Archives mayo 2024

En el mundo empresarial actual, cada vez más empresas están optando por utilizar soluciones de software libre en sus servicios de internet. Esta tendencia no es casualidad; las soluciones de software libre ofrecen una serie de ventajas que las hacen atractivas para las organizaciones de todos los tamaños y sectores.

A continuación, exploraremos las razones clave por las que las empresas prefieren soluciones de software libre en sus servicios de internet.

1. Reducción de Costos

Uno de los beneficios más evidentes del software libre es la reducción de costos. Las soluciones de software libre, al no tener costos de licencia, permiten a las empresas ahorrar significativamente en gastos de software. Esto es especialmente importante para las pequeñas y medianas empresas que tienen presupuestos más ajustados y buscan maximizar su retorno de inversión.

2. Flexibilidad y Personalización

El software libre ofrece un nivel de flexibilidad y personalización que no se encuentra en las soluciones propietarias. Las empresas pueden modificar y adaptar el software libre para satisfacer sus necesidades específicas, lo que permite una mayor alineación con sus objetivos y procesos empresariales. Esta capacidad de personalización es crucial para desarrollar soluciones a medida que optimicen la eficiencia y la productividad.

3. Seguridad y Transparencia

Las soluciones de software libre son conocidas por su alto nivel de seguridad. Al ser de código abierto, el software libre permite que cualquier persona pueda revisar y auditar el código fuente. Esta transparencia facilita la identificación y corrección de vulnerabilidades de seguridad de manera más rápida y eficaz que en el software propietario. Además, una comunidad global de desarrolladores contribuye constantemente a mejorar y actualizar el software, asegurando que se mantenga seguro y confiable.

4. Independencia del Proveedor

Utilizar software libre libera a las empresas de la dependencia de proveedores específicos. Con el software propietario, las empresas a menudo quedan atrapadas en contratos a largo plazo y enfrentan desafíos significativos si desean cambiar de proveedor. El software libre, en cambio, ofrece la libertad de elegir y cambiar proveedores de soporte y servicios según las necesidades de la empresa, evitando el problema del «vendor lock-in».

5. Innovación Continua

El software libre fomenta la innovación continua. La naturaleza colaborativa del desarrollo de software libre permite que una amplia comunidad de desarrolladores trabaje en conjunto para mejorar y expandir las funcionalidades del software. Esta colaboración global resulta en un ciclo continuo de mejoras e innovaciones, lo que beneficia a las empresas que utilizan estas soluciones al mantenerse a la vanguardia de la tecnología.

6. Cumplimiento y Normativas

En algunos sectores, las normativas y regulaciones pueden requerir un alto nivel de transparencia y seguridad en el software utilizado. Las soluciones de software libre pueden cumplir con estos requisitos de manera más eficaz debido a su naturaleza abierta y revisable. Esto es especialmente relevante en sectores como el financiero, el de salud y el gubernamental, donde el cumplimiento es crítico.

7. Comunidad y Soporte

El software libre cuenta con el respaldo de una amplia y activa comunidad de usuarios y desarrolladores. Esta comunidad es una fuente invaluable de soporte, recursos y conocimiento. Las empresas pueden beneficiarse de esta red de soporte comunitario, accediendo a foros, documentación, y colaborando con otros usuarios para resolver problemas y mejorar el software.

Las soluciones de software libre ofrecen una serie de ventajas que las hacen especialmente atractivas para las empresas que buscan optimizar sus servicios de internet. La reducción de costos, la flexibilidad, la seguridad, la independencia del proveedor, la innovación continua, el cumplimiento normativo y el respaldo comunitario son factores clave que impulsan la adopción de software libre en el entorno empresarial. Al aprovechar estas ventajas, las empresas pueden mejorar su eficiencia operativa, reducir riesgos y mantenerse competitivas en un mercado en constante evolución.

Fuente: www.somoslibres.org

En el vasto y sombrío mundo de la Dark Web, la información es la moneda principal. Desde datos personales hasta credenciales de acceso, cada pedazo de información tiene un valor asignado por los compradores y vendedores que operan en este reino digital.

Hoy vamos a aprovechar la ocasión para presentar a Rescuezilla, una aplicación de imágenes y clonación de discos totalmente compatible con Clonezilla y que se define a sí misma como “la navaja suiza para recuperación de sistemas operativos”.

Dicho de una manera sencilla, Rescuezilla es una herramienta y una distribución Linux basada en Ubuntu que facilita el respaldo, el clonado y la restauración de imágenes de sistemas operativos, pudiendo también verificar las que están presentes. Su principal propósito es facilitar el uso de las herramientas proporcionadas por Clonezilla, las cuales son poderosas, pero que pueden ser difíciles y ásperas de utilizar para los usuarios con menos conocimientos. Aquí es donde entra Rescuezilla, que pretende facilitar las cosas proporcionando una interfaz gráfica sencilla que acerque el uso de Clonezilla a soluciones comerciales como Acronis True Image y Macrium Reflect.

Rescuezilla nació a partir de una bifurcación de Redo Backup and Recovery, puede ser iniciada desde un USB sobre un PC y Mac basados en x86 (Intel y AMD) y ha sido “desarrollada cuidadosamente” para ser totalmente interoperable con Clonezilla, por lo que Rescuezilla puede restaurar copias realizadas con Clonezilla y viceversa.

Centrándonos en el presente, Clonezilla 2.5 ha aparecido hace poco con el propósito principal de mejorar el soporte de hardware, así que ha añadido imágenes basadas en Ubuntu 24.04 LTS, Ubuntu 23.10 y Ubuntu 23.04 que se suman a la actualización de las imágenes basadas en Ubuntu 18.04 LTS, Ubuntu 20.04 LTS y Ubuntu 22.04 LTS que ya estaban presentes. A las imágenes de sistema basadas en diversas versiones de Ubuntu se suma un paquete Deb que proporciona la herramienta.

La segunda novedad importante de Clonezilla 2.5 es que ha introducido una interfaz de línea de comandos (CLI) en fase experimental que por ahora solo soporta las imágenes creadas con Clonezilla y Rescuezilla y las operaciones de respaldo, verificación, restauración y clonación. Los responsables recalcan que la interfaz de línea de comandos está en fase inestable, por lo que uso en producción no es recomendable.

La herramienta partclone ha sido actualizada de la versión 0.3.20 a la 0.3.27, se ha integrado el propio Rescuezilla en los scripts del conjunto de pruebas de integración automatizada para permitir una iteración más rápida con el proyecto y es posible seguir escaneando imágenes después de un error, por lo que el permiso denegado que salta en carpetas irrelevantes ya no bloqueará la lista de imágenes.

Continuando con más cosas, se ha solucionado un problema que provocaba el fallo de la copia de seguridad de dispositivos RAID a través del controlador md de Linux que contenían tablas de particiones MBR, a partir de ahora se instala el paquete hashdeep como solución provisional de línea de comandos para un nicho específico de usuarios hasta que la interfaz de Rescuezilla la maneje correctamente, se han corregido los fallos en las operaciones de restauración y clonación que aparecían cuando Rescuezilla 2.4.2 era usado en idioma portugués, además de evitarse que los portátiles entren en suspensión cuando se cierra la tapa.

Y estas son las principales novedades de Rescuezilla 2.5. Los que quieran conocer todos los detalles los tienen a su disposición en el anuncio de lanzamiento publicado en el repositorio GitHub del proyecto, desde donde es posible obtener las imágenes ISO y el paquete Deb.

Fuente: www.muylinux.com

Los archivos PDF se han convertido en un formato comúnmente utilizado para compartir documentos debido a su versatilidad y capacidad para mantener el formato en diferentes dispositivos. Sin embargo, esta popularidad también los convierte en un objetivo atractivo para los ciberdelincuentes. Los archivos PDF pueden esconder peligros que van más allá de lo que la mayoría de las personas sospecha, ya que pueden contener malware diseñado para espiarte y comprometer tu seguridad. 

¿Por qué los archivos PDF son un objetivo?

Los archivos PDF son preferidos para compartir documentos importantes como contratos, facturas, y reportes debido a su capacidad de preservar el diseño y contenido original. Sin embargo, su estructura compleja permite la inclusión de scripts y enlaces, que pueden ser explotados por los atacantes para inyectar malware. Esta combinación de alta adopción y capacidad técnica hace que los archivos PDF sean un medio ideal para distribuir software malicioso.

Cómo los archivos PDF pueden contener malware

1. JavaScript Incrustado

Los archivos PDF pueden incluir scripts en JavaScript que se ejecutan automáticamente al abrir el documento. Los atacantes pueden aprovechar esta característica para incluir código malicioso que se ejecuta en el dispositivo de la víctima, descargando y ejecutando malware sin el conocimiento del usuario.

2. Enlaces Maliciosos

Los PDF pueden contener enlaces a sitios web. Los atacantes pueden incrustar enlaces a sitios maliciosos que, al ser clickeados, pueden descargar malware o dirigir al usuario a páginas de phishing diseñadas para robar información personal y financiera.

3. Explotación de Vulnerabilidades

Los lectores de PDF, como Adobe Acrobat, a menudo tienen vulnerabilidades que los atacantes pueden explotar para ejecutar código malicioso. Mantener estos programas actualizados es crucial para minimizar los riesgos.

4. Archivos Adjuntos

Los PDF pueden incluir otros archivos adjuntos que pueden ser ejecutables o contener scripts maliciosos. Al abrir estos adjuntos, el usuario puede activar inadvertidamente el malware.

Ejemplos de Ataques

• Phishing mediante PDF: Los atacantes envían documentos PDF que parecen legítimos, como facturas o documentos oficiales. Al abrir el archivo, el malware se instala en el sistema del usuario, permitiendo a los atacantes robar información sensible.
• Explotación de Zero-Day: Utilizan vulnerabilidades desconocidas en los lectores de PDF para ejecutar ataques antes de que las actualizaciones de seguridad estén disponibles.

Cómo protegerte de los archivos PDF maliciosos

1. Usa un Software de Lectura de PDF Confiable y Actualizado

Asegúrate de utilizar lectores de PDF de fuentes confiables y mantenerlos siempre actualizados. Las actualizaciones de software suelen incluir parches de seguridad para proteger contra nuevas vulnerabilidades.

2. Desactiva la Ejecución Automática de JavaScript

Muchos lectores de PDF permiten desactivar la ejecución automática de JavaScript. Esta configuración puede prevenir la ejecución de scripts maliciosos incluidos en los documentos.

3. Analiza los Archivos Antes de Abrirlos

Utiliza software antivirus para escanear los archivos PDF antes de abrirlos. Muchos programas antivirus pueden detectar y bloquear archivos sospechosos.

4. Cuidado con los Enlaces y Archivos Adjuntos

No hagas clic en enlaces ni abras archivos adjuntos en PDF a menos que estés absolutamente seguro de su origen y legitimidad. Verifica la autenticidad del remitente antes de interactuar con el contenido.

5. Educación y Conciencia

Mantente informado sobre las tácticas de ingeniería social que los atacantes utilizan para engañarte a abrir archivos PDF maliciosos. Educa a tus colegas y familiares sobre estos riesgos para crear un entorno más seguro.

Aunque los archivos PDF son una herramienta invaluable para compartir información, también pueden ser un vector para ataques maliciosos. Al comprender los riesgos y tomar medidas proactivas para protegerte, puedes minimizar la posibilidad de ser víctima de malware y espionaje. Siempre es mejor ser cauteloso y estar informado sobre las últimas amenazas y prácticas de seguridad para mantener tus datos y dispositivos seguros.

Fuente: www.somoslibres.org

LibreELEC 12 “Omega” ya está disponible como la nueva versión de la distribución para equipos dedicados a ejercer labores de centro de multimedia, que también es conocida como “la distribución para ejecutar Kodi en dispositivos HTPC modernos”. En esta ocasión sobresalen las cuestiones relacionadas con la arquitectura, la cuales han impactado en Widevine, el DRM usado por las plataformas de vídeo en streaming como Netflix, Prime Video y demás.

Lo primero que se menciona es que las compilaciones para muchos dispositivos se realizan ahora en 64-bit, entre ellos las versiones 5 y 4 del mini-PC Raspberry Pi. Si se utiliza alguno de los dispositivos referenciados y el sistema es actualizado desde LibreELEC 11, será necesario reinstalar el DRM Widevine debido a los cambios en la arquitectura. Para la reproducción de H.264 acelerada por hardware a 50/60 fotogramas por segundo en los dispositivos Rapsberry Pi hay que introducir force_turbo=1 o ore_freq_min=500 en config.txt para evitar problemas.

Entre los componentes básicos y estrella, en LibreELEC 12 nos encontramos con Linux 6.6.28 y Kodi 21, la versión más nueva del archiconocido centro de multimedia, que destaca por mejorar la estabilidad, el rendimiento, la seguridad y actualizarse a FFmpeg 6. Debido al enfoque de la distribución que nos ocupa, Kodi tiene un especial protagonismo.

