Redacción DEM ADMIN

Etiqueta: seguridad digital

  • Estudio alerta baja transparencia en seguridad de bots de Inteligencia Artificial

    Estudio alerta baja transparencia en seguridad de bots de Inteligencia Artificial

    Un estudio de la Universidad de Cambridge, en Reino Unido, advierte que la mayoría de los principales agentes de inteligencia artificial carecen de información básica de seguridad, pese a su creciente uso en tareas cotidianas y empresariales. La investigación analizó 30 bots de última generación y concluyó que solo cuatro han publicado documentos formales de seguridad y evaluación específicos para cada agente.

    El informe, divulgado en los Informes y Actas de Cambridge, señala que mientras los desarrolladores comparten abundante información sobre las capacidades de estos sistemas, omiten detalles clave sobre prácticas de seguridad y evaluación de riesgos.

    El análisis forma parte del AI Agent Index, un proyecto que involucra a investigadores del MIT, Stanford y la Universidad Hebrea de Jerusalén, y que evaluó transparencia, capacidades y seguridad con base en información pública y consultas directas con desarrolladores.

    Entre los hallazgos, el equipo identificó que 25 de los 30 agentes no revelan resultados de pruebas internas de seguridad y que 23 no ofrecen datos de evaluaciones realizadas por terceros, considerados esenciales para medir riesgos de manera rigurosa. Además, solo cinco agentes han reportado incidentes o preocupaciones de seguridad, y apenas dos documentan vulnerabilidades de “inyección rápida”, que permiten manipular al sistema para ignorar medidas de protección.

    “Muchos desarrolladores cumplen con los requisitos de seguridad de la IA al centrarse en el gran modelo de lenguaje subyacente, mientras que brindan poca o ninguna información sobre la seguridad de los agentes creados sobre él”, advirtió Leon Staufer, autor principal de la actualización del índice.

    Añadió que “los comportamientos críticos para la seguridad de la IA surgen de la planificación, las herramientas, la memoria y las políticas del propio agente, no solo del modelo subyacente, y muy pocos desarrolladores comparten estas evaluaciones”.

    El estudio también detectó que 13 agentes exhiben niveles “fronterizos” de autonomía, pero solo cuatro presentan evaluaciones de seguridad propias.

    Los agentes de navegación web muestran la mayor omisión de datos de seguridad, con 64 % de campos sin reportar, seguidos por los agentes empresariales con 63 % y los agentes de chat con 43 %. Según los investigadores, la creciente dependencia de pocos modelos base como GPT, Claude y Gemini genera posibles puntos únicos de fallo, lo que podría amplificar riesgos ante cambios en precios, interrupciones o regresiones de seguridad.

    El informe concluye que, mientras los agentes de IA se vuelven más autónomos y capaces de actuar en el mundo real, los marcos de transparencia y gobernanza avanzan a un ritmo peligrosamente rezagado.

     

  • Microsoft Teams permitirá reportar las llamadas sospechosas y de spam

    Microsoft Teams permitirá reportar las llamadas sospechosas y de spam

    Microsoft Teams planea introducir la opción de reportar llamadas en su aplicación de videoconferencia, permitiendo a los usuarios denunciar las llamadas sospechosas o de spam que reciban.

    Esta nueva función de denunciar llamadas, que llegará a mediados de marzo a Windows, Mac y web para las llamadas entre dos interlocutores, estará habilitada por defecto, pero podrá desactivarse en cualquier momento.

    Para acceder a ella, los usuarios deberán pulsar en el botón de ‘Más opciones’ junto a cualquier llamada y seleccionar la opción de ‘Denunciar llamada’ para enviar un informe con metadatos (duración, indentificaciones…) a la organización y a Microsoft.

    Dichos informes podrán ser consultados por los equipos de seguridad con licencias Defender para Office 365 o Defender XDR, mientras que las organizaciones sin estas licencias podrán acceder a datos básicos en el Centro de Administración de Teams en la sección de Informes de protecciín.

    «Actualmente, los usuarios no tienen una forma sencilla de denunciar llamadas sospechosas, lo que deja a las organizaciones sin visibilidad de estas amenazas y sin una guía clara sobre cómo deben responder los usuarios», ha explicado Microsoft en una actualización del centro de mensajes, recogida por Bleeping Computer.

    Se estima que la actualización se lance a mediados de marzo y que se vaya implementando progesivamente para todos los usuarios hasta finales de abril.

    Esta nueva función se enmarca en una serie de actualizaciones relativas a la seguirdad de Microsoft Teams, que ya lanzó en noviembre las opciones de alertar de mensajes marcados como «amenazas» cuando realmente no lo eran, y la posibilidad de bloquear a usuarios externos a través de Defender.

  • Una investigación revela que las tiendas de aplicaciones de Google y Apple ofertan decenas de apps que desnudan con IA

    Una investigación revela que las tiendas de aplicaciones de Google y Apple ofertan decenas de apps que desnudan con IA

    Las tiendas de aplicaciones Play Store de Google y App Store de Apple ofertan alrededor de 50 ‘apps’ cada una que permiten generar desnudos utilizando la inteligencia artificial (IA), pese a que sus políticas las prohiben.

    Una investigación realizada por la organización Tech Transparency Project (TTP) ha revelado que, a pesar de las crecientes polémicas en relación con la generación de imágenes explícitas con IA, empresas como Google y Apple aún alojan este tipo de aplicaciones en sus tiendas.

    Concretamente, se han identificado 55 aplicaciones de este tipo en la Play Store de Google, mientras que en la App Store de Apple la cantidad baja a 47. Entre ellas, la más popular es Grok, el ‘chatbot’ de X (antes Twitter), que generó miles de imágenes explícitas en la red social, entre ellas desnudos de menores de edad.

    Para encontrar este tipo de aplicaciones, TTP ha explicado que simplemente escribió «nudify» y «undress» (desnudar) en las barras de búsqueda de las tiendas de aplicaciones. Estas aplicaciones se dividen en dos categorías: las que usan la IA para generar imágenes y vídeos a petición de los usuarios, y las que emplean la IA para hacer ‘deepfakes’, superponiendo la cara de una persona sobre el cuerpo de otra.

    Entre las más populares se encontraba DreamFace, con más de 10 millones de descargas, que permitía generar avatares o vídeos de baile con IA. Para probarla, TTP usó la opción gratuita de generar un vídeo diario, subió una imagen de una chica en una cafetería y le pidió a la aplicación que hiciera un vídeo de ella bailando y quitándose la blusa, sin que llevase nada debajo. Y así lo hizo la ‘app’, sin ningún tipo de restricción a pesar de sus condiciones de servicio que prohíben su uso para generar contenido «sexualmente explícito».

    Cabe destacar que DreamFace estaba disponible en la Play Store de Google para los mayores de 13 años y para mayores de 9 años en la App Store de Apple, por lo que los niños tenían la posibilidad de generar desnudos sin ningún impedimento.

    El número de descargas de las aplicaciones ha ascendido a 705 millones en total, generando 117 millones de dólares en ingresos (cerca de 98 millones de euros), según un análisis de AppMagic recogido por TTP. A pesar de que ambas empresas defiendan que prohíben las aplicaciones «nudify», la organización denuncia que al final terminan lucrándose con ellas.

    La presentacia de esas aplicaciones choca con las políticas de estas tiendas sobre contenidos inapropiados: Google deja claro que no permiten aplicaciones que contengan contenido sexual, como pornografía o desnudos sin consentimiento. Por su parte, Apple rechaza las aplicaciones que contengan material «abiertamente pornográfico», así como las que difundan contenidos difamatorios.

    Tras la publicación del informe, tanto Google como Apple han pedido a TTP la lista de aplicaciones que generan desnudos. Tras ello, Apple ha comunicado a CNBC que ya ha eliminado 28 ‘apps’, mientras que un portavoz de Google ha explicado también a CNBC que se han suspendido varias aplicaciones, sin especificar la cifra, que finalmente han sido 31, según TTP.

