Cada vez que alguien me dice que dejó el banco para pasarse a una billetera digital, me dan ganas de preguntar: ¿y leíste la letra pequeña? Porque sí, es cierto que estas plataformas son rápidas, cómodas, modernas. Pero también es cierto que, detrás de esa interfaz amigable, hay un sistema que sabe más de ti de lo que imaginas.

Desde el Politécnico Grancolombiano, junto a mis colegas Rafael Díaz y Henry Romero, decidimos investigar qué tan seguras son realmente estas billeteras. ¿Protegen nuestros datos? ¿O los usan como moneda de cambio? Lo hicimos porque creemos que la tecnología no puede ir más rápido que la ética. Y lo que encontramos nos dejó pensando… y mucho.

Para funcionar, estas plataformas necesitan saberlo todo: cuánto gastas, en qué, a qué hora, con qué frecuencia. Dicen que es para darte un mejor servicio. Y puede que sea cierto. Pero también es cierto que están creando perfiles de consumo tan detallados que podrían predecir tu próximo antojo antes de que tú lo sepas.

Usan tecnología Blockchain, que suena a ciencia ficción, pero básicamente significa que mientras más personas usen la red, más segura es. El problema no es la tecnología. El problema somos nosotros. ¿Cuántas veces has usado la misma contraseña para todo? ¿O la has anotado en una nota del celular? Ahí es donde empieza el riesgo.

En Colombia, estas plataformas deben cumplir con leyes como la 1266 y la 1581. Pero, ¿sabías que tu información puede terminar en DataCrédito? ¿Y que eso puede afectar tu historial sin que te des cuenta? Muchos no lo saben. Y eso es grave.

Te puede interesar: La batalla de las billeteras digitales en Colombia: ¿Cuál es la más rentable y funcional?

Nuestra investigación mostró que sí, hay políticas de privacidad, hay encriptación, hay autenticación. Pero también hay vacíos. Analizamos un caso donde un usuario perdió dinero y, aunque el sistema no falló, quedó claro que no hay suficiente claridad sobre cómo se manejan los datos financieros. Y eso, en un país donde la confianza en lo digital aún se está construyendo, es preocupante.

Además, identificamos que muchas de estas plataformas, aunque cumplen con la normativa vigente, no siempre informan de forma clara a los usuarios sobre el uso de sus datos. Y eso es un problema estructural. Porque la protección de datos no puede depender solo de la buena voluntad de las empresas. Necesitamos regulación más estricta, supervisión efectiva y, sobre todo, usuarios informados.

Como docente, me niego a aceptar que la seguridad digital sea solo un tema técnico. Es un tema humano. Es un tema de derechos. Necesitamos educar, informar, empoderar. Que la gente sepa que puede usar el Derecho de Petición para exigir claridad. Que entienda que sus datos no son un favor, son un derecho.

Y ojo, que esto va más allá del robo de datos. Estas plataformas podrían ser usadas para cosas mucho más oscuras: lavado de activos, financiación del terrorismo, explotación de menores. Hoy no hay casos reportados en Colombia, pero ¿vamos a esperar a que los haya?

Lo que más me inquieta es que muchas personas, especialmente jóvenes, están entrando al mundo financiero digital sin una formación mínima en protección de datos. Desde la academia, tenemos la responsabilidad de cerrar esa brecha. No basta con enseñar cómo usar una app; hay que enseñar a cuestionarla, a entender sus riesgos, a exigir transparencia. Porque si no lo hacemos, estamos dejando a una generación entera expuesta a un sistema que no siempre juega limpio.

La tecnología avanza, y con ella, nuestras formas de vivir, pagar, ahorrar y consumir. Pero si no avanzamos también en conciencia, en regulación y en educación digital, corremos el riesgo de convertirnos en usuarios obedientes de sistemas que no entendemos del todo. Y eso, en el mundo digital, es una forma muy peligrosa de vulnerabilidad.

Imagen: Generada con IA / ChatGPT

Esta falla de seguridad, calificada como crítica por expertos, permite a los atacantes acceder a datos sensibles como nombres, números de teléfono y mensajes, lo que podría ser explotado por ciberdelincuentes para actividades maliciosas.

La brecha de seguridad se encuentra en la forma en que WhatsApp maneja la sincronización de datos entre dispositivos. Un ataque bien dirigido podría permitir que un tercero acceda a la información personal de los usuarios sin su consentimiento. 

Según los expertos, esta falla no solo compromete los datos almacenados en el dispositivo, sino que también pone en peligro las comunicaciones en tiempo real, lo que podría tener consecuencias graves para la privacidad de los usuarios.

