Después de meses de retrasos, la Cámara de Representantes de Estados Unidos votó el viernes a favor de extender por dos años un controvertido programa de escuchas telefónicas sin orden judicial. Conocido como Sección 702, el programa autoriza al gobierno de Estados Unidos a recopilar las comunicaciones de extranjeros en el extranjero. Pero esta colección también incluye montones de comunicaciones de ciudadanos estadounidenses, que se almacenan durante años y luego el FBI, que ha abusado gravemente del programa, puede acceder a ellas sin orden judicial. Una enmienda que requeriría que los investigadores obtuvieran dicha orden no fue aprobada.
Un grupo de legisladores estadounidenses dio a conocer el domingo una propuesta que esperan se convierta en la primera ley de privacidad a nivel nacional del país. La Ley Estadounidense de Derechos de Privacidad limitaría los datos que las empresas pueden recopilar y daría a los residentes de EE. UU. un mayor control sobre la información personal que se recopila sobre ellos. Sin embargo, la aprobación de dicha legislación aún está lejos: el Congreso ha intentado aprobar una ley nacional de privacidad durante años y hasta ahora no lo ha logrado.
A falta de una ley de privacidad de EE. UU., tendrás que tomar el asunto en tus propias manos. DuckDuckGo, la empresa centrada en la privacidad famosa por su motor de búsqueda, ofrece ahora un nuevo producto llamado Privacy Pro que incluye una VPN, una herramienta para eliminar sus datos de sitios web de búsqueda de personas y un servicio para restaurar su identidad si es víctima. al robo de identidad. También hay pasos que puede seguir para recuperar algunos de los datos utilizados para entrenar sistemas de IA generativa. No todos los sistemas que existen ofrecen la opción de excluirse de la recopilación de datos, pero tenemos un resumen de los que la ofrecen y cómo mantener sus datos fuera de los modelos de IA.
La recopilación de datos no es el único riesgo asociado con los avances de la IA. Las llamadas fraudulentas generadas por IA se están volviendo más sofisticadas y las voces clonadas suenan inquietantemente como las reales. Pero hay precauciones que puede tomar para protegerse de ser estafado por alguien que usa IA para parecer un ser querido.
La actual pesadilla de ransomware de Change Healthcare parece haber empeorado. La empresa fue originalmente atacada por una banda de ransomware conocida como AlphV en febrero. Pero después de que los piratas informáticos recibieron un pago de 22 millones de dólares a principios del mes pasado, pareció crecer una brecha entre AlphV y los piratas informáticos afiliados, quienes dicen que AlphV tomó el dinero y huyó sin pagar a otros grupos que los ayudaron a llevar a cabo el ataque. Ahora, otro grupo de ransomware, RansomHub, afirma que tiene terabytes de datos de Change Healthcare y está intentando extorsionar a la empresa. Las interrupciones del servicio causadas por el ataque de ransomware han afectado a los proveedores de atención médica y a sus pacientes en todo Estados Unidos.
Eso no es todo. Cada semana, reunimos las noticias sobre privacidad y seguridad que no cubrimos en profundidad. Haga clic en los titulares para leer las historias completas y manténgase a salvo.
El servicio de vídeo en streaming Roku advirtió a sus clientes el viernes que 576.000 cuentas habían sido comprometidas, una brecha que descubrió en medio de su investigación de una intrusión de escala mucho menor que abordó en marzo. Roku dijo que en lugar de penetrar la propia red de Roku a través de una vulnerabilidad de seguridad, los piratas informáticos habían llevado a cabo un ataque de «relleno de credenciales» en el que probaron contraseñas de usuarios que se habían filtrado en otros lugares, irrumpiendo así en cuentas donde los usuarios habían reutilizado esas contraseñas. La compañía señaló que en menos de 400 casos, los piratas informáticos habían aprovechado su acceso para realizar compras con las cuentas secuestradas. Pero, no obstante, la empresa restablece las contraseñas de los usuarios y está implementando la autenticación de dos factores en todas las cuentas de los usuarios.
Apple envió avisos por correo electrónico a usuarios en 92 países de todo el mundo esta semana, advirtiéndoles que habían sido atacados por un sofisticado «software espía mercenario» y que sus dispositivos podrían verse comprometidos. El aviso enfatizaba que la compañía tenía “gran confianza” en esta advertencia e instaba a las posibles víctimas de piratería a tomarla en serio. En una actualización de la página de estado, sugirió que cualquier persona que reciba la advertencia se comunique con la línea de ayuda de seguridad digital de la organización sin fines de lucro Access Now y habilite el modo de bloqueo para protección futura. Apple no ofreció ninguna información públicamente sobre quiénes son las víctimas del pirateo, dónde se encuentran o quiénes podrían ser los piratas informáticos detrás de los ataques, aunque en su publicación de blog comparó el malware con el sofisticado software espía Pegasus vendido por el fabricante israelí. empresa de piratería informática NSO Group. Escribió en su publicación de soporte público que advirtió a los usuarios en un total de 150 países sobre ataques similares desde 2021.
Abril sigue siendo el mes más cruel para Microsoft, o quizás para sus clientes. Inmediatamente después de un informe de la Junta de Revisión de Ciberseguridad sobre la violación anterior de Microsoft por parte de piratas informáticos patrocinados por el estado chino, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un informe esta semana advirtiendo a las agencias federales que sus comunicaciones con Microsoft pueden haber sido comprometidas por un grupo conocido. como APT29, Midnight Blizzard o Cozy Bear, se cree que trabaja en nombre de la agencia de inteligencia exterior rusa SVR. «El exitoso compromiso de Midnight Blizzard de las cuentas de correo electrónico corporativas de Microsoft y la exfiltración de correspondencia entre agencias y Microsoft presenta un riesgo grave e inaceptable para las agencias», dijo CISA en la directiva de emergencia. En marzo, Microsoft dijo que todavía estaba trabajando para expulsar a los piratas informáticos de su red.
Mientras los piratas informáticos de ransomware buscan nuevas formas de intimidar a sus víctimas para que cedan a sus demandas de extorsión, un grupo intentó el novedoso enfoque de llamar a la recepción de la empresa a la que había atacado para amenazar verbalmente a su personal. Gracias a una gerente de recursos humanos llamada Beth, esa táctica terminó sonando tan amenazadora como un clip de un episodio de La oficina.
TechCrunch describe una grabación de la conversación, que un grupo de ransomware que se hace llamar Dragonforce publicó en su sitio web oscuro en un intento equivocado de presionar a la empresa víctima para que pague. (TechCrunch no identificó a la víctima). La llamada comienza como cualquier intento tedioso de encontrar a la persona adecuada después de llamar al número de teléfono público de una empresa, mientras el hacker espera hablar con alguien de la «administración».
Finalmente, Beth contesta y se produce una conversación un tanto ridícula mientras le pide al hacker que le explique la situación. Cuando amenaza con hacer que los datos robados de la empresa estén disponibles para «actividades fraudulentas y terrorismo por parte de delincuentes», Beth responde «Oh, está bien», en un tono que no se impresiona en absoluto. Luego pregunta si los datos se publicarán en «Dragonforce.com». En otro momento, le señala al cada vez más frustrado hacker que grabar su llamada es ilegal en Ohio, y él responde: “Señora, soy un hacker. No me importa la ley”. Finalmente, Beth se niega a negociar con el hacker con un “Bueno, buena suerte”, a lo que el hacker responde: “Gracias, cuídate”.