Durante las últimas semanas también se han impuesto sanciones millonarias a empresas por no proteger adecuadamente los datos de los usuarios. A pesar de ser uno de los temas más destacados durante los últimos meses, las elevadas multas impuestas a empresas como Facebook, Marriot o British Airways la seguridad de las multinacionales ha quedado en entre dicho, ya que las han considerado demasiado elevadas si las comparamos con las sanciones impuestas hasta no hace mucho.
Fallos en la seguridad de diversas multinacionales y Apps
El caso es que, ya sea por la implantación definitiva del Reglamento General de Protección de Datos o por dar un ejemplo al resto de empresas, los organismos encargados de vigilar el manejo de los datos de los usuarios no han dudado en demandar cientos de millones de euros a alguna de las empresas multadas.
Las grandes tecnológicas, como Google, Apple o Amazon echo, también se han visto involucradas este mes al descubrirse que mediante los asistentes virtuales que incorporan algunos de sus dispositivos, como Google Assistant, se estaba recopilando y transcribiendo conversaciones sin la autorización de los usuarios.
Esto ha desatado una importante polémica, ya que muchos usuarios piensan que sus dispositivos solo están a la escucha cuando se activan por un comando de voz. Además, el hecho de que haya personas analizando un porcentaje de estas escuchas resulta aun más inquietante, por mucho que se intente justificar alegando que solo se realiza para mejorar la calidad del servicio.
FaceApp y las vulnerabilidades en iOS
La aplicación que más polémica causó durante el mes pasado un gran problema en la seguridad, debido al almacenamiento y uso que hace de las fotografías que obtiene de los usuarios fue, sin lugar a duda, FaceApp. Esta app obtuvo una importante cobertura mediática cuando muchos de sus usuarios descubrieron que, al permitir el acceso a su galería de fotos almacenada en el smartphone, estaban consintiendo que algunas de ellas fueran subidas a servidores ubicados en Rusia, de donde es originalmente la empresa.
Asimismo, debido a la popularidad alcanzada durante las últimas semanas, los delincuentes no tardaron en aprovechar el tirón de esta aplicación, ofreciendo un supuesto acceso a su versión premium de forma gratuita como gancho para que los usuarios descargasen aplicaciones maliciosas.
La funcionalidad de estas apps maliciosas va desde mostrar publicidad hasta descargar otras aplicaciones fraudulentas: de todo menos instalar la prometida versión premium de FaceApp.
En lo que respecta al ecosistema iOS de Apple, a finales de mes se publicó un parche de seguridad que solucionaba importantes vulnerabilidades y que permitirían a un atacante consiguiese comprometer remotamente un dispositivo con iOS simplemente enviando un mensaje a través de la aplicación iMessage.
Supuestamente, con la actualización a la versión 12.4 de iOS se soluciona el problema, pero los investigadores del equipo Project Zero de Google (responsables de descubrir estas vulnerabilidades) anunciaron que queda una por parchear y de la cual no van a revelar más información hasta que no esté solucionada para no dejar vulnerables a cientos de millones de dispositivos.
Malware dirigido contra misiones diplomáticas
El equipo de investigadores del software de protección antivirus ESET ha estado muy activo durante las últimas semanas, presentando varios informes relacionados con campañas de malware dirigido a objetivos específicos, buscando mejorar la seguridad de todos los sistemas.
Como ejemplo destaca el descubrimiento de nuevas versiones de familias de malware asociadas al grupo Ke3chang, así como un nuevo backdoor no detectado hasta ahora y que se utiliza para acceder remotamente a equipos comprometidos.
Ke3chang lleva operando supuestamente desde 2010 desde China y sus objetivos favoritos son las misiones diplomáticas en varios países. En esta última campaña, ESET ha detectado que entre los principales países objetivos se encuentran Eslovaquia, Bélgica, Chile, Guatemala y Brasil.
El grupo especializado en ataques dirigidos Buhtrap también fue protagonista durante el mes pasado, ya que otra investigación de ESET demostró cómo había estado utilizando una vulnerabilidad 0-day en sistemas Windows.
Precisamente, esta vulnerabilidad también fue descubierta por el investigador de ESET Anton Cherepanov y permitía a un atacante ejecutar código arbitrario en modo kernel para, seguidamente, instalar programas, ver, cambiar o borrar datos o crear nuevas cuentas con permisos completos de usuario.
“En ambos casos estamos ante grupos especializados en el espionaje y robo de información”, comenta Josep Albors, responsable de Investigación y Concienciación de ESET España. “Se trata de una actividad que se ha ido incrementando con el paso de los años y que ahora supone un problema real para individuos particulares, empresas y gobiernos”.