Qué es y cómo detectar una estafa de phishing al responsable de los fondos de una empresa

Este es el primer paso: Toma el control de tus emociones. Sí, puede ser difícil si trabajas en un campo exigente. Pero es tu mejor primera defensa, y tu jefe te lo agradecerá (o, al menos, debería hacerlo).

Confirma a través de un segundo canal

Ahora que cuestionas con escepticismo la legitimidad de la solicitud urgente, comprueba que el correo electrónico procede de la persona que dice ser. La mejor forma de hacerlo es preguntar, pero con cuidado.

«Si recibes un correo electrónico de este tipo, es importante que tomes el teléfono y llames al número que sepas que es legítimo», recomienda Larson, añadiendo una advertencia: «No te fíes de un número de teléfono en el propio correo electrónico: será propiedad del actor de la amenaza».

Este es un punto crucial: Cualquier información de contacto que aparezca en el propio correo electrónico puede estar comprometida, y a veces de forma inteligente. Utiliza el número de teléfono que tienes guardado en tu teléfono para la persona en cuestión, o busca el número de teléfono en un sitio web oficial o en un directorio oficial de la empresa. Esto se aplica incluso si el número del correo electrónico parece correcto, porque algunos estafadores se tomarán la molestia de conseguir un número de teléfono similar al de la persona a la que están suplantando, con la esperanza de que llames a ese número en lugar del real.

«He visto números de teléfono con dos dígitos menos que el real», recuerda Tokazowski.

Llama a la persona que supuestamente te ha enviado el correo electrónico, utilizando un número del que estés seguro al 100% de que es real, y confirma que la solicitud es auténtica. También puedes utilizar otro canal de comunicación seguro, como Slack o Microsoft Teams, o, si está en la oficina, preguntarle cara a cara. La cuestión es confirmar cualquier solicitud urgente en algún lugar fuera del correo electrónico inicial. E incluso si la persona es tu jefe o algún otro pez gordo, no te preocupes por hacerle perder el tiempo.

«La persona que está siendo suplantada preferiría que alguien se tomara el tiempo de confirmar que perder miles o un millón de dólares en una transacción maliciosa», explica Larson.

Fotoilustración de hombre iluminado por un anillo de luz con su rostro recortado y reemplazado por el de una mujer en un teléfono
¿Amor real?: Las estafas románticas con videollamadas deepfake han llegado

Mira los videos de cómo estos estafadores, conocidos como «Yahoo Boys», utilizan una tecnología de intercambio de rostros, ampliamente disponible, para llevar a cabo elaborados y truculentos engaños románticos en tiempo real. Es una de las primeras veces que se documentan con tanto detalle estas tácticas.

Verifica la dirección de correo electrónico

Ponerse en contacto con el supuesto remitente no siempre es una opción. En ese caso, hay algunos trucos que puedes utilizar para detectar si un correo electrónico es real o falso. El primero: comprueba la dirección de correo electrónico y asegúrate de que procede del dominio de la empresa.

«Comprueba siempre los dominios de los que recibes correos electrónicos», advierte Larson. A veces, esto será obvio; por ejemplo, es probable que tu director general no te envíe correos electrónicos desde una cuenta de Gmail. Otras veces será más sutil, se sabe que los estafadores compran dominios similares a los de la empresa a la que intentan defraudar, con la esperanza de parecer legítimos.

También vale la pena comprobar si la firma del correo electrónico coincide con la dirección de la que procede: «Si nos fijamos en el pie de página, utilizarán el dominio real de la empresa para que parezca legítimo, pero no coincidirá con la dirección de correo electrónico», según Larson. Una forma de comprobarlo, si sospechas, es copiar y pegar la mitad del dominio de la dirección en un navegador. Si no aparece ningún sitio web, es probable que se trate de una falsificación.

La burocracia empeora los ataques de ransomware a los hospitales

“Te puedo decir con total seguridad que los ataques de ransomware perjudican a los pacientes”, asegura Hannah Neprash, profesora asociada de política sanitaria de la Universidad de Minnesota, que ha investigado el impacto de este tipo de amenazas a los hospitales estadounidenses y llegó a la conclusión de que provocan tasas de mortalidad más elevadas. “Si eres un paciente que tiene la desgracia de estar ingresado en un hospital cuando sufre un ataque de ransomware, la probabilidad de que te vayas por la puerta disminuye”, destaca Neprash. “Cuanto más larga sea la interrupción, peores serán los resultados en materia de salud”.

En las horas y días inmediatamente posteriores a los ataques de ransomware, es habitual que las empresas que disponen de software conectado a la organización afectada retiren sus servicios. Esto incluye desde desactivar los historiales médicos hasta negarse a enviar emails a una víctima de ciberataque. Aquí es donde entran en juego las llamadas cartas de garantía.

“En los últimos años, hemos visto aumentar la demanda de estas cartas, a medida que las violaciones se han vuelto mucho más conflictivas: desde abogados de demandas colectivas que persiguen acuerdos hasta demandas entre empresas”, observa Chris Cwalina, responsable global de ciberseguridad y privacidad del despacho de abogados Norton Rose Fulbright.

Cwalina indica que no está seguro de dónde y cuándo empezó la práctica de enviar cartas de garantía, pero señala que es probable que empezara con abogados o profesionales de la seguridad que malinterpretaron los requisitos legales o los riesgos que intentan prevenir. “No existe ningún requisito legal que obligue a solicitar u obtener una atestación antes de que los sistemas puedan volver a conectarse”, apunta Cwalina.

Estas cartas de garantía y atestación suelen elaborarse con el apoyo de compañías especializadas en ciberseguridad contratadas para responder a los incidentes. Qué se puede volver a conectar y cuándo variará en función de los detalles concretos de cada ataque.

Pero gran parte de la toma de decisiones se reduce al riesgo, o al menos al percibido. Charles Carmakal, director de tecnología de la firma de ciberseguridad Mandiant, propiedad de Google, explica que a las empresas les preocupará que los ciberdelincuentes se muevan “lateralmente” entre la víctima y sus sistemas. Las empresas quieren saber que un sistema está limpio y que los atacantes han sido eliminados de estos, resalta Carmakal.

“Comprendo la razón de ser del proceso de garantía. Lo que yo diría es que la gente tiene que considerar realmente cuál es el riesgo asociado al nivel de conectividad entre dos partes, y a veces la gente tiende a optar por defecto por la vía más restrictiva”, subraya Carmakal. Por ejemplo, es raro que Mandiant observe que un ransomware gusano pase de una víctima a otra, afirma.

“A los proveedores les interesaba saber que expertos en ciberseguridad independientes y externos colaboraban con los equipos técnicos de Scripps y verificaban que el malware se contenía y remediaba con los mejores esfuerzos razonables”, comenta Thielman, director de Información de Scripps Heath. En el caso de Ascension, cuenta Fitzpatrick, la empresa también mantuvo llamadas individuales con los proveedores y organizó ocho seminarios web en los que facilitó actualizaciones. También ha compartido indicadores de compromiso, los rastros dejados por los atacantes en sus sistemas, con organizaciones sanitarias y con la Agencia de Seguridad Cibernética y de Infraestructuras de EE UU (CISA, por sus siglas en inglés).

Dmitry Khoroshev, administrador y desarrollador del grupo de ransomware LockBit
Identifican al cerebro detrás de Lockbit, el peligroso grupo de ransomware

Las fuerzas de seguridad aseguran haber identificado a Dmitry Khoroshev, la persona que presuntamente está detrás de LockBitSupp y en el centro del ataque informático de LockBit, por un valor de 120 millones de dólares.

Doctrina de proveedores externos

Los ciberdelincuentes se han vuelto más descarados con los ataques contra hospitales y organizaciones médicas en los últimos años; en un caso, la banda de ransomware Lockbit declaró que tenía normas contra los ataques a hospitales, pero atacó a más de 100. A menudo, este tipo de agresiones afectan directamente a empresas del sector privado que prestan servicios a infraestructuras públicas u organizaciones médicas.

“Si nos fijamos en el panorama de las amenazas en los próximos años, la interrupción de los servicios y la actividad públicos causada por la operación [de la ciberdelincuencia] que afecta al sector privado es probablemente algo que pasará cada vez más”, advierte Ciaran Martin, profesor de la Universidad de Oxford y exdirector del Centro Nacional de Ciberseguridad de Reino Unido. En estos casos, sugiere Martin, pueden plantearse cuestiones sobre si los gobiernos tienen, o necesitan, poderes para ordenar a las empresas privadas que respondan de determinadas maneras.

Julian Assange sale de prisión tras llegar a un acuerdo con EE UU: se declarará culpable pero estará en libertad

Julian Assange, fundador de WikiLeaks, ha salido de la prisión británica tras llegar a un acuerdo con el gobierno de Estados Unidos que le permitirá evitar la extradición. Se declarará culpable de espionaje y aceptará una pena de 62 meses, pero no pasará tiempo bajo custodia estadounidense debido a que ya ha estado encarcelado en Reino Unido. Ahora viaja de regreso a Australia.

De acuerdo con documentos judiciales, en las próximas horas Assange se declarará culpable de espionaje ante un tribunal de las Islas Marianas del Norte, un territorio de EE UU en el Pacífico, y aceptará una condena de 62 meses de prisión. Assange no cumplirá tiempo bajo custodia estadounidense, ya que se le acreditará el tiempo que ha estado encarcelado en el Reino Unido. Admitirá su culpabilidad en el delito de conspiración para obtener y divulgar información de Defensa Nacional.

