Aunque las vulnerabilidades son inevitables en cualquier software, incluir actualizaciones y parches de manera regular puede minimizar los riesgos. Es por este motivo que siempre se aconseja a los usuarios instalar las últimas versiones de software en cuanto estén disponibles. Por más que las actualizaciones a veces sean complicadas o consuman tiempo, son obligatorias. Por esto, el informe de Kaspersky deja claro que las organizaciones deben priorizar la renovación del software, invertir y ahorrar dinero a largo plazo.

Algunas de las brechas de seguridad por tecnología obsoleta pueden ser sistemas operativos sin parchar, software antiguo o dispositivos móviles no compatibles. El informe asegura que los daños financieros pueden alcanzar enepromedio 1’252,000 dólares un. Esto es un 77% más que la media de las empresas con la tecnología completamente actualizada.

Te puede interesar: 10 claves seguridad de la información en la era del COVID-19

En el caso de las PyMES de la región, el promedio de daños financieros alcanza los 112,000 dólares para aquellas con tecnología obsoleta. Es decir, 51% más que aquellas con TI actualizada, cuyas pérdidas ascienden a 74,000 dólares en el caso de una brecha de seguridad.

Entre las razones para no actualizar la tecnología, una de las más comunes es la incompatibilidad con las aplicaciones desarrolladas internamente (49%). Este es un factor que puede resultar crítico para aquellas organizaciones que desarrollan software a nivel interno para responder a sus propias necesidades o cuando utilizan aplicaciones muy específicas con soporte limitado. Otra razón habitual, mencionada por 47% de los encuestados, es la resistencia de los empleados a trabajar con las nuevas versiones de software. Un mal grave, pues en estos casos, se hacen excepciones. Por otra parte, el 39% de los participantes en el estudio afirmó que no se actualizaban las tecnologías porque eran propiedad de los miembros de la junta directiva y el 13% alegó que la empresa carecía de los recursos necesarios para actualizar todo a la vez.

Te puede interesar: 10 errores de seguridad que su pyme NO debe cometer

“Cualquier costo adicional para las empresas es crítico, especialmente ahora que la situación económica global es inestable debido a la pandemia. Por esta razón, nuestro informe analizó cómo las empresas pueden reducir el impacto financiero de una incidencia de ciberseguridad”, explica Claudio Martinelli, Director General para América Latina en Kaspersky.  “Los resultados del informe confirman el impacto que supone contar con software obsoleto. Aun cuando no es posible desprenderse de este de forma inmediata, algunas medidas ayudan a mitigar los riesgos, permitiéndole a las compañías ahorrar dinero y evitar otras potenciales consecuencias”.

¿Cómo lo podía hacer? De manera sencilla TikTok cuenta con una función que permite vincular los números de teléfono con los contactos en la red social. No es la única plataforma que cuenta esta opción, pero es posible automatizar el proceso en TikTok.

Lo que esto significaba era que una persona podía manipular con éxito el proceso de inicio de sesión omitiendo la firma de mensajes HTTP de TikTok, automatizando el proceso de carga de contactos y sincronización. Esto, eventualmente crearía una base de datos de usuarios y sus números de teléfono. De acuerdo con Chekpoint, la compañía notificó primero a TikTok que solucionó el problema al momento de la publicación de su artículo.

Te puede interesar: Así puedes ver tus 10 videos de TikTok más vistos en 2020

“Como nuestro objetivo principal era examinar la privacidad de TikTok, nos centramos en todas las acciones de la aplicación que se relacionan con los datos de los usuarios. Encontramos que la aplicación habilita la sincronización de contactos, lo que significa que un usuario puede sincronizar los contactos de su teléfono para encontrar fácilmente a las personas que puede conocer en TikTok. En términos simples, esto hace posible conectar los detalles del perfil de los usuarios con sus números de teléfono. Si se explota, esta vulnerabilidad solo habría afectado a aquellos usuarios que eligieron asociar un número de teléfono con su cuenta (que no es obligatorio) o iniciaron sesión con un número de teléfono”.

No es la primera vez que TikTok es señalada por las vulnerabilidades en la red social. El año pasado, CheckPoint presentó un informe que resaltó una serie de fallas en su software que podían ser explotadas para, entre otras cosas, enviar mensajes a los usuarios con malware. La app también es el blanco actual de escrutinio en diferentes países, por su asociación con el gobierno chino. Aunque la prohibición de la app nunca se terminó de llevar a cabo en los Estados Unidos, sí se ha prohibido en otros países incluido la India.

Imágenes: TikTok

Loginizer es un plugin que permite crear diferentes capaz de seguridad en la página de login de WordPress. Desde esta se pueden bloquear direcciones IP, fortalecen la autenticación a dos pasos, entre otros, explica el portal ZDNet.

El bug en este plugin fue encontrado por Slavco Mihajloski, quien aseguró que a través de un ataque remoto los criminales cibernéticos tratan de entrar a un sitio con un usuario falso, en el que incluye comandos del tipo SQL. De este modo, podían entrar a los datos de WordPress y controlar sitios.

También te puede interesar: Extensión de WordPress era usada por criminales informáticos.

Los sitios que usaban Loginizer fueron actualizados de manera obligatoria por WordPress a la versión 1,6,4 del plugin, una medida que rara vez es tomada por la empresa. Lo que generó fuertes reacciones en foros que aseguraban que no entendían la razón por la que la compañía podía tomar la decisión sin consultarlos. Por su parte, WordPress enfatizó que hace esto solo cuando se encuentra una vulnerabilidad de seguridad y lo ha hecho solo cinco veces desde el 2013.

Imagen: Negative Space (Vía Pexels).

“Este tipo de vulnerabilidades convierten los celulares de los usuarios en herramientas para que los criminales los expíen y saquen provecho de ellos”, explica Check Point Research en su documento. Además, muestra que la falla garantiza permisos para usar la cámara, acceso a los contactos, fotos, GPS y micrófono del dispositivo.

También te puede interesar: A Instagram no le gusta las medidas de Apple para proteger la privacidad de los usuarios.

Para poder aprovechar la vulnerabilidad, todo lo que un cibercriminal necesitaría hacer es mandar una imagen JPEG con un código corrupto por el correo electrónico o WhatsApp, una vez la imagen se guarda en el dispositivo y abre Instagram –sin necesidad de cargarla en la aplicación–, el ataque iniciará automáticamente, garantizando permisos a un tercero.

Este es un ejemplo más de la importancia de actualizar las aplicaciones y controlar los permisos que se le otorgan pues como demuestra el informe de Check Point Research, las empresas no siempre aclaran porque debería hacerse una u otra. Aunque es poco probable que muchos de nosotros aún tengan la versión con vulnerabilidad es recomendable revisarla y si tienes problemas con la plataforma, también, puedes borrarla y volverla a descargar para asegurarte de tenerla al día.

Imagen: Prateek Katyal (Vía Unsplash).