Profundizando un poco en algunas características concretas, la imagen genérica para x86_64 (procesadores de Intel y AMD) usa la misma pila de gráficos de GBM y V4L2 sobre Wayland que en las imágenes compiladas para dispositivos ARM. También se ha puesto a disposición una imagen Generic-legacy que se ejecuta sobre la pila de X11 empleada desde LibreELEC 7 hasta la 10. Sobre el papel no tendría que haber problemas para actualizar entre las imágenes con GBM y las que incluyen X11. Los responsables de la distribución recomiendan la imagen Generic-legacy para las gráficas de NVIDIA, para ejecutar navegadores Chromium y en caso de ver fallos gráficos en hardware antiguo.

Como último punto importante está la recuperación del soporte para los dispositivos de la series S905 y S905/D de Amlogic, los cuales pueden proporcionar con LibreELEC 12 un soporte sólido para la reproducción de H.264, un soporte decente para HEVC (H.265), un HDR funcional con HEVC y VP9 sobre los dispositivos S905X/D y S912 y audio PCM multicanal y Pass-Through en HDMI con sonido de hasta 7.1 canales. El soporte está orientado principalmente a la reproducción de vídeos con resolución de hasta 1080p y la actualización desde versiones anteriores de la distribución no está soportada, por lo que toca respaldar y hacer una instalación desde cero.

Además de las novedades, también se avisa de algunas cosas negativas que los usuarios pueden encontrarse, como que el soporte para Amlogic todavía necesita mejorar, que el sistema no funciona correctamente en placas Allwinner y Orange Pi Win, que los dispositivos Allwinner y Rockchip no han sido probados debidamente y que sobre el Rockchip RK3328 directamente no funciona.

Todos los detalles sobre LibreELEC 12 están publicados en el anuncio oficial, mientras que los sistemas pueden obtenerse a partir de la sección de descargas del sitio web oficial de la distribución.

Fuente: www.muylinux.com

La adopción de controles de acceso biométricos en edificios, tanto particulares como de empresas, facilitan las cosas, pero ¿se tiene en cuenta la seguridad y la protección de datos personales?

Hace poco estuve hablando de privacidad de datos con una persona cercana a mí y el tema terminó en la forma de acceso más utilizada y pensé que sería interesante compartir con ustedes algunos de estos puntos generados por esta conversación.

Los accesos biométricos se han utilizado ampliamente en entornos corporativos durante muchos años, pero se han utilizado cada vez más en nuestra vida personal, más precisamente para permitir la entrada a condominios y edificios particulares.

Observando brevemente varios desarrollos de nueva construcción en varias zonas de la ciudad de São Paulo, Brasil, pude ver que el reconocimiento facial se está utilizando para control de acceso en más del 90% de ellos, y esto trae varios puntos para tener en cuenta con respecto a la seguridad.

Comparto con ustedes algunos de estos puntos para que puedan cuestionar y, sobre todo, investigar si sus datos están siendo protegidos adecuadamente, si esto es parte de tu realidad a diario.

Los datos biométricos son vistos, por ejemplo, por Ley General de Protección de Datos (LGPD), de Brasil, como datos sensibles, y se exige que sean tratados con aún más discreción que los datos personales. En el caso de la biometría facial, estos datos tienen aún más información que puede presentar características étnicas, convicciones religiosas e incluso aspectos relacionados con la salud de las personas.

Con esto en mente, me pregunté si todas estas empresas enfocadas en la administración y protección física de los edificios de los que son responsables también protegen adecuadamente los datos biométricos de sus clientes.

La ley no estipula qué medios deben aplicarse para dicha protección de datos, sino que basa sus fundamentos en los pilares de la seguridad de la información, valorando su integridad, disponibilidad y confidencialidad, y las empresas deben aplicar todos los esfuerzos necesarios para lograr este objetivo.

Asumiendo que los datos están adecuadamente protegidos y que todos los procesos están siendo seguidos por quienes almacenarán estos datos, observando el funcionamiento de algunos de estos edificios y condominios me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto.

Tipos de control de acceso más comunes 

Acceso biométrico por reconocimiento facial

La LGPD de Brasil establece que los datos pueden ser tratados con normalidad si se cumplen una serie de requisitos, como el consentimiento explícito del interesado, así como el cumplimiento de una serie de obligaciones para proteger estos datos. Este consentimiento debe estar formalmente bien descrito y no se puede presionar al titular para que lo acepte. Solo entonces podrán iniciarse los procedimientos de recopilación, almacenamiento y uso de estos datos para el fin propuesto.

Si el titular se niega a proporcionar sus datos biométricos, las empresas responsables de la seguridad perimetral deberán ofrecer alternativas para el acceso del titular y sus invitados.

Otras formas de control de acceso

Es importante destacar que muchos de los dispositivos que son capaces de realizar reconocimiento facial son capaces de permitir el acceso de otras formas, como el acceso biométrico a través de huellas dactilares, lectura de tarjetas de proximidad (NFC), PIN numéricos o, en los últimos casos, incluso el uso de una llave.

Suelen existir muchas hipótesis para permitir este acceso, pero conviene recordar que cada una de ellas tiene una característica concreta y no necesariamente protegerá el acceso al perímetro de forma igualmente segura.

Incidentes de seguridad más comunes

Aclarados estos puntos, paso ahora a los aspectos que considero muy importantes para tener en cuenta a la hora de conceder accesos, ya sea adoptando la biometría o con alguna de las alternativas antes mencionadas, los incidentes de seguridad.

Incidentes de seguridad con el titular

Si la persona que tiene un derecho legítimo a entrar en el edificio se encuentra bajo algún tipo de coacción impuesta por terceros, los medios utilizados para autorizar esta entrada no suelen tener repercusión. Ya sea con reconocimiento biométrico facial, biometría de huellas dactilares, tarjeta, PIN o llave, la víctima será coaccionada para usarlo y el resultado sería básicamente el mismo.

En los casos de incidentes en los que no hay acción directa de terceros, puede haber un cambio significativo en el escenario, dependiendo del tipo de acceso elegido por el propietario o la administración del condominio. Los objetos utilizados para abrir puertas, como llaves y tarjetas, pueden perderse, ser robados o perforados, lo que puede tener impactos muy negativos en la seguridad del medio ambiente.

Nota: Los incidentes de seguridad relacionados con el PIN a menudo están relacionados con el olvido del PIN, y este tipo de incidente suele tener un impacto de seguridad significativamente menor.

