Bienvenido a Cyber Security Today. Este es el resumen de la semana que finaliza el viernes 16 de febrero de 2024. Soy Howard Solomon, reportero colaborador sobre ciberseguridad para ITWorldCanada.com y TechNewsday.com en EE. UU.
En unos minutos, David Shipley, jefe de Seguridad de Beauceron, estará aquí para discutir los titulares de las noticias recientes. Estos incluyen nuevas obligaciones de informar sobre incidentes cibernéticos y violaciones de datos para las empresas de telecomunicaciones estadounidenses; el progreso de la ley de ciberseguridad propuesta por Canadá; a Ciberataque a un corredor de seguros a empleados federales de Canadá; y la estrategia adecuada para frenar el robo de vehículos con llaves digitales.
Pero antes de mencionar a David, aquí hay un resumen de otras cosas que sucedieron esta semana en ciberseguridad:
El Departamento de Defensa de EE.UU. está notificando Decenas de miles de personas su información personal quedó expuesta en un error de correo electrónico por parte de un proveedor de servicios hace exactamente un año. > dice El incidente involucró a un servidor de correo electrónico en la nube al que durante tres semanas se pudo acceder desde Internet sin contraseña.
El nuevo primer ministro de Polonia dice La administración anterior utilizó ilegalmente el software espía Pegasus contra personas. Esta aplicación se implanta subrepticiamente en los teléfonos inteligentes de las víctimas. Las citas récord Los informes de noticias locales dicen que el gobierno cree que había una lista “muy larga” de objetivos. En septiembre pasado, el Senado de Polonia investigó si se había utilizado Pegasus para piratear a un político de la oposición. Los oyentes recordarán que varios gobiernos, incluidos Canadá y Estados Unidos, acordaron la semana pasada investigar el abuso de software espía vendido comercialmente como Pegasus.
Los delincuentes han comenzado a usar el malware Bumblebee nuevamente. Según los investigadores de Proofpoint, varios grupos de amenazas habían estado utilizando la carga útil en archivos adjuntos y enlaces de correo electrónico infectados hasta octubre pasado. Luego su uso desapareció, hasta la semana pasada.
Microsoft y OpenAI dicen han interrumpido grupos de amenazas de China, Rusia y Corea del Norte que intentaban utilizar las herramientas de inteligencia artificial de OpenAI para mejorar su malware. Los grupos habían abierto cuentas en OpenAi, el creador de ChatGPT, para consultar información de código abierto, traducir documentos, encontrar errores de codificación y ejecutar tareas básicas de codificación. OpenAI ha cerrado las cuentas.
Una organización islámica sin fines de lucro en Arabia Saudita probablemente se vio comprometido en 2021 con una puerta trasera personalizada, dicen los investigadores de Cisco Systems. El malware copiaba datos y los enviaba dos veces al mes. Cisco descubrió la campaña de espionaje hace poco más de un año y retrasó la publicación de la noticia hasta ahora. El atacante es un misterio.
Y OpenText de Canadá unido la Colaboración Conjunta de Defensa Cibernética del gobierno de EE. UU. Es una asociación público-privada para ayudar a los sectores público y privado a mejorar su ciberseguridad. También esta semana la Colaborativa publicó una lista de sus prioridades para este año. Incluyen la defensa contra operaciones avanzadas de amenazas persistentes, ayudar a los funcionarios estatales y locales de EE. UU. a proteger su infraestructura de TI y anticipar tecnologías y riesgos emergentes.
(La siguiente transcripción del primero de los cuatro temas discutidos esta semana ha sido editada para mayor claridad. Para obtener la discusión completa, reproduzca el podcast).
Howard: Los proveedores de telecomunicaciones estadounidenses pronto tendrán nuevas reglas para informar sobre incidentes cibernéticos y violaciones de datos. La Comisión Federal de Comunicaciones de EE. UU. ha finalizado nuevas reglas de notificación de violaciones de datos de consumidores y de informes de ataques cibernéticos para proveedores de telecomunicaciones estadounidenses. No han fijado la fecha en que las nuevas reglas entrarán en vigor, pero las empresas de telecomunicaciones tendrían que informar dentro de siete días a la comisión, así como al FBI y al Servicio Secreto, de cualquier violación de la información de red patentada de un consumidor: eso son datos. como los detalles de su plan de suscripción y los números a los que llama. La novedad es la adición de que se debe notificar a la FCC sobre estas violaciones de datos; además, los consumidores deberán ser notificados dentro de los 30 días si hay un robo o una divulgación involuntaria de sus datos personales. La incorporación de la divulgación inadvertida para los proveedores de telecomunicaciones estadounidenses es nueva. También es nueva la eliminación de la regla de que los operadores no tienen que reportar violaciones de datos si creen que no se producirá ningún daño razonable a los consumidores por el robo de datos particulares, como solo un nombre y un número de teléfono.
