News

Alertan que empleados externos accedían a audios de Skype bajo condiciones precarias de ciberseguridad

Un ex empleado externo ha denunciado las inseguridad de las revisiones humanas de sus servicios de voz de Microsoft como Skype y Cortana. El ex empleado trabajaba transcribiendo conversaciones para Microsoft desde su casa en Beijing e informó al periódico británico The Guardian que la empresa “no tomó medidas de seguridad” para proteger la información de los usuarios.

Microsoft ha confirmado que subcontrata a terceras personas para que hagan revisiones y transcripciones humanas de fragmentos de conversaciones con la intención de mejorar la calidad de sus programas y servicios. Pero el trabajador, que ha mantenido su identidad en el anonimato, cuestionó la manipulación de estos datos.

Según el contratista, la compañía les daba acceso al sistema que contenía los datos con un nombre de usuario y contraseña que les enviaba en texto legible mediante un correo electrónico que no había sido cifrado. Además, todos los empleados que se habían unido al equipo en el mismo año usaban las mismas credenciales de acceso. “Ahora, después de haberme educado sobre ciberseguridad, me parece sorprendente que me hayan dado la URL, nombre de usuario y contraseña por correo”, dijo el entrevistado.

Además, se dijo que Microsoft tampoco indagaba sobre los antecedentes de los trabajadores antes de contratarlos, sólo les pedían sus datos bancarios para hacerles los pagos. Asimismo, el trabajo lo realizaban desde sus computadoras personales, y no se ha especificado si se ponía en efecto alguna medida para garantizar la seguridad de estos equipos.

A raíz de estas declaraciones ha surgido la preocupación sobre la protección que están recibiendo los datos de los usuarios contra interferencias de cibercriminales o ciberespías gubernamentales. En respuesta, Microsoft dijo que “si existen comportamientos cuestionables o posibles violaciones de parte de uno de nuestros proveedores, nosotros investigamos y actuamos de inmediato”.

También aclaró que los audios que se comparten son fragmentos de menos de 10 segundos y “nadie que revise estos fragmentos tiene acceso a conversaciones más largas”. Sin embargo, el entrevistado dijo que había escuchado miles de audios en el lapso de dos años que estuvo trabajando en este proyecto, y en ese tiempo tuvo acceso a “todo tipo de conversaciones inusuales, incluyendo algunas que pueden haber sido de violencia doméstica”. Esto podría estar relacionado con que Cortana, el asistente de voz de Microsoft, a veces puede ser convocado por error y grabar conversaciones sin que sea la intención de los usuarios.

El programa de transcripciones humanas se expuso por primera vez en agosto de 2019 a través de una investigación de la revista Motherboard. Y aunque es una medida controversial que ha sido descontinuada por otras compañías de tecnología, Microsoft actualizó sus políticas de privacidad para seguir realizándolo con el consentimiento de sus usuarios.

“Hemos actualizado nuestras declaraciones de privacidad para ser transparentes con el trabajo que hacemos, y desde entonces hemos mejorado el proceso de manera significativa moviendo estas revisiones a instalaciones seguras en una cantidad reducida de países”, dijo Microsoft al periódico The Verge. “Seguiremos tomando las medidas necesarias para que los clientes tengan mayor transparencia y control sobre la forma en la que manejamos sus datos”.

Fuentes
Microsoft in trouble after revelation unvetted Chinese contractors listened in on Skype calls with NO security • RT
Microsoft says Skype audio is now reviewed in ‘secure facilities’ after a worrying report • The Verge
Skype audio graded by workers in China with ‘no security measures’ • The Guardian

Alertan que empleados externos accedían a audios de Skype bajo condiciones precarias de ciberseguridad

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada