🔥 New Post: Announcing InAppBrowser – see what JavaScript commands get injected through an in-app browser

👀 TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc

— Felix Krause (@KrauseFx) August 18, 2022

La investigación desarrollada por Krause revelaba que TikTok extrae contraseñas y otros datos confidenciales por medio de su navegador incrustado en la red social. Específicamente, el desarrollador sostiene que “todas las pulsaciones de teclas, incluidas las contraseñas y todos los toques” son monitoreados por la app china. Es decir, la red social para iPhone abre un navegador dentro de la misma app cada vez que tú abres un enlace incrustado en cualquier sección de TikTok.

Por su parte, la red social negó totalmente la acusación que primero fue revelada por Krause y que posteriormente fue ampliada por medios de todo el mundo. En un comunicado enviado a Motherboard, según VICE, un portavoz de TikTok argumentó que: “Las conclusiones del informe sobre TikTok son incorrectas y engañosas. El investigador dice específicamente que el código JavaScript no significa que nuestra aplicación esté haciendo algo malicioso, y admite que no tienen forma de saber qué tipo de datos recopila nuestro navegador integrado en la aplicación. Contrariamente a lo que afirma el informe, no recopilamos entradas de texto o pulsaciones de teclas a través de este código, que se usa únicamente para depurar, solucionar problemas y monitorear el rendimiento”.

Te puede interesar:Así le puedes enseñar a TikTok lo que te gusta ver

Y es que, en la investigación del desarrollador informa que TikTok lograría la recopilación de información gracias a un código JavaScript incluido en ese navegador incrustado que le permite a TikTok “suscribirse a cada pulsación de tecla (entradas de texto) que ocurre en sitios web de terceros representados dentro de la aplicación TikTok. Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales del usuario”.

No obstante, el mismo Krause sostuvo en su investigación que publicó también en una entrada de blog: “No podemos saber para qué TikTok usa la suscripción, pero desde una perspectiva técnica, esto es el equivalente a instalar un registrador de teclas en sitios web de terceros”. Así mismo, Krause aclaró en un chat en línea que su informe “no dice que TikTok en realidad esté grabando y usando estos datos. Hablé sobre cómo TikTok inyecta JavaScript a través de su navegador de aplicaciones que tiene un código para rastrear las pulsaciones de teclas en sitios web de terceros. Hice hincapié en que no puedo hablar sobre si el sistema se está utilizando realmente y cómo”. Según el portavoz, TikTok usa el navegador en la aplicación como cualquier otra aplicación y no registra las pulsaciones de teclas.

Lo cierto es que la seguridad y privacidad de TikTok sigue siendo un misterio, pues desde su creación y masivo crecimiento se ha visto envuelto en problemáticas de este carácter. Por mencionar alguno, hace tan solo un par de meses conocimos que China tuvo acceso a los datos de usuarios estadounidenses (por supuesto) sin autorización. Así mismo, se han abierto investigaciones a la red social por la afectación que tiene en los jóvenes que la usan.

Imagen: Montaje ENTER.CO

Una que puede ser vital para las personas preocupadas por su privacidad es una función que le indica al usuario si sus periféricos están siendo usados. En las imágenes podemos ver un nuevo icono al lado del indicador de batería. Al seleccionar este punto verde es posible acceder a un menú que muestra qué aplicación está usando la cámara o el micrófono o si estos fueron utilizados recientemente por el celular. El menú también permitiría el deshabilitar de manera manual el acceso a la cámara de todas las aplicaciones, así como silenciar el micrófono.

Otros temas estéticos que nos muestras las filtraciones es un rediseño de las notificaciones. Estás se mostrarán un poco más redondeadas de las que recibimos hasta ahora. También parece que Android integrará un widget para conversaciones en su próximo sistema operativo.

Te puede interesar: Google implementaría un firewall en Android 12

XDA Developers ya nos había anticipado que Android 12 también traerá un modo ‘firewall’ que permitirá cortar la conexión de datos con apps que no cuenten con ciertos permisos. De este modo, al activarlo, solo las aplicaciones de Google podrían utilizar funciones de red, lo que ofrecería una alternativa adicional de privacidad para aquellos que quieran utilizar servicios como Google Maps, pero no permitir a otras apps tener acceso a su ubicación.

Como siempre, estos rumores pueden suponer bastantes cambios en comparación con la versión final de Android 12. De acuerdo con XDA Developers las capturas provienen de una fuente de confianza, pero considerando la demanda por más opciones de privacidad sorprendería su Google no termina integrándolas dentro de su sistema operativo más tarde que temprano.

Imágenes: XDA Developers

El problema está en que, cómo reportó horas después ese mismo viernes La Silla Vacía, no es claro desde cuándo existía esta brecha de seguridad o incluso si es posible hacer un seguimiento para determinar cuántos datos de extranjeros con visas en el país quedaron expuestos.

La vulnerabilidad consistía en un enlace que brindaba el código QR de las visas para extranjeros que se expiden en el país. Una persona puede escanear con su celular este código, que a su vez lo redirige a una página de Internet. Este enlace entrega una versión ‘digital’ del documento, que incluye información como el número de VISA, nombre, nacionalidad, número de pasaporte e incluso la empresa con la que está vinculada. La ‘falla’ consistía en que cualquier persona podía modificar los últimos números de la URL (que eran los de la VISA) y la página le permitía acceder y descargar la visa de otros extranjeros sin mayores problemas.

Te puede interesar: 10 claves seguridad de la información en la era del COVID-19

El mayor problema es que, de acuerdo con la Silla Vacía, no se trató de un descubrimiento hecho por la Cancillería. Al parecer habría sido un ciudadano el que habría descubierto que era posible encontrar y descargar con facilidad estos documentos. De hecho, la Cancillería solo notó el problema cuando el mismo medio de comunicación se lo reportó, después de que el ciudadano extranjero no recibiera respuesta por parte de la entidad.

El sábado 16 de enero, después de que hasta las 5:00 PM del día anterior la cancillería desactivara la página para acceder a esta información, se informó que “fue solucionada y superada la falla presentada en el sistema de información de la plataforma de visas electrónicas colombianas relacionada con el código QR que tienen estos documentos”. De nuevo, el boletín de la entidad omitió mencionar que no fue una falla temporal, sino una vulnerabilidad existente y que puso en riesgo los datos de cientos de miles de extranjeros que cuentan con este documento para permanecer en el país.

Te puede interesar: Zoom hace un compromiso para mejorar la seguridad de sus usuarios

Como la Silla Vacía menciona, también es otro ejemplo más del doble discurso de digitalización en el país. Mientras que entidades como el MinTIC o la misma presidencia afirman que parte de la ‘economía naranja’ está en fortalecer la virtualidad de los negocios y en robustecer las leyes referentes a protección de datos, las páginas de estas entidades a menudo muestran un anacronismo y falta de visión en estos mismos temas. Para un ejemplo claro, la plataforma MUISCA de la DIAN.

También es preocupante porque pone en duda cuántas otras plataformas del Estado, sin saberlo, cuentan con vulnerabilidades similares que permitan acceder a documentos digitales. De nuevo, se trata de una falla desde el mismo diseño a la manera en la que se accede a esta información, por lo que es posible que si se trata del mismo contratista encargado de la creación de otras herramientas de digitalización de datos sea un problema que se replique en otros sitios.

Imágenes: Pixabay

¿Recuerdan el caso San Bernardino, de Apple contra el FBI? El FBI quería que Apple le ayudara a desbloquear un iPhone que perteneció a uno de los atacantes del tiroteo en San Bernardino del año pasado. Apple se negó porque eso implicaba romper sus sistemas de seguridad. El caso llegó a las altas cortes en Estados Unidos, en una disputa entre qué importaba más, la seguridad o la privacidad.

Finalmente el FBI consiguió que unos hackers le dijeran cómo desbloquear el celular. Pero hasta hoy la agencia no ha revelado exactamente cómo logró acceder al dispositivo. Tres organizaciones de medios están demandando al FBI para que dé información sobre cómo la agencia entró al iPhone que perteneció a Syed Farook.

La Associated Press, Vice Media y USA Today presentaron una demanda contra el FBI, diciendo que el la agencia no tiene derecho a mantener en secreto la técnica que usó para desbloquear el iPhone, según informó The Verge. La demanda, que se basa en el Acta de Libertad de la Información, le pide a una corte que obligue al FBI a revelar la información que compró al grupo de hackers.

