Cómo pasar información de contrabando a la URSS justo debajo de las narices de la KGB? Crea tu propio sistema de encriptación, por supuesto. Eso es exactamente lo que hizo el saxofonista y profesor de música Merryl Goldberg durante la década de 1980. Esta semana, Goldberg reveló que usó notación musical para ocultar los nombres y direcciones de activistas y detalles de reuniones en un raro viaje a la Unión Soviética. Para hacerlo, preparó su propio sistema de encriptación. Cada nota musical y cada marca representaban letras del alfabeto y ayudaban a disfrazar la información confidencial. Cuando los oficiales soviéticos inspeccionaron los documentos, no se levantaron sospechas.
La historia de Goldberg se volvió a contar en la Conferencia RSA en San Francisco esta semana, donde Lily Newman de WIRED ha estado investigando historias. También sale de RSA: una advertencia de que a medida que el ransomware se vuelve menos rentable, los atacantes pueden recurrir a estafas de compromiso de correo electrónico comercial (BEC) para ganar dinero; los ataques BEC ya son muy rentables.
También esta semana, el mercado de la web oscura AlphaBay está a punto de completar su viaje de regreso a la cima del inframundo en línea. El sitio original de AlphaBay, que alberga más de 350 000 listados de productos, que van desde drogas hasta servicios de ciberdelincuencia, se eliminó de la dark web en julio de 2017 como parte de una enorme operación policial. Sin embargo, el segundo al mando de AlphaBay, un actor que se hace llamar DeSnake, sobrevivió a la operación policial y relanzó el sitio el año pasado. Ahora AlphaBay está creciendo rápidamente y está a punto de reanudar su posición dominante en el mercado de la web oscura.
Por otra parte, Apple celebró su Conferencia Mundial de Desarrolladores anual esta semana y reveló iOS 16, macOS Ventura y algunas MacBooks nuevas: el equipo Gear de WIRED lo tiene cubierto en todo lo que Apple anunció en la WWDC. Sin embargo, hay dos nuevas características de seguridad destacadas que vale la pena mencionar: Apple está reemplazando las contraseñas con nuevas claves criptográficas y está introduciendo una función de verificación de seguridad para ayudar a las personas en relaciones abusivas. La empresa de bases de datos MongoDB también realizó su propio evento esta semana y, aunque puede que no haya tenido un perfil tan alto como el WWDC, la nueva herramienta Queryable Encryption de MongoDB puede ser una defensa clave contra la prevención de fugas de datos.
También esta semana informamos sobre una falla de Tesla que le permite a cualquiera crear su propia llave de automóvil NFC. Una nueva investigación de la Fundación Mozilla descubrió que la desinformación y el discurso de odio están inundando TikTok antes de las elecciones de Kenia, que tienen lugar a principios de agosto. Según los informes, Elon Musk obtuvo acceso a la “manguera contra incendios” de Twitter, lo que generó preocupaciones sobre la privacidad. Y nos sumergimos en la impactante nueva evidencia televisada por el comité del 6 de enero de la Cámara.
Pero eso no es todo, amigos. Cada semana resumimos las grandes noticias de seguridad y privacidad que no cubrimos nosotros mismos. Haga clic en los enlaces para ver las historias completas y manténgase seguro.
Durante los últimos dos años, los piratas informáticos patrocinados por el estado que trabajan en nombre del gobierno chino se han dirigido a decenas de tecnologías de comunicaciones, que van desde enrutadores domésticos hasta grandes redes de telecomunicaciones. Eso es según la NSA, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que publicaron un aviso de seguridad esta semana que detalla la piratería “generalizada”.
Desde 2020, los actores respaldados por China han estado explotando fallas de software conocidas públicamente en el hardware e incorporando dispositivos comprometidos en su propia infraestructura de ataque. Según las agencias estadounidenses, los ataques normalmente contenían cinco pasos. Los piratas informáticos de China utilizarían herramientas disponibles públicamente para buscar vulnerabilidades en las redes. Luego obtendrían acceso inicial a través de los servicios en línea, accederían a los detalles de inicio de sesión de los sistemas, obtendrían acceso a los enrutadores y copiarían el tráfico de la red, antes de finalmente “exfiltrar” los datos de la víctima.