Te puede interesar: Ya no podrán engañarte por WhatsApp: la app recibirá un identificador de imágenes

El problema afecta tanto a las versiones de WhatsApp en dispositivos Android como iOS, y aunque la compañía ha trabajado en soluciones, la naturaleza crítica de la vulnerabilidad ha generado preocupación entre usuarios y expertos en ciberseguridad. Según informes, los atacantes pueden explotar esta brecha utilizando técnicas de “spoofing”, lo que les permite interceptar y manipular la comunicación de manera remota.

Se recomienda a los usuarios actualizar su aplicación lo antes posible y estar atentos a cualquier comportamiento sospechoso en sus cuentas. Asimismo, es aconsejable activar la verificación en dos pasos y evitar conectarse a redes Wi-Fi públicas, que podrían ser un punto de entrada para estos ataques.

Meta, la empresa matriz de WhatsApp, ha señalado que está trabajando en parches de seguridad para mitigar los riesgos. Sin embargo, los expertos en ciberseguridad insisten en que este tipo de vulnerabilidades subraya la necesidad de fortalecer las medidas de protección en las plataformas de mensajería.

Imagen: Christian Wiediger

“Este tipo de vulnerabilidades convierten los celulares de los usuarios en herramientas para que los criminales los expíen y saquen provecho de ellos”, explica Check Point Research en su documento. Además, muestra que la falla garantiza permisos para usar la cámara, acceso a los contactos, fotos, GPS y micrófono del dispositivo.

También te puede interesar: A Instagram no le gusta las medidas de Apple para proteger la privacidad de los usuarios.

Para poder aprovechar la vulnerabilidad, todo lo que un cibercriminal necesitaría hacer es mandar una imagen JPEG con un código corrupto por el correo electrónico o WhatsApp, una vez la imagen se guarda en el dispositivo y abre Instagram –sin necesidad de cargarla en la aplicación–, el ataque iniciará automáticamente, garantizando permisos a un tercero.

Este es un ejemplo más de la importancia de actualizar las aplicaciones y controlar los permisos que se le otorgan pues como demuestra el informe de Check Point Research, las empresas no siempre aclaran porque debería hacerse una u otra. Aunque es poco probable que muchos de nosotros aún tengan la versión con vulnerabilidad es recomendable revisarla y si tienes problemas con la plataforma, también, puedes borrarla y volverla a descargar para asegurarte de tenerla al día.

Imagen: Prateek Katyal (Vía Unsplash). 

Vemos retratados en los medios de comunicación, el cine y la literatura, a hombres, y pocas veces mujeres, a quienes les otorgan el rol de líderes gracias a sus valores personales forjados desde la fortaleza, pocas veces desde la debilidad. Este es un falso arquetipo del liderazgo que ha creado una imagen de personas casi omnipotentes, como dioses humanos, como Hércules, a quienes les reclamamos actuar en concordancia, aunque erróneamente los estemos alejando de la realidad.

A pesar de lo anterior, en la vida de grandes personajes existe un momentum en el que su protagonista, hombre o mujer, padece una situación compleja y revela una facette más humana. Mandela encarcelado, Martin Luther King y Malala víctimas de persecución y atentados, entre muchas otras, son historias inspiradoras que vale la pena analizar desde una perspectiva: el ser humano en su fragilidad y vulnerabilidad superando la adversidad, o no.

Mi profesora de liderazgo insistía en la importancia de mostrar nuestro lado vulnerable y desde ahí actuar con sentido de colectividad entendiendo la realidad de todos. Mi coach profesional me reafirmó la importancia tener una perspectiva amplia de reflexión y acción que, según Desmond Tutu y el Dalai Lama, es la fuente de felicidad gracias a la generosidad y la compasión.

También puede interesarte: “La revolución de las soluciones en la era del Covid-19”

Si se sobreponen la jerarquía de necesidades de Maslow y nuestra arquitectura social, entendemos que la mayoría de nuestros líderes son simplemente proveedores de las cuestiones más básicas; verbigracia reclamamos seguridad y de ellos una actitud fuerte. Es decir, están ubicados en los escalones más básicos de valores y niveles de conciencia, tal como los denomina el Barret Values Center, fungen apenas como ‘gestores de crisis’ o de ‘desempeño.

No son muchos quienes ejercen un liderazgo menos egoísta en el que el ámbito de acción no se circunscribe a la persona en sí, sino a la colectividad: los ‘facilitadores influyentes’, son un tipo de persona que pretende la conformación de equipos e instauran estrategias y tácticas que buscan el desarrollo personal de sus coequiperos.

