Los hackers pueden aprovecharse de esta popular tendencia que cobra fuerza entre los jóvenes

Muchos adolescentes están siguiendo esta moda, pero los cibermalos pueden servirse de ella para extraer información personal.

Durante este año 2024 ha cobrado fuerza el negocio de sacarse fotos del iris como algo especial y único. Y también han proliferado empresas como Worldcoin, que más allá de lo puramente artístico, pedían escanear los globos oculares a cambio de ofrecer criptomonedas. 

El iris humano presenta rasgos y características muy individualizadas y eso hace que estas instantáneas resulten algo tan mágico para muchas personas que se deciden por inmortalizar sus ojos.

La fotografía de iris se sirve de cámaras especializas para centrarse en los intrincados patrones, colores y texturas que albergan para obtener imágenes muy detalladas y que resultan bastante hipnóticas. 

Esta corriente ha llegado a los más jóvenes y ha alcanzado cierta popularidad entre los centennials y millennials. Muchos no solo se fotografían el iris, sino que comparten el resultado en redes sociales. Y aquí es donde residiría el peligro. 

Publicar estas imágenes puede exponer a sus protagonistas al riesgo de fugas de información personal y explotación con fines ilegales, según han advertido los expertos. 

Xu Ming, profesora del Instituto de Ciberseguridad en la Universidad de Hangzhou Dianzi, explica que las intrincadas texturas del iris contienen detalles personales únicos de una importancia comparable a la de las huellas dactilares, según se hace eco ECNS.

Aunque la fotografía del iris difiere de dicha autenticación biométrica en sus principios técnicos, sí que abre la puerta a que los actores maliciosos usen estas imágenes para comprometer los sistemas biométricos, según defiende Xu. Por ello, ha invitado a los usuarios de redes sociales a que no hagan públicas dichas fotos, para evitar riesgos. 

Las fotos de iris, sujetas a la protección de datos

Algunos abogados recomiendan a las personas que van a inmortalizar sus iris que se fijen en si las empresas que prestan este tipo de servicios les hacen firmar un contrato.  Así, aseguran que dichos proveedores deberían de ofrecer un documento donde señalen que no van a usar estas imágenes para otros fines. 

"La información de reconocimiento del iris es un dato personal especialmente sensible y su mal uso puede provocar numerosos perjuicios",  avisa la Autoridad Catalana de Protección de Datos.

"El escaneo del iris proporciona un dato biométrico que identifica a una persona de forma inequívoca y permite reconocerlo de entre todas las demás. Protección de Datos ha manifestado esto ante las informaciones que aseguran que cientos de personas, entre ellas menores de edad, aceptan el escaneo de su iris a cambio de criptomonedas en varios establecimientos comerciales de Cataluña", añade.

La institución señala que en el caso de los menores de 14 años el consentimiento debe darse por parte de los padres, madres o tutores legales. 

La autoridad también recuerda que con el consentimiento no es suficiente. La empresa debe informar a las personas de aspectos como quién trata los datos, el tiempo que los conservará, si los ceden a terceros, cómo ejercer los derechos de acceso y rectificación, etc. 

Fuente: escudodigital.com

Uno de cada cinco juguetes inteligentes podría ser objetivo de ciberataques

 INCIBE presenta los resultados del 'Estudio del estado de la ciberseguridad en juguetes conectados'.

Uno de cada cinco juguetes inteligentes conectados podría ser objetivo de ciberataques según el informe 'Estudio del estado de la ciberseguridad en juguetes conectados', elaborado por el Instituto Nacional de Ciberseguridad (Incibe).

Los resultados obtenidos tras el análisis de 26 dispositivos, que se encuentran entre los más vendidos en plataformas online, arrojan que un 23 por ciento de las 364 pruebas efectuadas han resultado desfavorables.

Aún así, la mayoría de estos juguetes, con capacidad de manejar datos del usuario como grabación de video o audio, conexión bluetooth, wifi o aplicaciones móviles, han superado el umbral del 50% de ejercicios favorables.