En un comunicado de WikiLeaks, publicado luego de que se diera a conocer la liberación Assange, se lee:

«Julián Assange es libre. Salió de la prisión de máxima seguridad de Belmarsh la mañana del 24 de junio, después de haber pasado allí 1,901 días. El Tribunal Superior de Londres le concedió la libertad bajo fianza y fue liberado en el aeropuerto de Stansted durante la tarde, donde abordó un avión y partió del Reino Unido. Este es el resultado de una campaña global que abarcó a organizadores de base, defensores de la libertad de prensa, legisladores y líderes de todo el espectro político, hasta llegar a las Naciones Unidas. Esto creó el espacio para un largo período de negociaciones con el Departamento de Justicia de Estados Unidos, que condujo a un acuerdo que aún no se ha cerrado formalmente. Proporcionaremos más información lo antes posible. Después de más de cinco años en una celda de 2×3 metros, aislado 23 horas al día, pronto se reunirá con su esposa Stella Assange y sus hijos, que solo han conocido a su padre tras las rejas. WikiLeaks publicó historias inéditas sobre corrupción gubernamental y abusos contra los derechos humanos, responsabilizando a los poderosos por sus acciones. Como editor en jefe, Julian pagó severamente por estos principios y por el derecho de la gene a saber. Al regresar a Australia, agradecemos a todos los que nos apoyaron, pelearon por nosotros y permanecieron totalmente comprometidos en la lucha por su libertad. La libertad de Julian es nuestra libertad. «

Close-up de unas manos escribiendo en teclado de laptop
Hackers explican a WIRED cómo robaron datos de Ticketmaster a Snowflake

Un hacker del grupo ShinyHunters cuenta a WIRED que consiguieron acceder a la cuenta en la nube Snowflake de Ticketmaster, y a otras, vulnerando primero los sistemas de un proveedor externo.

Las filtraciones de 2010 y la persecución

WikiLeaks, fundado por Julian Assange en 2006 como una organización mediática sin fines de lucro, es conocido por divulgar documentos clasificados de manera anónima. Tras delegar el liderazgo a Kristinn Hrafnsson en 2018, ha publicado más de diez millones de documentos que exponen violaciones de derechos humanos y libertades civiles por parte de gobiernos. Sus filtraciones incluyen eventos como el ataque aéreo en Bagdad de 2007 y cables diplomáticos de EE UU y otros países, así como herramientas de ciberguerra de la CIA. Aunque ha sido elogiado por aumentar la transparencia y apoyar la libertad de prensa, ha sido criticado por exponer información personal y de seguridad nacional.

El 28 de noviembre de 2010, WikiLeaks reveló a los medios internacionales una colección de 251,18735 cables o comunicaciones entre el Departamento de Estado de Estados Unidos y sus embajadas alrededor del mundo. Este evento constituye la mayor filtración de documentos secretos en la historia. WikiLeaks compartió esta información con los periódicos The Guardian, The New York Times, Le Monde, El País y la revista Der Spiegel. Esta filtración condujo a que el Departamento de Estado de Estados Unidos solicitara su presencia en una corte estadounidense. Assange buscó refugio en Suecia, donde fue rechazado. En 2012, se refugió en la embajada de Ecuador en Londres, donde permaneció hasta 2019, cuando perdió el favor del país latinoamericano y se permitió que Reino Unido dispusiera de él.

Julian Assange y su equipo legal han argumentado que las acusaciones en su contra tienen un trasfondo político. En abril, el presidente Joe Biden evaluó una solicitud de Australia para anular el proceso judicial contra Assange, quien enfrenta 18 cargos, principalmente bajo la Ley de Espionaje. Los documentos filtrados, proporcionados por la exanalista Chelsea Manning, incluían información secreta sobre las guerras en Irak y Afganistán. En 2017, el presidente Barack Obama redujo la sentencia de 35 años de Manning.

Recientemente, un tribunal en el Reino Unido autorizó a Assange a apelar su extradición a EE.UU., argumentando que el gobierno estadounidense no había ofrecido suficientes garantías de que gozaría de las mismas protecciones de libertad de expresión que un ciudadano estadounidense.

Con Julian Assange en libertad, ¿la trama terminó?

La fiscalía de Estados Unidos ha llegado a un acuerdo con el fundador de WikiLeaks , Julian Assange, por el que éste se declara culpable de un delito de espionaje por su participación en la publicación de documentos clasificados sobre las guerras de Estados Unidos en Irak y Afganistán.

Julián Assange está libre

El acuerdo, que llega tras más de una década de esfuerzos de Assange, de 52 años, por evitar la extradición desde el Reino Unido, pondría fin a una de las investigaciones de seguridad nacional más largas de la historia de Estados Unidos. El acuerdo se dio a conocer por primera vez en documentos judiciales hechos públicos en el Reino Unido.

Assange y su equipo legal, que han negado las acusaciones formuladas por Estados Unidos, no pudieron ser contactados inmediatamente para hacer comentarios.

«Julian Assange está libre», escribió WikiLeaks en un comunicado publicado en X. «Abandonó la prisión de máxima seguridad de Belmarsh en la mañana del 24 de junio, tras haber pasado 1,901 días allí».

Una carta que los fiscales estadounidenses presentaron el lunes ante el Tribunal de Distrito de EE UU para las Islas Marianas del Norte indica que Assange se declarará culpable en una vista que tendrá lugar el miércoles en Sapian, la capital del territorio insular, tras haberse negado a viajar al territorio continental de EE UU. Se espera que después regrese a su país de origen, Australia, tras haber cumplido ya la condena prevista de 62 meses en la prisión de Londres.

¿Qué fue lo que hizo Julián Assange?

El caso contra Assange se centra en la publicación de más de 750,000 documentos estadounidenses robados por WikiLeaks entre 2009 y 2011. Ha llamado enormemente la atención por sus claras implicaciones para la libertad de prensa a nivel internacional. Organizaciones como el Comité para la Protección de los Periodistas de Estados Unidos llevan años advirtiendo de que el caso podría poner en grave peligro la capacidad de los periodistas para obtener y publicar información clasificada, a pesar de que el más alto tribunal del país reconoce desde hace tiempo el derecho de los periodistas a hacerlo.

Antes de las elecciones presidenciales de 2016 entre Hillary Clinton y Donald Trump, WikiLeaks publicó una serie de correos electrónicos robados del Comité Nacional Demócrata. La filtración, que avergonzó al Comité Nacional Demócrata y le valió a Assange los elogios de figuras de la derecha, se reveló más tarde como obra de los conocidos grupos de piratas informáticos rusos Cozy Bear y Fancy Bear, ambos afiliados a la agencia de inteligencia militar GRU de Moscú.

En un principio, la fiscalía estadounidense acusó a Assange de un único cargo en virtud de la Ley de Fraude y Abuso Informático por conspirar supuestamente con Chelsea Manning, quien proporcionó a WikiLeaks el tesoro de material clasificado relacionado con las guerras de Irak y Afganistán, para obtener acceso no autorizado a computadoras del gobierno. Más tarde, los fiscales añadieron otros 17 cargos en virtud de la Ley de Espionaje, una medida que fue ampliamente condenada como un ataque a la libertad de prensa.

Habrá que esperar para hablar con ChatGPT como en Her: OpenAI retrasa el lanzamiento de su asistente de voz

Habrá que tener un poco más de paciencia antes de poder conversar con la última evolución de las voces ChatGPT, que fue mostrada hace un mes en el lanzamiento del nuevo modelo GPT-4o. Se trata del llamado “modo de voz avanzado” (el modo de interacción avanzada aún más natural y realista) del que la desarrolladora OpenAI había insinuado que pronto debutaría dentro de su modelo de IA generativa.

Se trata del mismo paquete de novedades que en el momento del anuncio incluía también un nuevo timbre de voz para las interacciones vocales, que resultó ser casi totalmente similar al de Scarlett Johansson en la famosa película Her y que OpenAI retiró posteriormente para evitar problemas. Previstas inicialmente para el verano, las nuevas capacidades de chat de voz llegarán en otoño.

Aplazado hasta septiembre

OpenAI ha publicado una actualización en X (ver post más abajo) en la que expone de forma muy transparente cómo la introducción del modo avanzado de interacción por voz se ha retrasado unos meses. El calendario original preveía un lanzamiento en fase de prueba alfa limitado a unos pocos usuarios en junio, pero en la fase final de prelanzamiento surgieron detalles que el grupo pretende perfeccionar antes del lanzamiento definitivo. Entre ellos están la capacidad del modelo de lenguaje para detectar y no proceder con temas delicados, y sobre todo la mejora de la escalabilidad de la infraestructura para garantizar una experiencia decente en tiempo real, incluso cuando haya millones de usuarios conectados a los servidores al mismo tiempo.

La prueba alfa comenzará como muy pronto en julio, y después se recogerán comentarios y opiniones a partir de los cuales se mejorará el modelo, que se lanzará oficialmente en otoño para los usuarios suscritos a ChatGPT Plus.

X content

This content can also be viewed on the site it originates from.

Qué incluye el modo de voz avanzado

Incluso después del lanzamiento, la voz que se consideró demasiado parecida a la de Scarlett Johansson en Her y, por tanto, se eliminó para evitar problemas legales, no estará presente. Se mantendrán todas las demás funciones, que serán capaces de entender el tono y las emociones del interlocutor humano para adaptarse en consecuencia y garantizar una interacción cada vez más natural y atractiva. Otras características de las entradas mejoradas de ChatGPT incluirán la capacidad de explotar la cámara del smartphone para observar la vista alrededor del usuario en tiempo real y reconocer elementos y objetos.

Artículo publicado originalmente en WIRED Italia. Adaptado por Mauricio Serfatty Godoy.

Más problemas en el Rabbit R1: descubren nueva falla de seguridad

No parece haber descanso para el proyecto Rabbit R1, que tras un debut con críticas poco entusiastas se enfrenta ahora a un gravísimo problema de seguridad. Se descubrió una falla que habría expuesto datos confidenciales de los usuarios a agentes malintencionados, dando acceso a todas las respuestas que el dispositivo da a las solicitudes.

Según los fabricantes, la vulnerabilidad no ha sido explotada, pero es un nuevo golpe para un aparato que se presentó con gran expectación en el Consumer Electronics Show (CES) de Las Vegas, pero que en el momento de su lanzamiento naufragó sin remedio.

Diferentes tomas del Rabbit R1
Probamos el Rabbit R1. ¿Es tan malo como cuentan?

El nuevo dispositivo con inteligencia artificial de Rabbit, que prometía revolucionar el sector tecnológico, no logra cumplir con las expectativas de los primeros usuarios, incluyendo a WIRED.

La falla de seguridad del Rabbit R1

El Rabbit R1 parecía destinado a ser uno de los gadgets del año, ya que propone valerse de la inteligencia artificial (IA) para una interacción natural y cómoda, sustituyendo casi por completo a los smartphones. El pequeño dispositivo de IA con pantalla táctil y cámara pretende hacerlo todo por sí mismo, para diversas tareas que van desde solicitar información hasta acciones más complejas, como reservar pasajes, escuchando las necesidades del usuario. Sin embargo, las primeras críticas que aparecieron apuntaban a un mal funcionamiento y a un sistema aún inmaduro, mientras que los primeros desmontajes sugerían que no era más que una simple aplicación de Android envuelta en un diseño bonito y atractivo.

La alerta de seguridad la dio el grupo de jailbreak e ingeniería inversa Rabbitude, con el descubrimiento de claves de API (interfaz de programación de aplicaciones) encriptadas que habrían permitido acceder a cuentas de servicios externos, como el generador de voz por IA de ElevenLabs o el cliente de correo electrónico SendGrid que se utiliza internamente. ¿Cuáles habrían sido los peligros si un atacante hubiera explotado la vulnerabilidad que concede esta falla?

De acuerdo con el equipo que la dio a conocer, habría sido posible obtener todas las respuestas proporcionadas por el dispositivo a las solicitudes de los usuarios, con una evidente exposición de información confidencial y datos personales, y en detrimento de la privacidad.

Los fabricantes del Rabbit R1 confirmaron que la falla no ha sido explotado por hackers hasta ahora y se crearon una página para intentar aclarar el asunto, pero aún no han publicado actualizaciones significativas sobre las causas o los efectos del problema.

Artículo publicado originalmente en WIRED Italia. Adaptado por Andrei Osornio.

Rabbit R1
El hardware con IA generativa integrada sigue sin cumplir expectativas

Los wearables de IA de Rabbit y Humane recibieron críticas negativas, incluso de WIRED. Esto demuestra que sigue siendo difícil competir con las Big Tech en la era del ChatGPT.

Temu contiene un “malware peligroso” que espía tus mensajes, según una demanda en EE UU

Temu, la aplicación china de compras que se ha hecho tan popular en varias partes del mundo que incluso Amazon está intentando imitarla, es un “malware peligroso” que está monetizando en secreto una amplia cantidad de datos no autorizados de los usuarios, según alegó el fiscal general de Arkansas (EE UU), Tim Griffin, en una demanda presentada el martes.

Griffin citó informes de investigación y de los medios de comunicación que exponen el diseño supuestamente pernicioso de Temu, que “a propósito” permite a Temu “obtener acceso sin restricciones al sistema operativo del teléfono de un usuario, incluidos, entre otros, la cámara, la ubicación específica, los contactos, los mensajes de texto, los documentos y otras aplicaciones”.

Temu Shein SAT
El SAT va contra Temu y Shein por su modelo de negocio y modifica las reglas del comercio exterior

El SAT explica que el modelo de negocio de empresas como Temu o Shein podría incurrir en el delito de contrabando y defraudación fiscal.

¿Es Temu una amenaza para la seguridad de EE UU?

“Temu está diseñada para realizar este acceso expansivo sin ser detectada, incluso por usuarios avanzados”, afirmaba la denuncia de Griffin. “Una vez instalada, Temu es capaz de volver a compilarse a sí misma y cambiar propiedades, incluida la anulación de la configuración de privacidad de datos que los usuarios creen tener establecida”.

