La conferencia de ciberseguridad Black Hat llevada a cabo recientemente dejó aspectos interesantes de los que se debe hablar. A continuación, se muestran algunos de las cosas más memorables del evento. ¡Black Hat 2024: nadie está seguro!
Black Hat: preocupaciones electorales y hackers ávidos de publicidad
Vale la pena destacar que, el evento se inauguró con una mesa redonda sobre cuestiones de ciberseguridad que afectan a la seguridad electoral a nivel mundial. Teniendo en cuenta que únicamente en 2024 se celebrarán unas 50 elecciones importantes (incluidas las presidenciales estadounidenses de noviembre), no sorprende que las preocupaciones por los ciberataques y la desinformación generada mediante Inteligencia Artificial (IA) fueran los principales temas de conversación.
Los panelistas (todos representantes de alto rango de grupos de ciberseguridad globales), exhortaron a la comunidad de ciberseguridad a unirse para proteger a las democracias de la intromisión mediante ciberataques. Luego de solicitar que más miembros de la comunidad se conviertan en trabajadores electorales, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Jen Easterly, exhortó a los votantes a no dejarse influenciar por la desinformación obtenida de personas influyentes en las redes sociales o fuentes de noticias no oficiales.
Entre tanto, hablando de fuentes de noticias dudosas, un panel de discusión de Black Hat entre periodistas de tecnología de alto perfil reveló que los piratas informáticos ahora se encuentran usando estrategias clásicas de relaciones con los medios para exponer sus delitos y presionar a las víctimas. Esta tendencia de “piratas informáticos convertidos en agentes de relaciones públicas” significa que los equipos de respuesta corporativa tienen que actuar con mayor rapidez y ser más receptivos al elaborar declaraciones públicas sobre incidentes de ciberseguridad.
Por otra parte, los investigadores dieron seguimiento a noticias anteriores sobre delitos cibernéticos perpetrados mediante plataformas de apuestas deportivas. En Black Hat, los representantes de Infoblox expresaron que las entradas de DNS los llevaron a vincular diversos sitios web de apuestas populares con mano de obra esclava traficada con personas.
Trucos de todo tipo…
Como se esperaba, las presentaciones de Black Hat de este año proporcionaron numerosas formas de hackear diferentes plataformas, incluido software de los nombres más importantes del sector.
Uno podría llegar a pensar que las versiones modernas de Windows se encuentran reforzadas contra todo tipo de piratería imaginable. Un proceso tan sensible como Windows Update seguramente sea el más seguro de todos, ¿no? Bueno, una idea como esa no es más que un desafío para un hacker de seguridad ético. Sí, la mayor parte del proceso de actualización se encuentra blindado contra todo tipo de ajustes, pero… como siempre hay un pero, un pequeño agujero en esa armadura fue suficiente para permitir que un orador de Black Hat tomara el control total del proceso de actualización, obligándolo a degradar la seguridad de maneras ilimitadas. Cabe destacar que, este ataque resultó invisible para la seguridad e imposible de deshacer. La próxima vez que vea el mensaje de Windows Update, solo espere que no le toque una degradación de Windows en su lugar.
Es crucial señalar que los ataques que se demostraron en Black Hat no se limitaron al software. Un equipo holandés expuso sus habilidades en diversos cargadores de vehículos eléctricos domésticos. Sus ataques permiten que cualquier persona dentro del alcance de Bluetooth tome el control de un cargador. ¿Qué les permite hacer ese control? El atacante podría sobrecalentar su cargador, limitar su corriente o inclusive, interferir con su programa de carga. Más importante todavía, podrían hacer cualquier cosa con su facturación, desde ponerla a cero hasta incluso aumentarla por las nubes. Es cierto que este ataque no tiene grandes consecuencias, pero la misma persistencia e ingenio que usaron podría servir para comprometer casi cualquier dispositivo de Internet de las cosas.
Privacidad de datos, enrutadores e Inteligencia Artificial (IA)
Por si no lo sabía, cualquier teléfono inteligente que se encuentre dentro del alcance de su enrutador doméstico tiene la posibilidad de identificarlo en una o más bases de datos de posicionamiento gigantescas propiedad de empresas como Apple, Google y así mismo, Microsoft. La base de datos de Apple se encuentra abierta a cualquier persona, lo que facilita la recopilación de información sobre millones de enrutadores en todo el mundo.
En una charla de Black Hat se habló de cómo se puede usar o abusar de este conocimiento, desde rastrear a un cónyuge infiel hasta inclusive, localizar áreas de preparación en la guerra de Rusia contra Ucrania. Afortunadamente, Apple lanzó una solución de exclusión voluntaria. Lastimosamente, Apple debería haber hecho mucho más. (Starlink resolvió el problema para sus dispositivos, que frecuentemente se usan en áreas de conflicto).
Además, sabemos que sentirse emocionalmente vulnerable mientras se está en una aplicación de citas puede ser realmente espeluznante, pero los riesgos para la privacidad son todavía más aterradores. En Black Hat este año, un equipo de investigadores puso a prueba 15 aplicaciones populares y reveló que filtran información personal como loca, desde la orientación sexual hasta la ubicación exacta. Deslizan el dedo hacia la izquierda, deslizan el dedo hacia la derecha y, de repente, le han robado el bolso. Como suele suceder, cuantiosas de las aplicaciones cambiaron de actitud después de que el equipo de investigación se pusiera en contacto con ellas.
Lo cierto es que, en una era de deepfakes y contenido en línea robado para entrenamiento de Inteligencia Artificial, no es asombroso que los líderes de la industria se encuentren ideando formas de ayudar a identificar y examinar imágenes y videos. En Black Hat, un representante de Adobe habló sobre el papel de las etiquetas de credenciales de contenido dentro del panorama de los medios digitales. Las etiquetas, que son un poco como las etiquetas nutricionales de los alimentos, documentan cómo se creó una imagen y al mismo tiempo, qué tipo de software o herramientas de IA se usaron para modificarla posteriormente.
Cuando se les asigna a los modelos de lenguaje grandes (LLM) tareas simples como responder preguntas, en ocasiones, las cosas salen muy mal. ¿Qué sucede si la tarea involucra seguridad cibernética? ¿Son peligrosos los LLM? ¿Pueden ayudarnos a protegernos? En Black Hat, los investigadores de MITRE demostraron pruebas para ayudar a responder a estas preguntas. Por ahora, los LLM no van a funcionar como guerreros cibernéticos, pero en el futuro, ¿quién sabe?
Ahora bien, en una noticia menos alarmante, el desarrollador de Signal, Moxie Marlinspike, exhortó a sus colegas desarrolladores a disfrutar de la complejidad de sus creaciones, pero no a transmitir esa experiencia a los clientes. A cuantiosas personas simplemente no les interesa cómo o por qué funcionan sus programas o dispositivos, argumentó. Depende de los desarrolladores asegurarse de que los usuarios no tengan que pensar en ello.