Boletín de seguridad de Kaspersky

Predicciones sobre privacidad para 2023

Nuestra última edición de predicciones sobre privacidad se centró en algunas tendencias importantes en las que los intereses empresariales y gubernamentales se cruzan y los organismos de control están cada vez más activos frente a una gran variedad de problemas de privacidad. De hecho, pudimos notar actividad regulatoria a nivel mundial. En los Estados Unidos, por ejemplo, la Comisión Federal de Comercio (FTC) pidió que se discuta públicamente “la prevalencia de la vigilancia comercial y las prácticas de seguridad de datos que perjudican a los consumidores” para la correcta fundamentación de futuras leyes. Los legisladores estadounidenses están trabajando tanto en la Ley de Datos, con la cual se pretende brindar una mayor protección de los datos confidenciales, como en una estrategia legal para la IA que pueda poner un límite a un rango de tecnologías de aprendizaje automático invasivas para la privacidad y exigir mayor transparencia y rendición de cuentas.

Por otra parte, observamos la derogación de Roe vs. Wade y la consecuente controversia en torno a los datos de salud reproductiva femenina en los Estados Unidos, como así también las investigaciones sobre la venta, por parte de las empresas, de datos comerciales detallados y servicios de reconocimiento facial a organismos de seguridad. Todo esto demuestra cómo la recopilación de datos puede impactar de forma directa en las relaciones entre la ciudadanía y los gobiernos.

Pensamos que los eventos geopolíticos y económicos de 2022, así como las nuevas tendencias en materia de tecnología, serán factores fundamentales en el panorama de la privacidad en 2023. Examinamos los desarrollos más importantes que, según nuestra opinión, afectarán la privacidad en línea en 2023.

  1. La balcanización de Internet contribuirá a un mercado más diverso (y localizado) de rastreo de comportamientos, así como controles de las transferencias de datos transfronterizas.

    Como ya sabemos, la mayoría de las páginas web utilizan rastreadores invisibles y recopilan datos de comportamientos que posteriormente se combina y se usa principalmente para la publicidad dirigida. Si bien hay varias empresas en el negocio de los anuncios basados en el comportamiento, Meta, Amazon y Google son los líderes incuestionables. Sin embargo, todas son empresas basadas en los EE. UU y, en muchas regiones, las autoridades son cada vez más recelosas a la hora de compartir datos con empresas extranjeras. Puede que esto se dé por la incompatibilidad de marcos legales. Por ejemplo, en julio de 2022, las autoridades europeas emitieron varias resoluciones que afirmaban que el uso de Google Analytics podría estar violando el Reglamento General de Protección de Datos (GDPR).

    Además, el uso de datos comerciales por parte de los organismos de seguridad (y posiblemente por parte de los organismos de inteligencia) hace a los gobiernos sospechar de las empresas extranjeras basadas en el uso de datos. Algunos países, como Turquía, ya cuentan con una legislación estricta para la localización de datos.

    Estos factores probablemente contribuyan a un mercado de datos más diverso y fragmentado, con la aparición y el resurgimiento de empresas de rastreo web y de aplicaciones móviles, en particular en sitios gubernamentales y educativos. Si bien algunos países como Francia, Rusia o Corea del Sur ya poseen un ecosistema de rastreo de redes con participantes de peso, cada vez más países podrían seguir el ejemplo y mostrar preferencia por participantes locales.

    Esto podría impactar en la privacidad de varias formas. Si bien las grandes compañías tecnológicas invierten más en seguridad que los pequeños actores, tampoco están libres de filtraciones de datos. Una empresa pequeña puede parecer menos interesante para los piratas informáticos, pero también está bajo un menor escrutinio por parte de los entes reguladores.

  2. Los teléfonos inteligentes reemplazarán más documentos en papel.

    El uso de teléfonos inteligentes u otros dispositivos inteligentes para pagar mediante NFC (p. ej., Apple Pay, Samsung Pay) o códigos QR (p. ej., Swish en Swecia, SBPay en Rusia o WeChat en China) crece rápidamente y es probable que deje obsoletas a las tarjetas de crédito y débito de plástico, sobre todo en lugares donde ya predomina el pago sin efectivo. La COVID-19 nos mostró que los teléfonos inteligentes pueden usarse como prueba de vacunación o para verificar el estado actual negativo de COVID, ya que varios países usaron aplicaciones dedicadas o códigos QR para, por ejemplo, brindar acceso a instalaciones públicas a los ciudadanos vacunados.

    ¿Por qué detenerse allí? Los teléfonos inteligentes también pueden ser usarse como identificación. Puede usarse una versión digitalizada del documento de identidad, el pasaporte o la licencia de conducir en vez de los plásticos o papeles pasados de moda. De hecho, varios estados de los Estados Unidos ya usan o planean usar documentos y licencias de conducir digitales almacenados en Apple Wallet.

    Tener documentación alojada en un teléfono puede traer tanto comodidad como riesgos. Por un lado, un sistema bien implementado podría, por ejemplo, permitirle comprobar que tiene la edad legal para comprar alcohol sin tener que exhibir el documento al cajero y evitando mostrarle nuestro nombre o dirección. Además, la documentación digitalizada puede acelerar de forma significativa los procesos de verificación de identidad de los clientes (KYC) para, por ejemplo, pedir un préstamo en línea desde un teléfono inteligente.

