Informática & Derecho WikiBlog

El 20 de diciembre de 2020, a partir del Decreto N° 297/2020, dictado por el Poder Ejecutivo Nacional (“Aislamiento Social Preventivo y Obligatorio”, en adelante “ASPyO”), podría pensarse como un punto de inflexión en nuestra forma de vida y, sobre todo, en nuestra forma de trabajar.

En el ámbito del derecho, nos vimos obligados a “aggionarnos” y a intentar promover un cambio de mentalidad sobre la manera de interactuar entre empleadores y empleados (ya no desde lo “presencial” sino desde lo “virtual”) para prevenir situaciones de conflicto entre las partes en un contexto de incertidumbre.

Específicamente, en el fuero del trabajo, donde prima el orden público laboral, y frente a los principios protectorio, de irrenunciabilidad, continuidad de la relación laboral y demás presunciones legales establecidas en favor de los empleados, es recomendable aprender a utilizar la tecnología para evitar contingencias.

El estado de Virginia promulgó recientemente una  ley prohibir que los departamentos de policía locales y los departamentos de policía del campus utilicen tecnología de reconocimiento facial. La tecnología de reconocimiento facial se define como un "sistema electrónico para registrar, capturar, extraer, comparar y hacer coincidir los datos faciales geométricos de una persona para identificar a las personas en fotos, videos o en tiempo real". La ley establece que ninguna agencia local de aplicación de la ley debe comprar o implementar tecnología de reconocimiento facial a menos que dicha compra o implementación de dicha tecnología esté expresamente autorizada por ley. La ley establece además que dicho estatuto requerirá que cualquier tecnología de reconocimiento facial comprada o implementada por la agencia local de aplicación de la ley se mantenga bajo el control exclusivo de dicha agencia local de aplicación de la ley y que cualquier dato contenido por dicha tecnología de reconocimiento facial se mantenga confidencial. ,no se divulgará ni revenderá, y será accesible únicamente mediante una orden de registro.

Cada día que pasa son más las corporaciones, pymes o administraciones públicas que sufren un ciberataque en su red de datos, en el mejor de los casos la empresa se queda sin poder operar durante unas horas o días, en el peor, los datos nunca van a poder ser recuperados y la empresa desaparecerá. ACTUALIZACIÓN: Comencé a escribir este artículo el domingo 18 de abril, hoy es sábado 24 de abril, durante esta semana en España se han producido al menos cinco ciberataques graves contra empresas privadas y administraciones públicas, prácticamente un ataque por día. De ahí la importancia de aplicar políticas de ciberseguridad en nuestras redes, será caro hacerlo (que tampoco lo es tanto), pero mas caro es no hacerlo.

En este artículo no os voy a contar como protegeros de un WannaCry, NotPetya, Ryuk, Cobalt Strike, Mirai y del resto de animales del zoológico ciber o quizás sí, tampoco os voy a decir que instaléis un antivirus, me imagino que ya lo habéis hecho. Es cierto que podemos englobar los ciberataques actuales en dos grandes bloques, las APT (Amenazas Persistentes Avanzadas), es decir, un ataque en el que se su objetivo se centra en una única empresa o corporación y hasta que no lo consiga, no parará, por suerte no son los más comunes. El segundo tipo de ciberataque son los del tipo indiscriminado, es decir, un grupo de cibercriminales lanza su ataque de forma global a miles de usuarios sabiendo que un pequeño porcentaje de ellos se convertirá en víctimas, estos si son los más habituales hoy en día.

Una de las charlas más populares en tecnologías de la información es la seguridad web. Hoy en día existen cientos de vulnerabilidades web, y por debajo de algunas de las más comunes.

A menudo prestamos atención al diseño de sitios web, SEO, contenido y subestimamos el área de seguridad. Como propietario de un sitio web, la seguridad web debe tener más importancia que cualquier otra cosa.

Hubo muchas preguntas sobre cómo escanear para la seguridad del sitio web, vulnerabilidades de las aplicaciones móviles, así que aquí tienes. Este artículo enumerará algunas de las mejores herramientas para escanear su sitio en busca de vulnerabilidades de seguridad, el malwarey amenazas en línea.

La Unión Europea ha publicado su tan esperado conjunto de regulaciones sobre inteligencia artificial, con restricciones sobre la vigilancia masiva y la manipulación. Por su parte, la FTC ha anunciado que empezará a perseguir a las empresas que utilicen y vendan algoritmos sesgados.

