Archives abril 2023

Los estafadores están usando la ingeniería social para engañar a los empleados recién incorporados que buscan la rápida aprobación de sus supervisores.

Los primeros días en un nuevo trabajo suelen ser un sin parar de reuniones, formaciones, sesiones de onboarding, etc. Mucho lío, por lo que es normal que acabes perdido entre tanta actividad. A su vez, hay ciertos “rituales” por los que pasan muchas contrataciones hoy en día: una de ellas es la publicación en redes sociales (normalmente en LinkedIn, aunque también en otras) de las últimas incorporaciones. Así es cómo muchas empresas anuncian y reciben cálidamente a un nuevo miembro en el equipo, y ahí es cuando el empleado recién incorporado atrae la atención de los estafadores.

Como norma general, en estas publicaciones de redes sociales se comparte tanto el nombre del empleado y la compañía, como el cargo; información suficiente para identificar a su nuevo director, a través de la misma red social o el sitio web corporativo. Con los nombres, ya puedes encontrar o descubrir sus direcciones de correo electrónico. En primer lugar, hay muchas herramientas de búsqueda de correos para ayudarte con esta tarea y, en segundo lugar, muchas empresas suelen utilizar el nombre o el apellido del empleado como nombre de usuario de correo electrónico, por lo que ya solo haría falta comprobar qué sistema está en uso para poder calcular la dirección. Y una vez que el ciberdelincuente se ha hecho con tu correo electrónico, es el momento de la ingeniería social.

Primera tarea: transferir dinero a los estafadores

Durante los primeros días en un nuevo trabajo el empleado todavía no está a la altura de las circunstancias, aunque intenta aparentarlo frente a sus compañeros y superiores, algo que podría hacer disminuir su vigilancia: lleva a cabo cada tarea rápidamente sin pararse a pensar de dónde viene, si suena razonable o, incluso, si se trata realmente de su empresa. Alguien quiere el trabajo hecho, y eso hará. Esto pasa sobre todo cuando la orden viene de su superior directo o, incluso, de alguno de los fundadores de la empresa.

Los estafadores explotan esta faceta para engañar a los empleados. Envían un correo electrónico supuestamente de parte del jefe o de algún superior, pero usando una dirección de fuera de la compañía, en el que solicitan al empleado que haga una tarea “de inmediato”. Evidentemente, el novato está encantado de ayudar. Esta tarea puede consistir en la transferencia de fondos a un proveedor o la compra de vales de regalo de cierta cantidad. El mensaje deja claro que la “rapidez es esencial” y que se le “devolverá el dinero al final de la jornada”, ¿cómo no? Además, los estafadores resaltan la urgencia del asunto para que el empleado no tenga tiempo de pensarlo o comprobarlo con otra persona.

El jefe tiene cierto aire de autoridad y el empleado quiere ser de utilidad. Por ello, no se detienen a buscar lógica de la solicitud o a por qué le han podido elegir a él en concreto para esta tarea. La víctima transfiere el dinero a la cuenta en específico sin dudar y avisa a su “jefe” respondiendo a la misma dirección de correo electrónico, de nuevo sin detectar que el nombre de dominio parece sospechoso.

El estafador sigue jugando a ser el jefe: solicita la documentación que confirma la transición y, después de recibirla, elogia al empleado e informa de que reenviará estos documentos al solicitante, añadiendo una sensación de legitimidad. Para terminar de conceder a esta interacción una apariencia laboral normal y corriente, los atacantes también afirman que se pondrán en contacto de nuevo si necesitan algo más del (desdichado) empleado.

No es hasta después de cierto tiempo cuando el empleado comienza a preguntarse por qué le habrán asignado esta tarea, detecta que el e-mail no es corporativo o menciona el incidente en una conversación con el jefe real. Y ahí es cuando la triste verdad sale a la luz: todo ha sido una estafa.

