GCCVIEWS

Etiqueta: seguridad de la información

  • Explorando las posibilidades y desafíos de la IA de textos ChatGPT

    Abordo en este análisis reflexiones sobre las posibles implicaciones y retos del desarrollo y acceso generalizado a la inteligencia artificial de textos, en boca de tantos tras la activación a finales de noviembre de la herramienta ChatGPT, en acceso abierto.

    Incorporo nota metodológica al final.

    Transformación de negocios con la IA de textos

    El desarrollo de la IA de ChatGPT tiene el potencial de cambiar significativamente la forma en que la gente interactúa con la tecnología.

    Puede mejorar la eficiencia y precisión en tareas que requieren una interacción natural con el lenguaje humano. Por ejemplo, puede tener un impacto en la atención al cliente y la atención médica, ya que puede mejorar la eficiencia y precisión en la interacción con los clientes y pacientes.

    También puede tener un impacto en el sector financiero, ya que puede ayudar a realizar análisis y predicciones más precisos en el mercado financiero.

    Además, puede tener un impacto en el sector educativo, ya que puede utilizarse para crear programas de enseñanza personalizados y adaptativos.

    La IA también puede ser utilizada para crear herramientas y soluciones innovadoras en áreas como la logística, la energía y la producción.

    Mapa de riesgos

    Hay varios posibles riesgos y desafíos asociados con el desarrollo de la IA, como la privacidad y la seguridad de la información.

    Uno de los principales riesgos es la posibilidad de que la información personal sea recopilada, almacenada y utilizada de manera indebida por parte de terceros. Esto puede ocurrir a través de ataques cibernéticos, uso no autorizado de la información por parte de empleados de la empresa o incluso a través de vulnerabilidades en el propio software de la IA.

    Además, la IA también puede ser utilizada para fines malintencionados, como el spamming, el phishing o la difusión de noticias falsas. Por lo tanto, es importante desarrollar medidas de seguridad efectivas para proteger la privacidad y la seguridad de la información en el contexto del desarrollo de la IA.

    Medidas de seguridad

    Hay varias medidas de seguridad que pueden ser efectivas para proteger la privacidad y la seguridad de la información en el contexto del desarrollo de la IA.

    • Implementar medidas de cifrado efectivas para proteger la información contra el acceso no autorizado.
    • Establecer políticas de privacidad claras y transparentes para informar a los usuarios sobre cómo se recopila, almacena y utiliza su información personal.
    • Realizar regularmente auditorías y pruebas de seguridad para detectar y corregir vulnerabilidades en el software de la IA.
    • Capacitar y educar a los empleados sobre las buenas prácticas de seguridad informática y las políticas de privacidad de la empresa.
    • Colaborar con expertos en seguridad informática y privacidad para desarrollar medidas efectivas y estar al día con las últimas amenazas y tendencias en el campo de la seguridad de la IA.

    Es importante tener en cuenta la seguridad y la privacidad en todas las etapas del desarrollo de la IA, desde el diseño hasta la implementación y el mantenimiento, para garantizar la protección adecuada de la información personal.

    El papel del Estado

    Los gobiernos y la legislación tienen la responsabilidad de establecer marcos y normas para regular el desarrollo y el uso de la IA. Esto incluye la creación de leyes y regulaciones que protejan la privacidad y la seguridad de la información, así como la promoción de la ética y la transparencia en el desarrollo y uso de la IA. También pueden fomentar la investigación y el desarrollo en el campo de la IA, así como establecer estándares y mecanismos de evaluación para garantizar que la IA cumpla con ciertos requisitos de calidad y seguridad.

    Retos para la prensa

    El desarrollo de la IA en general, y de ChatGPT en particular, puede tener un impacto positivo en la generación de contenidos informativos y en la prensa.

    Por ejemplo, ChatGPT y otras tecnologías de IA pueden ayudar a los periodistas a crear contenido más rápido y preciso, lo que les permite enfocarse en otras tareas importantes, como la investigación y la verificación de hechos.

    Además, la IA también puede ayudar a la prensa a llegar a una audiencia más amplia y ofrecer contenido personalizado a sus lectores.

    Sin embargo, es importante tener en cuenta que la IA todavía tiene limitaciones y no puede reemplazar completamente el trabajo humano en la generación de contenidos informativos.