Griffin teme que Temu pueda acceder prácticamente a toda la información del teléfono de una persona, exponiendo tanto a los usuarios como a quienes no lo son a riesgos extremos de privacidad y seguridad. Al parecer, cualquiera que envíe un mensaje de texto o un email a alguien con la app de compras instalada se arriesga a que Temu obtenga datos privados, según la demanda de Griffin, que después Temu supuestamente monetiza vendiéndolos a terceros, “lucrándose directamente a costa” de los derechos de privacidad de los usuarios.

Para “agravar” los riesgos está la posibilidad de que los propietarios chinos de Temu, PDD Holdings, estén legalmente forzados a compartir información con el Gobierno de China, señala la denuncia, debido a las “leyes chinas que obligan a cooperar en secreto con el aparato de inteligencia de China, independientemente de las garantías de protección de datos que existan en Estados Unidos”.

La demanda de Griffin citaba una extensa investigación legal sobre Temu realizada por la firma Grizzly Research, que analiza empresas que cotizan en bolsa para orientar a los inversionistas, el pasado mes de septiembre. En su informe, Grizzly Research sostenía que PDD Holdings es una “compañía fraudulenta” y que “Temu es un programa espía hábilmente oculto que supone una amenaza urgente para la seguridad de los intereses nacionales de Estados Unidos”.

En opinión de Griffin, Temu atrae a los usuarios con promesas engañosas de productos de calidad y con descuentos, y trata de acceder a la mayor cantidad posible datos añadiendo funciones adictivas que los mantienen conectados, como hacer girar una ruleta para conseguir ofertas. Mientras tanto, cientos de quejas ante la Oficina de Buenas Prácticas Comerciales demostraron que los productos de Temu son en realidad de baja calidad, argumentó Griffin, corroborando aparentemente su aseveración de que el objetivo final de Temu no es ser la mayor plataforma de compras del mundo, sino robar información.

Los investigadores coincidieron, según la demanda, y llegaron a la conclusión de que “sospechamos firmemente que Temu ya vende ilegalmente, o pretende hacerlo, datos robados de clientes de países de Occidente para sostener un modelo de negocio que, de lo contrario, está condenado al fracaso”.

Griffin espera que un jurado declare que las supuestas prácticas de Temu violan la Ley de Prácticas Comerciales Engañosas (ADTPA, por sus siglas en inglés) y la Ley de Protección de la Información Personal, ambas normativas de Arkansas. Si Temu pierde, tendría que pagar 10,000 dólares por cada infracción de la ADTPA y se le ordenaría restituir las ganancias obtenidas por la comercialización de datos y las ventas engañosas de la aplicación.

Imágenes de la aplicación Shein de China
No caigas en la estafa de la «caja misteriosa» de Shein

Los ciberdelincuentes se aprovechan de la popularidad del sitio de comercio electrónico para estafar a sus usuarios.

Temu está “sorprendida” por la demanda

La empresa propietaria de Temu, PDD Holdings, fue fundada en 2015 por un exempleado de Google, Colin Huang. Originalmente tenía su sede en China, pero tras plantearse problemas de seguridad, la compañía trasladó sus “oficinas centrales de dirección” a Irlanda, según la demanda. De acuerdo con Griffin, con ello se pretendía distanciar a la organización del debate sobre los riesgos para la seguridad nacional de Estados Unidos que plantea China, pero dado que la mayoría de sus operaciones comerciales siguen realizándose en territorio chino, los riesgos supuestamente persisten.

El traslado de PDD Holdings se produjo en medio de un mayor escrutinio de Pinduoduo, la aplicación china en la que se basa la plataforma de compras de Temu. El año pasado, Pinduoduo fue objeto de críticas por riesgos para la privacidad y la seguridad que provocaron la suspensión de la app en Google Play como presunto malware. Los expertos manifestaron que Pinduoduo llevó los riesgos de seguridad y privacidad “al siguiente nivel”, decía la demanda. Y “más o menos al mismo tiempo”, la App Store de Apple también identificó como engañosas las condiciones de privacidad de la información de Temu, lo que intensificó aún más la vigilancia sobre dos de las aplicaciones más importantes de PDD Holdings, establece el documento.

Amazon investiga a Perplexity por el posible uso de contenidos web sin permiso

La semana pasada, Aravind Srinivas, CEO de Perplexity, respondió a la investigación de WIRED indicando primero que las preguntas que planteamos a la empresa “reflejan un profundo y fundamental malentendido sobre el funcionamiento de Perplexity y de internet”. Srinivas declaró entonces a Fast Company que la dirección IP secreta que WIRED observó raspando los sitios web de Condé Nast y una página de prueba que creamos era gestionada por una compañía externa que realiza servicios de rastreo e indexación web. Se negó a dar el nombre, alegando un acuerdo de confidencialidad. Cuando le cuestionamos si le solicitaría al tercero que dejara de rastrear WIRED, Srinivas contestó: “Es complicado”.