    Por otro lado, usar un teléfono inteligente para almacenar cada vez más datos personales crea un único punto de falla, lo que desata serias preocupaciones de seguridad. Esto implica exigencias importantes respecto a la seguridad de los dispositivos móviles y las formas de almacenamiento de datos respetuosas de la privacidad.

  3. Las empresas lucharán contra el factor humano para minimizar la amenaza interna y la ingería social, a fin de proteger los datos de usuario.

    A medida que las empresas desarrollan cada vez más medidas de ciberseguridad completas, que van desde la protección de endpoints hasta la detección y respuesta extendidas (XDR) e incluso la búsqueda proactiva de amenazas, el eslabón más débil sigue siendo el de las personas. De acuerdo a estimaciones, el 91 % de todos los ciberataques comienza con un correo de phishing, y en el 32 % de los robos de datos exitosos se involucran técnicas de phishing. También puede infligir un gran daño un empleado insatisfecho o una persona que se une a una empresa con intenciones dañinas. El FBI incluso advirtió que algunas personas en busca de trabajo remoto pueden usar deepfakes para engañar al empleador, con el posible objetivo de acceder a los sistemas de TI internos.

    Esperamos una menor cantidad de fugas de datos a causa de malas configuraciones de buckets S3 o de instancias de Elasticsearch, pero más fugas debidas a la explotación del factor humano. Para mitigar estas amenazas, las empresas podrían invertir en soluciones de prevención de fugas de datos en conjunto con una capacitación del usuario más rigurosa para generar conciencia sobre la seguridad informática.

  4. Habrá más inquietudes en cuanto a la privacidad del metaverso, pero, con los teléfonos inteligentes y la Internet de las Cosas (IoT), ¿no nos encontraremos ya en un metaverso?

    Mientras los escépticos y entusiastas siguen discutiendo si el metaverso es revolucionario o solo una moda pasajera, las empresas y los creadores de contenidos siguen puliendo esta tecnología. Meta acaba de anunciar Meta Quest Pro, y Apple unos auriculares que, se rumorea, aparecerán en 2023. Algunos, sin embargo, muestran preocupación por la privacidad en el metaverso. Si bien los teléfonos inteligentes cuentan con varios sensores, como acelerómetros y cámaras, que pueden sentirse bastante invasivos, los cascos de RV están a otro nivel. Por ejemplo, uno de los cascos de RV más recientes tiene entre sus características cuatro cámaras que miran al frente, tres cámaras en cada controlador y varias cámaras para registrar el movimiento de los ojos y las expresiones faciales. Esto significa que, en el peor de los escenarios, los dispositivos similares no solo contarían con un acceso detallado a su actividad en los servicios del metaverso que posee la plataforma, sino que también pueden resultar muy efectivos, por ejemplo, para leer las reacciones emocionales y deducir información del interior de su hogar, como los colores que le gustan o cuántos niños o mascotas tiene.

    Aunque esto puede sonar tenebroso (razón por la que Meta aborda estas preocupaciones en una publicación de blog independiente), tales miedos podrían ser una exageración. La cantidad de información que generamos solo al usar métodos de pago sin efectivo y llevando un teléfono móvil con nosotros durante todo el día es suficiente para que se hagan las deducciones más sensibles. Los dispositivos inteligentes para el hogar, las ciudades inteligentes con videovigilancia omnipresente, los coches equipados con múltiples cámaras y la posterior adopción de la IoT, así como la digitalización de los servicios, harán de la privacidad personal, al menos en las ciudades, algo del pasado. Por eso, si bien el metaverso promete traernos experiencias del mundo real al mundo en línea, el mundo online ya se está apoderando del ámbito físico.

  5. Ante la desesperación por detener las fugas de datos, habrá seguros frente a estos riesgos.

    Los expertos en privacidad aconsejan ávidamente asegurar las cuentas y reducir la huella digital. Sin embargo, una vida cómoda y moderna trae aparejada una pérdida de la privacidad, nos guste o no. Por ejemplo, pedir comida a domicilio o usar un servicio de transporte genera, como mínimo, información privada de geolocalización. Cuando la información abandona su dispositivo, usted tiene poco control sobre ella, y el almacenamiento seguro depende de la empresa. Sin embargo, vemos que, debido a malas configuraciones, los piratas informáticos y las personas malintencionadas con acceso privilegiado, los datos pueden filtrarse y aparecer a la venta en la web profunda o incluso en la web abierta, a la vista de todos.

    Las empresas toman medidas para proteger su información, ya que las fugas de datos causan daños a su reputación, escrutinio regulatorio y, según la legislación local, grandes multas. En países como los Estados Unidos, las personas pueden hacer demandas judiciales colectivas para recibir compensación por los daños. A pesar de todo esto, la conciencia sobre la privacidad está en aumento y la gente podría comenzar a tomar medidas preventivas. Una forma de hacerlo es asegurándose frente a fugas de datos. Si bien ya existen algunos servicios que ofrecen resarcimiento frente a las perdidas, podemos esperar que haya una mayor gama de ofertas de seguro en el futuro.

Vimos varios factores que, según nuestra opinión, afectarán de forma notable la forma en que los datos fluyen, y posiblemente se filtran, entre países, empresas y personas. A medida que el mundo digital continúe penetrando en la esfera física, esperamos que haya más desarrollos interesantes en el futuro.

Predicciones sobre privacidad para 2023

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada