ESET advierte cómo mitigar el riesgo de seguridad y limitar la información que compartes al usar estas y otras aplicaciones.

En la era digital, las funciones de geolocalización de muchas aplicaciones ofrecen una comodidad innegable, como seleccionar el comercio más cercano para realizar una compra urgente para retirar personalmente, pero, en el caso de las redes sociales, las  aplicaciones de citas, los juegos y muchos otros servicios en línea, probablemente no sea la mejor idea compartir la ubicación exacta. En este sentido, el equipo de investigación de ESET alerta cómo algunas apps de citas filtraban ubicaciones exactas de sus usuarios.

Cuando se permite que una aplicación utilice la ubicación del dispositivo, por ejemplo en una aplicación de citas, es razonable suponer que la ubicación es generalizada, por ejemplo: “situado en Tampa a 23 millas”. Con una población de unos 400.000 habitantes, localizar la ubicación exacta de alguien debería ser una tarea difícil. Sin embargo, la semana pasada en Black Hat USA, un equipo de investigación belga demostró cómo algunas aplicaciones de citas filtraban inadvertidamente datos de ubicación exacta de los usuarios, con los riesgos y violaciones a la privacidad que esto significa.

“Si bien ya se informó responsablemente del problema a las numerosas aplicaciones de citas afectadas y el problema se ha resuelto, este caso funciona como recordatorio de cómo los hábitos aparentemente inofensivos pueden poner en peligro la privacidad.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Se demostró que a partir de los datos de “X millas de distancia” podían triangular una ubicación exacta del usuario. Seleccionando un perfil de destino, dibujaron un círculo con su ubicación en el centro, hasta la distancia de 23 millas. Luego falseando su ubicación dibujaron un segundo círculo superpuesto al anterior en algún punto. Con una tercera ubicación falseada, y un tercer círculo trazado en el lugar donde se encuentran los tres, pudieron determinar la ubicación exacta del usuario objetivo, que nunca se enteró de dicha filtración.

“La misma técnica se puede utilizar cuando se establecen límites de ubicación; por ejemplo, seleccionando todos los perfiles a 8 km. Si repitiéramos el proceso anterior podrá identificarse la ubicación de un perfil. Solo las aplicaciones o servicios que utilizan la ubicación exacta tienen este problema, si la ubicación se redondea a, por ejemplo, una milla, entonces la ubicación exacta no se puede identificar utilizando este método.”, agrega el investigador de ESET.

Se examinaron 15 aplicaciones de citas en busca de problemas de privacidad, como el descrito anteriormente, a la vez que analizaban sus interfaces API, políticas de privacidad y otros datos. La investigación se centró específicamente en las aplicaciones de citas, pero muchos servicios y aplicaciones utilizan la ubicación de la misma manera. Por ejemplo, en las aplicaciones de juegos, ya que es posible en varias versiones encontrar a otros jugadores del mismo juego que estén cerca.

“Destacar el problema utilizando las aplicaciones de citas como ejemplo hace el caso más llamativo, ya que todos entendemos el problema de los acosadores y depredadores que pueden utilizar estas plataformas. Sin embargo, es importante que todas las aplicaciones y servicios revisen el uso que hacen de la localización para asegurarse de que ocultan suficientes datos de localización como para que sea imposible calcular la ubicación exacta de alguien.”, advierte Gutierrez Amaya de ESET.

ESET comparte algunas medidas para mitigar el problema y limitar la precisión con la que se comparte la ubicación al utilizar los dispositivos móviles:

• Cuando una aplicación pide permiso para utilizar la ubicación al instalarla, se puede cambiar el permiso para desactivar el uso compartido de la ubicación exacta. En iOS se utiliza una ubicación a tres kilómetros de la posición exacta, lo que es una variante suficiente para evitar que alguien triangule la posición.

• En los dispositivos Apple, ir a “Ajustes”, “Privacidad y seguridad” y, a continuación, a “Servicios de localización”; cada aplicación y su permiso correspondiente pueden mostrarse y editarse según sea necesario.

