EXPLORA
EXPLORA

La industria de la vigilancia como servicio debe controlarse

Aquí vamos de nuevo: ha surgido otro ejemplo de vigilancia gubernamental que involucra teléfonos inteligentes de Apple y Google, y muestra cuán sofisticados pueden volverse los ataques respaldados por el gobierno y por qué existe una justificación para mantener las plataformas móviles completamente bloqueadas.

¿Lo que ha sucedido?

No pretendo centrarme demasiado en la noticia, pero en resumen es la siguiente:

  • El grupo de análisis de amenazas de Google ha información publicada que revela el hack.
  • La empresa de vigilancia italiana RCS Labs creó el ataque.
  • El ataque se ha utilizado en Italia y Kazajstán, y posiblemente en otros lugares.
  • Algunas generaciones del ataque se ejercen con la ayuda de los ISP.
  • En iOS, los atacantes abusaron de las herramientas de certificación empresarial de Apple que permiten la implementación de aplicaciones internas.
  • Se utilizaron alrededor de nueve ataques diferentes.

El ataque funciona así: se envía al objetivo un enlace único que tiene como objetivo engañarlos para que descarguen e instalen una aplicación maliciosa. En algunos casos, los espías trabajaron con un ISP para deshabilitar la conectividad de datos y engañar a los objetivos para que descargaran la aplicación y recuperaran esa conexión.

Populares ahora
Revisión de Beelink GK Mini | PC Mag

Apple ha solucionado los exploits de día cero utilizados en estos ataques. Anteriormente había advertido que los malos actores han sido abusando de sus sistemas que permiten a las empresas distribuir apps en un hotel. Las revelaciones se relacionan con las noticias recientes de Lookout Labs sobre el spyware para Android de nivel empresarial llamado Hermit.

¿Qué está en riesgo?

El problema aquí es que se han comercializado tecnologías de vigilancia como estas. Significa que las capacidades que históricamente solo han estado disponibles para los gobiernos también están siendo utilizadas por contratistas privados. Y eso representa un riesgo, ya que se pueden revelar, explotar, aplicar ingeniería inversa y abusar de herramientas altamente confidenciales.

As Google dijo: “Nuestros hallazgos subrayan hasta qué punto los proveedores de vigilancia comercial han proliferado las capacidades históricamente solo utilizadas por los gobiernos con la experiencia técnica para desarrollar y poner en funcionamiento exploits. Esto hace que Internet sea menos seguro y amenaza la confianza de la que dependen los usuarios”.

No solo esto, sino que estas empresas privadas de vigilancia están permitiendo que proliferen peligrosas herramientas de piratería, al tiempo que brindan estas instalaciones de espionaje de alta tecnología a disposición de los gobiernos, algunos de los cuales parecen disfrutar espiando a disidentes, periodistas, opositores políticos y trabajadores de derechos humanos. 

Un peligro aún mayor es que Google ya está rastreando al menos a 30 fabricantes de spyware, lo que sugiere que la industria comercial de la vigilancia como servicio es fuerte. También significa que ahora es teóricamente posible que incluso el gobierno menos creíble acceda a herramientas para tales fines, y dado que muchas de las amenazas identificadas hacen uso de exploits identificados por ciberdelincuentes, parece lógico pensar que esta es otra fuente de ingresos que alienta investigar.

Populares ahora
Las mejores ofertas de escritorio para diciembre de 2021

¿Cuáles son los riesgos?

El problema: estos vínculos aparentemente estrechos entre los proveedores de vigilancia privatizada y el delito cibernético no siempre funcionarán en una dirección. Esas hazañas, al menos algunas de las cuales parecen ser lo suficientemente difíciles de descubrir que solo los gobiernos tendrían los recursos para poder hacerlo, eventualmente se filtrarán.

Y aunque Apple, Google y todos los demás siguen comprometidos con el juego del gato y el ratón para evitar este tipo de delincuencia, cerrando los exploits donde puedan, el riesgo es que cualquier puerta trasera ordenada por el gobierno o falla de seguridad del dispositivo finalmente se deslice en el comercial. mercados, desde los cuales llegará a los criminales.

El regulador de protección de datos de Europa advirtió: "Las revelaciones hechas sobre el software espía Pegasus plantearon preguntas muy serias sobre el posible impacto de las herramientas modernas de software espía en los derechos fundamentales, y en particular en los derechos a la privacidad y la protección de datos".

Eso no quiere decir que no haya razones legítimas para la investigación de seguridad. Las fallas existen en cualquier sistema, y ​​necesitamos que las personas estén motivadas para identificarlas; las actualizaciones de seguridad no existirían en absoluto sin los esfuerzos de los investigadores de seguridad de varios tipos. Manzana paga hasta seis cifras a los investigadores que identifican vulnerabilidades en sus sistemas.

¿Qué ocurre después?

El supervisor de protección de datos de la UE pidió la prohibición del uso del infame software Pegasus de NSO Group a principios de este año. De hecho, el llamamiento fue más allá, buscando abiertamente una "prohibición del desarrollo y despliegue de spyware con la capacidad de Pegasus".

NSO Group ahora aparentemente a la venta.

Populares ahora
Revisión de Marklife P11 | PC Mag

La UE también dijo que en el caso de que tales exploits se usaran en situaciones excepcionales, dicho uso debería requerir que empresas como NSO estén sujetas a supervisión regulatoria. Como parte de eso, deben respetar la ley de la UE, la revisión judicial, los derechos procesales penales y acordar no importar inteligencia ilegal, no abusar políticamente de la seguridad nacional y apoyar a la sociedad civil.

En otras palabras, estas empresas necesitan ponerse en línea.

Lo que puede hacer

Tras las revelaciones sobre NSO Group el año pasado, Apple publicó las siguientes recomendaciones de mejores prácticas para ayudar a mitigar tales riesgos.

  • Actualice los dispositivos al software más reciente, que incluye las correcciones de seguridad más recientes.
  • Proteja los dispositivos con un código de acceso.
  • Utilice la autenticación de dos factores y una contraseña segura para el ID de Apple.
  • Instalar apps de la App Store.
  • Use contraseñas seguras y únicas en línea.
  • No haga clic en enlaces o archivos adjuntos de remitentes desconocidos.

Por favor sígueme en Twitter, o únete a mí en el Bar y parrilla de AppleHolic y Discusiones de Apple grupos en MeWe.

Derechos de autor © 2022 IDG Communications, Inc.



Fuente

Keep Calm and Stay Smart

10:21

Nuestro equipo prueba profesionalmente cientos de software, servicios y estrategias comerciales cada año a través de nuestros propios consultores y un panel de líderes comerciales.

Elegimos rigurosamente solo soluciones con la mayor relación costo-beneficio que sean fáciles de usar, que se integren decentemente en cualquier tipo de organización y que incluyan características líderes para garantizar que se mantenga al tanto de su sector comercial.

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

Software imprescindible en 2024

Categorías superiores

Últimas opiniones