Incidentes de seguridad en un entorno protegido por biometría

Considero que este escenario es el más preocupante porque los incidentes de seguridad directamente relacionados con el entorno protegido suelen tener un impacto muy alto, y pueden afectar a todos los que disfrutan de este entorno.

Incidentes de seguridad en medios digitales

Son muchas las posibilidades relacionadas con el compromiso de un entorno digital, mencionaré algunas de las que están directamente vinculadas a cuestiones relacionadas con el acceso a la estructura:

• Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.
• Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recogida de la víctima.
• Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea el entorno digital o físico.
• Incidentes de seguridad en medios físicos: este tipo de incidentes pueden tener las mismas repercusiones que en los incidentes en medios digitales, con el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.

Consejos de buenas prácticas

Es interesante tener en cuenta que, independientemente de las tecnologías adoptadas en un entorno, y de si todos los usuarios de este entorno harán uso de esta tecnología o no, es posible hacerla más segura de varias maneras. A continuación, describo algunas de las mejores prácticas adoptadas para abordar de manera más adecuada la seguridad de un entorno como este 

Para los usuarios

Es posible adoptar medidas para llevar seguridad a los entornos que hacen uso de este tipo de tecnología. Asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegúrese de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar

Para empresas

• Proteja todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).
• Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.
• Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.
• Restrinja el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten.

Si tienes alguna duda o sugerencia sobre temas relacionados con la seguridad de la información que te gustaría que abordáramos en las próximas publicaciones, cuéntanos en los comentarios.

Fuente: www.welivesecurity.com

En respuesta a las regulaciones de la UE, WhatsApp pronto ofrecerá interoperabilidad con otros servicios de mensajería instantánea. ¿Lo necesitamos? ¿Es seguro?

La Ley de Mercados Digitales (DMA) de la UE requiere que las principales empresas de tecnología ofrezcan productos más abiertos e interoperables para aumentar la competencia. Gracias a la DMA, iOS pronto permitirá que se instalen tiendas de aplicaciones de terceros, y las principales plataformas de mensajería instantánea deberán permitir la comunicación con otras aplicaciones similares, lo que crea una compatibilidad entre plataformas. Los ingenieros de Meta (Facebook) detallaron recientemente cómo se implementará esta compatibilidad en WhatsApp y Messenger. Los beneficios de la interoperabilidad son evidentes para cualquiera que alguna vez haya enviado mensajes de texto o correos electrónicos. Podrás enviar o recibir mensajes sin preocuparte por el teléfono, el ordenador o la aplicación que usa la otra persona, o en qué país se encuentra. Sin embargo, hay desventajas. En primer lugar, los terceros (desde agencias de inteligencia hasta piratas informáticos) a menudo tienen acceso a tu correspondencia; en segundo lugar, estos mensajes son los principales objetivos del correo no deseado y del phishing. Entonces, ¿podrá la DMA garantizar la provisión de interoperabilidad y sus beneficios, y al mismo tiempo eliminar sus defectos?

Es importante tener en cuenta que, si bien el impacto de la DMA en la App Store de iOS solo afectará a los usuarios de la UE, la mensajería entre plataformas probablemente afectará a todos, incluso si solo los partners de la UE se conectarán a la infraestructura de WhatsApp.

¿Puedes chatear por WhatsApp con usuarios de otras plataformas?

En teoría, sí, pero aún no en la práctica. Meta ha publicado especificaciones y requisitos técnicos para los partners que desean que sus aplicaciones sean interoperables con WhatsApp o Messenger. Ahora depende de estos partners subirse a bordo y desarrollar un puente entre su servicio y WhatsApp. Hasta la fecha, no se han anunciado asociaciones de este tipo.

Es posible que los propietarios y desarrolladores de otros servicios de mensajería instantánea estén reacios a implementar dicha funcionalidad. Algunos lo consideran inseguro; otros no están dispuestos a invertir recursos en una integración bastante compleja. Meta requiere que los partners potenciales implementen un cifrado de extremo a extremo (E2EE) con al menos el mismo nivel de cifrado de WhatsApp, lo cual es un desafío importante para muchas plataformas

Incluso si aparecen servicios de terceros, solo aquellos usuarios de WhatsApp que se suscriban explícitamente podrán enviar mensajes entre las plataformas. No se activará de manera predeterminada.

¿Cómo serán esos mensajes?

Sobre la base de las versiones beta de WhatsApp, los mensajes con usuarios de otras plataformas se alojarán en una sección independiente de la aplicación a fin de distinguirlos de los chats con usuarios de WhatsApp.

Inicialmente, solo se admitirán mensajes entre dos individuos y el intercambio de archivos, imágenes o vídeos. Las llamadas y los chats grupales no estarán disponibles durante al menos un año.

La identificación del usuario sigue siendo una cuestión no resuelta. En WhatsApp, los usuarios se buscan por número de teléfono, mientras que en Facebook, lo hacen por nombre, lugar de trabajo, escuela, amigos de amigos u otros identificadores similares (y en última instancia por un ID único). Otras plataformas pueden usar identificadores incompatibles, como nombres de usuario cortos en Discord o ID alfanuméricos en Threema. Es probable que esto impida la búsqueda automática y la coincidencia de usuarios y, al mismo tiempo, facilite los ataques de suplantación de identidad por parte de los estafadores.

Desafíos en torno al cifrado

Uno de los desafíos clave de la integración de diferentes plataformas de mensajería es la implementación de un cifrado confiable. Incluso si dos plataformas usan el mismo protocolo de cifrado, surgen problemas técnicos con respecto al almacenamiento y el acuerdo de claves, la autenticación del usuario y más.

Si el método de cifrado difiere considerablemente, es probable que se necesite un puente, es decir, un servidor intermediario que descifre los mensajes de un protocolo y los vuelva a cifrar en otro. Si consideras que esto te convierte en el objetivo de un ataque de intermediarios (MITM), en el que la piratería de este servidor facilitaría las escuchas, tu desconfianza estaría fundada. La aplicación fallida Nothing Chats, que utilizaba un esquema similar para activar iMessage en Android, demostró recientemente esta vulnerabilidad. Incluso los propios esfuerzos de Meta son ilustrativos: la mensajería cifrada entre Messenger e Instagram se anunció hace más de cinco años, pero el cifrado a gran escala en Messenger recién llegó en diciembre pasado, y el E2EE de Instagram sigue sin estar completamente funcional hasta el día de hoy. Como se explica en este artículo detallado, no se trata de pereza o falta de tiempo, sino de la significativa complejidad técnica del proyecto.