Circunstancias agravantes

Como cualquier otra estafa corporativa, esta estrategia se ha beneficiado del movimiento masivo que sufrieron las empresas de la oficina al teletrabajo. Incluso las pequeñas empresas han comenzado a contratar empleados de todo el mundo, lo que implica que muchos empleados no solo no conozcan a su jefe, sino que ni siquiera sepan cómo es ni cómo se expresa. Por otro lado, aunque quisieran, tampoco pueden consultar con un compañero si la tarea es o no real.

Además, si el supervisor y la mayoría del resto de empleados trabajan en países diferentes, la solicitud de una transferencia monetaria a alguien de tu región podría parecer verosímil. Las transferencias bancarias nacionales siempre son más sencillas y rápidas que las internacionales, lo que puede aportar normalidad a la estafa.

Por último, las pequeñas empresas, que parecen ser objetivos comunes, suelen contar con procedimientos financieros menos formales, sin tener que completar formularios ni directores financieros: simplemente envíalo ahora de tu dinero, te lo devolveremos en seguida. Este es otro factor que imparte legitimidad a los correos electrónicos de estafa.

Cómo pueden los empleados evitar la trampa

Lo más importante para un nuevo empleado es no perder la cabeza a la hora de intentar mostrarse al servicio de la compañía.

• Es importante comprobar minuciosamente las direcciones de los mensajes que recibes por correo electrónico o mensajero. Si no te resulta familiar, es el momento de estar alerta.
• No dudes en preguntar a tus compañeros si este tipo de solicitud es normal. Si parece raro, es mejor preguntar que lamentarse luego.
• Si recibes una solicitud inusual aparentemente desde dentro de la compañía, aclara los detalles con el remitente mediante un canal de comunicación diferente. ¿Te ha pedido tu jefe que compres vales de regalo en un correo electrónico? Compruébalo con él directamente desde un mensajero.

Cómo pueden proteger las empresas a sus empleados

Lo más importante por parte de la empresa es configurar correctamente el servidor de correo electrónico de la compañía, que puede adaptarse para que señale los correos que no procedan de direcciones corporativas. Por ejemplo, Google Workspace, herramienta popular entre las empresas, etiqueta estos mensajes como externos por defecto. Y, cuando intentas responderlos, te advierte claramente: “Cuidado con el intercambio de información sensible”. Estas notificaciones ayudan a los empleados a saber si están hablando con un compañero de la empresa o no. Además, te recomendamos:

• Impartir formaciones en materia de seguridad de la información a los empleados desde el primer día. La sesión debería introducir el concepto del phishing, en caso de que sea algo nuevo para ellos, además de aportar una serie de instrucciones sobre qué prácticas están en uso en la empresa y cuáles no.
• Crear una guía de la seguridad de la información para nuevos empleados con reglas básicas y precauciones contra las amenazas más importantes. Para ayudarte a crear, puedes echar un vistazo nuestra publicación en la que compartimos la información más revelante.
• Impartir formaciones periódicas para concienciar a tus empleados en seguridad; puedes hacerlo, por ejemplo, con una plataforma online especializada.

Fuente: latam.kaspersky.com

El Supervisor Europeo de Protección de Datos (SEPD), la autoridad supervisora e independiente que tiene como objetivo principal garantizar que las instituciones y órganos de la Unión Europea (UE) respeten la protección de los datos, ha anunciado la puesta en marcha de un plan piloto con Nextcloud y Collabora Online como parte de la búsqueda de proveedores de servicios que cumplan mejor con el Reglamento 2018/1725, que abarca aspectos relacionados con el tratamiento de los datos de las personas físicas por parte de las instituciones, órganos y organismos de la Unión Europea, además de la libre circulación de esos datos.

A estas alturas Nextcloud y Collabora Online no necesitan de ninguna presentación. El primero es una conocida solución integral de productividad en la nube que ofrece funcionalidades similares a Dropbox, Office 365 y Google Drive, mientras que el segundo es una implementación en la nube de la suite ofimática LibreOffice.

Profundizando un poco en lo comenzado por el SEPD, la propia autoridad explica que en febrero de 2023 “empezó a probar el uso del software de código abierto Nextcloud y Collabora Online. Juntos, ofrecen la posibilidad de compartir archivos, enviar mensajes, hacer videollamadas y permiten la redacción colaborativa en un entorno de nube seguro”. En los últimos tiempos la Unión Europea ha impulsado un potente marco normativo en favor de la protección de los datos, del que sobresale el GDPR.

El compromiso de buena parte del sector del código abierto con la privacidad es algo harto conocido, lo que establece un potente suelo para su adopción cuando se trata de protección de datos. Wojciech Wiewiórowski, actual supervisor europeo de protección de datos, ha explicado lo siguiente sobre ese tema:

“El software de código abierto ofrece alternativas amigables con la protección de datos a los proveedores de servicios en la nube a gran escala de uso común, que a menudo implican la transferencia de datos personales a países fuera de la UE. Por lo tanto, soluciones como esta pueden minimizar la dependencia de proveedores monopólicos y reducir el vendor lock (bloqueo de vendedor). Al negociar un contrato con un proveedor de servicios en la nube con sede en la UE, el SEPD cumple sus compromisos, tal como se establece en su Estrategia 2020-2024, de apoyar a las instituciones de la Unión Europea (EUI) para que prediquen con el ejemplo para salvaguardar los derechos digitales y procesar los datos de manera responsable”.

Otro aspecto importante es que, según explica el SEPD, el adquirir el software de código abierto de una sola entidad en la Unión Europea evitaría el uso de lo que han llamado suprocesadores. De esa manera se evitarían las transferencias de datos a países que no pertenecen a la UE y se permitiría un control más eficaz del tratamiento de los datos personales dentro del área comunitaria.

El SEPD evaluará en los próximos meses la forma en que Nextcloud y Collabora Online pueden apoyar el trabajo diario realizado por las instituciones de la Unión Europea. La prueba piloto forma parte de un proceso más amplio que el SEPD inició el año pasado con el fin de alentar a las EUI a considerar alternativas a los proveedores de servicios a gran escala en favor de un mejor cumplimiento del Reglamento 2018/1725.

Fuente: www.muylinux.com

Parece que la situación en torno a la seguridad del software de código abierto es cada vez más preocupante, o al menos esa es la impresión que da el goteo de informes que alertan en ese sentido. Después de que VMWare publicara un estudio en el que mostraba un enfriamiento en la confianza, ahora es Synosys la que alerta de que un importantísimo porcentaje de las bases de código contienen al menos una vulnerabilidad grave.

Según un informe publicado por el Centro de Investigación en Ciberseguridad de Synopsys llamado Análisis de Riesgos y Seguridad del Código Abierto, el 84% de 1.703 bases de código que ha escaneado en el año 2022 contenían al menos una vulnerabilidad. Otro detalle a tener en cuenta es que el 48% de las mismas bases de código tenían vulnerabilidades de alto riesgo.

Aunque el informe se centra en el código abierto, es importante tener en cuenta que no está centrado exclusivamente en eso, sino más bien en las bases de código que contienen Open Source. En el siguiente gráfico se puede apreciar cómo los porcentajes de bases de código que contienen Open Source y de código en las propias bases que era abierto ha ido disminuyendo en los últimos años, a pesar de marcar unos porcentajes del 96 y el 76 por ciento respectivamente.

Otro dato de interés recogido por el informe y procedente de Gartner es que el 45% de las organizaciones del mundo recibirán un ataque a través de una vulnerabilidad presente en su cadena de suministro para el año 2025, lo cual supone una cantidad nada desdeñable, aunque acorde a lo que ya conocemos..

Synopsys explica que, si una organización no es capaz de gestionar correctamente la seguridad del código abierto y del software de terceros que emplea, ningún otro esfuerzo será útil si no se cuidan correctamente los cimientos: “Administrar este software implica obtener una visibilidad completa de sus dependencias y tener la capacidad de recopilar fácilmente información relacionada con el riesgo introducido por estos componentes. Una vez que se ha identificado este riesgo, necesita herramientas y prácticas para administrarlo, priorizarlo y remediarlo”.

Lejos de apostar directamente por el oscurantismo como forma de mejorar la seguridad, Synopsys aboga por realizar un inventario completo del todo el software empleado por una empresa, ya sea de código abierto, privativo o comercial, independientemente de su lugar de procedencia. Esto implicaría la creación de una lista de materiales de software (SBOM en sus siglas en inglés) en la que se enumerarían todos los componentes de código abierto de una aplicación, así como sus licencias, versiones y estado de los parches.

En contraste con el dato mencionado, la situación de la adopción del Open Source dentro de las bases de código ha mejorado si se toman los últimos cinco años. La presencia de código abierto en las bases escaneadas por Synopsys ha aumentado entre en los años 2018 y 2022 en un 163% en la tecnología educativa (EDTech); un 97% en las industrias aeronáutica, aviación y automoción; y un 74% en fabricación y robótica. El aumento explosivo en la EDTech se ha producido principalmente en la época de la pendemia.

El crecimiento en la adopción del Open Source entre los años 2018 y 2023 ha venido acompañado, aunque no necesariamente de forma relacionada, de un aumento del 557% en el número de vulnerabilidades de alto riesgo. De aquí se puede destacar a los sectores aeroespacial, aviación, automoción, transporte y logística vertical, que experimentaron en conjunto un aumento del 232% en las vulnerabilidades de alto riesgo halladas en sus bases de código.

En lo que respecta al IoT, un clásico cuando se trata de poca seguridad y software mal mantenido, el 100% de las bases de código analizadas por Synopsys contenían código abierto. Sin embargo, la cantidad de vulnerabilidades de alto riesgo aumentó un 130% desde 2018 hasta el presente año y el 53% de las aplicaciones auditadas contenían vulnerabilidades de alto riesgo. Los problemas de seguridad del IoT son viejos y derivan principalmente de software mal mantenido. La gravedad del problema ha sido tal que los ataques DDoS más potentes jamás vistos han procedido de este frente.

Synopsys recoge que el equipo de Black Duck Audit Services ha auditado 1.481 bases de código para hallar que el 91% de estas contiene componentes de código abierto que no están actualizados. El software sin actualizar es otra vía típica para acumular fallos de seguridad que se lo ponen fácil a los actores maliciosos.

Además de los asuntos en torno a la seguridad, el informe de Análisis de Riesgos y Seguridad del Código Abierto. En esta área, Black Duck Audit Services ha encontrado que el 54% de las bases de código contenían conflictos con las licencias de código abierto en 2022. Esto supone un aumento del 2% en comparación con el año anterior, pero una disminución del 17% frente al año 2020. La licencia que ha causado más conflictos (por su incumplimiento) es la Reconocimiento-Compartir Igual 3.0 de Creative Commons (CC BY-SA 3.0), ya que el 22% de las bases de código auditadas tenían un conflicto con ella.

Synopsys también se ha acordado de la GPL, la licencia con copyleft más popular. Aquí la mayoría de los conflictos proceden de la inclusión de código fuente publicado bajo licencia en software privativo cuyo código no está disponible de forma pública y bajo una licencia compatible (por ejemplo, el código fuente de UNRAR está disponible de forma pública, pero bajo una licencia privativa). Por otro lado, el 31% de las bases de código auditadas en 2022 estaba publicado bajo una licencia que no se podía discernir o una personalizada, lo que representa un aumento del 55% en comparación con el año anterior. Un ejemplo es JSON, cuya licencia es una MIT modificada con la restricción de “el software se utilizará para el bien, no para el mal”, la cual puede representar un incumplimiento de los principios del software libre.

Además de los conflictos de licencias, también está el software sin licenciar. Synopsys señala que, si bien lo lógico es pensar que si ese código está disponible es para que otros lo puedan usar, la falta de una licencia clara en torno a su publicación hace que la ley sobre derechos de autor discrepe sobre el libre uso de dicho código.

Y hasta aquí los puntos más interesantes del informe Análisis de Riesgos y Seguridad del Código Abierto de Synopsis, el cual tiene muchos más datos relacionados con el uso del Open Source en las bases de código, la seguridad de las propias bases de código y en torno a las licencias.

Fuente: www.muylinux.com

RISC-V, un conjunto de instrucciones de estándar abierto, está cambiando la economía del diseño de los chips, y sacudiendo la dinámica de poder del sector tecnológico.

RISC-V es una de las 10 tecnologías innovadoras de 2023 de MIT Technology Review

Python, Java, C++, R. Desde que se inventó el ordenador hace casi 70 años, los humanos han ideado muchos lenguajes de programación y estos eran en gran parte, mezclas de palabras en inglés y símbolos matemáticos para ordenar a los transistores que cumplieran nuestras ideas.

Sin embargo, los interruptores de silicio en el procesador central de nuestro ordenador portátil no entienden de forma inherente la palabra for, o el símbolo «=». Para que un chip ejecute el código Python, el software debe traducir estas palabras y símbolos en instrucciones que un chip pueda utilizar.

Para ello, los ingenieros designan secuencias binarias específicas para que el hardware realice ciertas acciones. Por ejemplo, el código «100000» podría ordenar a un chip que agregue dos números, mientras el código «100100» podría indicar que copie un dato. Estas secuencias binarias forman el vocabulario fundamental del chip, conocido como conjunto de instrucciones del ordenador.

Durante años, la industria de los chips se ha basado en varios grupos de instrucciones patentados. En la actualidad, dos tipos principales dominan el mercado: x86, utilizado por Intel y AMD, y Arm, creado por la empresa homónima. Las compañías deben pedir la licencia para estos conjuntos de instrucciones, que pueden costar millones de dólares por un solo diseño. Debido a que los chips x86 y Arm usan diferentes lenguajes, los desarrolladores de software deben crear una versión de la misma aplicación que se adapte a cada conjunto de instrucciones.

Aunque últimamente, muchas empresas de hardware y software de todo el mundo han empezado a converger en torno a RISC-V, un conjunto de instrucciones disponible y abierto al público, lo que supone un cambio que podría modificar la industria de los chips de manera radical. Los defensores de RISC-V aseguran que este conjunto de instrucciones hace que el diseño de los chips de ordenador sea más accesible para empresas más pequeñas y nuevos empresarios al liberarlos de los elevados precios de las licencias.

«Ya existen miles de millones de núcleos basados en RISC-V, de todo tipo, desde auriculares hasta servidores en la nube», asegura Mark Himelstein, CTO de RISC-V International, organización sin ánimo de lucro que respalda la tecnología.

En febrero de 2022, la propia Intel destinó mil millones de dólares para desarrollar el ecosistema RISC-V, junto con otras prioridades. Aunque Himelstein predice que pasarán años hasta que los chips RISC-V se generalicen entre los ordenadores personales, Roma de Xcalibyte y DeepComputing, el primer portátil con un chip RISC-V, estuvo disponible en junio del 2022 para pedidos anticipados.

¿Qué es RISC-V?

RISC-V (pronunciado risk five, riesgo cinco en inglés) es un conjunto de normas de diseño, como Bluetooth, para los chips de ordenador. Esto se conoce como estándar abierto, lo que significa que cualquiera (Intel, usted o yo mismo) puede participar en el desarrollo de esos estándares. Además, cualquiera puede diseñar un chip de ordenador basado en el conjunto de instrucciones de RISC-V y ejecutar cualquier software para el mismo. Hay que tener en cuenta que la tecnología basada en un estándar abierto difiere de la tecnología de código abierto. El primero designa las especificaciones de la tecnología, mientras que el segundo se refiere al software cuyo código fuente está disponible de manera gratuita para su consulta y uso.

Un grupo de científicos informáticos de UC Berkeley (EE UU) desarrolló la base para RISC-V en 2010 como una herramienta de enseñanza para el diseño de chips, pero las unidades de procesamiento central (CPU) propietarias eran demasiado complejas y opacas para que los estudiantes aprendieran. Los creadores de RISC-V hicieron público el conjunto de instrucciones y pronto empezaron a responder a las preguntas al respecto. En 2015, un grupo de instituciones académicas y empresas, incluidas Google e IBM, fundaron RISC-V International para estandarizar el conjunto de instrucciones.