Son contados los casos en los que se evidencian niveles más profundos de conciencia y el mayor enfoque de impacto colectivo: ‘líderes inspiradores’, ‘mentores’ y ‘visionarios’. El servicio a la comunidad con valores como la ética, la compasión, la humildad, la capacidad de perdonar, la sabiduría, la perspectiva de largo plazo, y la responsabilidad social son factores determinantes para consolidar un estilo de liderazgo de servicio a la humanidad.

También puede interesarte: “7 cualidades de liderazgo para manejar las empresas actuales”

Se podría sugerir que Mandela, Malala o Martin Luther King, al haber abrazado su vulnerabilidad desarrollaron su sabiduría y esto permitió consolidar un legado a partir de los valores y niveles de conciencia más profundos.

Todos somos vulnerables y en el contexto actual se requiere que nuestros dirigentes ejerzan un liderazgo desde adelante, demostrando tanto contundencia como humildad. El caso de la Reina Isabel resulta ilustrativo: su imagen refleja la mayor vulnerabilidad al Covid-19 y con base en una comunicación empática ha logrado animar al país a salir adelante más allá de la adversidad.

Como se explica en la página de las personas que encontraron el fallo, llamada ZombieloadAttack.com, esta vulnerabilidad les permite a los atacantes, por medio de un software malintencionado, explotar los buffers y acceder a lo secretos que se encuentran en proceso por programas en ejecución, aprovechando una característica de los chips, llamada ejecución especulativa, pensada para optimizar el rendimiento, en el que la procesador trata de predecir y ejecutar tareas antes de que el usuario se lo solicite.

Lee más sobre ataques informáticos en este enlace.

De esta forma los atacantes pueden robar, por ejemplo, historiales de navegación, contenidos de sitios web, claves y contraseñas, además de secretos del sistema. La vulnerabilidad no solo afecta a los datos almacenados en el proceso de los computadores, sino también en la nube. Además, todavía no hay registro de que alguien haya realizado un ataque aprovechando este fallo, debido a que no deja rastro.

Nadie está a salvo… a menos de que actualicen

Ademas, la gravedad de la vulnerabilidad es alta porque afecta a casi todos los equipos, obviamente con excepción de aquellos que no usan procesadores Intel (los iPhone, iPad y Apple Watch, por ejemplo). Google, Intel, Apple y Microsoft ya habilitaron parches para actualizar sus sistemas y productos para evitar que esta vulnerabilidad afecte a los usuarios.

En cuanto a la nube, de momento se conoce que los usuarios de Google y Windows de los servicios de almacenamiento en la red están seguros.

Si quieres conocer de manera más profunda y concreta de qué se trata esta vulnerabilidad, ZombieLoadAttack.com tiene un PDF de 15 páginas en el que explican todas las especificaciones técnicas del fallo. Además, en un video publicado en YouTube muestran cómo funciona. Mientras leen y miran el video, no olviden actualizar sus sistemas y productos para evitar ser víctimas.

Imágenes: AndreyPopov (vía iStock) y ZombieLoadAttack.

Ese no es el único programa que existe para descomprimir. Sin embargo, al ser el más conocido, muchos lo consideran el más seguro y eficaz. Además, tiene la ventaja de que soporta la mayoría de formatos conocidos de compresión. No obstante, recientemente el sitio Check Point Research anunció que descubrió un error de vulnerabilidad en el software.

Según explica en su sitio web, luego de hacer un análisis del programa, se encontró que usa una librería DLL para analizar los archivos ACE, llamado unacev2.dll que se usaba en anteriores versiones del WinRar, tiene una fecha de 2006 y, por tanto, no tiene mecanismo de protección.

Nada de nervios, ya hay solución

WinRar indica en su página que la librería dll no ha sido actualizada desde 2005, realmente. Sin embargo, no se ha reportado ningún ataque, pero, para solucionar el problema, lo mejor es actualizar el programa a la última versión, la 5.70, que se puede descargar en este enlace para Windows de 32 bits, en este otro para los PC de 64 bits y en esta página para equipos con OSX.

Lee más sobre WinRar en este enlace.

En ese mismo texto, WinRar da una posibilidad para quienes no quieren descargar la versión 5.70 o no la encuentran: eliminar el archivo unacev2.dll de forma manual. Para hacerlo, deben buscarlo en la carpeta WinRar, que seguramente está en la carpeta de Programas o Program Files, como sea que lo tengas configurado. En las versiones anteriores a la 5.10 está en la subcarpeta Formats.