La demanda argumenta que el FBI logró romper los esquemas de seguridad de una compañía que vende sus equipos a miles de personas, sin saber cómo la agencia de hackers hace uso de esa información, lo cual pone en riesgo a los usuarios de Apple.

En abril, el director del FBI, James Comey, dio a entender que la agencia pagó más de un millón de dólares a los hackers, aunque aún no se ha comunicado una cifra oficial. La demanda exige que se le explique al público, ya que ese pago obviamente se hizo con fondos públicos, devenidos de los impuestos de los ciudadanos.

Seguiremos informando sobre este capítulo, que parece que se niega a terminar.

Imagen: Dave Newman (vía Flickr). 

Ayer miércoles The Loop Insight dio a conocer un artículo del MIT Technology Review, en el que se explica que expertos en seguridad móvil, quienes inspeccionaron la nueva versión de sistema operativo de Apple, iOS 10, encontraron que el núcleo de trabajo del nuevo OS no está cifrado, contrario a las anteriores versiones de iOS.

De acuerdo con los expertos “piezas cruciales del código destinado para poner a funcionar millones de iPhone y iPad se desplegaron desnudos para que todos los puedan ver”, lo cual le haría fácil el trabajo a cualquier persona que quiera encontrarle fallas al software más importante de Apple, según Jonathan Levin, uno de los expertos que colaboró a la investigación.

El artículo del MIT dice que es probable que la compañía haya adoptado una nueva estrategia para incentivar a que más personas reporten fallas en su software, o quizá haya sido un error. Como respuesta, Apple le dijo al medio que el caché en el núcleo no contiene ninguna información de los usuarios, y que al no ser cifrado se está optimizando el rendimiento del sistema operativo sin comprometer la seguridad de los usuarios.

Así que este cambio fue intencional. Lo que no es seguro entre los expertos es por qué Apple decidió abrir el núcleo de sus sistema operativo.

Sin embargo, se especula que esta decisión tendría que ver con la reciente batalla legal entre Apple y el FBI, en la que se le pedía a la compañía romper el sistema de cifrado de un iPhone. Esta disputa terminó cuando el FBI consiguió que un grupo de hackers encontrara una falla en el OS y se la vendiera. Según otro de los expertos, Jonathan Zdziarski, Apple podría buscar que este tipo de investigadores no acumulen información sobre vulnerabilidades en los sistemas operativos, porque ahora es más fácil encontrarlos.

¿Qué significa que el núcleo no esté cifrado?

El corazón de un sistema operativo es un componente conocido como el núcleo, el cual controla cómo los programas pueden usar el hardware de un dispositivo y también refuerza la seguridad. Apple cifró los núcleos de sus anteriores iOS, y así escondió la forma exacta en que trabaja el sistema. Pero el núcleo se dejó sin ‘candado’ en la versión de preview que se le dio a los desarrolladores la semana pasada para que lo probaran.

Que el núcleo está abierto no significa que la seguridad de iOS 10 esté comprometida, explicaron los expertos. Pero además de hacer más fácil que los investigadores encuentren fallas o ‘brechas’ en el sistema, esto causa que otras personas puedan estudiar el núcleo y desarrollar formas de romper sus esquemas de seguridad, explicó Mathew Solnik, investigador de seguridad.

Aunque hay muchas personas que se dedican a encontrar fallas para informarle a las compañías (y recibir dinero a cambio), otras personas también pueden usar esta ‘libertad’ para crear ‘malware’ o ‘jailbreaks’.

Imagen: Brian DePalo (vía Flickr).

¿Alguna vez se ha preguntado si lo que usted publica en la Red puede llegar a influir en su reputación? O mejor aún, ¿usted es de los que piensa antes de compartir información personal en las redes sociales? Si la respuesta a estas preguntas es negativa, es tiempo de reflexionar y evitar publicar contenidos que puedan generarle inconvenientes a futuro.

Como parte de la celebración del día de la protección de datos en Internet, que tendrá lugar  el próximo 28 de enero a nivel mundial, Microsoft presentó su más reciente informe sobre reputación en línea. A través de este estudio el gigante del software pretende dar a conocer algunas percepciones de los usuarios sobre el impacto de publicar ciertos contenidos en la Red.