• Si se utiliza un dispositivo Android, mantener pulsado el icono de la aplicación y en “Información de la aplicación” encontrar “Permisos”, incluido “Localización”, donde se podrá seleccionar la opción adecuada.

La entrada Riesgo de privacidad: Apps de citas que filtraban la ubicación exacta de los usuarios se publicó primero en Technocio - Tech Trends.

El nuevo dispositivo de Apple que promete revolucionar la forma en que se ve el mundo ya está a la venta, y ESET analiza si podría haber riesgos de seguridad relacionados con su utilización.

Con una interfaz y algunas aplicaciones similares a las que se encuentran en los dispositivos existentes de la marca, el Apple Vision Pro se presenta como una interfaz de realidad mixta que permite al usuario interactuar con el mundo real y virtual sin necesidad de ningún accesorio más que el movimiento de sus manos. ESET advierte que al centrarse en la inmersión dentro del entorno virtual, el dispositivo esto puede traer una serie de riesgos en relación a la seguridad digital de quien lo utilice.

¿Qué riesgos puede traer Apple Vision Pro?

Los puntos más susceptibles a ataques maliciosos o fallos de sistema, según ESET, son:

Sistema operativo: A pesar de que su estructura principal se basa en el software existente de Apple, el dispositivo tendrá un sistema operativo (S.O.) completamente nuevo. Al estar hecho para diferentes tipos de interacciones con el entorno, puede presentar anomalías de comportamiento que le lleven a cambiar estas capacidades de interacción. Entre las posibles anomalías el equipo de investigación de ESET acerca estas hipótesis:

• Apertura excesiva de ventanas: Esto definitivamente haría que la experiencia del usuario fuera bastante desagradable y podría resultar en un ocultamiento de la vista del entorno.

• Sobrecarga: Si una o más aplicaciones presentes en el S.O. provocan una sobrecarga del sistema, esto puede provocar la congelación de la interfaz y, en consecuencia, de todo lo que ve el usuario, apagando o reiniciando el dispositivo, y el sobrecalentamiento. A pesar de que el sobrecalentamiento parece ser un efecto menor, al estar en contacto con la cara definitivamente no es adecuado. Vale aclarar que el dispositivo no tiene baterías en las gafas, lo que disminuye significativamente el riesgo de explosiones.

• Cambio en sensores y cámaras: Una de las características del Apple Vision Pro es que cuenta con dos pantallas, que permiten reproducir imágenes y vídeos en muy alta resolución, pero también significa que el usuario no ve directamente el mundo que le rodea; todo pasa a través de las cámaras y los sensores. Si los sensores de proximidad o aceleración tienen un cambio de comportamiento, pueden suponer un riesgo para la integridad física del usuario, además de provocar que todas las demás aplicaciones también se comporten de forma anómala, dando lugar a la pérdida o inaccesibilidad de ventanas.

Vulnerabilidades: Ya sea por características provenientes del sistema operativo o por algún eventual descuido en la composición de las aplicaciones que se instalarán en Apple Vision, es posible que ciberdelincuentes exploten vulnerabilidades en los equipos.

La explotación de vulnerabilidades es uno de los trucos utilizados por los delincuentes para propagar amenazas como troyanos y ransomware. En el caso del ransomware, el dispositivo se verá inhibido de realizar plenamente sus funciones y las víctimas tendrán dos opciones: ponerse en contacto con Apple para obtener ayuda -ya que Vision no cuenta con una interfaz que permita la interacción directa con el sistema operativo para reinstalarlo-, o el pago del rescate, algo que desde ESET se desaconseja encarecidamente, porque quien paga el rescate financia al grupo de ciberdelincuentes y les permite atacar aún más víctimas. Sea cual sea el camino que se elija, una cosa es segura, se pasará un período de tiempo sin poder usar su dispositivo por completo hasta que el problema se solucione adecuadamente.

En el caso de la infección con un troyano, los ciberdelincuentes pueden tener acceso a todas las cámaras y sensores disponibles en el dispositivo, viendo y monitorizando todo lo que ve la víctima. Sería como tener a un delincuente al lado durante mientras se utiliza el dispositivo, sin privacidad.