Los criptógrafos por lo general son muy escépticos sobre la idea de del E2EE entre plataformas. Algunos expertos creen que el problema se puede resolver, por ejemplo, creando el puente directamente en el ordenador del usuario o haciendo que todas las plataformas adopten un protocolo de mensajería único y descentralizado. Sin embargo, los peces gordos del mercado de la mensajería instantánea no nadan en esa dirección. Es difícil acusarlos de inactividad o inercia; toda la experiencia práctica demuestra que el cifrado de mensajes confiable y fácil de usar dentro de ecosistemas abiertos es difícil de implementar. Basta con mirar la saga del cifrado PGP en el correo electrónico y las confesiones de los principales expertos en criptografía.

Hemos recopilado información sobre los planes de integración de WhatsApp y Messenger de las principales plataformas de comunicación, y hemos evaluado la viabilidad técnica de la funcionalidad entre plataformas:

Dilemas de seguridad

Más allá de los problemas de cifrado, la integración de varios servicios presenta desafíos adicionales en la protección contra el correo no deseado, el phishing y otras ciberamenazas. Si recibes mensajes no deseados en WhatsApp, puedes bloquear al emisor en ese momento. Después de que varios usuarios lo bloquean, el emisor de spam tendrá una capacidad limitada para enviar mensajes a extraños. Queda por ver en qué medida estas técnicas antispam funcionarán con servicios de terceros.

Otro problema es la moderación del contenido no deseado, desde pornografía hasta sorteos falsos. Cuando se involucran algoritmos y expertos no de una sino de dos empresas, la velocidad de respuesta y la calidad están destinadas a sufrir.

Las preocupaciones sobre la privacidad también se volverán más complejas. Supongamos que instalas la aplicación Skype; al hacerlo, compartes datos con Microsoft, que los almacenará. Sin embargo, tan pronto como le envíes un mensaje a alguien en WhatsApp desde Skype, cierta información sobre ti y tu actividad llegará a los servidores de Meta. Por cierto, WhatsApp ya tiene un acuerdo de invitado para este caso. Esto es lo que el equipo suizo detrás de Threema encuentra inquietante; temen que los mensajes con los usuarios de WhatsApp puedan llevar a la desanonimización de los usuarios de Threema.

Y no olvidemos que la noticia de la compatibilidad entre plataformas es música para los oídos de los autores de malware: será mucho más fácil atraer a las víctimas con “mods de WhatsApp para enviar mensajes a Telegram” u otras ofertas ficticias. Sin embargo, de todos los problemas, este es el más fácil de resolver: debes instalar solo aplicaciones de tiendas oficiales y usar una protección confiable en tus teléfonos inteligentes y ordenadores.

¿Qué debes hacer?

Si usas WhatsApp y deseas enviar mensajes a usuarios de otros servicios

Cuenta aproximadamente cuántas personas de tu círculo no usan WhatsApp pero usan otras plataformas que han anunciado la interoperabilidad con WhatsApp. Si no hay muchas, es mejor no activar la compatibilidad para los servicios de mensajería instantánea de terceros: los riesgos de correos y mensajes no deseados superan los beneficios potenciales.

Si conoces muchas de esas personas, analiza si hablan sobre temas confidenciales. Incluso con los requisitos de cifrado de Meta, la mensajería entre plataformas a través de un puente debe considerarse vulnerable a la interceptación y la modificación no autorizada. Por lo tanto, se recomienda usar el mismo servicio de mensajería instantánea seguro (como Signal) para la comunicación confidencial.

Si decides que WhatsApp + servicio de mensajería instantánea de terceros es la fórmula ganadora, asegúrate de maximizar la configuración de privacidad en WhatsApp y ten cuidado con los mensajes extraños, especialmente de personas que no conoces, pero también de amigos sobre temas inusuales. Trata de verificar que esa persona sea quien dice ser, y no un estafador que te envía mensajes a través de un servicio de terceros.

Si usas otro servicio de mensajería instantánea que ha anunciado interoperabilidad con WhatsApp

Si bien es atractivo obtener acceso a todos los usuarios de WhatsApp dentro de tu servicio de mensajería instantánea favorito, si usas un servicio de mensajería instantánea diferente para obtener mayor privacidad, es probable que la conexión a WhatsApp la disminuya. Los servicios de Meta recopilarán ciertos metadatos durante las conversaciones, lo que podría llevar a la desanonimización de la cuenta, y el puente de cifrado puede ser vulnerable a las escuchas. En general, no recomendamos activar esta función en servicios de mensajería instantánea seguros, en caso de que alguna vez esté disponible.

Consejos para todos

Ten cuidado con las “modificaciones” y las aplicaciones poco conocidas que prometen mensajería entre plataformas y otras maravillas. Es probable que haya malware al acecho detrás de la interfaz seductora. Asegúrate de instalar protección en tu ordenador y teléfono inteligente para evitar que los atacantes roben tu correspondencia dentro de servicios de mensajería instantánea legítimos.

Fuente: latam.kaspersky.com

Junto a la publicación de Fedora 40, los responsables de la distribución y Slimbook han anunciado Slimbook Fedora 2, la segunda generación de los portátiles que están tuneados con el logo de la distribución, el cual está presente en el chasis y en la tecla súper (más conocida como tecla Windows). Aquí nos encontramos con una actualización del hardware implementado y se mantienen las variantes con y sin NVIDIA.

La serie de portátiles Slimbook Fedora 2 se vende a través de modelos con pantallas de 14 y 16 pulgadas y sigue utilizando un chasis de magnesio y aluminio que puede ser de color plata o negro, a gusto del consumidor y dependiendo de las unidades disponibles. Aquí lo que sobresale es que el procesador utilizado es ahora un Intel Core i7-13700H con seis núcleos de alto rendimiento, ocho núcleos eficientes, veinte hilos en total, una frecuencia en modo turbo de 5GHz en los núcleos de alto rendimiento y 24MB Intel Smart Cache. El modelo de 16 pulgadas, que es el que incluye la gráfica dedicada de NVIDIA, implementa una RTX 4060 con 8GB de VRAM.

Profundizando en las características de cada uno de los modelos, el Slimbook Fedora 2 de 16 pulgadas tiene una pantalla de dicho tamaño que funciona con un ratio de aspecto de 16:10 y soporta una resolución de 2.560×1.600 píxeles, una tasa de refresco máxima de 90Hz y el 100% del espectro de color sRGB. A nivel de memoria soporta hasta 64GB de RAM y hasta 8TB de almacenamiento mediante SSD por interfaz NVMe PCIe Gen 4.0. La batería es de 82Wh, su peso de 1,6Kg y tiene conexiones Thunderbolt 4 y USB Type-C 3.2 Gen 2.