Las conclusiones de este estudio han sido presentadas este viernes en la sede del Incibe en León por el ministro para la Transformación Digital y de la Función Pública, Óscar López, quien ha informado, además, de que una de cada cuatro pruebas realizadas ha resultado "inconclusa", lo que a su juicio, evidencia "la necesidad de mayor colaboración entre fabricantes, laboratorios y entidades evaluadoras".

El ministro ha subrayado el carácter "pionero" de este trabajo que convierte al ente nacional de la ciberseguridad en el primer organismo europeo en realizar un análisis exhaustivo conforme a los criterios de la Ley de Ciberresiliencia (CRA) de la Unión Europea, en el marco de las acciones para garantizar la protección de consumidores y empresas frente a las vulnerabilidades de los dispositivos con componentes digitales.

"Volvemos a ser líderes en soluciones digitales gracias al excelente trabajo del Incibe", ha señalado un miembro del Ejecutivo que ha asegurado que León se posiciona "como un polo de referencia internacional en la protección del menor".

Como ha explicado el titular de la cartera de Transformación Digital, los juguetes conectados pueden presentar "riesgos de privacidad, recopilación de datos o accesos no autorizados", por lo que este estudio, "con las Navidades a la vuelta de la esquina", ayudará a fabricantes y familiares a proteger "con mayor eficacia" a los menores.

Recomendaciones para familias y desarrolladores

López ha destacado que del trabajo se extraen recomendaciones para las familias como cambiar las contraseñas predeterminadas, usar siempre redes de conexión seguras, actualizar los software de los dispositivos, apagar los juguetes cuando no se usan o comprobar si los mismos tienen certificaciones de ciberseguridad.

Sobre los consejos para los desarrolladores ha recomendado la deshabilitación de servicios o protocolos innecesarios para minimizar vectores de ataque; detallar funciones de control parental para evitar un uso indebido; proporcionar herramientas para que los usuarios puedan revisar, modificar o eliminar sus datos fácilmente; así como la obtención de certificaciones reconocidas que validen el cumplimiento de estándares internacionales en ciberseguridad.

Los resultados concretos de este 'Estudio del estado de la ciberseguridad en juguetes conectados' pueden consultarse en la web del Instituto Nacional de Ciberseguridad y en la del propio Ministerio. Además, el ministro ha recordado que la ciudadanía tiene a su disposición el teléfono 017 del Incibe para resolver sus dudas en materia de ciberseguridad.

El miembro del Consejo de Gobierno ha insistido en la importancia de la protección de los menores frente a "los riesgos que encierran las nuevas tecnologías". Por ello ha explicado que en la intención del Ejecutivo se encuentra el desarrollo de una regulación para el acceso al contenido en plataformas digitales por parte de los menores de 18 años.

"Todos sabemos a lo que están expuestos los menores y sabemos que es necesario regular porque tenemos un problema de acceso a contenidos que no son aptos para los niños. Y desde luego, el Gobierno de España quiere estar a la vanguardia en la regulación y la protección de los menores frente a los riesgos, que también entraña la red", ha concluido Óscar López.

Fuente: escudodigital.com

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones.

Muchos grupos de ransomware tienen estructuras de grandes corporaciones y trabajan constantemente para hacer que estos ataques resulten lo más efectivos posibles. 

Ahora, según se hace eco un estudio de Cato Networks referente al tercer trimestre del año, las bandas de ransomware se estarían dedicando a reclutar a evaluadores de penetración o pentesters para comprobar si sus ransomware funcionan para futuros ciberataques. 

Cato CTRL ha podido observar que los cibermalos buscan figuras de este tipo para unirse a varios programas de afiliados, incluyendo Apos, Lynx y Rabbit Hole. 

“El ransomware es una de las amenazas más extendidas en el panorama de la ciberseguridad. Afecta a todo el mundo, tanto a empresas como a consumidores, y los actores de amenazas intentan constantemente encontrar nuevas formas de hacer que sus ataques de ransomware sean más eficaces”, ha señalado Etay Maor, estratega jefe de seguridad de Cato Networks.

Generalmente el software debe probarse antes de implementarse en entornos de producción, con lo que tiene mucho sentido que las bandas de ransomware quieran hacer lo propio también. 