Privacidad: En general, al preocupamos por la privacidad, el foco está en no dejar datos personales expuestos, y con Vision, esa preocupación puede extenderse un poco más. El dispositivo cuenta con varias cámaras y sensores que mapean el entorno y las personas cercanas, esto en sí mismo trae puntos adicionales de atención debido a la dinámica:

• Falta de consenso: Una de las características de este producto es que no permite al usuario ver el mundo que le rodea directamente, es decir, el producto mapea y filma constantemente todo lo que hay alrededor para acercar dicha información. Si los usuarios usan el equipo en la calle, este mapeará constantemente personas y lugares sin el consentimiento de sus dueños. En tiempos en los que las leyes que regulan la protección de datos están evolucionando para mantenerse al día con los nuevos cambios, esto sin duda llama mucho la atención, ya que no es posible expresar el no consentimiento para que se produzca dicho mapeo/reconocimiento.

• Exposición involuntaria de contenido sensible: En un entorno controlado, la cantidad de información sensible perteneciente al usuario tiende a aumentar significativamente, como símbolos religiosos, elementos que demuestren preferencia sexual, afiliación política, estado de salud e incluso momentos íntimos o personales del usuario o personas cercanas a él, entre muchos otros. Por lo que cuando el uso del dispositivo se realiza en un lugar público, otras personas tienden a estar más expuestas al análisis de imágenes, analizando sus rostros y detalles de su ropa. A esto se le suma la correlación entre el mapeo tridimensional de un entorno y las personas que lo rodean, vinculadas a información sobre el momento exacto y el momento en que están allí.

“Apple ciertamente toma medidas para mitigar los riesgos potenciales, pero, como sabemos, no hay nada que sea 100% seguro y el acceso a la información a través de un dispositivo como Vision sin duda traerá muchos debates sobre cómo debe suceder todo para que se creen más protecciones. Dependerá de todos los usuarios de la tecnología mantenerse alerta para que haya menos posibilidades de que sucedan.”, concluye Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica.

La entrada ¿Qué riesgos puede traer Apple Vision Pro? se publicó primero en Technocio - Tech Trends.

Autor: Technocio.com

Con el auge de las apps y servicios de transcripción de audio a texto, ESET analiza los riesgos de seguridad y qué se debe tener en cuenta a la hora de utilizar estos servicios.

Las aplicaciones de transcripción pueden ayudar a ahorrar tiempo y esfuerzo al convertir rápidamente archivos de audio en texto. Esto puede resultar útil en muchos contextos: Desde el día a día para audios en aplicaciones de mensajería, en el entorno laboral facilitando la toma de notas durante reuniones y entrevistas, y hasta como herramienta para personas con discapacidad auditiva.

Recientemente se popularizó un bot para WhatsApp que realiza esta misma tarea con audios enviados en cuestión de minutos. Más allá de este bot en particular y el hecho de que sus creadores aseguran que protege la privacidad de las personas y que no tienen un registro de la información que contienen esos audios, lo cierto es que el uso de aplicaciones de transcripción de audio a texto en general puede plantear riesgos para la seguridad y privacidad de los usuarios que deben ser considerados. En este contexto, ESET analiza las principales consideraciones de seguridad asociadas con el uso de estas aplicaciones y proporciona algunas recomendaciones clave para mitigarlas.

Algunos de los riesgos asociados a aplicaciones para transcripción de audio según ESET, son:

Funcionamiento de la transcripción y privacidad: Si bien WhatsApp anunció que está trabajando en una funcionalidad para transcribir audio a texto, existen diferentes apps desarrolladas por terceros que utilizan distintos métodos para transcribir un archivo de audio a texto, tanto de manera manual como automatizada.