David, esto es una señal de que los reguladores se están impacientando con las violaciones de datos de las compañías telefónicas y con los consumidores quejándose de que no se les notifica lo suficientemente rápido cuando hay una violación de datos.
David Shipley: Creo que sí, y creo que los reguladores tienen razón al estar impacientes. Pero recordemos que no se trata sólo de compañías telefónicas que están siendo atacadas. Hace apenas unas semanas estábamos hablando de la llamada Madre de todas las violaciones, o más exactamente, la hija de todas las violaciones, ya que es una suma de un montón de violaciones de datos en los últimos 20 años. Es literalmente una versión malvada de ‘¿Me han puesto Poned?’ Las compañías telefónicas han contribuido significativamente a la cantidad de datos disponibles ahora para que los delincuentes causen daño. Las compañías telefónicas tuvieron un año 2023 terrible, terrible en Estados Unidos. Según la empresa de ciberinteligencia Cyble, la información de identificación personal de 74 millones de estadounidenses fue filtrada en 2023 por una o más empresas de telecomunicaciones. Esto representa más del 23 por ciento de todos los usuarios de telecomunicaciones estadounidenses en tan sólo un año. El desafío para las compañías telefónicas es que esto solo empeorará a medida que avancemos hacia tecnologías sin contraseñas, como las claves de acceso (autenticación biométrica con su teléfono inteligente), como claves digitales de su vida. El [smart]El teléfono es ahora la parte más importante de su gestión de identidad y acceso personal y, en algunos casos, corporativa. Esto aumenta la presión sobre las compañías telefónicas para mantener a sus clientes seguros de manera que se parezcan más a las instituciones financieras, en el sentido de que la importancia de la seguridad nunca ha sido mayor. Así que la presión sobre ellos sólo va a empeorar por parte de los reguladores, porque sólo va a empeorar por parte de los delincuentes.
Howard: Tenga en cuenta que los operadores de telecomunicaciones estadounidenses no sólo tendrán que denunciar a las autoridades los robos de datos personales. La FCC amplía ahora la definición de información personal para incluir datos biométricos como huellas dactilares e imágenes faciales que se utilizan para iniciar sesión. Y también incluye como reportable la exposición involuntaria de datos debido a cosas como configuraciones incorrectas.
David: El fallo de la FCC fue realmente divertido de leer… Contiene una de las descripciones más claras de lo que constituye PI. [personal information] que alguna vez he visto de un regulador. Es hermoso por los agujeros que deja para las personas que buscarían no tener que informar esto. Lo que también es interesante es que sus definiciones también incluyen datos disociados o anónimos. No obtienes un pase si dices: «Los datos fueron codificados», si los atacantes razonablemente tuvieron acceso a la clave que podría volver a conectar a las personas con esos datos. Si alguna persona de telecomunicaciones me está escuchando a nivel ejecutivo en el nivel del equipo de seguridad, por favor escuche el siguiente punto que voy a dejar alto y claro: No almacene datos biométricos: voz, rostro, huellas dactilares. La única forma en que se deben utilizar los datos biométricos es en un dispositivo (nunca almacenados en grupos en un servidor) en un enclave seguro en el dispositivo. Conviértalos en una forma cifrada que no pueda descifrarse sin un recurso a nivel de estado-nación asociado, si es posible. Puedes cambiar una contraseña, puedes reemplazar un token MFA, pero, aparte de las celebridades de Hollywood, la mayoría de nosotros no podemos cambiar nuestra cara fácilmente.
Howard; Es interesante que otros proveedores de infraestructura crítica tengan que informar sobre violaciones de datos a las autoridades estadounidenses en un plazo de 72 horas. Se mantiene el requisito de presentación de informes de siete días para las empresas de telecomunicaciones estadounidenses.
David: No soy abogado, pero creo que tengo una idea aproximada de lo que está sucediendo aquí y de la distinción que la FCC está tratando de hacer. Los informes de infraestructura crítica de EE. UU. que sí incluyen a las empresas de telecomunicaciones tienen más que ver con ataques que podrían poner en peligro la disponibilidad y el funcionamiento continuos de los proveedores de infraestructura crítica, como el ataque Colonial Pipeline o JBS Meats, donde de repente las operaciones del negocio se ven realmente interrumpidas. . Por más graves que sean las violaciones de datos, no desconectan los teléfonos ni las conexiones de Internet. Esa es una laguna jurídica que a menudo se puede utilizar para evitar informes en el lado de la infraestructura crítica. Junto con el umbral conocido como «riesgo real de daño significativo», que, como usted ha señalado, es algo que se ha utilizado [by companies] en el pasado para decir: «Bueno, es sólo su nombre y su dirección de correo electrónico». ¿Qué tan importante es eso? Así que eliminaron ese riesgo real de umbral de daño significativo y ahora dicen: «Esto podría causar daño al cliente». Tienes que denunciarlo.’ Esta nueva regla de la FCC deja en claro que si se pierde PI, existe el riesgo de dañar al cliente y usted debe informar. Creo que esto es útil.