Sara Platnick, vocera de Perplexity, comenta a WIRED que la empresa respondió a las preguntas de Amazon el miércoles y calificó la investigación de procedimiento estándar. Platnick afirma que Perplexity no introdujo cambios en su operación como reacción a las inquietudes de Amazon.

“Nuestro PerplexityBot, que se ejecuta en AWS, respeta robots.txt, y hemos confirmado que los servicios controlados por Perplexity no realizan un rastreo de ninguna forma que infrinja las Condiciones de servicio de AWS”, asegura Platnick. Añade, sin embargo, que PerplexityBot ignorará robots.txt cuando un usuario introduzca una URL específica en su consulta, un caso de uso que Platnick describe como “muy poco frecuente”.

“Cuando un usuario indica una URL específica, eso no desencadena un comportamiento de rastreo”, resalta Platnick. “El agente actúa en nombre del usuario para recuperar la URL. Funciona igual que si el propio usuario fuera a una página, copiara el texto del artículo y después lo pegara en el sistema”.

Esta descripción de la funcionalidad de Perplexity confirma los hallazgos de WIRED de que su chatbot ignora robots.txt en ciertos casos.

Digital Content Next es una asociación comercial del sector de los contenidos digitales que cuenta entre sus miembros con The New York Times, The Washington Post y Condé Nast. El año pasado, la organización compartió un borrador de principios para regir la IA generativa con el fin de evitar posibles infracciones de los derechos de autor. Jason Kint, su CEO, menciona a WIRED que si las acusaciones contra Perplexity son ciertas, la empresa está violando muchos de esos principios.

“Por defecto, las empresas de IA deben asumir que no tienen derecho a tomar y reutilizar el contenido de las editoriales sin permiso”, subraya Kint. Si Perplexity se salta las condiciones de servicio o robots.txt, agrega, “deberían encenderse las alarmas de que está ocurriendo algo indebido”.

Artículo publicado originalmente en WIRED. Adaptado por Andrei Osornio.

Retrato de Aravind Srinivas, CEO de Perplexity
Cómo nació Perplexity, el poderoso buscador IA que quiere el negocio de Google

Aravind Srinivas creció en la misma ciudad que Sundar Pichai y desarrolló una obsesión por la empresa mucho antes de lanzar su propia startup de búsqueda por IA.

Los juicios por crímenes de guerra entran en una nueva era digital

«Es todo un reto conseguir que la nueva tecnología se integre y se admita como prueba», aclara Brad Samuels, socio fundador de SITU Research. «Y a menudo la tecnología que está en el mundo no necesariamente llega a la sala del tribunal con rapidez».

La plataforma permite a los usuarios pasear virtualmente por la ciudad de Tombuctú, así como verla desde arriba. Dentro de la recreación virtual de la ciudad hay pruebas de video, foto y audio que muestran dónde y cuándo supuestamente ocurrieron los hechos. Por ejemplo, los usuarios pueden explorar una calle y encontrar un elemento etiquetado con la prueba correspondiente, hacer clic en él y ver un video de un momento concreto que muestra quién estaba supuestamente presente y qué ocurrió.

La plataforma de SITU combina imágenes de drones, imágenes por satélite, escáneres láser y otras formas de pruebas visuales que, según Samuels, permiten a los jueces ver las pruebas a lo largo del tiempo y el espacio de una forma que no sería posible de otro modo. Esto es especialmente importante en los casos de crímenes contra la humanidad, que exigen que los crímenes sean sistemáticos y generalizados, en contraposición a un único incidente aislado. Y dice que la plataforma tiene más valor que simplemente ayudar a los jueces a organizar las pruebas visuales que apoyan el testimonio de los testigos.

«En el caso de Tombuctú, la situación de la seguridad en Malí ha ido empeorando. Y los jueces no han podido ir en persona», explica Samuels. Por ejemplo, la plataforma incluye el interior de un antiguo banco que funcionaba como cuartel general de la policía islámica, y otro lugar donde alguien fue azotado.

«También puede convertirse en una herramienta para entrevistar a testigos sobre lo que vivieron», apunta Koenig sobre la plataforma de SITU, «si se piensa en algunas de las barreras lingüísticas y culturales, no tener un punto de contacto como ese, hacer que te guíen a través de lo que les sucedió puede ser casi una conjetura a veces de tratar de reconstruir su historia, sobre todo cuando hay mucho trauma involucrado y los recuerdos están fragmentados.»

Acusadores contra defensores

Sarah Zarmsky, profesora adjunta de la Facultad de Derecho de Essex, añade, sin embargo, que a menudo los equipos de defensa de los acusados carecen de los mismos recursos que se ofrecen a la acusación.

