Horas de San Las imágenes de video de drones del Departamento de Policía de Francisco expuestas en la web abierta ilustran una nueva era de vigilancia urbana increíblemente granular y trascendental. Mientras tanto, la Fiscalía de la ciudad de San Francisco envió cartas de cese y desistimiento a Apple y Google esta semana exigiendo que los gigantes tecnológicos eliminen de sus tiendas de aplicaciones 13 aplicaciones de «intercambio de rostros» que nudifican con IA y que se utilizan casi exclusivamente para atacar a mujeres y niñas.
Desde que WIRED informó por primera vez en junio sobre el sistema de reconocimiento facial NameTag de Meta, los ejecutivos de la compañía han hecho comentarios opacos y contradictorios sobre si la característica existe. Dimos un paso atrás para exponer tanto las afirmaciones como los hechos sobre el sistema real.
En un discurso pronunciado el jueves, el presidente Donald Trump continuó impulsando afirmaciones infundadas y completamente desacreditadas sobre la interferencia en las elecciones estadounidenses de 2020. Incluso prometió revelaciones masivas en un tesoro de documentos publicados en el sitio web de la Casa Blanca, pero los archivos no probaron sus afirmaciones y, en algunos casos, de hecho contradecían las afirmaciones de Trump.
A medida que la adopción de herramientas de IA se expande rápidamente y sus capacidades aumentan, el gigante tecnológico Anthropic continuó presionando para que los estados de EE. UU. regulen la IA. Hablando sobre los requisitos de transparencia de la IA en California y Nueva York del año pasado, el jefe de relaciones con los gobiernos estatales y locales de EE. UU. de Anthropic, César Fernández, dijo a WIRED esta semana: «Los proyectos de ley de seguridad centrados en la transparencia de 2025 fueron un comienzo realmente importante, pero a medida que las capacidades de los sistemas de IA continúan avanzando rápidamente, las respuestas políticas deben coincidir».
Y hay más. Cada semana, reunimos las noticias sobre seguridad y privacidad que no cubrimos en profundidad. Haga clic en los titulares para leer las historias completas. Y mantente a salvo ahí fuera.
Stardust, un rastreador de períodos con temática astrológica, envía los detalles de salud reproductiva de los usuarios (tipo de método anticonceptivo, estado de embarazo, estados de ánimo y síntomas tan específicos como sensibilidad en los senos y calambres estomacales) a una empresa de datos no mencionada en su política de privacidad, según la BBC, que informó por primera vez sobre una auditoría de la Fundación Mozilla de seis rastreadores populares producidos en asociación con el Centro Berkman Klein de Harvard.
Stardust obtuvo 2 sobre 10, el peor del grupo. La investigadora de Mozilla, Shoshana Wodinsky, descubrió que la aplicación hace ping a rastreadores de terceros desde el momento en que se abre, antes de que el usuario ingrese algo; En el instante en que registró un síntoma, los detalles fueron a la firma de análisis RudderStack junto con una identificación de usuario persistente, sin ninguna forma en la aplicación de cerrar el intercambio. RudderStack está diseñado para enrutar datos a destinos que Mozilla no pudo observar. Stardust también le entrega a Facebook un identificador de anuncios que vincula el comportamiento en la aplicación con los perfiles existentes de la plataforma. La compañía le dijo a TechCrunch que nunca recibió una demanda legal de datos de usuario.
Euki, un rastreador sin fines de lucro, obtuvo un 10 perfecto: no se requiere cuenta, los datos de salud nunca salen del teléfono y los usuarios pueden establecer un PIN, programar la eliminación automática o abrir una pantalla señuelo si alguien fuerza el teléfono para abrirlo. Su única debilidad es un navegador integrado en la aplicación para páginas educativas que carga los rastreadores web habituales, pero también restablece los identificadores entre visitas.
El FSB de Rusia tiene desde hace mucho tiempo una reputación de ciberespionaje altamente sofisticado, dejando los ciberataques disruptivos en manos de sus colegas piratas informáticos de la agencia de inteligencia militar GRU del país. Pero las sanciones de la UE y el Reino Unido esta semana, junto con un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., el FBI y la NSA, señalaron un ciberataque contra la red eléctrica polaca en el Centro 16 del FSB, un raro ejemplo de cómo la agencia del Kremlin llevó a cabo un ciberataque que casi provocó cortes en los servicios públicos de electricidad y agua del país. El ataque, que según el gobierno polaco estuvo “muy cerca” de causar un apagón, fue inicialmente atribuido por las firmas de ciberseguridad Dragos y ESET a Sandworm, también conocida como Unidad 74455 del GRU, un sospechoso más habitual en piratería de infraestructura dado su papel activo en la larga ciberguerra de Rusia contra Ucrania. Pero el equipo polaco de respuesta a emergencias informáticas en ese momento cuestionó ese hallazgo y vinculó el ataque al FSB, una conclusión ahora respaldada por un amplio consenso de los gobiernos occidentales. El incidente sugiere que el FSB puede estar asumiendo algunas de las tendencias imprudentes y altamente agresivas (y ataques) de sus compañeros de trabajo del GRU.
