Archives febrero 2025

Deepseek: cuatro claves para entender el modelo que revolucionaría la industria

by morfil Noticias

¿Cómo funciona?, ¿por qué es tan competitiva?, ¿cómo se entrena? y ¿qué riesgos presenta?, respondemos a estas preguntas respecto al modelo de Inteligencia Artifical que promete revolucionar la industria, no solo por su bajo costo, sino también porque es capaz de aprender de otros modelos similares. Expertos aseguran que Deepseek podría marcar un punto de inflexión en el desarrollo de los chatbots con inteligencia artificial.

 

Fuente: www.france24.com

Con llave y candado: Cómo proteger los datos corporativos de las ciberamenazas en 2025

by morfil Noticias

Las violaciones de datos pueden causar una pérdida de ingresos y de valor de mercado como resultado de la disminución de la confianza de los clientes y de los daños a la reputación.

Según el Centro de Recursos contra el Robo de Identidad (ITRC, por sus siglas en inglés), en 2023 se produjeron más de 3.200 ataques de datos en Estados Unidos, con 353 millones de víctimas, incluidas las que se vieron afectadas varias veces. Cada una de esas personas podría ser un cliente que decide llevar su negocio a otra parte como resultado. O un empleado que reconsidera su puesto en su organización. Esto debería ser motivo suficiente para dar prioridad a la seguridad de los datos.

Sin embargo, a pesar de que las empresas de todo el mundo gastan decenas de miles de millones de dólares al año en ciberseguridad, las filtraciones de datos siguen proliferando. ¿Por qué resulta tan difícil mitigar estos riesgos cibernéticos? La escala y variedad de los ataques, los recursos de los actores de las amenazas y el tamaño de la superficie de ataque típica de las empresas son algunas de las respuestas.

Por qué los datos son un negocio

El volumen de datos creados en todo el mundo se ha disparado en los últimos años gracias a la transformación digital. Según una estimación, en 2024 se crearán, capturarán, copiarán y/o consumirán 147 zettabytes cada día. Estos datos contienen la clave para desbloquear información vital sobre los clientes, mejorar la eficiencia operativa y, en última instancia, tomar mejores decisiones empresariales. También contienen secretos comerciales, IP sensible e información personal/financiera sobre clientes y empleadores, que es altamente monetizable en el subsuelo de la ciberdelincuencia. Esto la pone en peligro tanto para los ciberdelincuentes con motivaciones financieras como para los actores alineados con el Estado.

Según el ITRC, en 2023 se produjeron en Estados Unidos más de 3.200 ataques contra datos. Estos pueden causar importantes daños financieros y de reputación, incluyendo:

  • Costosas demandas colectivas
  • Daños a la marca
  • Pérdida de clientes
  • Caída del precio de las acciones
  • Costes asociados al análisis forense y la recuperación informática
  • Multas reglamentarias
  • Costes de notificación de infracciones
  • Pérdida de productividad
  • Interrupciones operativas

¿Cuáles son las amenazas más graves para los datos?

No todas las violaciones son deliberadas. Más de dos tercios (68%) de las analizadas por Verizon el año pasado tuvieron su origen en «una acción humana no malintencionada», como que un empleado fuera víctima de un ataque de ingeniería social o enviara accidentalmente información confidencial por correo electrónico al destinatario equivocado. El error humano también puede incluir una mala configuración de sistemas informáticos críticos, como las cuentas en la nube. Puede ser algo tan simple como no añadir una contraseña fuerte y única.

Sin embargo, también hay que ser consciente de la amenaza de los intrusos malintencionados. Estos tienden a ser más difíciles de detectar, si la persona en cuestión oculta deliberadamente pruebas de sus malas acciones, mientras que al mismo tiempo es capaz de utilizar el conocimiento interno de los procesos de negocio y herramientas. Se afirma que el coste de este tipo de incidentes se está disparando.