Los peligros de la IA en la sombra

En el informe también se destaca que la 'IA en la sombra' estaría acechando en segundo plano a las organizaciones. 

Con este término se habla del uso no autorizado de apps y herramientas de inteligencia artificial dentro de una organización sin el conocimiento o la aprobación de los departamentos de TI o los equipos de seguridad. 

Cato CTRL ha rastreado una decena de apps de IA usadas por las empresas, comprobando varios riesgos de seguridad. La privacidad de los datos es su principal preocupación. 

“La IA en la sombra es una amenaza importante que ha surgido en 2024”, ha señalado Maor. “Las organizaciones deben ser conscientes del uso no autorizado de aplicaciones de IA y de los peligros de permitir que los empleados expongan información confidencial sin darse cuenta”.

Fuente: escudodigital.com

Hackeo a la Agencia Tributaria: "Los ciberdelincuentes pudieron estar meses robando datos"

El grupo Trinity, detrás del hackeo masivo a la Agencia Tributaria, podrían haber estado accediendo a la información durante meses sin ser detectados. Mientras Hacienda asegura no haber encontrado ninguna evidencia del ataque, todo el mundo sigue con la duda de qué ha ocurrido con sus datos.

La Agencia Tributaria española (AEAT) está en el ojo del huracán tras el anuncio del grupo de hackers Trinity de haber robado 560 GB de datos. Este supuesto ataque, que ha puesto en alerta a las autoridades y expertos en ciberseguridad, podría haber estado ocurriendo durante meses sin ser detectado.

El pasado domingo, Trinity hizo público su ataque, exigiendo un rescate de 38 millones de euros antes del 31 de diciembre para evitar la filtración de la información. Añadir aquí un pequeño apunte que ha hecho Daniel Pérez Asensio, que trabaja con algunas de las instituciones, a euronews: "Aunque muchos titulares afirman que se está pidiendo un rescate de 38 millones de dólares, esta cifra corresponde al valor de mercado hipotético, no al monto exigido por los atacantes"

Dejando esto a un lado y, sin embargo, la AEAT mantiene que, tras una revisión a fondo de sus sistemas, no han detectado "ningún indicio de posibles equipos cifrados o salidas de datos".

"La AEAT ha negado haber detectado filtraciones, y la falta de cobertura en medios internacionales sugiere que podría ser una alarma falsa, aunque Euronews ya lo refleja. Sin embargo, medidas como la suspensión del teletrabajo indican que el riesgo fue tomado en serio. Casos previos, como el hackeo a la Dirección General de Tráfico en mayo de 2024, donde se filtraron datos de conductores, o la exposición de datos de policías nacionales en noviembre de 2022, demuestran que estas amenazas son reales y posibles", nos comenta Javier Cuervo, profesor del Grado de ADE en UNIE Universidad en una entrevista para Computer Hoy.

Expertos en ciberseguridad consultados por Vozpópuli sugieren que es posible que la AEAT no tenga evidencias del incidente. "En la actualidad, los ciberdelincuentes no buscan reventar sistemas, sino acceder a la mayor información sensible como sea posible, y hacerlo de manera extremadamente sigilosa", explican.

Un robo de millones de datos a Hacienda que pudo durar meses

Pero, ¿cómo es posible que haya pasado esto si la Agencia Tributaria tiene un gran Centro de Ciberseguridad? Es probable que el problema esté en unos ordenadores muy anticuados que usan algunos funcionarios y que al final se convierten en coladeros.

Y aquí viene lo interesante: estos ataques se llaman APT, que, en pocas palabras, son amenazas muy persistentes. Son tan sigilosos que pueden estar robando datos durante meses o incluso años sin que nadie se dé cuenta. Cuando esto ocurre ya poco puedes hacer porque el daño ya es enorme.

Lo peor de todo es que pagar el rescate no garantiza nada. Todos los expertos siempre coinciden que ceder al chantaje es sentenciar tu muerte. Básicamente, "no garantiza que los datos sean recuperados o que no se filtren", explica Pérez Asensio.