En el caso de la transcripción automatizada, algunas aplicaciones utilizan algoritmos de reconocimiento de voz y aprendizaje automático para convertir el audio en texto sin intervención humana. Estos programas pueden ser desarrollados por la compañía detrás de la aplicación o ser un servicio tercerizado. Si bien esta última opción es generalmente más rápida y eficiente, también plantea algunas interrogantes con respecto a la privacidad, ya que en muchos casos se desconoce el alcance que podría tener el audio enviado: ¿Se utilizará para mejorar el algoritmo? ¿Se almacenará en servidores, propios o de terceros, durante el análisis del contenido? ¿Cómo se asegura el envío de esa información, si es que el procesamiento del audio se terceriza?

Por otro lado, la transcripción manual implica que la misma es realizada por una persona, lo cual puede plantear riesgos de privacidad si quienes realizan esta transcripción tienen acceso a información confidencial o si se comparte con contratistas terceros sin el consentimiento del usuario. De hecho, Meta (en ese entonces, Facebook) se vio envuelta en una polémica por tercerizar la transcripción de audios enviados por sus usuarios para poder mejorar su sistema de reconocimiento de voz.

Almacenamiento de datos: Una gran cantidad de estas aplicaciones solicitan a los usuarios que concedan permisos para acceder a diferente información del dispositivo, como la ubicación, contactos, chats en aplicaciones de mensajería, o hasta el micrófono del dispositivo, a fin poder funcionar o también proporcionar una mejor experiencia de usuario.

Sin embargo, desde ESET mencionan que la recopilación de esta información puede presentar un riesgo si se utiliza indebidamente o si se comparte con terceros sin el consentimiento del usuario en cuestión. También si no se asegura correctamente en los servidores de la compañía que la almacene. Si bien este punto no es exclusivo para las apps de transcripción de audio, sí es cierto que este tipo de aplicaciones recolecta archivos de audios que, usualmente, son de la voz del usuario o de sus allegados. Sobre todo en los casos en los cuales la aplicación se presenta como un bot para aplicaciones como WhatsApp o Telegram.

Además, la información de audio y texto recopilada por la aplicación también podría ser utilizada para crear un perfil de la persona y para personalizar anuncios y recomendaciones, un dato no menor. Si la aplicación no protege adecuadamente la información personal, los usuarios podrían ser vulnerables a ciberataques.

Aplicaciones maliciosas: Es posible que existan aplicaciones o chatbots fraudulentos para transcripción de audio a texto, ya sea que no cuentan con políticas de privacidad sólidas, que no protegen debidamente la información del usuario, o que incluso la comercialicen. También puede pasar que con el auge de estas tecnologías los cibercriminales quieran aprovechar la situación para lanzar falsas apps que utilizan como pantallas para infectar a las víctimas con algún tipo de malware.

El problema es que estas aplicaciones fraudulentas pueden ser muy exitosas debido a que los usuarios no siempre verifican quién desarrolló la aplicación ni examinan cuidadosamente sus políticas de privacidad. Además, estas apps maliciosas pueden ser copias de aplicaciones legítimas, lo que dificulta que los usuarios las identifiquen de manera simple como fraudulentas.

“Vale la pena mencionar que esto tampoco es exclusivo para aplicaciones de transcripción de audio, sino que también sucede con estos tipos de programas de “utilidad” o para usos específico, como conversores o lectores de archivos con extensiones específicas, editores de video, y más. De hecho, hemos visto en Google Play apps que ofrecen distintos tipos de funcionalidades, desde lectores de PDF y de códigos QR, pasando por traductores o editores de imágenes que son utilizadas para distribuir malware.”, comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

Robo de información para realizar ciberataques: Ya sea por una aplicación falsa o por una vulneración de una app real, los audios y textos robados pueden ser utilizados para ciberataques. Un ejemplo de ello podría ser el entrenamiento de un modelo de machine learning para producir deepfakes en formato de audios, ya sea para noticias falsas o ataques de ingeniería social.

El proceso generalmente implicaría dos pasos: el entrenamiento del modelo y el uso del modelo en sí. En el primer paso es donde se utilizan los datos robados para entrenar el modelo de aprendizaje automático, el cual utilizará técnicas de procesamiento de señales de audio y de lenguaje natural para aprender cómo se pronuncian las palabras y cómo se estructuran las oraciones. Una vez que el modelo se entrena con suficiente cantidad de datos, sería capaz de generar texto a partir de un archivo de audio.