«Esta plataforma se diseñó para la acusación», explica, «así que, aunque SITU Research hace un gran trabajo, la defensa tampoco cuenta con la misma experiencia. Así que hay muchas implicaciones para un juicio justo».

En un artículo publicado en 2023, el fiscal jefe de la CPI, Karim Khan, señaló que «la defensa solicitó pleno acceso a la plataforma virtual, y requirió (y se le proporcionó) formación y orientación sobre su uso, de modo que también pudiera desplegarla cuando fuera necesario».

En el caso de la CPI, donde el tribunal permite que se presenten casi todas las pruebas y decide después el peso que se asigna a cada una de ellas, eso puede significar que un equipo de defensa sobrecargado de trabajo no tenga tiempo para examinar cada una de las pruebas. En el caso de algo novedoso como la plataforma creada por SITU, de acuerdo con Zarmsky, no está claro cuánto peso podría darle el tribunal a la hora de dictar sentencia.

Pero Khan afirmó que «la aceptación de la plataforma por parte de la Sala de Primera Instancia demuestra que la ley y el procedimiento de la CPI están preparados para dar cabida a enfoques con visión de futuro en la presentación de pruebas».

Artículo publicado originalmente en WIRED. Adaptado por Mauricio Serfatty Godoy.

EE.UU. vs. Software Extranjero: El Dilema entre Seguridad Nacional y Libertad Digital

En los últimos meses, Estados Unidos ha tomado medidas drásticas contra dos empresas tecnológicas extranjeras: TikTok y Kaspersky. Aunque sus productos son muy diferentes, ambas se han convertido en el centro de una controversia que pone de manifiesto la tensión entre la seguridad nacional y la libertad en internet. El Departamento de Comercio de EE.UU. ha anunciado la prohibición de nuevas ventas del software antivirus de Kaspersky Labs, con sede en Moscú, a partir del 20 de julio. Esta decisión se produce poco después de que el presidente Joe Biden firmara una ley que podría prohibir la aplicación TikTok si su empresa matriz china no la vende.

Estas acciones plantean preguntas cruciales sobre el equilibrio entre la protección de la seguridad nacional y el mantenimiento de una internet abierta y libre.

Riesgos de seguridad y respuestas gubernamentales

El gobierno estadounidense argumenta que tanto Kaspersky como TikTok representan riesgos potenciales para la seguridad nacional. En el caso de Kaspersky, las preocupaciones se centran en la posibilidad de que el gobierno ruso pueda utilizar el software como un arma. Para TikTok, los temores se relacionan con la posible influencia del gobierno chino sobre la plataforma y el acceso a datos de usuarios estadounidenses.

Sin embargo, críticos como Riana Pfefferkorn, investigadora de políticas de la Universidad de Stanford, señalan que el gobierno de EE.UU. no ha proporcionado pruebas concretas de estas amenazas al público. Esto plantea dudas sobre la transparencia y la justificación de estas prohibiciones.

Implicaciones para la libertad en internet

Las prohibiciones de software extranjero establecen un precedente preocupante. Al limitar el acceso a ciertas aplicaciones y servicios, EE.UU. podría estar socavando los principios de una internet libre y abierta, donde los usuarios pueden elegir libremente qué software utilizar.

Además, estas acciones podrían inspirar medidas similares en otros países, lo que podría llevar a una fragmentación de internet y a un aumento del aislacionismo digital.

Diferencias entre Kaspersky y TikTok

Es importante señalar las diferencias significativas entre Kaspersky y TikTok:

  1. Kaspersky es un software antivirus que requiere acceso profundo a los sistemas de los usuarios para funcionar eficazmente.
  2. TikTok es una aplicación de redes sociales que opera dentro de los límites impuestos por los sistemas operativos móviles.

Estas diferencias implican que los riesgos potenciales asociados con cada software son distintos en naturaleza y alcance.

Hacia un enfoque más equilibrado

En lugar de prohibiciones generales, expertos como Pfefferkorn abogan por un enfoque más matizado:

  1. Mayor transparencia por parte del gobierno sobre las amenazas específicas.
  2. Establecimiento de requisitos básicos de privacidad y ciberseguridad para todo el software, no solo para aplicaciones extranjeras.
  3. Fortalecimiento de las defensas de seguridad y garantías de privacidad en general.

El caso de Kaspersky y TikTok ilustra el complejo equilibrio entre la seguridad nacional y la libertad digital. Mientras EE.UU. busca protegerse de posibles amenazas, es crucial que estas acciones no comprometan los principios fundamentales de una internet abierta y libre. El desafío para los legisladores y la industria tecnológica será encontrar soluciones que aborden las preocupaciones de seguridad sin sacrificar la innovación y la libertad de elección de los usuarios.