    Es posible que el desarrollo de la IA como ChatGPT pueda tener algún efecto negativo en la prensa. Si se utiliza en exceso o de manera inadecuada, la IA puede generar contenido que no sea preciso o que incluso sea engañoso. Además, si se utiliza para reemplazar completamente el trabajo humano en la generación de contenidos informativos, esto podría llevar a una reducción en la calidad del contenido y en la diversidad de opiniones en la prensa. Por lo tanto, es importante utilizar la IA de manera responsable y en combinación con el trabajo humano en la prensa.

    Nota metodológica:

    Este análisis ha sido redactado completamente con los textos generados por la herramienta de inteligencia artificial de textos ChatGPT, de acceso abierto en varios países, activada hace unos pocos días.

    La única intervención del firmante de este artículo es la entrada inicial, así como formular la serie de preguntas a ChatGPT para que produzca los textos.

    De los textos generados he seleccionado los que me han parecido más relevantes bajo mi criterio, haciendo puro “Copiar y pegar”, sin añadir ni una sola palabra mía.

    El título también es de la herramienta. He tenido que introducir únicamente una corrección, del número de un artículo determinado.The Conversation

    Francesc Pujol, Profesor en la Facultad de Económicas, Universidad de Navarra

    Este artículo fue publicado originalmente en The Conversation. Lea el original.

  • Seguridad informática, una de las acciones más importantes a tomar ya mismo, por su bien y el de su organización

    La actual pandemia ha impulsado a las empresas a repensar sus necesidades de transformación digital, implementación tecnológica y la adaptación de sus procesos de negocios. Ante este nuevo panorama, la protección de los datos se ha vuelto cada vez más esencial para las organizaciones de todos los tamaños y segmentos.

    Sin duda la actual situación que ha generado la pandemia dio como resultado que, ante la urgente necesidad de implementar el trabajo remoto, la prioridad de todas las empresas fue permitir el acceso a los colaboradores a sus sistemas, y en oportunidades sin considerar aspectos fundamentales de seguridad informática.

    Así fue como algunos accesos remotos no tenían la encriptación y tampoco la autenticación segura, por lo que resultaba fácil descubrir las credenciales de los funcionarios y así, acceder a los sistemas de las compañías. De hecho, muchas empresas poco se preocuparon por esos riesgos para no perder la continuidad operativa. Y en un hecho absolutamente fuera de control, en muchos hogares, con muchos niños en escolaridad virtual y pocos dispositivos, se han compartido laptops, pcs, etc, entre padres trabajando también en forma remota e hijos, con datos “regalados” por los niños en el hogar que han podido comprometer la seguridad de empresas sin que se hayan podido percatar de ello..

    Respecto a la banca, hay un incremento en los fraudes a usuarios de la banca y empresas en general, se han incrementado más intentos de fraude o robo de información, a través de medios electrónicos, principalmente correos o llamadas telefónicas.

    Las instituciones han intensificado el envío de mensajes preventivos a sus clientes. Sin embargo, no ha sido suficiente; es imperativo y urgente que se establezcan acciones adicionales y específicas para el resguardo  y el fomento de cultura de seguridad informática para la protección de los clientes; se requiere que el personal responsable de la ciberseguridad en las instituciones, corporaciones y autoridades financieras cuente con habilidades técnicas, estratégicas y gerenciales para identificar y responder a las amenazas que se presentan hoy en día.

    A nivel bancario, dichas medidas son de vital importancia para las instituciones del país debido a que es indispensable que los sistemas de pago operen a cualquier hora y en cualquier lugar bajo cualquier circunstancia, sobre todo en un estado de incertidumbre como el actual.

    Dada la funcionalidad de las empresas que proveen servicios tecnológicos, como los de cómputo en la nube, así como la escala operativa que algunas llegan a tener, una disrupción o suspensión en la prestación de sus servicios puede tener implicaciones relevantes para la continuidad operativa de las entidades financieras que recurren a estas empresas para prestar sus servicios financieros básicos, e incluso para la estabilidad del sistema financiero.

    La observancia de medidas básicas de ciberseguridad y una mejor preparación de los bancos para operar con esquemas de contingencia cuando un ataque los obligue a eso es fundamental y aún cuando parezca redundante decirlo, este año han habido bancos importantísimos en Latinoamérica (en Chile y Costa Rica, por ejemplo) cuya seguridad ha sido seriamente comprometida.

