miércoles, 24 de octubre de 2018

SIGNAL HA ESTADO GUARDANDO LOS CHATS Y LOS DATOS DE LOS USUARIOS SIN CIFRAR


         Aunque lo relacionado con la seguridad de las comunicaciones es cierto, la verdad es que esta aplicación tiene graves debilidades por otros lados, y es que ha estado poniendo seriamente en peligro la privacidad de los usuarios al guardar sus chats sin cifrar en el disco duro.

   Signal comenzó a funcionar inicialmente en dispositivos móviles Android y iOS, aunque poco a poco fue lanzando otros clientes para que los usuarios pudieran utilizar esta aplicación desde cualquier sitio, como, por ejemplo, desde el ordenador. La versión de PC de esta herramienta de mensajería llegó en forma de extensión para Chrome, aunque desde hace un año existe también una versión de escritorio convencional que no depende del navegador.

   A día de hoy la versión de Signal para Google Chrome está obsoleta y la compañía la hará caducar en un mes. Por ello, esta herramienta está ofreciendo a los usuarios la posibilidad de actualizar a la versión de escritorio guardando todos los chats y todos los datos intercambiados a través de la aplicación. Y es aquí donde ocurre todo.
   Para poder copiar los datos de la versión de Google Chrome a la versión de escritorio de esta herramienta de mensajería la herramienta extrae los datos de la carpeta de local de Chrome y los copia a la nueva carpeta de la versión de escritorio, importándolos así en esta versión y permitiendo a los usuarios seguir utilizando estos archivos.

   Signal en ningún momento debería descifrar los datos de los usuarios (ya que este cifrado es una de sus principales virtudes), ni siquiera para un proceso de actualización. Y mucho menos debería guardarlos de nuevo sin cifrar en nuestro disco duro.
   Desde luego esto es un despiste muy grave que, sin duda, a más de uno le hará replantearse la seguridad de esta aplicación. Los datos copiados de la versión de Chrome a la versión de escritorio de Signal se guardan en plano en el disco duro, sin ningún tipo de cifrado o seguridad.

LAS APLICACIONES DE TU MÓVIL PUEDEN RASTREARTE INCLUSO DESPUÉS DE DESINSTALADAS



       Normalmente cuando eliminamos una aplicación esta desaparece de nuestro dispositivo y dejamos de saber nada de ella, sin embargo, un reciente estudio acaba de demostrar que, probablemente, esto no sea así, sino que es posible que algunas aplicaciones puedan seguir controlando nuestros dispositivos incluso después de eliminadas.

   Las notificaciones push son una función de los sistemas operativos móviles que permiten a los desarrolladores actualizar las aplicaciones en segundo plano sin que los usuarios vean avisos en sus smartphones y enviar avisos a los usuarios cuando tengan notificaciones pendientes incluso antes de que la aplicación como tal se haya actualizado en segundo plano.

   Las notificaciones push son muy útiles, no podemos negarlo. Sin embargo, un reciente estudio de Bloomberg acaba de demostrar cómo muchos desarrolladores se aprovechan de estas notificaciones para controlar los smartphones de los usuarios y saber si una aplicación está instalada o no. Esto es posible dado que cada smartphone cuenta con un ID único, por lo que si se intenta enviar una notificación push a este ID (como un ping) para controlar una determinada aplicación y esta notificación no se puede entregar implica que la app ha sido borrada del sistema.

sábado, 6 de octubre de 2018

ESTOS SON LOS DATOS QUE LAS APLICACIONES INFANTILES MÁS POPULARES RECOPILAN DE TUS HIJOS


    ¿Te imaginas que una aplicación conoce en todo momento dónde está tu hijo? ¿Y si utiliza la cámara para saber dónde dirige la mirada cuando se divierte con su juego favorito? ¿O el micrófono para grabar esas reacciones? Imagínate que encima comparte estos datos con terceros. La mitad de las aplicaciones infantiles podría estar enviando datos de los menores a otras empresas, según un estudio publicado en mayo de 2018.

   Los investigadores del International Computer Science Institute (ICSI) de la Universidad de Berkeley analizaron 5.855 apps de Android para niños y descubrieron que el 57% vulneraba su privacidad, según la ley federal que protege a los menores en Estados Unidos, la Children’s Online Privacy Protection Act (COPPA). Xataka ha analizado las 20 aplicaciones infantiles más populares —10 de App Store y 10 de Play Store— para comprobar qué datos recopilan y qué uso hacen de ellos.