Según el informe, solo el 44% de los adultos y niños de 8 a 17 años que fueron consultados, piensan en el impacto que pueden tener sus actividades en línea en su reputación personal a largo plazo. Así mismo, el estudio indica que es menos probable que las personas que no piensan en las consecuencias de sus actividades en la Red puedan controlar su reputación en línea o crear una influencia positiva a través de la información que publican.

“La reputación en línea tiene dos partes importantes: lo que el usuario publica y lo que otros publican sobre el usuario. Como muestra esta investigación, la gente no suele pensar en las consecuencias a largo plazo de su comportamiento y se olvidan que lo que termina en Internet puede durar toda la vida”, dice el texto de la investigación.

Por otro lado, el director de privacidad de Microsoft, Brendon Lynch, afirmó en el blog oficial de la compañía que, “la información tiene una presencia duradera en línea y puede afectar la vida de los usuarios de muchas maneras: desde conservar una relación de amistad hasta perder un nuevo trabajo”.

Respecto a los problemas que han tenido las personas por publicar o compartir cierta información en Internet, el estudio de Microsoft informa que el 49% de los adultos consultados aseguró que ha perdido algún amigo por sus actividades en línea, el 23% perdió su trabajo y el 22% tuvo que enfrentar el final de su matrimonio.

Frente a este panorama, Microsoft decidió sugerir algunos consejos para los usuarios que aún no han tenido grandes inconvenientes con sus publicaciones y que quieren proteger su reputación y sus relaciones personales.

• Haga un monitoreo sobre su reputación: Busque su nombre y dirección de correo electrónico con regularidad en los motores de búsqueda.
• Hable con sus hijos acerca de las consecuencias de compartir información personal en Internet.
• Si alguien conocido está teniendo una mala influencia sobre su reputación en línea, ya sea subiendo alguna fotografía y etiquetándolo o compartiendo información que lo pueda comprometer,  hable con él para que deje de hacerlo.
• Ajuste su configuración de privacidad en las redes sociales para proteger la información que publica en su perfil.

A continuación los dejamos con una infografía publicada por Microsoft en donde se pueden observar algunos de los resultados de la investigación.

En términos de seguridad para los niños, toda precaución que se tome es importante. Por eso, el FBI ha desarrollado en Estados Unidos una aplicación para iOS (en especial para iPhone) que permite al usuario crear un archivo con información vital de sus hijos, que resultará útil en caso de algún tipo de desaparición o eventualidad, a la que ha dado el nombre de FBI Child ID.

“Usted tiene una mayor oportunidad de recuperar a un niño si puede dar la información a la policía muy rápidamente”, declaró Michael Lilly, portavoz del FBI, en el podcast de presentación de la aplicación.

FBI Child ID permite tener esta información a la mano y así compartirla rápidamente con todos los entes de seguridad. Muchos padres, cuando se presenta este tipo de casos, no tienen la información que necesita la policía o los organismos de seguridad a la mano, como fotografías, estatura y peso. Esta información es necesaria para emitir una alerta a las diferentes agencias de seguridad en Estados Unidos y al programa AMBER, en el que estas participan junto a organizaciones privadas.

La aplicación tiene dos grandes botones para usar en caso de emergencia: los de las llamadas a la línea 911 y al Centro Nacional para los Niños Perdidos y Explotados (NCMEC), enlaces y correos electrónicos de unidades del FBI y otras agencias.

Además de la creación del perfil de cada niño, tiene información sobre cómo estar alerta y cuidar a sus hijos y checklists’ que orientan a los padres sobre qué hacer durante las primeras horas de la emergencia. Para mayor seguridad, el FBI aclaró que toda la información no es guardada por la entidad, sino que las fotos y datos personales quedan dentro de la aplicación.

El FBI declaró que espera desarrollar mejor la aplicación, para que funcione en diferentes sistemas operativos, y que se puedan incluir fotos de otros sitios web y no únicamente las que se tengan en el dispositivo. La aplicación fue trabajada en conjunto con el Programa Nacional de Identificación de Niños y la Asociación Americana de Entrenadores de Fútbol Americano, que está promocionando públicamente el uso de la aplicación.