    Si los sistemas financieros deben extremar la seguridad, en las corporaciones en general, se debe destacar una mayor exposición aún a riesgos en la operación de las mismas por el incremento en las conexiones remotas que se requieren en el uso de esquemas de trabajo a distancia durante y post pandemia.

    Sin embargo, tras casi 7 meses de cuarentena, se siguen observando las vulnerabilidades dejadas en el camino y los accesos remotos seguros de extremo a extremo son escasos de comprobar a estos momentos.

    Pero más allá de ello, no solo se trata de implementar soluciones o programas específicos, es más que una sola solución para un caso puntual descubierto en un simple test de penetración. Se trata de contar con una política y plan de seguridad que le permita a la empresa no tener vulnerabilidades ni brechas en la continuidad del tiempo. Esta nueva modalidad de trabajo no tiene retorno y se quedará para siempre. Tener esa visión es esencial para la evolución de los negocios y para la salud de las organizaciones es crítica. Se trata de mantener y proteger la data, cuando especialmente es data sensible que le pertenece a terceros. Las preocupaciones sobre el rastreo de contactos y otras invasiones gubernamentales de la privacidad personal conducirán a un nuevo deseo por parte del público de formas de identificar a las organizaciones con las que se conectan en línea, y de mejores garantías de la seguridad de los dispositivos conectados en su vida cotidiana, incluidos los automóviles conectados, hogares, edificios, sitios web, correos electrónicos, etc. Hay que recordar que en Panama, desde Marzo del 2021, entrará en vigencia la ley de protección de datos que hará responsables a todas las compañías por su preservación y custodia.

    También es imperativo para las empresas contar con profesionales preparados para afrontar los desafíos que se plantean ante el nuevo panorama de seguridad. Deben estar capacitados en nuevas tecnologías, orientados a la arquitectura, aplicaciones seguras y también a servicios de seguridad.

    Con toda la incertidumbre que se presentó en el 2020, nadie sabe con certeza qué pasará. Sin embargo, los usuarios pueden estar razonablemente seguros acerca de nuevas predicciones basadas en los cambios en la seguridad de la información que probablemente influirán en el año 2021.

    Según el Verizon’s Data Breach Investigations Report for 2020, la ingeniería social es uno de los principales vectores de ataque para los piratas informáticos y se espera que sean cada vez más complejos y se aprovechen los eventos actuales a niveles sin precedentes: con el desempleo en su nivel más alto, se verá un aumento de la actividad maliciosa aún mayor en 2021, ya que los programas de subsidios y desempleo de los gobiernos centrados en la pandemia, han ampliado el alcance para recibir beneficios y los métodos de seguridad no han podido mantenerse al día debido a la celeridad con que han debido implementarlo. Esto solo hará que este sea un canal muy interesante para los estafadores. Los atacantes aprovecharán en gran medida las pruebas de COVID-19. Los estafadores utilizarán la ingeniería social para engañar a los usuarios y gobiernos o autoridades para producir pruebas engañosas o para apoderarse de la data almacenada en laboratorios y repositorios gubernamentales. Quizás también se produzcan aplicaciones que engañarán a los usuarios para que descarguen virus maliciosos en dispositivos inteligentes que los hackers pueden aprovechar para actividades criminales, desde robos a cuentas bancarias o extorsiones con data privada.

    Por último, existirán muchas noticias sobre filtraciones de datos debido a vulnerabilidades de  empresas que no han hecho un buen trabajo para proteger su fuerza de trabajo remota y sus sistemas. No espere que su organización esté dentro de estas malas noticias.

    Si si aún no la ha hecho, solicite su revisión de vulnerabilidad y riesgo cibernético a Goethals Consulting, probablemente le sorprenderá su nivel de indefensión.

  • Hackers éticos descubren una vulnerabilidad crítica en la aplicación gubernamental MyHealth sobre toda la data de pacientes Covid

    En la aplicación Moje eZdravie, hackers éticos identificamos una vulnerabilidad trivial que nos permitió obtener información personal sobre más de 390.000 pacientes a los que se les hizo la prueba de COVID-19 en Eslovaquia (para la demostración logramos obtener información personal sobre más de 130.000 pacientes, de los cuales más de 1600 COVID-19 eran positivos).