Durante años, se ha acusado a la empresa rusa de ciberseguridad Kaspersky de tener vínculos con el gobierno ruso, incluso por parte de funcionarios estadounidenses que prohibieron el uso de los productos de la empresa dentro del gobierno estadounidense y, finalmente, por parte de todos los clientes estadounidenses. Sin embargo, la evidencia abierta de esas conexiones ha sido escasa. Ahora Reuters informa que Denis Obrezko, un hombre ruso que enfrenta cargos de piratería informática en Boston y presunto miembro de un grupo de piratas informáticos conocido como Void Blizzard o Laundry Bear, pasó dos años trabajando en Kaspersky. Su paso por la empresa tuvo lugar justo antes de unirse a otra empresa de ciberseguridad, Yutek-NN, donde supuestamente participó en la campaña de piratería informática del grupo que robó datos y comunicaciones de numerosos gobiernos de la OTAN y al menos 11 empresas estadounidenses, según fiscales estadounidenses. Antes de Kaspersky, Obrevko supuestamente también trabajó en el FSB, completando claramente su tiempo en la empresa con un aparente trabajo para los servicios de inteligencia de Rusia.
Obrevko se declaró inocente de los cargos de piratería informática. Kaspersky respondió en una declaración a Reuters que «los delitos acusados no pueden estar relacionados con el rol o las responsabilidades del individuo durante el empleo en Kaspersky».
En un incidente que inducirá ansiedad en cualquiera responsable de evaluar la actividad sospechosa de la red, los funcionarios del DHS dictaminaron (dos veces) que los signos de una vulneración de piratas informáticos en su plataforma de intercambio de datos Red de Información de Seguridad Nacional eran falsos positivos cuando, en realidad, eran signos de una intrusión muy real. HSIN, utilizado para compartir datos no clasificados entre agencias estatales, locales y federales, así como socios extranjeros, fue violado por piratas informáticos hace dos meses, según un informe de Nextgov/FCW. Los analistas de la Agencia Federal para el Manejo de Emergencias detectaron signos de actividad de piratas informáticos a mediados de mayo (alterando archivos y códigos, secuestrando un servidor web legítimo y eliminando registros de su comportamiento), pero los hallazgos fueron descartados como un falso positivo.
En las semanas siguientes, los piratas informáticos regresaron, fueron detectados nuevamente y nuevamente descartados como un espejismo. No está claro por qué se juzgaron mal las señales de la violación, pero los incidentes pueden representar los crecientes desafíos de los analistas federales para detectar técnicas de piratería «que viven de la tierra» que utilizan características legítimas de las redes para acceder a los activos objetivo en una red en lugar de plantar malware más fácil de detectar. Si bien el HSIN sólo alberga datos no clasificados, la información es «altamente sensible», dijo el vicepresidente del Comité de Inteligencia del Senado, Mark Warner, en un comunicado tras el informe de la violación, y «su exposición pone en riesgo la seguridad nacional».
La startup de música AI Suno extrajo millones de canciones, letras y podcasts de YouTube Music, Deezer, Genius y una serie de bibliotecas de audio de stock para entrenar sus modelos, según 404 Media, que revisó datos internos proporcionados por un hacker que violó la empresa. La intrusión también expuso información de la cuenta de cientos de miles de clientes, incluidos correos electrónicos, números de teléfono y registros de pago de Stripe.
Las notas del conjunto de datos en el código fuente aparentemente de 2023 y 2024 suman 113.879 horas de audio de YouTube Music solamente, además de decenas de miles más de Pond5, Deezer y otras bibliotecas: décadas de música en total. Otros archivos muestran a Suno enrutando su YouTube a través de servidores proxy de Bright Data y usando PodcastIndex para apuntar a aproximadamente 1 millón de horas de podcasts. El hacker, que se hace llamar ellie.191, dice que irrumpieron comprometiendo a un empleado con el gusano Shai-Hulud.
Los archivos aparentemente corroboran la acusación central de la industria discográfica de que Suno sacó canciones directamente de YouTube. La compañía, que argumenta que su capacitación califica como uso legítimo y llegó a un acuerdo con Warner Music Group en noviembre pasado, dijo que la violación involucró código obsoleto y ninguna información personal confidencial, aunque los clientes cuyos datos aparecieron en una muestra compartida con 404 Media dijeron que nunca fueron notificados.