Un atacante podría utilizar el modelo para manipular los audios robados y hacer que las víctimas digan cosas que no hicieron. Pueden utilizar la transcripción falsa para chantajear,  extorsionar o engañar a las mismas y a sus allegados, o incluso pueden suplantar la identidad de una persona reconocida y generar una noticia falsa.

A continuación, ESET acerca recomendaciones para utilizar estas aplicaciones de manera segura:

• Descargarlas solo de fuentes confiables y evitar la descarga de aplicaciones de terceros desconocidos o no verificados. En caso de ser un chatbot, verificar que el número o usuario sea el correcto, y no una copia maliciosa.

• Revisar las políticas de privacidad de la aplicación, verificar los apartados acerca de la información almacenada y compartida con terceros.

• No compartir información confidencial o sensible mediante los audios a cargar en la aplicación, como contraseñas o información financiera.

• Si se trata de una aplicación descargable, mantenerla actualizada para tener las últimas correcciones de seguridad y parches.

La entrada Riesgos de seguridad y privacidad en torno a las apps de transcripción de audio a texto se publicó primero en Technocio - Tech Trends.

ESET, compañía de seguridad informática, analiza que el Metaverso y los puntos a los que se debe prestar atención en cuanto a la seguridad y protección de información.

Para mantenerse al día con una tendencia, es necesario comenzar a informarse lo antes posible, por eso desde ESET analizan distintas hipótesis sobre los posibles riesgos de seguridad que pueden venir de la mano del Metaverso. “Si se considera que muchas de las amenazas informáticas presentes en la realidad actual siguen desafiando constantemente a empresas y usuarios y cobrándose nuevas víctimas, es difícil imaginar que no se repliquen en este mundo virtual. Además, la industria tecnológica tiene muchos ejemplos de cómo las presiones del negocio por salir lo antes posible al mercado suelen tener como consecuencia descuidos en la seguridad.”, comenta Daniel Cunha Barbosa, Investigador de ESET Latinoamérica.

A pesar de que grandes compañías tecnológicas ya están desarrollando modelos, que se están realizando cálculos, y que hay equipos trabajando para que se convierta en realidad, todavía el metaverso es principalmente una idea. El equipo de investigación de ESET pone el foco en la seguridad y para ello plantean algunos puntos a los cuales habrá que prestar atención cuando este universo digital sea una realidad. A continuación, desde ESET comparten hipótesis basadas en la realidad actual y en los antecedentes históricos vinculados a las amenazas informáticas y el surgimiento de nuevas tecnologías, con el fin de educar y concientizar sobre lo que puede pasar durante el eventual uso de la realidad inmersiva como plantea Metaverso:

• Dispositivos de acceso:Este definitivamente será el primer punto de atención, aún no se sabe qué dispositivos permitirán la entrada al metaverso. Si en un principio se accederá mediante computadoras tradicionales, si la entrada solo será posible con determinados gadgets como gafas, guantes o joysticks y, sobre todo, si serán necesarias configuraciones específicas para que esta conexión se produzca. También si será necesario que haya una conexión directa desde los hosts en Internet al dispositivo a través de reglas de firewall específicas o si habrá un servidor central donde los clientes se conectarán a él, independientemente del dispositivo utilizado.

• Más de un mundo virtual: El Metaverso será el mundo creado por la empresa Meta, que también posee plataformas como Facebook, Instagram y WhatsApp, pero puede que haya más de un mundo virtual. ¿Qué tipo de información se necesitará proporcionar para la salida de un mundo y la entrada a otro? ¿Lo hará activamente el usuario o las plataformas comerciarán entre sí? ¿La seguridad de la información almacenada será la misma para todos los mundos o es posible que uno de ellos sea más “vulnerable”?

