma forma que se realizan las reflexiones individualizadas y se convierten durante días o semanas en el foco de las charlas con amigos, compañeros de trabajo o familia, también los altos mandatarios analizan, reflexionan, consultan a sus asesores y sacan sus conclusiones. Entre las responsabilidades que están asociadas a sus roles están además las de decidir aquellas medidas que permitan evitar o disminuir los efectos que provocan dichos incidentes. Para eso han sido elegidos y esa una de las principales obligaciones de los gobernantes: proteger el país.

[Read more…]

El defacement del año

Sin duda a estas alturas casi todos sabemos cual ha sido el defacement más sonado del año 2012: el del Cristo de Borja. A finales del pasado mes de agosto, cuando muchos estaban aún disfrutando de sus vacaciones y el resto acababan de volver al trabajo, saltó a los medios el caso de Cecilia Giménez, una intrépida hacker que, desafiando a una de las mayores organizaciones del mundo, decidió restaurar la imagen del eccehomo de la iglesia del Santuario de Misericordia de Borja (Zaragoza), una obra de arte -por cierto, bastante desconocida hasta ese momento- de Elías García Martínez.... Leer Más