Por su parte, el Slimbook Fedora 2 de 14 pulgadas tiene una pantalla que soporta una resolución nativa de 2.880×1.800 píxeles, 90Hz de tasa de refresco máxima, un ratio de aspecto de 16:10 y el 100% del espectro de color sRGB. El resto de características son esencialmente las mismas que en el modelo de 16 pulgadas, pero la batería es de 99Wh y el peso de 1,3 kilogramos.

Sobre el software que está presente en los portátiles, obviamente nos encontramos con Fedora 40 y el escritorio GNOME 46. Se ha destacado la presencia de la última versión del driver Nouveau para tener una experiencia out of the box con el sistema y, como forma de apoyar las iniciativas de código abierto, el 3% de los ingresos de cada unidad del Slimbook Fedora 2 vendida será donado a GNOME Foundation, la institución que sostiene al escritorio y su ecosistema de aplicaciones.

Los Slimbook Fedora 2 ya pueden ser comprados desde la tienda de Slimbook con precios que parten de los 1.399 euros para el modelo de 14 pulgadas y 1.799 euros para el modelo de 16 pulgadas y gráfica de NVIDIA.

Fuente: www.muylinux.com

Los niños están expuestos a riesgos en línea debido a la falta de transparencia en el uso y recopilación de datos. Te contamos cómo puedes protegerlos y qué medidas debes considerar tomar.

Nuestros hijos pasan más tiempo que nunca con sus teléfonos. Alrededor del 80% de los niños europeos de 9 a 16 años acceden a Internet desde sus teléfonos todos los días. En el Reino Unido, el 91% de los niños tiene un teléfono móvil a los 11 años, y en Estados Unidos la misma proporción tiene un smartphone a los 14 años. Aunque estos dispositivos, y las aplicaciones instaladas en ellos, pueden ser una gran herramienta de entretenimiento, socialización y aprendizaje, también presentan riesgos.

Como padres, a menudo compramos estos dispositivos principalmente para que nuestros hijos se mantengan conectados con nosotros, para que estén seguros cuando están fuera de casa y, quizá en menor medida, para que conecten con sus amigos. Pero, ¿cuántos de nosotros tenemos en cuenta las posibles implicaciones para la seguridad en línea? Gran parte del problema radica en la falta de transparencia sobre el uso de los datos y en los desarrolladores de aplicaciones.

A continuación, abordamos los principales riesgos para la seguridad asociados a las aplicaciones dirigidas a los niños, y cómo mitigarlos.

Desafíos de privacidad en aplicaciones para menores

Las aplicaciones de los teléfonos inteligentes son la puerta de entrada al mundo digital para los menores, pero también pueden exponerlos a publicidad explotadora, contenidos inapropiados y riesgos de seguridad y privacidad. El reto para los adultos se ve agravado por la complejidad de la configuración de la privacidad, la opacidad de las políticas de privacidad, las lagunas normativas, la debilidad en la aplicación de las leyes y nuestra propia falta de concienciación.

Un estudio de Incogni analizó 74 aplicaciones Android dirigidas a niños utilizadas en todo el mundo. Se descubrió que:

• Casi la mitad (34/74) recopilan al menos algunos datos del usuario, y un tercio de ellas recopilan al menos siete puntos de datos, incluida la ubicación, las direcciones de correo electrónico, el historial de compras y las interacciones con la aplicación
• Los desarrolladores afirman que el motivo de esta recopilación de datos es principalmente el análisis, la funcionalidad de la aplicación, la prevención del fraude y la publicidad o el marketing
• Solo el 62% de las aplicaciones que recopilan datos permiten a los usuarios solicitar la eliminación de sus datos

Otro estudio sobre aplicaciones para iOS destinadas a niños menores de 12 años reveló que todas compartían datos de los usuarios con distintos grados de sensibilidad fuera de la aplicación. Y el 44% enviaba al menos un dato personal a terceros. Un 65% compartió datos con terceros que proporcionan publicidad o análisis con fines comerciales.

Leyes vigentes en el mundo

Los legisladores han promulgado leyes específicas para proteger a los niños de la recopilación y el uso excesivos de datos.

En Estados Unidos, la ley COPPA se aprobó en 1998 para obligar a los desarrolladores a obtener el consentimiento paterno antes de recopilar información personal de menores de 13 años. También deben proporcionar una política de privacidad clara que detalle cómo se utiliza la información recopilada, y ofrecer a los padres la opción de revisar, modificar o eliminar estos datos.

En la UE, el GDPR-K exige que los desarrolladores recojan únicamente los datos mínimos necesarios para prestar los servicios de una aplicación, y que obtengan el consentimiento paterno para procesar datos personales en la mayoría de los casos. También exige una configuración de la privacidad adecuada a la edad y fácil de entender para los niños, y que los desarrolladores evalúen y mitiguen periódicamente los riesgos para la protección de datos.

A lo largo de los años, las medidas de aplicación han sido limitadas. TikTok fue una excepción notable, ya que se le impuso una multa de 345 millones de euros (368 millones de dólares) por el GDPR y un acuerdo de 5,7 millones de dólares con la FTC. Pero que no se multe a más desarrolladores de aplicaciones infantiles no significa que no pase nada. Más bien puede apuntar a una falta de capacidad reguladora para hacer cumplir la ley. 