Los actores envalentonados de los Estados nación también constituyen un adversario persistente y sofisticado. Puede que sólo representen alrededor del 7% de las violaciones (según Verizon), pero tienen muchas posibilidades de éxito si su organización tiene la mala suerte de ser un objetivo o se ve atrapada en el fuego cruzado.

¿Cuáles son los principales vectores de amenaza a los que se enfrenta su organización?

  • El phishing y otros métodos de ingeniería social siguen siendo una de las principales vías de ataque. ¿Por qué? Porque los seres humanos siguen siendo criaturas falibles que a menudo se tragan las historias que les cuentan los estafadores. Si estos esfuerzos se dirigen a individuos específicos en ataques de spear-phishing, tienen aún más posibilidades de éxito. Los ciberdelincuentes pueden extraer información de las redes sociales, especialmente de LinkedIn, para adaptar estos mensajes.
  • Las cadenas de suministro pueden secuestrarse de varias maneras. Los ciberdelincuentes pueden utilizar la nube o los proveedores de servicios gestionados (CSP/MSP) como trampolín para acceder a las organizaciones de varios clientes. O podrían implantar malware en componentes de código abierto y esperar a que se descarguen. En los ataques más sofisticados, podrían vulnerar a un desarrollador de software e instalar malware dentro de actualizaciones de software, según la campaña de SolarWinds.
  • La explotación de vulnerabilidades sigue siendo uno de los tres métodos principales para desencadenar ataques de ransomware. Según Verizon, el volumen de exploits de vulnerabilidades asociados a incidentes de violación de datos este año creció un 180% con respecto a 2023. El grupo de inteligencia Five Eyes ha advertido de que el número de vulnerabilidades de día cero también está creciendo, lo que debería ser motivo de preocupación aún mayor, ya que se trata de fallos para los que no existen parches de software.
  • Las credenciales comprometidas suelen ser el resultado de una mala seguridad o gestión de contraseñas, ataques de phishing con éxito, filtraciones de datos a gran escala o ataques de fuerza bruta contra contraseñas. Constituyen una de las formas más eficaces de eludir sus ciberdefensas, sin hacer saltar ninguna alarma. Verizon afirma que el uso de credenciales robadas ha aparecido en casi un tercio (31%) de todas las brechas de la última década.
  • El BYOD sigue ofreciendo oportunidades a los actores de amenazas, ya que los empleados de las empresas a menudo se olvidan de descargar antimalware en sus dispositivos personales. Si se ven comprometidos, los piratas informáticos pueden obtener inicios de sesión para cuentas corporativas en la nube, acceder a correos electrónicos de trabajo y mucho más.
  • Vivir de la tierra es un conjunto de técnicas de post-explotación comúnmente utilizadas para el movimiento lateral y la exfiltración, que permiten a un adversario permanecer oculto a plena vista. Utilizando herramientas legítimas como Cobalt Strike, PsExec y Mimikatz, pueden realizar una serie de funciones de forma difícil de detectar.

También debemos mencionar aquí el potencial de las herramientas basadas en IA para ayudar a los actores de amenazas. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) afirmó en enero de 2024 que la tecnología «aumentará casi con toda seguridad el volumen y agudizará el impacto de los ciberataques en los próximos dos años», especialmente en lo que respecta al reconocimiento y la ingeniería social.

Contraatacar

Afrontar el reto de las filtraciones de datos significa tomar medidas en todos los frentes, para reducir el riesgo en una superficie de ataque que sigue creciendo con cada inversión en transformación digital, punto final de trabajo remoto sin parchear y credencial robada. He aquí algunas ideas para empezar:

  • Comprender el alcance de su superficie de ataque mediante el mapeo continuo de todos sus activos de TI
  • Implementar programas de gestión de vulnerabilidades y parches basados en el riesgo, incluidas pruebas de penetración periódicas
  • Asegurarse de que todos los equipos y dispositivos corporativos están protegidos por un software de seguridad multicapa
  • Instalar herramientas de prevención de pérdida de datos
  • Utilizar la gestión de dispositivos móviles (MDM) para vigilar todos los dispositivos y asegurarse de que tienen instalado un antimalware de un proveedor de confianza
  • Aplcar políticas de contraseñas seguras y autenticación multifactor (MFA) en todas partes
  • Educar a las personas sobre cómo detectar mensajes de phishing y otras áreas críticas de concienciación sobre seguridad
  • Crear un plan de respuesta a incidentes y someterla a pruebas de estrés periódicamente
  • Cifrar los datos en tránsito y en reposo
  • Auditar a los proveedores y socios externos
  • Supervisar la red y los puntos finales para alertar con antelación de cualquier intrusión
  • Asegurarse de que los sistemas en la nube están correctamente configurados

Como recientemente se celebró el Día Internacional de la Protección de Datos, está claro que mantener nuestros datos más sensibles bajo llave requiere vigilancia tanto por parte de los individuos como de las empresas en las que confían para que cuiden de su información. Las consecuencias normativas de no hacerlo podrían ser graves, al igual que la pérdida de confianza de los clientes. Pero lo contrario también es cierto. Demuestre que su empresa es un custodio responsable de estos datos, y podría convertirse en un poderoso diferenciador competitivo.

 

Fuente: www.welivesecurity.com

Se suma al juego: Firefox también suma herremientas de inteligencia artificial

by morfil Noticias

Mozilla acaba de lanzar Firefox 135 y, como era de esperarse en la era de la inteligencia artificial, el navegador ahora integra IA. Pero aquí hay un giro interesante: a diferencia de Microsoft Edge con Copilot o Brave con su chatbot Leo AI, Firefox no ha desarrollado su propia IA, sino que ha decidido simplemente abrir la puerta a las opciones que ya existen.

IA en Firefox: ¿qué cambia?

A partir de esta versión, los usuarios podrán acceder directamente a chatbots como ChatGPT de OpenAI, Claude de Anthropic, Le Chat Mistral y HuggingChat. Básicamente, en lugar de obligarte a usar una IA específica, Firefox te deja elegir con cuál quieres interactuar.

Inicialmente, esta función se estaba probando de manera limitada, pero según las notas de la versión, ahora se está implementando para todos los usuarios de forma gradual.

Eso sí, hay que aclarar algo importante: Firefox no está regalando suscripciones premium a estos servicios. Si quieres usarlos, tendrás que pagar por ellos como cualquier otro usuario. Para acceder, solo tienes que hacer clic en el botón “Sparkle” en la barra lateral y seleccionar el proveedor de IA que prefieras.

Más que IA: Firefox también combate trucos molestos

Más allá de la inteligencia artificial, Firefox 135 trae mejoras realmente útiles. Para empezar, ahora incluye traducción automática en chino, japonés y coreano, lo que será una gran ayuda para quienes navegan por sitios en esos idiomas.

Además, el navegador ha decidido tomar cartas en el asunto contra una de las tácticas más molestas de ciertos sitios web: el abuso del historial de navegación. Seguro te ha pasado que intentas volver atrás en una página y terminas atrapado en un bucle interminable dentro del mismo sitio. Bueno, Firefox 135 bloquea esta práctica, permitiéndote escapar con un simple clic en “Atrás”.

En cuanto a seguridad, también hay novedades. Se ha implementado el sistema CRLite para mejorar la verificación de certificados digitales, lo que significa una navegación más segura.

Firefox te deja elegir

Si eres de los que prefieren evitar la inteligencia artificial, Firefox 135 no te obligará a usarla. Pero si quieres tener acceso a estos chatbots de manera rápida y sencilla, ahora tienes una forma fácil de hacerlo.

Mozilla ha decidido no apostar todo por la IA, pero tampoco quiere ignorarla. En lugar de forzarte a utilizar su propia versión, te da opciones y deja que seas tú quien decida. ¿Una estrategia inteligente? Solo el tiempo lo dirá.