Está siendo una semana extraordinaria para el rechazo gubernamental al mal uso de la inteligencia artificial (IA). El miércoles, la Unión Europea (UE) publicó su tan esperado conjunto de regulaciones sobre la IA, cuyo primer borrador se filtró la semana pasada. Se trata de un reglamento es amplio, con restricciones sobre la vigilancia masiva y el uso de IA para manipular a las personas.

Pero la declaración de intenciones de la Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés), descrita el 19 de abril en una breve publicación de blog de la abogada Elisa Jillson, podría tener más impacto en el futuro inmediato. Según la publicación, la FTC planea perseguir a las empresas que utilicen y vendan los algoritmos sesgados.

Puede que la noticia haya puesto nerviosas a varias empresas, opina el profesor de la Universidad de Washington (EE. UU.) Ryan Calo, especializado en tecnología y derecho. Y afirma: "En realidad, no es solo esta publicación de blog, es un ejemplo muy claro de lo que parece ser un cambio radical".

El concepto es en realidad bastante sencillo. Según los permisos de Android, una aplicación puede acceder al almacenamiento externo después de que le otorgues el permiso apropiado, y una vez le has otorgado ese permiso, es barra libre. En el almacenamiento no hay distinción entre los datos que han sido guardados por una app y los de otra, como sí sucede en el almacenamiento interno.

Este tipo de ataque implica que una aplicación de apariencia ofensiva logre engañarte para que le otorgues acceso al almacenamiento externo. Esto realmente no es complicado, pues es necesario otorgarlo por ejemplo para leer las fotos del móvil y en ocasiones lo otorgamos casi sin querer. Después, la app se quedaría a la espera de poder modificar datos en el almacenamiento externo.

WhatsApp ha tenido que abordar recientemente dos vulnerabilidades que afectaban a su aplicación para Android. Podrían haber sido explotadas para ejecutar código malicioso de forma remota e incluso comprometer las comunicaciones cifradas. Este bug afecta a los dispositivos que utilizan versiones de Android iguales o inferiores a la 9 , llevando a cabo lo que se conoce como un ataque  «Man in the disk«. Este tipo de ataque comparte similitudes con la conocido «Man in the middle«, habiendo ciertas diferencias entre ellos.

Entonces, ¿Qué es un ataque man in the disk?

Lo primero que se debe saber es que Android cuenta un almacenamiento compartido llamado “Almacenamiento externo”. Una aplicación debe solicitar permiso al usuario para acceder a este almacenamiento. Estos privilegios no se suelen considerar como peligrosos y casi todas las aplicaciones los solicitan.
Sin embargo, el hecho de que se comparta esta zona de almacenamiento entre las aplicaciones podría ser útil para el atacante.

Fabian Bräunlein y Lukas Euler han descubierto mútliples vulnerabilidades one-click en aplicaciones de escritorio. Afectadas VLC, Telegram o Mumble entre otras.

A diferencia de una vulnerabilidad zero-click, en este caso se trata de múltiples vulnerabilidades one-click. Esto quiere decir que se necesita la interacción del usuario para que se produzca la explotación.

La falta de validación de las entradas de usuarios es causa común de estas vulnerabilidades. La gestión de URLs por parte de las aplicaciones hace que estas sean interpretadas finalmente por el sistema operativo. Al no estar suficientemente validadas esto provoca que la ejecución arbitraria de código sea posible.

La metodología para estudiar estas vulnerabilidades one-click varía según el SO y el tipo de aplicación. A continuación podemos ver un esquema del proceso seguido por los investigadores.

La administración Biden avanza en una lista cada vez mayor de iniciativas políticas, la Casa Blanca emitió sanciones esta semana por una serie de fechorías rusas, incluida la interferencia en las elecciones de 2020, el envenenamiento del disidente Aleksey Navalny y la ola de piratería de SolarWinds que barrió al gobierno de los Estados Unidos. agencias y muchas empresas del sector privado. Sin embargo, el movimiento de represalia es complicado cuando se trata de SolarWinds , porque comprendía el tipo de operación de espionaje que normalmente caería dentro de las normas geopolíticas.

En otras partes del gobierno de EE. UU., El Departamento de Justicia tomó un paso drástico esta semana para detener una ola de piratería china al autorizar al FBI a obtener una orden judicial y luego eliminar directamente la infraestructura de piratería de los atacantes de los sistemas internos de cientos de víctimas. Muchos en la comunidad de seguridad elogiaron el esfuerzo, pero la medida también avivó cierta controversia dado el precedente que podría sentar para futuras acciones del gobierno de los Estados Unidos que podrían ser más invasivas.

Continuar leyendo

0

  2587 Hits

0 Comentarios