La policía de EE. UU. pasa por alto las órdenes de arresto con una herramienta de seguimiento de ubicación masiva

Como vientos de verano abajo, los investigadores advirtieron esta semana sobre vulnerabilidades sistémicas en la infraestructura de aplicaciones móviles, así como una nueva falla de seguridad de iOS y una en TikTok. Y los nuevos hallazgos sobre las formas de explotar la herramienta Power Automate de Microsoft en Windows 11 muestran cómo se puede usar para distribuir malware, desde ransomware hasta keyloggers y más.

La red de medios anti-Putin February Morning, que se ejecuta en la aplicación de comunicación Telegram, ha asumido un papel crucial en la resistencia clandestina al Kremlin. Mientras tanto, el “Código de Diseño Apropiado para la Edad de California” fue aprobado por la legislatura de California esta semana con importantes implicaciones potenciales para la privacidad en línea de los niños y de todos.

Además, si estás listo para dar un paso más radical para proteger tu privacidad en el móvil y te sientes como un rudo mientras lo haces, tenemos una guía para configurar y usar teléfonos desechables.

¡Pero espera hay mas! Cada semana, destacamos las noticias que nosotros mismos no cubrimos en profundidad. Haga clic en los titulares a continuación para leer las historias completas. Y mantente a salvo ahí fuera.

El corredor de datos Fog Data Science ha estado vendiendo acceso a lo que afirma son miles de millones de puntos de datos de ubicación de más de 250 millones de teléfonos inteligentes a las agencias policiales locales, estatales y federales de los EE. UU. Los datos provienen de empresas de tecnología y torres de telefonía celular y se recopilan en la herramienta Fog Reveal de miles de aplicaciones de iOS y Android. Fundamentalmente, el acceso al servicio es barato, a menudo cuesta a los departamentos de policía locales menos de $ 10,000 por año, y las investigaciones de Associated Press y Electronic Frontier Foundation encontraron que las fuerzas del orden a veces extraen datos de ubicación sin una orden judicial. La EFF realizó su investigación a través de más de 100 solicitudes de registros públicos presentadas durante varios meses. “De manera preocupante, esos registros muestran que Fog y algunas fuerzas del orden no creían que la vigilancia de Fog implicaba los derechos de la Cuarta Enmienda de las personas y requería que las autoridades obtuvieran una orden judicial”, escribió la EFF.

Una base de datos desprotegida que contenía información sobre millones de rostros y matrículas estuvo expuesta y fue públicamente accesible en la nube durante meses hasta que finalmente se protegió a mediados de agosto. TechCrunch vinculó los datos con Xinai Electronics, una empresa de tecnología con sede en Hangzhou, en el este de China. La empresa desarrolla sistemas de autenticación para acceder a espacios como estacionamientos, obras de construcción, escuelas, oficinas o vehículos. También promociona servicios adicionales relacionados con la nómina, la asistencia de los empleados y el seguimiento del rendimiento, y el reconocimiento de matrículas. La compañía tiene una red masiva de cámaras desplegadas en China que registran datos de rostros y matrículas. El investigador de seguridad Anurag Sen alertó a TechCrunch sobre la base de datos desprotegida, que también expuso nombres, edades y números de identificación de residentes en los datos faciales. La exposición se produce solo unos meses después de que se filtrara en línea una enorme base de datos de la policía de Shanghái.

Las autoridades de Montenegro dijeron el miércoles que una pandilla llamada “Cuba” atacó sus redes gubernamentales con un ataque de ransomware la semana pasada. La pandilla también se atribuyó la responsabilidad del ataque a un sitio web oscuro. La Agencia de Seguridad Nacional de Montenegro (ANB) dijo que el grupo está vinculado a Rusia. Según los informes, los atacantes desplegaron una variedad de malware denominada “Zerodate” e infectaron 150 computadoras en 10 agencias gubernamentales de Montenegro. No está claro si los atacantes extrajeron datos como parte del hackeo. La Oficina Federal de Investigaciones de los Estados Unidos está enviando investigadores a Montenegro para ayudar a analizar el ataque.

El lunes, la Comisión Federal de Comercio de EE. UU. anunció que está demandando al corredor de datos Kochava por vender datos de geolocalización recopilados de aplicaciones en “cientos de millones de dispositivos móviles”. Los datos podrían usarse, dijo la FTC, para rastrear los movimientos de las personas y revelar información sobre adónde van, incluida la visualización de visitas a lugares sensibles. “Los datos de Kochava pueden revelar las visitas de las personas a clínicas de salud reproductiva, lugares de culto, refugios para personas sin hogar y víctimas de violencia doméstica e instalaciones de recuperación de adicciones”, escribió la agencia. “La FTC alega que al vender datos que rastrean a las personas, Kochava permite que otros identifiquen a las personas y las exponen a amenazas de estigma, acoso, discriminación, pérdida de empleo e incluso violencia física”. La demanda tiene como objetivo evitar que Kochava venda datos de ubicación confidenciales, y la agencia solicita que la empresa elimine lo que ya tiene.

En agosto, la prolífica pandilla de ransomware Cl0p pirateó South Staff Water, una empresa de suministro de agua en el Reino Unido. La pandilla dijo que incluso tenía acceso a la red de control industrial de SSW, que maneja cosas como el flujo de agua. Los piratas informáticos publicaron capturas de pantalla que supuestamente mostraban su acceso a los paneles de control del suministro de agua. Los expertos le dijeron a Motherboard que parece que los piratas informáticos realmente podrían haberse entrometido con el suministro de agua, lo que subraya los riesgos cuando las redes de infraestructura crítica no están adecuadamente separadas de las redes comerciales regulares. “Sí, hubo acceso, pero solo hicimos capturas de pantalla”, dijo Cl0p a Motherboard. “No dañamos a las personas y tratamos la infraestructura crítica con respeto. … Realmente no entramos en eso porque no queríamos lastimar a nadie”. SSW dijo en un comunicado: “Este incidente no ha afectado nuestra capacidad de suministrar agua potable”.