 

Fuente: www.fayerwayer.com

Bukele convirtió a bitcoin en moneda de curso legal en El Salvador. Acaba de dar marcha atrás

by morfil Noticias

  • La adopción de la criptomoneda generó una gran polémica y rechazo a pesar del impulso del presidente salvadoreño

  • El Gobierno salvadoreño cede a las presiones del FMI para poder acceder a un crédito de 1.400 millones de dólares

En junio de 2021 Nayib Bukele, presidente de El Salvador, planteaba una opción singular: convertir bitcoin en moneda de curso legal en su país. La Ley Bitcoin del país se aprobaba poco después, en septiembre, pero lo hacía envuelto en la polémica y la incertidumbre. Ahora, tres años y medio después, Bukele se ha visto forzado a dar marcha atrás.

Bitcoin ya no es moneda de curso legal en El Salvador. Como señalan en El País, el Parlamento salvadoreño ha aprobado una reforma a la Ley Bitcoin y hace que deje de ser considerada moneda oficial. Podrá seguir usándose libremente por parte de los usuarios, pero la ambición de Bukele en este ámbito queda así truncada.

Presiones del FMI. La razón de la decisión es sencilla. El Fondo Monetario Internacional (FMI) llevaba dos años presionando a El Salvador e instándole a «mitigar los riesgos del bitcoin». El país presidido por Bukele necesitaba con urgencia un crédito de 1.400 millones de dólares, pero debía ceder en esta reforma. Hoy era el día límite para realizarla si quería que dicho crédito fuese concedido.

Bitcoin vuelve al segundo plano. Con esta medida el bitcoin deja de ser considerada como moneda de curso legal, y por ejemplo no podrá ser usada para pagar impuestos. Su adopción y aceptación pasa de ser obligatoria a voluntaria.

 

Nunca cuajó. No hay apenas datos sobre la iniciativa de Bukele, que era el único que con su perfil activo en redes sociales como Twitter/X hablaba del teórico éxito de su medida. Durante su aprobación se produjeron protestas ciudadanas, y los datos apuntan a que su uso por parte de los ciudadanos ha sido reducido.

Chivo Wallet. La polémica billetera digital creada por el gobierno trató de impulsar el uso de bitcoin con una medida promocional singular: se regalaron 30 dólares a cada persona que la instalara. Los comercios e instituciones públicas tenían la obligación de aceptar el pago en bitoin. A pesar de todo ello, la aceptación de la ciudadanía siempre fue muy limitada y a mediados de 2022 la caída de bitcoin fue especialmente para El Salvador, que estuvo a punto de entrar en bancarrota. En 2024 solo el 8,1%  de la población reconoció haber usado la herramienta, indican en El País. Una vulnerabilidad en Chivo Wallet provocó además un robo por valor de 840.000 dólares.

Críticas y quejas. Medios de El Salvador como El Faro indican cómo la mayoría de salvadoreños no usó bitcoin para hacer transacciones «y más del 70 % respondieron que no benefició su economía en una encuesta». Se habla además de corrupción en la adopción de bitcoin, con duplicación o falsificación de identidades para cobrar los 30 dólares o violación de leyes internacionales contra el lavado de dinero, señalan en El País.

Bukele apenas comenta. El presidente de El Salvador es muy activo en X, pero no ha comentado el tema. Lo que sí ha hecho es comentar la condena por corrupción del senador estadounidense Bob Menéndez, que se había opuesto a la adopción de bitcoin como moneda de curso legal en El Salvador. Solo un breve mensaje en X de la Asamblea Legislativa de El Salvador confirmó la modificación de la Ley Bitcoin.

Falta de transparencia. Como señalan en El País, la opacidad y la falta de transparencia respecto a la iniciativa ha sido notable. No había informació oficial hasta hace poco, cuando el Gobierno salvadoreño puso en marcha un sitio web llamado Bitcoin Office. Según dicho sitio web, el Salvador dispone de 6.049,18 BTC, equivalente a unos 605 millones de euros.

 

Fuente: www.xataka.com