Código escondido dentro Las placas base de PC dejaron a millones de máquinas vulnerables a actualizaciones maliciosas, revelaron investigadores esta semana. El personal de la empresa de seguridad Eclypsium encontró un código dentro de cientos de modelos de placas base creados por el fabricante taiwanés Gigabyte que permitía que un programa de actualización descargara y ejecutara otra pieza de software. Si bien el sistema tenía la intención de mantener actualizada la placa base, los investigadores descubrieron que el mecanismo se implementó de manera insegura, lo que podría permitir a los atacantes secuestrar la puerta trasera e instalar malware.
Por otra parte, la firma de seguridad cibernética con sede en Moscú Kaspersky reveló que su personal había sido atacado por malware de clic cero recientemente descubierto que afectaba a los iPhone. A las víctimas se les envió un mensaje malicioso, incluido un archivo adjunto, en el iMessage de Apple. El ataque comenzó automáticamente a explotar múltiples vulnerabilidades para dar a los atacantes acceso a los dispositivos, antes de que el mensaje se borrara. Kaspersky dice que cree que el ataque afectó a más personas que solo a su propio personal. El mismo día que Kaspersky reveló el ataque a iOS, el Servicio Federal de Seguridad de Rusia, también conocido como FSB, afirmó que miles de rusos habían sido atacados por un nuevo malware para iOS y acusó a la Agencia de Seguridad Nacional (NSA) de EE. UU. de realizar el ataque. La agencia de inteligencia rusa también afirmó que Apple había ayudado a la NSA. El FSB no publicó detalles técnicos para respaldar sus afirmaciones y Apple dijo que nunca ha insertado una puerta trasera en sus dispositivos.
Si eso no es suficiente aliento para mantener sus dispositivos actualizados, hemos reunido todos los parches de seguridad emitidos en mayo. Apple, Google y Microsoft lanzaron parches importantes el mes pasado; vaya y asegúrese de estar actualizado.
Y hay más Cada semana reunimos las historias de seguridad que nosotros mismos no cubrimos en profundidad. Haga clic en los titulares para leer las historias completas. Y mantente a salvo ahí fuera.
Lina Khan, presidenta de la Comisión Federal de Comercio de EE. UU., advirtió esta semana que la agencia está viendo delincuentes que utilizan herramientas de inteligencia artificial para «acelerar» el fraude y las estafas. Los comentarios, que se hicieron en Nueva York y fueron informados por primera vez por Bloomberg, citaron ejemplos de tecnología de clonación de voz en la que se usaba IA para engañar a las personas para que pensaran que estaban escuchando la voz de un miembro de la familia.
Los recientes avances en el aprendizaje automático han hecho posible imitar las voces de las personas con solo unos pocos clips cortos de datos de entrenamiento, aunque los expertos dicen que los clips de voz generados por IA pueden variar mucho en calidad. En los últimos meses, sin embargo, ha habido un aumento en el número de intentos de estafa aparentemente relacionados con clips de audio generados. Khan dijo que los funcionarios y los legisladores “deben estar atentos desde el principio” y que, si bien se están considerando nuevas leyes que rigen la IA, las leyes existentes aún se aplican a muchos casos.
En una rara admisión de fracaso, los líderes de Corea del Norte dijeron que el intento de la nación ermitaña de poner en órbita un satélite espía no salió según lo planeado esta semana. También dijeron que el país intentaría otro lanzamiento en el futuro. El 31 de mayo, el cohete Chollima-1, que transportaba el satélite, se lanzó con éxito, pero su segunda etapa no funcionó, lo que provocó que el cohete se hundiera en el mar. El lanzamiento desencadenó una alerta de evacuación de emergencia en Corea del Sur, pero luego los funcionarios se retractaron.
El satélite habría sido el primer satélite espía oficial de Corea del Norte, que según los expertos le daría la capacidad de monitorear la península de Corea. El país ha lanzado satélites anteriormente, pero los expertos creen que no han enviado imágenes a Corea del Norte. El lanzamiento fallido se produce en un momento de alta tensión en la península, ya que Corea del Norte continúa tratando de desarrollar armas y cohetes de alta tecnología. En respuesta al lanzamiento, Corea del Sur anunció nuevas sanciones contra el grupo de hackers Kimsuky, que está vinculado a Corea del Norte y se dice que robó información secreta relacionada con el desarrollo espacial.