Muchos ven la aplicación como una herramienta que puede ser de utilidad en caso de una emergencia, aunque no faltan quienes la ven como una intrusión del gobierno. ¿Deberían replicarse este tipo de iniciativas? ¿O por el contrario se debe ser cuidadoso y no almacenar en un dispositivo móvil la información de los niños?

Notas relacionadas:

• PokerStars y otros grandes del póker en línea, en líos con el FBI.
• Google suspende cuenta de Gmail y hace llorar a un niño.
• Niños de Corea dirán adiós a libros de papel y a sus pesadas maletas.
• Facebook les extiende la mano a los afectados por el terremoto en Japón.

Las plataformas sociales surgen cada vez más como una nueva fuente de inteligencia empresarial, y la computación en la nube aporta a las Tecnologías de la Información (TI) como un elemento que impulsa el crecimiento en las compañías.

Pues bien, el estudio Technology Vision 2011, de la firma consultora Accenture, concluyó algunas de tendencias y desafíos que estarán latentes en los próximos meses en lo que tiene que ver con TI y la redefinición del panorama. A continuación ENTER.CO presenta algunos de ellos.

1. Arquitectura de plataformas: Se elegirán las arquitecturas de plataformas para lidiar con los crecientes volúmenes de datos y la complejidad de los mismos, y no por su capacidad de brindar soporte a las aplicaciones. La era de “visualizar todo a través de la lente de una aplicación está llegando a su fin”, dice el informe. “El rol de la tecnología está cambiando; ya no se trata de un rol de soporte. En cambio, impulsa desde el liderazgo el desempeño empresarial y enriquece las vidas de las personas como nunca antes”, asegura Gavin Michael, director ejecutivo de la firma R&D, una de las que participaron en el informe de Accenture.
2. No desaparecerán las bases de datos: En poco tiempo se comenzará a abrir el camino para otros tipos de bases de datos; por ejemplo, las bases de datos con transmisión continua (streaming), que se alejan de lo que han utilizado como base los departamentos de TI y los usuarios de negocios durante décadas.
3. La evolución de las redes sociales: esto se traduce en que los sitios web de las empresas es probable que no vuelvan a ser el primer puerto de llamada para los clientes. Esto tiene el potencial de interrumpir el modo en que las compañías llevan a cabo sus negocios, planteando nuevos desafíos para las TI. Además, las ‘identidades sociales’ basadas en el historial de información que dejan los individuos en las redes sociales serán mucho más valiosas para los negocios que la información que deja una persona cuando se registra en un sitio web corporativo.
4. Computación en la nube: será más dominante. Por ejemplo, las nubes híbridas (el software y la plataforma como servicios combinados con aplicaciones internas) cementarán el rol de las TI como un elemento que impulse el crecimiento empresarial. El objetivo pasará de soluciones de infraestructura al desarrollo de estrategias de nube que produzcan mayor funcionalidad y flexibilidad.
5. Seguridad de datos: El rol de las personas en materia de seguridad de datos tiende a reducirse y a ser reemplazado por capacidades automatizadas que detectan, evalúan y responden inmediatamente.
6. Privacidad de datos: La privacidad de los individuos cobrará especial importancia como resultado de regulaciones gubernamentales y el cumplimiento de las políticas. Según el estudio, el objetivo es que los actores principales desarrollen niveles superiores de comprensión, en toda la empresa, acerca de las distinciones entre ser un procesador de datos y ser un controlador de datos, disminuyendo así los riesgos de brechas.
7. Analítica: Los encargados de las TI deberán trabajar en conjunto con los líderes de negocios para identificar las áreas en las que la analítica puede ser aprovechada eficazmente, además de la combinación adecuada de servicios que se requieren para optimizar las capacidades de la analítica en toda la empresa.
8. Arquitectura: Las compañías pasan rápidamente de los sistemas monolíticos casados con uno o más servidores a servicios más detallados y reutilizables distribuidos dentro y fuera de la empresa.  La meta es desacoplar la infraestructura, los sistemas, las aplicaciones, y los procesos de negocios entre sí.
9. Experiencia del usuario: el diseño de aplicaciones será un ejercicio multidisciplinario: Por lo general, actualmente es manejado por dueños de empresas y arquitectos de TI, pero en el futuro, involucrará la optimización desde la perspectiva del actor de los procesos, con énfasis en la simplicidad y en la eliminación de ineficiencias.