Principales riesgos de las aplicaciones

• Recogida excesiva de datos: La información personal, como la edad, la dirección de correo electrónico, la ubicación y la actividad en la aplicación, puede ser una mina de oro para los anunciantes. Si los desarrolladores la comparten a través de rastreadores de terceros, representa un riesgo para la seguridad de los datos por la posibilidad de este pueda sufrir una violación.
• Publicidad poco escrupulosa: Los anuncios dirigidos sobre todo a niños pequeños pueden aprovecharse de su incapacidad para discernir que se les está haciendo publicidad. Los anuncios también pueden incluir contenido inapropiado.
• Compras dentro de la aplicación: Algunas aplicaciones, especialmente en el mundo de los videojuegos, permiten a los usuarios realizar compras durante una sesión. Los menores pueden ser más susceptibles a que los desarrolladores les empujen a gastar dinero sin el conocimiento del adulto a cargo.
• Control parental limitado: Algunas aplicaciones carecen de controles parentales adecuados, lo que dificulta minimizar la exposición a riesgos al utilizar la aplicación.
• Información limitada sobre privacidad: A pesar de los requisitos normativos de muchas jurisdicciones, las aplicaciones infantiles pueden incluir políticas de privacidad/seguridad opacas que no dejan claro cómo se utilizarán y protegerán los datos. Como afirma el organismo regulador de la privacidad del Reino Unido: “Un mal diseño de la información sobre privacidad oculta los riesgos, desbarata las buenas experiencias de los usuarios y siembra la desconfianza entre los niños, los padres y los servicios en línea.”
• Compartir demasiado: Algunas aplicaciones pueden ofrecer pocos medios obvios para que limitar la cantidad de información que comparten con otros usuarios, poniéndolos en peligro de ciberacosadores, ladrones de datos y estafadores.
• Contenido inapropiado: Las aplicaciones pueden permitir a los menores acceder a contenidos inadecuados para su edad, incluidos los compartidos por otros usuarios. Las redes sociales son especialmente peligrosas, dado el gran número de usuarios que comparten imágenes y vídeos. Los moderadores pueden tardar en ponerse al día y retirar todo lo que se considere inapropiado.
• Riesgos de seguridad: Las aplicaciones móviles también plantean importantes riesgos de seguridad. Las que no se han diseñado pensando en la seguridad pueden incluir vulnerabilidades, errores de configuración y otros riesgos, como la falta de cifrado de datos. Estos agujeros pueden ser aprovechados por los delincuentes para robar los datos del menor, incluidos los de acceso a las aplicaciones, inscribirlo en servicios de pago o secuestrar sus cuentas de redes sociales y juegos. También podrían utilizar el acceso al dispositivo para llevar a cabo una ciberextorsión.

Cómo mitigar los riesgos de seguridad de las aplicaciones

Como padre, tienes un papel fundamental a la hora de proteger la privacidad y la seguridad de tus hijos cuando utilizan aplicaciones para teléfonos inteligentes. Te contamos cómo:

• Habla con sus hijos: Explícale la importancia de proteger su información personal, las posibles consecuencias de los riesgos de seguridad y privacidad, y déjale claro que esperas que recurra a ti antes de tomar cualquier decisión sobre compartir información en línea. 
• Investiga: Revisa cualquier aplicación que el niño o niña quiera descargarse antes de permitírselo. Comprueba sus políticas de privacidad y su reputación en materia de privacidad y seguridad.
• Mantén el control: Respeta la intimidad de su hijo, pero que sepa que controlarás de vez en cuando el uso y los permisos de sus aplicaciones. Considera la posibilidad de utilizar software de control parental para limitar lo que pueden descargar y a qué funciones podrán acceder (por ejemplo, desactivar las funciones de mensajería o sociales). Estos programas también permiten navegar de forma segura y proporcionan informes sobre el uso de Internet.
• Céntrate en la seguridad: Descarga software antimalware de un proveedor de confianza y mantenlo actualizado con la última versión de la aplicación y del sistema operativo, y protegido con contraseña. Activa la autenticación multifactor (MFA) en las aplicaciones que la admitan. Y asegúrese de que solo se descarguen aplicaciones de las tiendas oficiales de Google y Apple.
• Bloquea la publicidad: Desactiva el seguimiento de anuncios en el smartphone accediendo a la configuración correspondiente en Android o iOS.
• Elige aplicaciones adaptadas a los niños: Para dispositivos Android, busca las “aprobadas por el profesor” en Google Play, en la pestaña Niños. Las apps se clasifican según “adecuación a la edad, calidad de la experiencia, enriquecimiento y deleite”.

Todos queremos que nuestros hijos saquen el máximo partido a sus smartphones. Pero, ante todo, queremos que estén seguros. Navegar por este campo minado digital nunca va a ser fácil. Pero cuanto te informes y conozcas los riesgos, podrás tomas las mejores decisiones en pos del bienestar y la seguridad de los menores.

Fuente: www.welivesecurity.com

Cómo diferenciar una fotografía o un vídeo real de una falsificación y rastrear su procedencia.

Durante los últimos 18 meses, más o menos, parece que hemos perdido la capacidad de confiar en nuestros ojos. Las falsificaciones de Photoshop no son nada nuevo, por supuesto, pero la llegada de la inteligencia artificial (IA) generativa ha llevado la falsificación a un nivel completamente nuevo. Quizás la primera falsificación de IA viral fue la imagen del Papa en 2023 con una chaqueta acolchada blanca de diseño, pero, desde entonces, el número de engaños visuales de alta calidad se ha disparado a muchos miles. Y, a medida que la IA se desarrolle aún más, podemos esperar más y más vídeos falsos convincentes en un futuro muy cercano.

Uno de los primeros deepfakes en hacerse viral en todo el mundo: el Papa luciendo una moderna chaqueta acolchada blanca.

Esto solo exacerbará el ya complicado problema de las noticias falsas y las imágenes que las acompañan. Pueden publicar una foto de un evento y afirmar que es de otro, poner a personas que nunca se han conocido en la misma fotografía, entre otras cosas.

La falsificación de imágenes y vídeos tiene una relación directa con la ciberseguridad. Los estafadores han estado utilizando imágenes y vídeos falsos para engañar a las víctimas y lograr que desembolsen su dinero durante años. Es posible que te envíen una fotografía de un cachorro triste que, según dicen, necesita ayuda, una imagen de una celebridad que promueve algunos planes sospechosos o, incluso, una fotografía de una tarjeta de crédito que dicen que pertenece a alguien que tú conoces. Los estafadores también utilizan imágenes generadas por IA para los perfiles falsos en sitios de citas y redes sociales.

Las estafas más sofisticadas hacen uso de vídeos y audios falsos del jefe de la víctima o de un familiar para que cumplan con las peticiones de los estafadores. Recientemente, un empleado de una institución financiera fue engañado para que transfiriera 25 millones de dólares a ciberdelincuentes. Habían pactado una videollamada con el “director financiero” y los “colegas” de la víctima, todos deepfakes.

Entonces, ¿qué se puede hacer para lidiar con los deepfakes o con las falsificaciones clásicas? ¿Cómo se pueden detectar? Este es un problema extremadamente complejo, pero que se puede mitigar paso a paso, rastreando la procedencia de la imagen.

Espera… ¿no lo había visto antes?

Como se mencionó anteriormente, existen diferentes tipos de “falsificaciones”. A veces, la imagen en sí no es falsa, pero se usa de manera engañosa. Tal vez una fotografía real de una zona de guerra se hace pasar como si fuera de otro conflicto, o una escena de una película se presenta como metraje documental. En estos casos, buscar anomalías en la imagen en sí no ayudará mucho, pero puedes intentar buscar copias de la fotografía en línea. Afortunadamente, tenemos herramientas como la búsqueda inversa de imágenes en Google y TinEye, que pueden ayudarnos a hacer precisamente eso.

Si tienes alguna duda sobre una imagen, simplemente cárgala en una de estas herramientas y mira los resultados. Es posible que descubras que la misma fotografía de una familia que se quedó sin hogar por el fuego, o un grupo de perros en un refugio, o las víctimas de alguna otra tragedia, ha estado circulando en línea durante años. Por cierto, cuando se trata de una recaudación de fondos falsa, hay algunas otras señales de alerta a tener en cuenta además de las imágenes en sí.

¿Perro de un refugio? No, de un stock de fotografías.

¿Se usó Photoshop? Pronto lo sabremos.

Dado que la edición en Photoshop existe desde hace un tiempo, los matemáticos, los ingenieros y los expertos en imágenes han estado trabajando durante mucho tiempo en formas para detectar imágenes alteradas automáticamente. Algunos métodos populares incluyen el análisis de metadatos de imágenes y el análisis de nivel de error (ELA), que comprueba si hay artefactos de compresión JPEG para identificar las partes modificadas de una imagen. Muchas herramientas de análisis de imágenes populares, como Fake Image Detector, aplican estas técnicas.

Fake Image Detector advierte que el Papa probablemente no usó esa campera el domingo de Pascuas… o nunca.

Con la aparición de la IA generativa, también hemos visto nuevos métodos basados en la IA para detectar el contenido generado, pero ninguno de ellos es perfecto. Estos son algunos de los desarrollos relevantes: detección de cambio de rostro, detección de imágenes generadas por IA y determinación del modelo de IA utilizado para generarlas, y un modelo de IA abierto para los mismos fines.

Con todos estos enfoques, el problema clave es que ninguno te da el 100 % de certeza sobre la procedencia de la imagen, garantiza que la imagen esté libre de modificaciones o permite verificar dichas modificaciones.

WWW al rescate: verificar la procedencia del contenido

¿No sería fantástico si los usuarios comunes pudieran comprobar si una imagen es real? Imagina hacer clic en una fotografía y ver algo como: “John tomó esta fotografía con un iPhone el 20 de marzo”, “Ann recortó los bordes y aumentó el brillo el 22 de marzo”, “Peter volvió a guardar esta imagen con alta compresión el 23 de marzo”, o ” No se realizaron cambios”, y todos estos datos serían imposibles de falsificar. Suena como un sueño, ¿cierto? Bueno, eso es exactamente lo que busca la Coalición para la Procedencia y Autenticidad del Contenido (C2PA). La C2PA incluye algunos de los principales actores de las industrias de la informática, la fotografía y los medios de comunicación: Canon, Nikon, Sony, Adobe, AWS, Microsoft, Google, Intel, BBC, Associated Press y alrededor de un centenar de otros miembros; básicamente todas las empresas que podrían haber estado involucradas individualmente en casi cualquier paso de la vida de una imagen, desde su creación hasta su publicación en línea.

El estándar de la C2PA desarrollado por esta coalición ya está disponible e incluso ha alcanzado la versión 1.3, y ahora estamos empezando a ver que las piezas del rompecabezas industrial necesarias para usarlo encajan en su lugar. Nikon planea fabricar cámaras compatibles con la C2PA, y la BBC ya ha publicado sus primeros artículos con imágenes verificadas.

La BBC habla sobre cómo se verifican las imágenes y los vídeos en sus artículos.

La idea es que, cuando los medios de comunicación responsables y las grandes empresas pasen a publicar imágenes en forma verificada, puedas comprobar la procedencia de cualquier imagen directamente en el navegador. Verás una pequeña etiqueta de “imagen verificada” y, cuando hagas clic en ella, aparecerá una ventana más grande que te mostrará qué imágenes sirvieron como origen y qué ediciones se realizaron en cada etapa antes de que la imagen apareciera en el navegador, quién las hizo y cuándo. Incluso podrás ver todas las versiones intermedias de la imagen.

Historia de la creación y edición de imágenes.

Este enfoque no es solo para cámaras; también puede funcionar para otras formas de crear imágenes. Servicios como Dall-E y Midjourney también pueden etiquetar sus creaciones.

Esto fue claramente creado en Adobe Photoshop.

El proceso de verificación se basa en una criptografía de clave pública similar a la protección utilizada en los certificados de servidor web para establecer una conexión HTTPS segura. La idea es que cada creador de imágenes, ya sea Joe Bloggs con un tipo particular de cámara o Angela Smith con una licencia de Photoshop, necesitará obtener un certificado X.509 de una autoridad de certificación de confianza. Este certificado se puede conectar directamente a la cámara en la fábrica, mientras que, para los productos de software, se puede emitir al momento de la activación. Al procesar imágenes con seguimiento de procedencia, cada nueva versión del archivo contendrá una gran cantidad de información adicional: la fecha, hora y ubicación de las ediciones, las miniaturas de las versiones original y editada, etc. Todo esto irá firmado digitalmente por el autor o editor de la imagen. De esta forma, un archivo de imagen verificado tendrá una cadena de todas sus versiones anteriores, cada una firmada por la persona que lo editó.

Este vídeo incluye contenido generado por IA.

Los autores de la especificación también se preocuparon por las funciones de privacidad. A veces, los periodistas no pueden revelar sus fuentes. Para situaciones como esa, hay un tipo especial de edición llamada “redacción”. Esto permite que alguien reemplace parte de la información sobre el creador de la imagen con ceros y luego firme ese cambio con su propio certificado.

Para mostrar las capacidades de la C2PA, se creó una colección de imágenes y vídeos de prueba. Puedes consultar el sitio web de Content Credentials para ver las credenciales, el historial de creación y el historial de edición de estas imágenes.

El sitio web de Content Credentials revela el origen completo de las imágenes de la C2PA.

Limitaciones naturales

Desafortunadamente, las firmas digitales para imágenes no resolverán el problema de las falsificaciones de la noche a la mañana. Después de todo, ya hay miles de millones de imágenes en línea que no han sido firmadas por nadie y que no van a ninguna parte. Sin embargo, a medida que más y más fuentes de información de renombre pasen a publicar solo imágenes firmadas, cualquier fotografía sin una firma digital comenzará a ser vista con sospecha. Las fotografías y los vídeos reales con marcas de tiempo y datos de ubicación serán casi imposibles de hacer pasar por otra cosa, y el contenido generado por IA será más fácil de detectar.

Fuente: latam.kaspersky.com