• Suplantación de identidad: En las plataformas donde es posible personalizar un avatar se suelen utilizar imágenes que no tienen nada que ver con las características físicas de quien los utiliza. Esta posibilidad de cambiar de apariencia también es utilizada por personas con malas intenciones para obtener información o incluso dinero de otras personas que forman parte de este mundo. Esto seguramente también estará presente en el Metaverso con delincuentes intentando explotar la ingeniería social, ya que, según el video de presentación del proyecto, permitirá varias personalizaciones.

• Intercambios de información y ¿malware?: Es posible que diferentes tipos de interacciones sean permitidas dentro de un entorno inmersivo, por lo que además de la interacción de caminar y hablar con otras personas, será posible enviar y recibir archivos de diferentes tipos, como imágenes, videos o documentos; incluso puede ser posible la transferencia directa de recursos entre personas, y estos son puntos que pueden traer problemas a los usuarios si no son gestionadas correctamente. Si las interacciones entre personas son totalmente gratuitas y cada uno puede enviar lo que quiera, ¿cómo se validará si el archivo tiene contenido malicioso? ¿Serán abiertos por la propia interfaz o deberán descargarse y manejarse por separado? Actualmente, los archivos maliciosos representan una parte importante de la escena de las amenazas digitales y, sin duda, deberán tenerse en cuenta en Metaverso, ya que, dependiendo de cómo ocurran estas interacciones, las partes pueden tener acceso a la información de los demás.

• Tiendas, compras y métodos de pago: Independientemente de qué tipo de moneda circule dentro de la plataforma, una cosa es prácticamente segura, existirá la posibilidad de adquirir productos dentro de este mundo y esto dará lugar a los fraudes y estafas. Objetos que puede recibir en el mundo real o tal vez artículos personalizables, NFT y cualquier otro tipo de posibilidades comerciales, y estas transacciones deben estar muy protegidas. Es básico saber dónde quedará la información de pago, si será almacenada en el dispositivo que se conectará a Metaverso o en la nube, o en otro lugar. También si será necesario hacer validaciones para cada compra o si este proceso se automatiza al usar la función una vez. Otro punto a tener en cuenta es si de permitirse comprar directamente a una persona, conocer qué información de pago recibirá esta persona. Incluso si la calidad de los métodos de pago actuales se importa a este mundo, habrá muchos puntos de atención de los que preocuparse.

• La gestión de Información personal y el tipo de datos: Hoy ya se cuenta con datos de registro como nombre, teléfono, documento de identidad, dirección y varios otros que permiten la identificación, así como contraseñas e información sobre gustos personales que conforman el grupo de datos más sensibles. Se supone que para la inmersión en el Metaverso se necesitarán lentes de realidad virtual, los mismos tendrán incluso más sensores que un celular y probablemente serán capaces de leer la altura del usuario, tal vez hasta su peso, frecuencia cardiaca, brindar un reconocimiento facial con un nivel de precisión avanzada, y si tiene cámaras podrá monitorear el entorno y evitar posibles colisiones con objetos en el mundo físico. El punto para analizar es qué pasa si esa información cae en manos indebidas.

“Hay mucho potencial en todo lo que abarca el Metaverso y cualquier otro universo que pueda surgir, pero históricamente hablando, las innovaciones no siempre son desarrolladas teniendo en cuenta la seguridad y las tecnologías suelen salir al mercado lo antes posible porque las prioridades son otras. Esperamos que en este caso el Metaverso se piense y desarrolle teniendo muy en cuenta la seguridad del entorno en su conjunto, tanto a los usuarios, la información, transacciones y su estructura en general. Desde ESET apostamos a la educación y concientización como primera medida para navegar de forma segura en Internet, por eso aún sin tener información clara de cómo será este universo digital, es posible tener en cuenta que los delincuentes también formarán parte de él y, como siempre, será responsabilidad de todos velar por la protección de los bienes y datos y estar atento a posibles estafas que puedan llegar a surgir en ese entorno.”, concluye Daniel Cunha Barbosa, Investigador de ESET Latinoamérica.

La entrada ¿Qué riesgos de seguridad puede esconder el Metaverso?  se publicó primero en Technocio - Tech Trends.