Esta semana, ex El jefe de seguridad de Twitter, Peiter “Mudge” Zatko, presentó una denuncia explosiva de denunciante contra la empresa. Las acusaciones, que Twitter impugna, afirman que la empresa de redes sociales tiene múltiples fallas de seguridad que no ha tomado en serio. Zatko alega que Twitter puso a un agente del gobierno indio en su nómina y no pudo parchear los servidores y las computadoras portátiles de la empresa. Entre las afirmaciones, sin embargo, se destaca una: la sugerencia de que los ingenieros de Twitter podían acceder al software en vivo y tenían acceso virtualmente sin seguimiento a su sistema.
En una victoria de privacidad para los estudiantes en los EE. UU., un juez de Ohio dictaminó que es inconstitucional escanear los hogares de los estudiantes mientras toman exámenes remotos. También detallamos la falla de privacidad que amenaza la democracia de los EE. UU.: la falta de protecciones federales de privacidad significa que los sistemas de vigilancia masiva podrían usarse contra los ciudadanos de nuevas maneras.
En otros lugares, a medida que la invasión a gran escala de Rusia de Ucrania pasa seis meses, las fuerzas militares recurren cada vez más a datos de fuente abierta para respaldar sus esfuerzos. La policía de la India está utilizando el reconocimiento facial con índices de precisión muy bajos: la tecnología se usa ampliamente en Delhi, pero podría arrojar muchos falsos positivos. Y nos sumergimos profundamente (quizás demasiado) en cómo cuatro estudiantes de secundaria piratearon 500 de las cámaras de sus escuelas, en seis ubicaciones, y engañaron a miles de estudiantes y maestros. Es una elaborada broma de graduación.
Y hay más Cada semana, destacamos las noticias que nosotros mismos no cubrimos en profundidad. Haga clic en los titulares a continuación para leer las historias completas. Y mantente a salvo ahí fuera.
Desde que los trolls respaldados por Rusia inundaron Facebook y Twitter con desinformación sobre las elecciones estadounidenses de 2016, las empresas de redes sociales han mejorado su capacidad para acabar con las redes de desinformación. Las empresas suelen eliminar cuentas de propaganda vinculadas a estados autoritarios, como Irán, Rusia y China. Pero es raro que los esfuerzos de desinformación occidentales sean descubiertos y expuestos. Esta semana, el Observatorio de Internet de Stanford y la firma de análisis de redes sociales Graphika detallaron una operación de cinco años que estaba impulsando narrativas pro-occidentales. (La investigación sigue a Twitter, Facebook e Instagram mientras eliminan una serie de cuentas de sus plataformas por «comportamiento no auténtico coordinado»).
Las cuentas de propaganda usaban memes, sitios web de noticias falsas, peticiones en línea y varios hashtags en un intento de impulsar puntos de vista pro occidentales y estaban vinculadas a operaciones de influencia tanto abiertas como encubiertas. Las cuentas, algunas de las cuales parecen usar imágenes de perfil generadas por IA, estaban dirigidas a usuarios de Internet en Rusia, China e Irán, entre otros países. Los investigadores dicen que las cuentas «criticaron fuertemente» a Rusia luego de su invasión a gran escala de Ucrania en febrero y también «promovieron mensajes contra el extremismo». Twitter dijo que es probable que la actividad que vio se haya originado en los EE. UU. y el Reino Unido, mientras que Meta dijo que era en los EE. UU.
Muchas de las técnicas utilizadas por la operación de influencia en línea parecen imitar las que usaron las cuentas respaldadas por Rusia en la preparación para las elecciones de 2016. Sin embargo, es probable que las operaciones de influencia occidental no fueran tan exitosas. “La gran mayoría de las publicaciones y tuits que revisamos no recibieron más que un puñado de me gusta o retuits, y solo el 19 por ciento de los activos encubiertos que identificamos tenían más de 1000 seguidores”, dicen los investigadores.
En los últimos años, Charming Kitten, un grupo de hackers vinculado a Irán, ha sido conocido por sus “campañas de phishing agresivas y dirigidas”. Estos esfuerzos de phishing tienen como objetivo recopilar los nombres de usuario y las contraseñas de las cuentas en línea de las personas. Esta semana, el Grupo de Análisis de Amenazas (TAG) de Google detalló una nueva herramienta de piratería que utiliza Charming Kitten y que es capaz de descargar las bandejas de entrada de correo electrónico de las personas. Apodada Hyperscrape, la herramienta puede robar los detalles de las personas de Gmail, Yahoo y Microsoft Outlook. “El atacante ejecuta Hyperscrape en su propia máquina para descargar las bandejas de entrada de las víctimas utilizando las credenciales previamente adquiridas”, dice TAG en una publicación de blog. La herramienta también puede abrir nuevos correos electrónicos, descargar su contenido y luego marcarlos como no leídos, para no levantar sospechas. Hasta ahora, Google dice que ha visto la herramienta utilizada contra menos de dos docenas de cuentas pertenecientes a personas con sede en Irán.
La empresa de administración de contraseñas LastPass dice que ha sido pirateada. “Hace dos semanas, detectamos una actividad inusual dentro de partes del entorno de desarrollo de LastPass”, escribió la compañía en un comunicado esta semana. LastPass dice que una «parte no autorizada» pudo obtener acceso a su entorno de desarrollo a través de una cuenta de desarrollador comprometida. Mientras el pirata informático (o piratas informáticos) estaban dentro de los sistemas de LastPass, tomaron parte de su código fuente e «información técnica patentada de LastPass», dice la compañía en su declaración. No ha detallado qué elementos de su código fuente fueron sustraídos, lo que dificulta evaluar la gravedad de la infracción. Sin embargo, la compañía dice que no se ha accedido a las contraseñas y los datos de los clientes; no hay nada que los usuarios de LastPass deban hacer en respuesta al ataque. A pesar de esto, es probable que la acusación siga siendo un dolor de cabeza para los equipos técnicos de LastPass. (Tampoco es la primera vez que LastPass ha sido atacado por piratas informáticos).
El director de comunicaciones del intercambio de criptomonedas Binance afirma que los estafadores crearon una versión falsa de él y engañaron a las personas para que asistieran a reuniones de negocios en llamadas de Zoom con su falsificación. En una publicación de blog en el sitio web de la compañía, Patrick Hillmann de Binance dijo que varias personas le habían enviado mensajes por su tiempo. «Resulta que un sofisticado equipo de piratería usó entrevistas de noticias anteriores y apariciones en televisión a lo largo de los años para crear una ‘falsificación profunda’ de mí», escribió Hillmann, y agregó que la supuesta falsificación profunda fue «lo suficientemente refinada como para engañar a varios miembros de la criptocomunidad altamente inteligentes». ” Ni Hillmann ni Binance han publicado imágenes que muestren el deepfake reclamado. Desde que surgieron los deepfakes por primera vez en 2017, ha habido relativamente pocos incidentes de estafas de video o audio falsificados que se hacen pasar por personas. (La gran mayoría de los deepfakes se han utilizado para crear imágenes pornográficas no consentidas). Sin embargo, informes recientes indican que las estafas con deepfakes están en aumento y, en marzo del año pasado, el FBI advirtió que anticipaba un aumento de deepfakes maliciosos en los próximos 12 a 18 meses.