    Las regulaciones de empresas como Google y Apple se suman a las de plataformas como X, que tras los anuncios de investigaciones por parte de gobiernos e instituciones, optó por limitar la función de generación de imágenes de Grok.

  • WhatsApp incorporará cuentas secundarias con control parental para menores

    WhatsApp incorporará cuentas secundarias con control parental para menores

    WhatsApp desarrolla una nueva función que permitirá a los padres crear cuentas secundarias para sus hijos con opciones avanzadas de control parental, con el objetivo de brindar una experiencia más segura a los menores que usan la plataforma.

    A pesar de que las condiciones de uso de WhatsApp exigen una edad mínima de 13 años en la Unión Europea, muchos menores ya acceden a la aplicación. Por ello, la compañía, propiedad de Meta, trabaja en herramientas que permitan a los adultos supervisar el uso que hacen sus hijos del servicio de mensajería.

    Las nuevas cuentas secundarias estarán vinculadas a un perfil principal, controlado por el padre, madre o tutor legal. Desde esa cuenta principal, los adultos podrán restringir los mensajes y llamadas únicamente a los contactos guardados en el dispositivo del menor. Además, tendrán acceso a los ajustes de privacidad y podrán recibir actualizaciones sobre la actividad del niño o adolescente en la plataforma.

    Sin embargo, estas herramientas no les permitirán leer los mensajes, ya que WhatsApp mantendrá el cifrado de extremo a extremo, asegurando así la privacidad de las conversaciones.

    El sitio especializado WaBetaInfo detectó estas funciones en la actualización beta 2.26.1.30 para Android. En ella, WhatsApp permite crear cuentas con funciones limitadas, destinadas al uso de menores, las cuales se enlazan directamente a una cuenta principal que actúa como supervisora.

    Con esta función, los padres podrán garantizar que sus hijos no interactúen con usuarios desconocidos, al mismo tiempo que respetan su privacidad. WhatsApp aún mantiene estas funciones en desarrollo y no ha anunciado una fecha oficial de lanzamiento.

  • TikTok en EE.UU. será controlado mayoritariamente por inversionistas locales, informa CBS

    TikTok en EE.UU. será controlado mayoritariamente por inversionistas locales, informa CBS

    El gigante chino de las redes sociales TikTok llegó a un acuerdo para que sus operaciones en Estados Unidos queden bajo el control mayoritario por inversores estadounidenses para cumplir una orden ejecutiva del presidente, Donald Trump, firmada en septiembre, informó este viernes la cadena CBS.

    La nueva estructura establece que Oracle Corporation y la firma de capital privado Silver Lake tendrán cada una un 15 % de la empresa conjunta estadounidense, mientras que ByteDance, matriz china de TikTok, retendrá menos del 20 %, de acuerdo con un archivo que obtuvo acceso CBS.

    De acuerdo con el archivo, MGX, firma de inversión de los Emiratos Árabes Unidos, contará también con un 15 % de participación y la compañía estadounidense controlará la junta directiva y tendrá la mayoría en las decisiones estratégicas.

    El acuerdo pone énfasis en el control estadounidense sobre el algoritmo de recomendaciones y la moderación de contenido dentro del país, cumpliendo con los objetivos de seguridad y soberanía digital promovidos por Trump.

    Además, los datos de los usuarios estadounidenses serán almacenados localmente en una nube gestionada por Oracle, reforzando las garantías de protección de información sensible.

    El CEO de TikTok, Shou Chew, indicó que todavía queda «más trabajo por hacer» antes de la finalización del acuerdo, prevista para el 22 de enero de 2026, y destacó que la reestructuración permitirá que más de 170 millones de estadounidenses continúen usando la plataforma bajo control mayoritariamente local.

    El pacto se enmarca en la orden ejecutiva de Trump que dio a TikTok un plazo de 270 días, que vence este diciembre, para cortar sus lazos con ByteDance o enfrentar la prohibición en EE.UU. La medida refleja la estrategia del republicano de garantizar que las operaciones de plataformas extranjeras críticas en Estados Unidos queden bajo supervisión y propiedad estadounidense.