La versión más básica de RISC-V consta solo de 47 instrucciones, como comandos para sacar un número de la memoria y sumar números. No obstante, RISC-V también ofrece más instrucciones, llamadas extensiones, que permiten agregar funciones como matemática vectorial para ejecutar algoritmos de inteligencia artificial (IA).

Con RISC-V se puede diseñar un conjunto de instrucciones de chip que se adapte a las necesidades, lo que «brinda la libertad de crear un hardware personalizado y basado en aplicaciones», según Eric Mejdrich, experto en  nanoelectrónica en el instituto de investigación Imec (Bélgica).

Anteriormente, las empresas que querían una CPU compraban los chips comerciales, ya que diseñarlos desde cero requería demasiado tiempo y dinero. En especial, para los dispositivos más simples como alarmas o electrodomésticos de cocina, estos chips a menudo tenían funciones adicionales que podían ralentizar el procesamiento del aparato o desperdiciar energía.

Himelstein también menciona a Bluetrum, la empresa de auriculares con sede en China, como una historia de éxito de RISC-V. Los auriculares no requieren mucha capacidad informática, y la compañía descubrió que podía diseñar chips simples que usarían instrucciones RISC-V. «Si no hubieran utilizado RISC-V, habrían tenido que comprar un chip comercial con mucha más [capacidad] de la que querían, o habrían tenido que diseñar su propio chip, o conjunto de instrucciones. No querían nada de eso», explica Himelstein. 

RISC-V ayuda a «bajar la barrera de entrada» al diseño de los chips, indica Mejdrich. Los defensores de RISC-V ofrecen talleres públicos sobre cómo construir una CPU basada en RISC-V. Las personas que diseñan sus propios chips RISC-V ya pueden enviar esos diseños para fabricarse sin coste a través de una asociación entre Google, SkyWater -fabricante de semiconductores- y Efabless -plataforma de diseño de chips-.

¿Qué sigue para RISC-V?

Balaji Baktha, CEO de la start-up Ventana Micro Systems, con sede en el Área de la Bahía (EE UU), diseña chips basados en RISC-V para los centros de datos y señala que las mejoras de diseño realizadas, gracias a la flexibilidad de un estándar abierto, han permitido que estos chips realicen cálculos más rápido y con menos energía. En 2021, los centros de datos representaron alrededor del 1% de la electricidad total consumida mundialmente, y esa cifra ha ido en aumento en los últimos años, según la Agencia Internacional de Energía. Los chips RISC-V podrían ayudar a reducir esa huella, asegura Baktha.

Sin embargo, los chips de Intel y Arm todavía son populares, y no está claro si los diseños RISC-V los reemplazarán. Las empresas tienen que convertir el software existente para que sea compatible con RISC-V. Roma es compatible con la mayoría de las versiones de Linux, el sistema operativo lanzado en la década de 1990 que ayudó a impulsar la revolución de código abierto. Los usuarios de RISC-V deberán estar atentos a los desarrollos que «bifurcan el ecosistema», advierte Mejdrich. Por ejemplo, si alguien desarrolla una versión de RISC-V que se vuelve popular, pero es incompatible con el software diseñado para el chip original.

RISC-V International también debe lidiar con las tensiones geopolíticas que no coinciden con la filosofía abierta de esta organización sin ánimo de lucro. Su primera sede estuvo en EE UU, donde sufrieron críticas de los legisladores, ya que RISC-V podría provocar que el país pierda su ventaja en la industria de los semiconductores en favor de las empresas chinas, que serían más competitivas. Para evitar estas tensiones, la organización se mudó a Suiza en el año 2020.

De cara al futuro, Himelstein afirma que el movimiento se inspirará en Linux. La esperanza es que RISC-V facilite que más personas hagan realidad sus ideas para nuevas tecnologías. «Al final, veremos productos más innovadores», concluye Himelstein.

Fuente: www.technologyreview.es