Con todo esto, y mientras los expertos siguen investigando, todo el mundo sigue con la duda: ¿Habrán robado realmente los datos de Hacienda o es solo una mentira? Sea como sea, una cosa está clara y es que la ciberseguridad ya no es un tema secundario y en España hace falta una revisión a gran escala de los sistemas críticos.

Fuente: computerhoy.20minutos

China se pone las pilas en IA: acaba de lanzar un chatbot que compite con o1 a la hora de "razonar"

• El gigante asiático está recuperando el terreno perdido en este segmento a un ritmo destacable.

• El mérito es doble, sobre todo teniendo en cuenta el veto que impide a China acceder fácilmente a los chips más potentes para entrenar sus modelos.

China no lo tiene nada fácil si quiere avanzar en el terreno de la IA. Mientras los gigantes tecnológicos de EEUU no paran de añadir más y más GPUs de última generación para entrenar sus modelos, el gigante asiático se enfrenta a un veto que hace muy difícil acceder a esos mismos chips. A pesar de esa y otras barreras, en China están logrando esquivar las restricciones y el avance en modelos de IA es sorprendente. Lo demuestra lo último que llega de allí.

DeepSeek. Como señalan en TechCrunch, un laboratorio de investigación chino llamado DeepSeek ha lanzado DeepSeek-R1. Según sus responsables, se trata del primer modelo de IA capaz de competir con o1, de OpenAI, a la hora de "razonar".

Repensando las respuestas. Ese razonamiento, como en el caso de o1, se basa en que el modelo no contesta inmediatamente, y en lugar de eso revisa varias potenciales respuestas para elegir la más adecuada. Eso lleva tiempo, y obliga a que como ocurre en o1 el usuario tenga que esperar algo más de tiempo (incluso decenas de segundos, en el caso de DeepSeek-R1) para obtener esa respuesta.

Tan bueno como o1. Según las pruebas de rendimiento a las que ha sido sometido el modelo chino, su comportamiento es comparable a o1, el modelo que OpenAI lanzó en septiembre de 2024.

Pero está lejos de ser perfecto. Aun así, quienes han tenido acceso a DeepSeek revelan que lo pasa mal con problemas lógicos o incluso con juegos tan sencillos como el tres en raya, algo que también suele ser un reto para o1, que tiene sus propias limitaciones. No solo eso: DeepSeek-R1 puede ser "engañado" y es posible usar técnicas de jailbreaking para obtener respuestas que se saltan las barreras de seguridad teóricamente creadas para evitar que genere contenidos tóxicos.

Nada de preguntarle sobre China. En otras pruebas realizadas se vio cómo el modelo se disculpa y no contesta si el usuario trata de pedirle opiniones sobre la situación política en China. Es probable que el gobierno chino haya hecho presión para vetar tal tipo de interacción, y según Financial Times sus responsables disponen de mecanismos censores para que estos chatbots se alineen con los valores y políticas del país.

Quién está detrás de DeepSeek. La startup está financiada por High-Flyer Capital Management, un fondo de inversión chino que usa IA para tomar decisiones a la hora de invertir. Esta firma cuenta con sus propios clusters de servidores para entrenar modelos de IA, y el más reciente cuenta con 10.000 GPUs NVIDIA A100 con un coste de unos 138 millones de dólares. El objetivo de High-Flyer es, como el de las grandes protagonistas de IA en EEUU, lograr desarrollar una AGI a través del trabajo de DeepSeek. Una curiosidad más: los responsables de DeepSeek han anunciado su intención de publicar este modelo como Open Source y ofrecer una API.

China se pone las pilas. El desarrollo de DeepSeek-R1 demuestra cómo China está avanzando a un ritmo notable en este ámbito. La startup de hecho lanzó un modelo llamado DeepSeek-V2 hace unos meses, y eso obligó a que competidores locales como ByteDance, Baidu o Alibaba recortaran el precio de uso de sus modelos, mientras que otros acabaron siendo gratuitos. La guerra por la IA en EEUU —con OpenAI, Google, Anthropic o Meta como protagonistas— también está muy activa en China, y lo demuestra este último lanzamiento.

Fuente: xataka.com