  • Una nueva campaña «hackea» las cuentas de WhatsApp sin robar contraseñas ni duplicar la SIM

    Una nueva campaña «hackea» las cuentas de WhatsApp sin robar contraseñas ni duplicar la SIM

    Una nueva modalidad de ciberataque está afectando a usuarios de WhatsApp a través de un método llamado GhostPairing, que permite a los ciberdelincuentes tomar el control de cuentas sin necesidad de obtener contraseñas ni clonar la tarjeta SIM.

    El ataque inicia con un mensaje que llega a la víctima desde uno de sus propios contactos, lo que le da apariencia de confianza. En el texto se le dice que aparece en una fotografía y se le comparte un enlace para que pueda verla. Al hacer clic, se abre una página falsa que simula ser el inicio de sesión de Facebook.

    En ese sitio, se solicita al usuario su número de teléfono y posteriormente se le indica que escanee un código QR con WhatsApp o ingrese un código numérico. Este proceso, que simula un registro común, en realidad sirve para vincular su cuenta de WhatsApp con un navegador externo que está bajo control del atacante.

    WhatsApp permite de forma legítima que una cuenta se vincule hasta en cuatro dispositivos diferentes sin necesidad de utilizar el celular principal. GhostPairing se aprovecha de esta función para emparejar la cuenta con un navegador del atacante, sin que la víctima lo note. Técnicamente, es el mismo usuario quien autoriza la conexión.

    Una vez logrado el acceso, el atacante puede visualizar el historial de chats, recibir mensajes en tiempo real, descargar archivos, documentos y multimedia. También puede enviar mensajes utilizando la agenda de contactos de la víctima, reproduciendo el ataque a nuevos usuarios.

    La empresa de ciberseguridad Gen Digital advirtió sobre esta amenaza, que no requiere acceso a credenciales ni a la tarjeta SIM, lo que la hace más difícil de detectar. Su nombre, GhostPairing, hace alusión al «emparejamiento fantasma» que el usuario autoriza sin saberlo.

  • Deepfakes en tiempo real y cibercrimen automatizado amenazan 2026

    Deepfakes en tiempo real y cibercrimen automatizado amenazan 2026

    La evolución de los deepfakes en tiempo real y el auge del cibercrimen automatizado con inteligencia artificial (IA) se posicionan como las principales amenazas para 2026, de acuerdo con las previsiones del informe Kaspersky Security Bulletin 2025 Statistics, divulgado este viernes.

    El informe destaca que la IA generativa y los agentes inteligentes protagonizarán tanto los sistemas de defensa como los métodos de ataque en el nuevo escenario digital. Herramientas cada vez más accesibles permitirán a ciberdelincuentes desarrollar campañas más sofisticadas y con un alto grado de realismo, sin necesidad de conocimientos técnicos avanzados.

    Los deepfakes, una tecnología que manipula imágenes, video y audio mediante IA, seguirán perfeccionándose, especialmente en la calidad del sonido, permitiendo la modificación de rostros o voces durante videollamadas en tiempo real. Esta capacidad abre la puerta a ciberataques más efectivos y personalizados.

    Kaspersky advierte que, aunque muchas plataformas digitales ya implementan sistemas de detección y etiquetado de contenido generado por IA, estos aún carecen de criterios unificados y las etiquetas pueden ser fácilmente eliminadas. Ante este vacío, se prevé el surgimiento de nuevas normativas y soluciones técnicas durante 2026 para intentar cerrar esta brecha de seguridad.

    Otro punto alarmante es la proliferación de modelos de IA de código abierto que igualan en rendimiento a los modelos cerrados, pero sin incorporar mecanismos de control. Esta democratización tecnológica facilita su uso tanto para fines legítimos como maliciosos, incrementando los riesgos para usuarios y empresas.