   A las empresas o desarrolladores de apps les interesa recabar datos de niños “para obtener un perfil exacto de los menores porque ellos son los próximos demandantes de contenidos y aplicaciones”, según afirma el letrado Efrén Santos de ICEF Consultores, un despacho de abogados expertos en nuevas tecnologías y protección de datos. “Especialmente, los gustos de navegación, ubicación, tiempo de conexión, tipo de contenidos, cómo chatean o cómo y cuándo responden a contenidos”, sostiene.

   Tanto Apple como Google cuentan con un apartado para niños dentro de sus tiendas. “Revisamos cada aplicación para asegurarnos de que hace lo que dice que hace”, explica la compañía de Cupertino en su propia web. En la categoría “Niños” de App Store, creada en 2013, los padres pueden escoger un rango de edad, con el fin de que sus hijos “solo puedan comprar o descargar las apps apropiadas para ellos”. Las 10 aplicaciones gratuitas más populares de la tienda de Apple son Lingokids, Budge World, Youtube Kinds, TinyTap, Epic!, RTVE Clan, myABCKit: aprender a leer, Quiver- 3D coloring app, Piano juego de niños y niñas y PlayKids.

   En España, desde el pasado 25 de mayo los niños se encuentran amparados por el Reglamento General de Protección de Datos (RGPD). El RGPD requiere que los desarrolladores informen a los niños y a sus padres sobre el tratamiento de sus datos personales en un lenguaje “claro, sencillo y fácil de entender para su edad”, según sostiene Piña. Sin embargo, entre las 20 aplicaciones infantiles más populares, hay varias que no tienen la política de privacidad traducida al español. Es el caso de Lingokids, una app para estudiantes de entre 2 y 8 años para aprender inglés, o de Budge World, una aplicación con juegos de la Barbie, Hello Kitty o Caillou, cuya política de privacidad solo está disponible en francés y en inglés. Además, algunas aplicaciones no son precisas a la hora de explicar qué datos recopilan y con qué fines.

   Entre los datos personales recopilados por estas aplicaciones, pueden estar el nombre, la ubicación, el idioma o la edad del menor. El principio de minimización establece que una aplicación solo puede recopilar los datos necesarios para funcionar adecuadamente.
   La recopilación de todos estos datos por parte de compañías es peligrosa por el uso posterior que pueden hacer de esta información personal, según sostiene Piña. “Siendo un menor, el titular de la información personal recogida y cedida por ‘x’ compañía que recopila sus datos y pueda ‘venderlos’ a un tercero, es previsible que llegue a ser objeto de comportamientos dirigidos a atentar contra su integridad moral e incluso física”, explica la coordinadora de la Comisión de Menores de la Asociación Profesional Española de Privacidad.      

Más info: Xataka

viernes, 5 de octubre de 2018

DATOS DE FACEBOOK A LA VENTA EN DEEP WEB


       La semana pasada, Facebook, y otras plataformas similares, se vieron afectadas por un grave fallo de seguridad descubierto por piratas informáticos que permitió a estos piratas robar los datos de más de 50 millones de usuarios mediante los tokens de acceso. A diferencia de lo que ocurre cuando la vulnerabilidad la descubren investigadores de seguridad, esta vez los datos han caído en manos de piratas informáticos, por lo que, desde hace varios días, se están vendiendo en la Deep Web al mejor postor, poniendo, una vez más, precio a nuestra privacidad.

   Tal como muestra el medio Independent, los piratas informáticos tras el hackeo de Facebook ya están haciendo negocio con las cuentas de los 50 millones de usuarios robadas. En la Deep Web ya están a la venta los tokens de las cuentas que permitirían acceder a las cuentas de otras personas, tokens que se pueden comprar por poco más de 3 dólares, aunque hay algunas cuentas más relevantes que tienen un precio algo superior, en torno a los 12 dólares.

   Para comprarlas debemos pagar utilizando criptomonedas semi-anónimas, como Bitcoin o Bitcoin Cash.
   Si estas cuentas se vendieran individualmente, los piratas informáticos podrían hacerse fácilmente con una cantidad de dinero entre 150 millones y 600 millones de dólares, según el precio de los tokens de las cuentas. De todas formas, es probable que ya estén a la venta "packs" de tokens más baratos que rebajarían el valor final del robo.

   De momento, los máximos responsables de Facebook aseguran no saber quién se encuentra tras este ataque informático, aunque están investigando para poder recopilar la mayor información posible, información que les ayude a identificar al atacante.

   Este robo de datos puede salirle caro a Facebook (aunque, como siempre, seguramente no sea así). Si tomamos literalmente la nueva ley de protección de datos europea, la GDPR, por no proteger correctamente los datos de los usuarios Facebook podría ser sancionado con una multa de 1630 millones de dólares, el 4% de los ingresos globales anuales de la compañía.

Fuente: Segu info