Si te niegas a hacer cualquiera de esas cosas, puedes ser la víctima de una de las más de 100 exploits reportadas por McAfee, que aprovechan la vulnerabilidad del equipo, para atacarlo, acceder a tu información, cambiar los privilegios o tomar el control de la máquina, entre otras cosas. Así que tú decides. Soldado advertido…

Imágenes: Vaeenma (vía iStock).

El año pasado, Google reveló una vulnerabilidad importante de Windows 7 y Windows 8.1, antes de que Microsoft estuviera listo para solucionarla. Los usuarios de ambos sistemas operativos se quejaron con la compañía por dejarlos expuestos a los piratas informáticos hasta que pudieran ofrecer una solución.

Por supuesto, Microsoft no se mostró satisfecho con la política de divulgación de Google e incluso el vicepresidente de Windows, Terry Myerson, llegó a escribir una entrada en el blog de la compañía en la que criticaba a Google por no revelar responsablemente las vulnerabilidades de seguridad. 

“Creemos que la participación responsable de la industria tecnológica pone al cliente primero y requiere una divulgación coordinada de la vulnerabilidad . La decisión de Google de revelar estas vulnerabilidades antes de que los parches estén ampliamente disponibles y probados es decepcionante y pone a los clientes en mayor riesgo”, afirmó Terry en el blog.

Buenas prácticas para la industria

Parece que hasta el día de hoy ese resentimiento aún permanece. De acuerdo con The Verge, el mes pasado Microsoft descubrió una vulnerabilidad remota de Chrome y decidió ‘enseñarle’ a Google cómo se hace una divulgación responsable. En una nueva entrada en su blog, el equipo de seguridad de Microsoft describe un problema de ejecución de código remoto en Chrome y también critica el enfoque de Google sobre parches de seguridad.

“Revelamos responsablemente la vulnerabilidad que descubrimos junto con un ‘exploit’ de ejecución remota de código confiable a Google el 14 de septiembre de 2017. Google solucionó el problema en una semana en sus versiones beta de Chrome, pero el canal estable y público permaneció vulnerable durante casi un mes”, según explica Jordan Rabet, miembro del equipo de investigación de seguridad  de Microsoft.

La crítica que se hace a Google es precisamente por hacer que el código fuente de la solución esté disponible primero en la versión beta antes de la solución de canal estable. Eso dio a los atacantes un mes para descubrir el defecto. Pero además, la compañía no desaprovecha la oportunidad para señalar que divulgó el error de Chrome de forma privada, y que continuará haciendo esto para promover su enfoque en toda la industria.

Imagen: Montaje ENTER.CO, Pixabay

Esta nueva vulnerabilidad permitiría a los atacantes ejecutar código malicioso en los dispositivos afectados, debido a la presencia de dos bugs que son desplegados cuando se procesan archivos MP3 y Mp4 especialmente diseñados para comenzar el ataque.

De acuerdo con el informe de Zimperium, “la vulnerabilidad recae en el procesamiento de los metadatos dentro de los archivos, así que incluso previsualizar la canción o el video (infectado) podría desencadenar el asunto. Debido a que la vía de ataque primario por MMS fue removida en las más recientes versiones de las aplicaciones de Google Hangouts y Google Messenger, la forma más probable de recibir el ataque podría ser el navegador web”

¿Cómo podrías ser víctima de un ataque que aproveche la vulnerabilidad StageFright 2.0?

La vulnerabilidad StageFright 2.0 reside en dos librerías llamadas ‘libutils’ y ‘libstagefright’, que tienen que ver con el procesamiento de archivos multimedia. La primera se encuentra presente en cualquier Android desde 1.0 en adelante, y lo preocupante es que incluso los equipos más nuevos podrían estar comprometidos, dependiendo de qué aplicaciones de terceros y la configuración de fábrica de cada dispositivo. De acuerdo con Zimperium, existen tres escenarios muy probables para ser víctima de un ataque:

1. El atacante trataría de convencerte de visitar una dirección web específica donde se aloja el archivo perjudicial.
2. Un atacante que se encuentre en la misma red tuya podría inyectar el ‘exploit’ por medio de técnicas comunes de interceptación de tráfico (ataques ‘man in the middle’) para el tráfico de red sin cifrar que llega al navegador.
3. Por medio de aplicaciones de terceros como reproductores multimedia o de mensajería instantánea que usen la librería vulnerable.