En los últimos años, Amazon ha sido objeto de escrutinio por los controles laxos sobre los datos de las personas. Esta semana, la Comisión Federal de Comercio de EE. UU., con el apoyo del Departamento de Justicia, golpeó al gigante tecnológico con dos acuerdos por una letanía de fallas relacionadas con los datos de los niños y sus cámaras domésticas inteligentes Ring.
En un caso, dicen los funcionarios, un exempleado de Ring espió a clientas en 2017 (Amazon compró Ring en 2018) viendo videos de ellas en sus habitaciones y baños. La FTC dice que Ring le había dado al personal un «acceso peligrosamente demasiado amplio» a los videos y tenía una «actitud relajada con respecto a la privacidad y la seguridad». En una declaración separada, la FTC dijo que Amazon mantuvo grabaciones de niños usando su asistente de voz Alexa y no eliminó datos cuando los padres lo solicitaron.
La FTC ordenó a Amazon que pagara alrededor de $30 millones en respuesta a los dos acuerdos e introdujera algunas nuevas medidas de privacidad. Quizás de manera más consecuente, la FTC dijo que Amazon debería eliminar o destruir las grabaciones de Ring anteriores a marzo de 2018, así como cualquier «modelo o algoritmo» que se haya desarrollado a partir de los datos recopilados de manera incorrecta. La orden tiene que ser aprobada por un juez antes de ser implementada. Amazon ha dicho que no está de acuerdo con la FTC y niega haber “violado la ley”, pero agregó que los “acuerdos dejaron atrás estos asuntos”.
A medida que las empresas de todo el mundo se apresuran a incorporar sistemas de IA generativa en sus productos, la industria de la ciberseguridad entra en acción. Esta semana, OpenAI, el creador de los sistemas de generación de texto e imágenes ChatGPT y Dall-E, abrió un nuevo programa para descubrir cómo los profesionales de la ciberseguridad pueden utilizar mejor la IA. El proyecto ofrece subvenciones a quienes desarrollan nuevos sistemas.
OpenAI ha propuesto una serie de proyectos potenciales, que van desde el uso del aprendizaje automático para detectar esfuerzos de ingeniería social y la producción de inteligencia de amenazas hasta la inspección del código fuente en busca de vulnerabilidades y el desarrollo de trampas para atrapar a los piratas informáticos. Si bien los desarrollos recientes de IA han sido más rápidos de lo que predijeron muchos expertos, la IA se ha utilizado en la industria de la seguridad cibernética durante varios años, aunque muchas afirmaciones no necesariamente están a la altura de las expectativas.
La Fuerza Aérea de los EE. UU. se está moviendo rápidamente para probar la inteligencia artificial en máquinas voladoras: en enero, probó un avión táctico pilotado por IA. Sin embargo, esta semana comenzó a circular un nuevo reclamo: que durante una prueba simulada, un dron controlado por IA comenzó a “atacar” y “matar” a un operador humano que lo supervisaba, porque le impedía lograr sus objetivos.
“El sistema comenzó a darse cuenta de que, si bien identificaron la amenaza, a veces el operador humano le decía que no eliminara esa amenaza, pero obtuvo sus puntos al eliminar esa amenaza”, dijo el Coronel Tucker Hamilton, según un resumen de un evento. en la Royal Aeronautical Society, en Londres. Hamilton continuó diciendo que cuando el sistema fue entrenado para no matar al operador, comenzó a apuntar a la torre de comunicaciones que el operador estaba usando para comunicarse con el dron, impidiendo que se enviaran sus mensajes.
Sin embargo, la Fuerza Aérea de EE. UU. dice que la simulación nunca se llevó a cabo. La portavoz Ann Stefanek dijo que los comentarios fueron “sacados de contexto y pretendían ser anecdóticos”. Hamilton también ha aclarado que se “habló mal” y que estaba hablando de un “experimento mental”.
A pesar de esto, el escenario descrito destaca las formas no intencionadas en que los sistemas automatizados podrían torcer las reglas que se les imponen para lograr los objetivos que se les ha propuesto alcanzar. Llamados juegos de especificación por los investigadores, otros casos han visto una versión simulada de tetris pause el juego para evitar perder, y un personaje de juego de IA se suicidó en el nivel uno para evitar morir en el siguiente nivel.