    En la actualidad, los ciberdelincuentes ya logran crear correos electrónicos falsos altamente convincentes, suplantar identidades visuales de marcas y desarrollar sitios web de phishing con apariencia profesional. Esto ocurre mientras el contenido generado por IA es cada vez más normalizado en la publicidad corporativa, lo que dificulta distinguir entre lo real y lo manipulado.

    Según Kaspersky, la inteligencia artificial será utilizada en cada etapa del ciberataque: desde la escritura de código y detección de vulnerabilidades hasta el despliegue de malware, ocultando sus huellas para evitar el análisis forense.

    A la par, la IA también jugará un papel crucial en la defensa. Herramientas impulsadas por agentes inteligentes permitirán escaneos permanentes en las infraestructuras de las organizaciones, detectando puntos débiles y generando análisis automatizados para los equipos de ciberseguridad. Además, las futuras interfaces utilizarán lenguaje natural, facilitando el uso de sistemas complejos mediante instrucciones sencillas.

  • Chrome integrará datos de cuenta Google en autocompletado

    Chrome integrará datos de cuenta Google en autocompletado

    Google anunció este viernes nuevas funciones de autocompletado para su navegador Chrome, con las que se podrán rellenar formularios de manera más rápida utilizando datos almacenados en la cuenta del usuario. Las novedades incluyen una mejor integración con Google Wallet y mejoras en Android.

    Entre las nuevas funciones destaca la capacidad de extraer datos directamente de la cuenta de Google, como nombre y dirección de correo electrónico, al momento de registrarse en un sitio web o completar formularios. También se podrá utilizar la dirección de envío guardada en la cuenta para realizar compras o contrataciones de servicios.

    Esta “transferencia fluida”, como la calificó Google en su blog, busca eliminar barreras en la navegación y ahorrar tiempo al usuario. Además, se anunció la integración con Google Wallet para completar automáticamente formularios relacionados con vuelos o alquiler de vehículos, extrayendo datos como fechas de viaje o número de confirmación desde la cartera digital.

    En el caso de dispositivos Android, las sugerencias de autocompletado dejarán de mostrarse de forma condensada sobre el teclado. Ahora se desplegarán en un formato de dos líneas, permitiendo ver más detalles, ya sea de contraseñas, direcciones o métodos de pago.

    Google también ajustó su sistema para reconocer direcciones en todo el mundo, adaptándose a los formatos específicos de cada región. Para aprovechar estas funciones, será necesario activar el llenado automático mejorado desde la configuración de Chrome.

  • La Unión Europea pacta nuevas medidas para combatir el fraude en los pagos en línea

    La Unión Europea pacta nuevas medidas para combatir el fraude en los pagos en línea

    Las instituciones de la Unión Europea pactaron este jueves nuevas disposiciones para combatir el fraude en pagos digitales, exigir mayor transparencia a las entidades bancarias y facilitar el acceso al efectivo, especialmente en áreas rurales donde escasean los cajeros automáticos.

    El acuerdo —que aún debe ser ratificado formalmente por el Consejo de la UE y el Parlamento Europeo— establece que los bancos deberán verificar que el número IBAN coincida con el titular de la cuenta antes de autorizar una transacción, al igual que en los pagos instantáneos en euros.

    Además, los ciudadanos podrán retirar hasta €150 (equivalentes a aproximadamente $165) en efectivo en establecimientos comerciales sin necesidad de realizar una compra, una medida destinada a mejorar el acceso al dinero en efectivo en comunidades con poca infraestructura bancaria.

    Para enfrentar los casos de “phishing”, donde delincuentes se hacen pasar por bancos u otras entidades, los proveedores de servicios de pago deberán reembolsar el monto total si el cliente denuncia el fraude ante la policía y notifica al proveedor. También estarán obligados a congelar cualquier transacción sospechosa y permitir que los usuarios establezcan límites de gasto o bloqueos de seguridad.

    Otra medida relevante es que los usuarios tendrán derecho a hablar con una persona real y no solo a través de chat automatizado cuando contacten al servicio de atención al cliente.

    El reglamento también establece que plataformas digitales y motores de búsqueda solo podrán anunciar servicios financieros si las empresas están debidamente autorizadas en el país en cuestión. Además, las plataformas serán responsables de los reembolsos hechos por proveedores si no eliminan contenidos fraudulentos tras ser advertidas.

    Por su parte, los fabricantes de dispositivos y servicios electrónicos deberán permitir el acceso a datos necesarios para procesar pagos por medio de aplicaciones, bajo condiciones “justas, razonables y no discriminatorias”.

    Asimismo, los comerciantes estarán obligados a asegurarse de que su nombre comercial aparezca igual en los extractos bancarios de sus clientes para facilitar la identificación de los cobros. Las empresas que procesan pagos con tarjeta también deberán informar con claridad sobre las tarifas aplicadas.

    Estas reformas se enmarcan en el nuevo Reglamento sobre Servicios de Pago y la tercera Directiva sobre Servicios de Pago (PSD3), que modernizan el marco legal para operaciones electrónicas en toda la Unión Europea.

  • Advierten de falso sitio web de empresa de equipos de audio que roba datos bancarios con descuentos falsos

    Advierten de falso sitio web de empresa de equipos de audio que roba datos bancarios con descuentos falsos

    La compañía de ciberseguridad ESET advirtió este lunes sobre un sitio fraudulento que simula ser la página oficial de JBL, fabricante de equipos de audio, con el objetivo de robar información personal y financiera de usuarios en América Latina.

    Según el análisis del laboratorio de ESET Latinoamérica, esta campaña de suplantación utiliza URLs que imitan promociones reales, como “hotsale” o “descuento”, para generar confianza y atraer clics. Aunque algunas de estas páginas ya han sido dadas de baja, los investigadores insisten en que este tipo de prácticas siguen activas.

    La técnica conocida como phishing dinámico permite que un mismo enlace malicioso muestre distintos contenidos según la ubicación geográfica, tipo de navegador o proveedor de internet del usuario. En algunos casos se presenta como una tienda de ropa, mientras que en otros redirige a un sitio falso de JBL con supuestas ofertas especiales.

    ESET explica que los ciberdelincuentes crean páginas casi idénticas a las originales y distribuyen los enlaces a través de correos electrónicos, redes sociales o publicidad engañosa. Una vez dentro, los usuarios pueden ver productos con descuentos superiores al 60 %, lo cual es una señal de alerta típica del phishing.

    La página falsa incluye textos en inglés y precios en pesos argentinos, una combinación que demuestra la falta de cuidado en la traducción y que puede evidenciar su origen fraudulento. Las promociones “demasiado buenas para ser verdad” buscan apelar a la urgencia emocional del comprador para que actúe sin verificar.

    Cuando el usuario hace clic en opciones como “Quick view” o “Buy now”, es redirigido a un formulario que solicita información sensible como número de tarjeta de crédito, débito o cuentas de servicios de pago como PayPal. Estos datos son enviados directamente a los ciberdelincuentes.

    “Una vez que se envían esos datos, pueden ser utilizados para compras fraudulentas, reventa en la dark web o incluso para suplantar la identidad de la víctima”, advirtió Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

    Entre las recomendaciones clave para evitar ser víctima de estas estafas figuran: no hacer clic en enlaces sospechosos, escribir directamente las URLs en el navegador, revisar con cuidado el dominio de la web y contar con soluciones de ciberseguridad que bloqueen sitios maliciosos.

    ESET también sugiere desconfiar de correos electrónicos o publicidades que ofrecen grandes descuentos o beneficios poco creíbles.

    “Lo más probable es que si algo parece demasiado bueno para ser cierto, simplemente no lo sea”, añadió Gutiérrez Amaya.

    La firma concluyó que, en caso de haber ingresado a un enlace sospechoso, se debe seguir una serie de pasos para minimizar el daño. Para ello, han elaborado una guía con “10 pasos a seguir tras hacer clic en un enlace de phishing”.