De acuerdo con la nota de Ars Technica, Google se pronunció frente al tema y afirma que esta nueva ola de bugs de Stagefright será arreglada con una actualización que será lanzada la próxima semana. Es decir, que una vez esta sea liberada, pasarán algunos días hasta que llegue a los equipos Nexus, que la próxima semana ya podrán actualizarse a Android 6.0 Marshmallow, y se demorará un poco más en llegar a los equipos de los demás fabricantes.

No sobra recordar que la primera puerta de entrada a los atacantes a nuestros equipos somos los usuarios, y por eso es importante tener medidas básicas de seguridad como no instalar aplicaciones de terceros si no confiamos en la fuente de donde provienen, así como ser precavidos a la hora de pulsar en enlaces o publicidad.

Imagen: Julien Tromeur (vía Shutterstock).

El grupo italo-estadounidense Fiat Chrysler Automobiles emitió un comunicado en el que informa que aproximadamente 1,4 millones de sus automóviles podrían estar en riesgo de ser hackeados remotamente debido a un fallo en la seguridad del sistema UConnect Web, por lo que la casa automotriz solicita de manera voluntaria el reintegro de algunos de los vehículos como medida preventiva.

Desde finales de 2013, la casa automotriz integró UConnect Web, un sistema que proporciona conectividad inalámbrica a internet a los vehículos de las marcas Chrysler, Dodge y Jeep. Luego de un reporte de Wired de hace unos días, se demostró que personas con la suficiente habilidad informática podrían perpetrar el sistema UConnect y tomar control de un gran abanico de funciones como el sistema de sonido, los parabrisas, los seguros de las puertas y, mucho más preocupante, el volante, los frenos o hasta apagar el motor del carro.

Esta es la lista de carros y camionetas que el grupo insiste en ser reintegrados:

• 2013-2015 Dodge Viper
• 2013-2015 Ram 1500, 2500, 3500, 4500, 5500
• 2014-2015 Jeep Grand Cherokee
• 2014-2015 Dodge Durango
• 2015 Chrysler 200 y Chrysler 300
• 2015 Dodge Charger
• 2015 Dodge Challenger

Lo más peligroso de la aparente vulnerabilidad del sistema UConnect Web es que el atacante no tiene que estar necesariamente en un rango cercano para ejecutar sus fechorías, sino que puede estar a kilómetros de distancia desde una laptop. Pero para curarse en salud, los dueños de los vehículos listados pueden ingresar a este sitio web y escribir los 17 dígitos de su código VIN para ver si su vehículo hace parte del pedido de reintegro.

Imagen: Chrysler (Facebook). 

Un informe realizado por Grosvenor, una empresa internacional de desarrollo y gestión de proyectos alrededor del mundo, y conocido a través del sitio Fast Company, presentó una investigación en el que se eligieron las 50 ciudades más resistentes en el mundo.

Tal como señala Fast Company, si la humanidad va a sobrevivir y prosperar en el futuro, será necesario contar con ciudades fuertes. Según estudios de la ONU, en 2050 dos tercios de la humanidad vivirán en zonas urbanas.

Al estudiar las ciudades se analizó la ‘vulnerabilidad’ (por ejemplo, qué tan resistentes son al cambio climático) y su ‘capacidad de adaptación’ (su capacidad de reacción). Los resultados apuntan a que América del Norte es la zona geográfica más resistente en el planeta.

Los tres primeros lugares del ‘ranking’ los ocupan tres ciudades canadienses (Toronto, Vancouver y Calgary) y seis de los 10 primeros lugares están en Estados Unidos (encabezados por Chicago y Pittsburgh en el cuarto y quinto lugar, respectivamente).

El listado de las 10 ciudades más resistentes:

1 . Toronto
2 . Vancouver
3 . Calgary
4 . Chicago
5 . Pittsburgh
6 . Estocolmo
7 . Boston
8 . Zúrich
9 . Washington, DC
10 . Atlanta

La clasificación se basa en cinco categorías de vulnerabilidad (el clima, el medio ambiente, los recursos, la infraestructura y la comunidad) y cinco categorías de adaptabilidad (gobierno, instituciones, capacidad técnica, sistemas de planificación y estructuras de financiación).

Buenos Aires es la ciudad latinoamericana más cercana a la primera posición (eso sí, en el puesto 36). Dentro de las 50, pero en posiciones más lejanas se encuentra Sao Paulo (puesto 41), Ciudad de México (puesto 44) y Río de Janeiro (puesto 45). No hay ciudades de Colombia en el conteo.

Imagen: dexxus (vía Flickr).