    La información personal obtenida de cada paciente incluye nombre, apellidos, número de nacimiento, fecha de nacimiento, sexo, número de móvil, lugar de residencia, información sobre síntomas clínicos (neumonía, fiebre, tos, malestar, rinitis, cefalea, dolores articulares y musculares), código de muestras, la fecha de recogida exacta, el laboratorio que realizó la prueba, el médico del solicitante, el número de protocolo, la fecha de recepción y examen, los tipos de prueba y, por supuesto, su resultado.

    Descripción de la vulnerabilidad

    El mal uso de esta vulnerabilidad que llevó a la filtración de más de un cuarto de millón de datos personales y los resultados de las pruebas COVID-19 a ciudadanos eslovacos fue posible debido a los siguientes factores:

    • Motor de búsqueda público que llama a la fuga de API (que lo indexó)
    • Permitir el acceso no autorizado a las propias llamadas API, lo que permitió el acceso a información confidencial sin ninguna autenticación
    • Capacidad para obtener información sobre todos los pacientes simplemente enumerando un identificador numérico
    • La ausencia de mecanismos que impidan la descarga masiva de estos datos.
    • Todos los datos estaban sin cifrar, es decir, en forma completamente insegura (en «texto sin formato»)
    • Obtención de una base de datos de pacientes a los que se les realizó la prueba de COVID-19
    • El hacker pudo acceder a los datos de todos los pacientes sin ninguna autenticación y también sin conocimientos técnicos especiales. El script para obtener datos de todos los pacientes en formato XML es completamente trivial:

    Por lo tanto, no se necesitó ningún exploit especial para obtener la base de datos completa de los pacientes evaluados.

    Información de datos y posible uso indebido

    Descargamos una muestra lo suficientemente grande de datos aleatorios y analizamos que éstos eran registros verdaderamente únicos

    Según los identificadores numéricos, detectamos al menos 391250 registros válidos (según https://korona.gov.sk / actualmente hay 393486)

    Identificamos registros completamente nuevos de pacientes evaluados (unas horas antes de que se corrigiera la vulnerabilidad)

    El primer registro tenía el identificador 8966

    La información filtrada, como el nombre, el apellido, el número de nacimiento, la fecha de nacimiento, el sexo, el número de teléfono móvil, el lugar de residencia o el correo electrónico, se puede utilizar de forma indebida para realizar sofisticados ataques dirigidos por ingeniería social (phishing, vishing y otros). Al utilizar otra información disponible como resultado de la prueba, información sobre la compañía de seguro médico o el nombre del laboratorio que realizó las pruebas, es posible llevar a cabo sofisticados ataques de «estafa» dirigidos.

    Divulgación responsable de vulnerabilidades

    Debido a que se trataba de datos muy sensibles para una gran parte de la población eslovaca, informamos de la vulnerabilidad a través del canal oficial CSIRT 13.9 a las 23:30. La vulnerabilidad se solucionó en 16.9 alrededor de las 16: 30-16: 50. Solo después de corregir esta vulnerabilidad, decidimos publicar esta vulnerabilidad.

    Conclusión

    Hay que pensar en:

    • ¿Por qué debería publicarse información tan sensible sobre todos los pacientes con COVID-19 analizados en Internet?
    • ¿Por qué no fueron anonimizados o encriptados de alguna manera?
    • ¿Por qué no estaban protegidos de ninguna manera mediante autenticación?
    • ¿Por qué no se destruyó la información sobre los registros de pacientes de varios meses?
    • Si el estado no puede proteger la información personal de todas las personas probadas en COVID-19, ¿por qué creemos que puede proteger los datos confidenciales de ubicación que puede obtener de los operadores móviles?

    Esta filtración pudo ser contenida debido al comportamiento ético de los hackers; sin embargo, ¿qué hubiera sucedido si caía en manos de inescrupulosos atacantes? en Panamá aún se discute si es necesaria una aplicación para rastreos y demás temas conexos con el Covid. La pregunta es si estaremos preparados tecnológicamente para blindar data sensible y más allá de esa respuesta, la verdadera pregunta es si realmente es necesario. Miremonos en el espejo ajeno.

    Aclaramos que los hackers éticos de este caso, Nethemba, son representados en Latinoamérica por Goethals Consulting. Si desea tener una cita para conversar sobre cyberseguridad y cómo proteger su empresa, no dude en hacer su cita aquí o llame al +507 302-2862 o +507 6229 2530.