Un reciente estudio ha indicado que la inteligencia artificial (IA) podría ser utilizada por hackers para deducir contraseñas mediante el análisis del sonido generado al teclear durante una videoconferencia en Zoom, logrando una asombrosa precisión del 93%.

Un grupo de investigadores con base en el Reino Unido ha puesto de relieve las enormes implicaciones que esto tiene para la seguridad cibernética: con el aumento en el uso de herramientas como Zoom y la proliferación de dispositivos con micrófonos incorporados, se ha ampliado la amenaza de ataques cibernéticos basados en el sonido, advierten los científicos.

Especialistas de la Universidad de Surrey, la Universidad de Durham y la Universidad Royal Holloway de Londres llevaron a cabo un experimento en el que presionaron cada una de las 36 teclas de un MacBook Pro en múltiples ocasiones, variando los dedos y la presión. Los sonidos resultantes fueron capturados tanto a través de una llamada en Zoom como con un smartphone cercano al teclado.

Luego, desarrollaron un sistema de aprendizaje automático para reconocer las características acústicas asociadas a cada tecla. Este programa fue entrenado con los datos y, al ser probado, logró tasas de precisión de lectura del 95 %, cuando la grabación se hacía a través de una llamada telefónica, y el 93 %, cuando se hacía a través de una llamada de Zoom.

Aunque no es la primera vez que se demuestra que el sonido puede revelar las pulsaciones de las teclas, este nuevo sistema se destaca por su mayor precisión en comparación con lectores similares del pasado.

"La precisión de este tipo de modelos y de este tipo de ataques es cada vez mayor", declaró a The Guardian Ehsan Toreini, coautor del estudio, publicado en el IEEE European Symposium on Security and Privacy Workshops, de la Universidad de Surrey, quien también expresó su preocupación por la prevalencia de dispositivos inteligentes equipados con micrófono en los hogares.

Los investigadores aclaran que su estudio es una prueba conceptual y no se ha empleado para descifrar contraseñas en situaciones reales, como en cafeterías. No obstante, destacan que resalta la urgencia de educar al público sobre estos riesgos y discutir la regulación de la IA, ya que este tipo de ataques acústicos podrían afectar cualquier teclado.

Para reducir estos riesgos, los investigadores proponen alternativas como el uso de contraseñas biométricas o sistemas de autenticación en dos pasos. También sugieren utilizar la tecla Mayúsculas para crear una mezcla de mayúsculas y minúsculas, o de números y símbolos. Esto se debe a que, al parecer, la IA sigue siendo muy mala a la hora de saber cuándo se pulsa la tecla mayúscula.

Además, el profesor Feng Hao de la Universidad de Warwick, quien no participó en este estudio, advierte sobre otra posible amenaza. Según reveló a The Guardian, la gente debe tener cuidado también de no escribir frente a las cámaras mensajes sensibles, incluidas contraseñas, en un teclado durante una llamada de Zoom.

"Además del sonido, las imágenes visuales sobre los sutiles movimientos del hombro y la muñeca también pueden revelar información de canal lateral sobre las teclas que se están escribiendo en el teclado, aunque éste no sea visible desde la cámara", afirma. 

Para evitar esto, la extensión WA Web Plus for WhatsApp bloquea las conversaciones con contraseña. Lo primero que hay que saber es que se necesita agregar una contraseña de acceso y posteriormente utilizarlo de manera correcta para lograr ajustar adecuadamente este truco de WhatsApp Web.

Así se puede agregar contraseña a WhatsApp Web

1. Acceder a la página del plugin y hacer clic en ‘Añadir a Chrome’. Si se utiliza Google Chrome, Edge, Rave o cualquier otro navegador web, funcionará correctamente

WhatsApp Web: cómo evitar que los mensajes sean interceptados

2. Hacer clic en ‘Añadir extensión’ que se añade a WA Web Plus for WhatsApp.

3. Introducir una contraseña y pulse ‘Enter’ en su teclado para fijarlo en el WhatsApp.

Así se puede usar Web WhatsApp con contraseña

1. Acceder a la Web WhatsApp (web.whatsapp.com) y verá la solicitud de contraseña. Introducir la misma de ajuste y pulsar ‘Enter’ para acceder a todas las conversaciones.

Así se puede eliminar la contraseña

1. En la pantalla de desbloqueo, hacer clic en la opción ‘Restablecer todo’.

2. Introducir su contraseña para confirmar la acción.

3. Configurar Web WhatsApp de nuevo utilizando el teléfono para leer la aplicación de códigos QR. Cuando se vuelva a acceder al servicio, hay que actualizar la página para crear una nueva contraseña.

¡Listo! Es todo lo que se necesita saber para bloquear los chats en WhatsApp web y mantener todas las conversaciones personales.

Atajos de teclado en WhatsApp web para mejorar la productividad

Entre las características principales que ha mostrado la empresa el año pasado se destacan:

– El aumento de velocidad de los audios.

– Cambios en las burbujas de los mensajes dentro de los chats.

– Inclusión de una carpeta para los archivados.

– La posibilidad de ingresar a llamadas o videollamadas ya iniciadas.

– Quitar el mensaje de ‘Última vez’ a una persona o grupo de personas en específico.

En el caso de WhatsApp Web, se destaca que desde este año se pueden editar las imágenes de forma nativa en la app antes de enviarlas, así como la función de Multidispositivos, con la que se puede tener sesión iniciada hasta en cuatro dispositivos diferentes a la vez y sin la necesidad de que el principal (celular) esté conectado a internet.

WhatsApp: cómo usar la misma cuenta en varios dispositivos

Sin embargo, esta herramienta, lanzada por WhatsApp en 2015, cuenta también con varios secretos siendo uno de los más especiales los llamados ‘atajos de teclado’, con los que se puede trabajar de forma más sencilla y óptima desde la laptop o computadora. Esta es la lista completa:

Ctrl + Shift +]: siguiente chat.

Ctrl + Shift + [: anterior chat.

Ctrl + N: nuevo chat.

Ctrl + Shift + U: marcar como no leído.

Ctrl + P: abrir el perfil de la persona con la que está hablando.

Ctrl + Retroceso: eliminar el chat.

Ctrl + Shift + N: nuevo grupo.

Ctrl + E: para archivar el chat que se tiene abierto en la PC.

Ctrl + Shift +]: siguiente chat.

Ctrl + Shift + [: anterior chat.

Alt + F4: cerrar el chat.

Ctrl + Shift + M: silenciar el chat.

En el Día Mundial de la Contraseña, un informe indica cada año cuáles son las más usadas a partir de las filtraciones que sufren servicios u organizaciones. También aparecen “111111” y “000000”, que carecen de complejidad y pueden ser blanco fácil de ataques y estafas.

Las claves “123456”, “123456789” y “12345” siguen encabezando la lista de contraseñas más usadas a nivel mundial, de acuerdo a un ranking que se elabora todos los años, y que son consideradas como “extremadamente débiles”, por lo que especialistas recomiendan generar hábitos de seguridad informática para proteger la privacidad de nuestros datos y servicios en internet.

El Día Mundial de la Contraseña se celebra cada primer jueves de mayo, desde 2013, para que las personas tomen conciencia acerca de la importancia de mantener claves seguras y robustas.

La nueva versión de Chrome suma herramienta para revisar contraseñas comprometidas

Tan solo “un segundo” llevaría vulnerar una cuenta que tenga como clave “12345” y hasta incluso la misma palabra “password”, que las personas siguen eligiendo para proteger sus cuentas de mail o redes sociales, e incluso las repiten en todos sus servicios, de acuerdo al informe “Las 200 contraseñas más comunes” elaborado por la empresa NordPass.

El top 10 de la lista está formado por:

1. “123456” 2. “123456789” 3. “12345” 4. “qwerty” 5. “password” 6. “12345678” 7. “111111” 8. “123123” 9. “1234567890” 10. “1234567”

En el análisis a través del tiempo, “123456” se mantiene entre la primera y la segunda posición desde 2017 a 2021, y también se repiten año tras año dentro de las primeras cinco posiciones -en distinto orden- “123456789”, “12345678” o “password”, según indicó la empresa de seguridad informática Esset.

En esta línea alertó que “son contraseñas extremadamente débiles” y que “el tiempo para descifrarlas a través ataques de fuerza bruta es en la mayoría de los casos menor a un segundo”.

Dado que cada vez contamos con más cuentas y servicios en internet, es importante no solo mantener contraseñas largas y complejas, sino agregar capas extras de seguridad. Alejandro Botter, gerente de ingeniería de la firma Check Point para América Latina reveló algunos consejos en esa línea.

Consejos para fortalecer la seguridad

Usar una combinación de caracteres: tener una contraseña que esté compuesta por frases simples o por fechas importantes para la vida personal de una persona es una práctica muy común y es un hábito que debilita a una contraseña. Por eso, aconsejó utilizar una secuencia aleatoria formada por una combinación de diferentes números, letras y símbolos para cada plataforma.

Una contraseña diferente para todo: con tantas aplicaciones y servicios que ahora requieren detalles de inicio de sesión, es tentador repetir la misma contraseña única para todos, pero es una mala idea ya que le facilita a un atacante vulnerar una cuenta.Si es difícil recordarlas todas, el especialista recomendó emplear la ayuda de un administrador de contraseñas.

Cuanto más caracteres, más fuerte: es importante usar al menos 8 dígitos para ajustar la clave a los niveles de seguridad.

Twitter recomienda a sus usuarios cambiar de contraseña

Realizar cambios regulares: Para hacerlo de forma más sencilla, se puede usar el mismo patrón básico e ir agregando diferentes combinaciones a partir de ahí.

Activar la autenticación de dos factores: Es fundamental implementar un doble factor de autenticación dado que dificultará el acceso de un atacante o persona no autorizada si el usuario y contraseña se ven comprometidos.

El humorista Roberto Moldavsky relató en las últimas horas mediante un video que fue víctima de una estafa bajo la modalidad “cuento del tío”, en la que los “inescrupulosos” lo contactaron vía WhatsApp por la supuesta convocatoria para aplicarse la tercera dosis contra el coronavirus.

“El cuento del tío parte 10.000.000”, escribió Moldavsky en el posteo en sus redes sociales, al tiempo que mirando a la cámara, empezó a contar lo sucedido: “Quiero contarles algo que no es tan gracioso, más bien lo contrario. El otro día recibí un WhatsApp por el tema de que me tengo que dar la tercera dosis de la vacuna. Pegado a eso me entra un llamado con la aplicación Cuidar, de una persona que se presenta como médico, que me dice que bueno, que yo tengo las dos Sputnik, que tengo que recibir otra”.

Engañan con el cuento del tío a una abuela y le roban 4 millones de pesos

“Me chamuya de una manera que yo que soy del Once, el vivo bárbaro, entré como un caballo. Le di códigos para que me hackee el WhatsApp, para que me hackee el Gmail. Él me mandaba y yo te digo que si me pedía la cuenta del banco se la daba, si quería el teléfono de mi hermana se lo pasaba. ¡Estaba a entregado! No me preguntes por qué, pero ocurrió”, reveló.

El humorista, quien acaba de despedirse de “El Método Moldavsky”, obra que protagonizó durante todo enero en el Enjoy de Punta del Este, y de “Trato Hecho”, el ciclo de entretenimientos de Telefé en el que acompañaba a Lizy Tagliani, agregó: “Al toque, me hackeó. Obviamente, me cambió la contraseña de Gmail. Bueno, por suerte gracias a unos amigos y a la gente de Google, que también se movió rápido, cambié la contraseña y listo”.

Sin embargo, los estafadores siguieron con su objetivo, según contó la víctima, que detalló: “Pero lo más loco es que me volvieron a llamar, porque se ve que algo se trabó a partir de que yo recuperé toda mi historia. Me volvieron a llamar con la aplicación Cuidar, diciéndome que ya está listo mi pasaporte sanitario”.

“Después de que me pasó eso, a las dos horas, me acosté a dormir y caí en que algo había hecho mal. En el momento no me di cuenta ni lo hablé con nadie”, añadió.

Enseguida mostró a la cámara el número del que lo habían llamado y que, obviamente, ya estaba sin la foto de perfil correspondiente porque lo tenía bloqueado.

“Este es el teléfono. Mírenlo porque por ahí a alguien le pasa que lo llame. La voz era de un chico caribeño, no importa, pero les digo porque en este caso fue así, aunque puede ser cualquiera”, remarcó.

PDI detuvo a una mujer por “el cuento del tío”

Y amplió: “Te dicen: ´En este momento te estoy mandando un código que es por tu turno, repetímelo a ver si coincide´. En realidad te llega el código (por la vía oficial) y te dice: ´No pases este código´. Pero yo estaba entregado. Por eso les digo que tengan cuidado. Ya sé que el Gobierno todo el tiempo avisa que por teléfono no es nada, pero bueno”.

Moldavsky afirmó que el tema lo “puso mal” porque se sintió muy ingenuo y reveló que no durmió en toda la noche ante la situación vivida.

“Me puso mal por lo boludo que me sentí, pero además me puso mal por lo dependiente que estoy de mi teléfono, por lo loco, por todo lo que tengo ahí. En esto (el celular). Toda mi vida está acá y eso es una locura. Hasta dejé el teléfono al día siguiente porque me quise alejar de él. Y de toda la tecnología. Ya sé que es una pelotudez, cosa de viejo. Que la tecnología y la computadora todo suma. Pero tenemos demasiado”, señaló.

Y añadió: “Yo no dormí en toda la noche por esto. Me dan ganas de anotar todo en un cuaderno y no cargar más datos”.

Por último, el humorista reconoció que el engaño sufrido pudo haber terminado mucho peor y dejó una recomendación: “Les cuento para que estén atentos, atentas, y por ese número de teléfono, por si alguno lo recibe”.

Google lanzará una nueva versión de Chrome esta semana que suma novedades interesantes. Se trata de Chrome 88 que mejorará su compatibilidad con el modo oscuro, además de eliminar la compatibilidad con FTP y Adobe Flash.

Las mejoras del modo oscuro se apreciarán tanto en Windows como en Chrome OS. A su vez, el Protocolo de transporte de archivos (FTP) quedará deshabilitado con esta nueva versión. Lo mismo ocurre con Adobe Flash, un servicio al cual Adobe le dejó de dar soporte el 31 de diciembre.

Otra novedad que llega de la mano de Chrome 88 es la incorporación de una nueva herramienta para revisar las contraseñas que han sido comprometidas en brechas de seguridad para así modificarlas, tal como se anunció en el blog oficial.

El navegador cuenta con una opción para las contraseñas guardadas que permite saber si han sido comprometidas a raíz de alguna filtración u incidente de seguridad. También se puede comprobar de manera manual su seguridad desde el menú de Ajustes.

Ahora Google sumó algunas mejoras en el gestor de contraseñas, entre las cuales se encuentran un apartado para descubrir si alguna clave no es todo lo robusta que debería y cambiarla en ese momento.

Asimismo, y desde Chrome 88, el navegador permite gestionar y editar todas las contraseñas desde la Configuración de Chrome en la versión de escritorio y en iOS. Esta función llegará “pronto” a la aplicación de Chrome para Android.

Las opciones de gestión de contraseñas se encuentran tanto en los Ajustes de Chrome como en el atajo con forma de llave que aparece bajo el perfil de usuario de la cuenta de Google.

Google asegura que con las medidas que implementaron en 2020 se han reducido en un 37% las credenciales comprometidas guardadas en el navegador. También explicó que el control de seguridad de Chrome se utiliza 14 millones de veces por semana.

“A partir del pasado mes de septiembre, los usuarios de iOS pudieron completar automáticamente sus contraseñas guardadas en otras aplicaciones y navegadores. Hoy, Chrome está optimizando 3 millones de inicios de sesión en aplicaciones de iOS cada semana. También hicimos que el llenado de contraseñas sea más seguro para los usuarios de Chrome en iOS al agregar autenticación biométrica (próximamente en Chrome en Android)”, se destaca en el comunicado.

Stefan Thomas perdió hace años el papel donde escribió la contraseña de su cartera de bitcoins. Y ahora solo le quedan dos intentos para averiguarla o perder los 220 millones de dólares en los que están valorados sus 7.002 BTC.

Es la historia que nos cuenta el New York Times, la de un ingeniero alemán que ha visto como con el paso de los años su olvido va camino de convertirse en tragedia.

Los bitcoins los tiene almacenados en un pequeño disco duro cifrado, denominado como IronKey. Se trata de un disco flash que ofrece seguridad y privacidad. Y también 10 intentos antes de formatear y eliminar el contenido. Thomas ya ha probado ocho veces algunas de sus contraseñas más utilizadas, pero ninguna ha funcionado.

Solo dos intentos para acceder a sus 7.002 BTC Thomas relata como en ocasiones se tumbaba en la cama y pensaba una nueva estrategia. Todo con tal de lograr acceder a los más de siete mil bitcoins que posee, que con el valor actual ascienden a más de 200 millones de dólares.

La propia estructura del Bitcoin hace que compartirlos sea fácil y abierto. Para almacenarlos de manera segura, muchos usuarios disponen de dispositivos como IronKey para añadir una capa de protección. Pero lo que se utilizó como seguridad, ha terminado siendo un problema para muchos.

Según los datos revelados por la empresa Chainalysis, entre un 17 y un 23% de los bitcoins existentes están perdidos en el olvido. En algunos casos son carteras con pocos Bitcoins, pero en otros como el de Thomas, representan una gran fortuna con el valor actual.

El problema con la pérdida de la contraseña ha derivado en que Thomas cuestione el mecanismo de las criptomonedas. “Toda esta idea de ser tu propio banco, déjame ponerlo de esta manera, ‘¿haces tus propios zapatos?’ La razón por la que tenemos bancos es que no queremos lidiar con todas esas cosas que hacen los bancos”, explica al New York Times.

La solución no parece fácil. Una posibilidad la ofrece Alex Stamos, profesor de la Universidad de Stanford y anterior responsable de ciberseguridad de Facebook. Según explica Stamos, por 220 millones de dólares se podrían contratar varios profesionales con múltiples IronKey y trabajar durante varios meses para encontrar un fallo de seguridad que permita acceder a la información que contiene la llave. Al final se trata de una pieza de hardware económica y algo antigua. Pese a que desde IronKey lo venden como una llave “inhackeable”, sí están al tanto de posibles vulnerabilidades.

Otra idea que ofrecen algunos usuarios es tan sencilla como contactar con la propia IronKey y “convencerles” con un pequeño porcentaje. Desde 2016, IronKey es oficialmente Kingston.

A principios de 2020 conocíamos la historia de Clifton Collins, un traficante de drogas irlandés que decidió guardar 12 monederos con 500 bitcoins cada uno. La justicia irlandesa determinó que habían sido ganados de manera ilícita, pero ante la imposibilidad de acceder a ellos, se incautaron y se guardaron indefinidamente.

La había descubierto un hacker neerlandés. La Fiscalía de Países Bajos no presentará cargos en su contra porque les avisó a las autoridades estadounidenses sin publicar nada.

La Fiscalía de Países Bajos confirmó que un pirata informático neerlandés accedió al Twitter del presidente Donald Trump al descubrir que su contraseña era “maga2020” y anunció que no presentará cargos en su contra al tratarse de un “hacker ético” que avisó a las autoridades estadounidenses de la situación.

El “hacker” Victor Gevers hizo público a finales de octubre que había accedido a la cuenta personal de Twitter de Trump después de solo siete intentos con diferentes versiones de contraseña, hasta que dio con la correcta, que era “maga2020” (abreviatura en minúscula del eslogan de su campaña, Make America Great Again).

Además, Trump tenía el sistema de doble verificación desactivado, por lo que, al tratar de acceder, Gevers no necesitó enviar un mensaje al teléfono móvil o al correo del presidente para autorizar el acceso a la cuenta, algo que confirmaron los fiscales neerlandeses tras una investigación de la unidad cibernética de la policía nacional.

Aunque tanto Twitter como la Casa Blanca siempre negaron que esto hubiera ocurrido, la Fiscalía confirmó este miércoles que Gevers accedió finalmente a la cuenta, pero no aprovechó la situación para tuitear en nombre de Trump, leer sus mensajes privados, cambiar la clave o la foto de perfil, opciones posibles cuando se accede a una cuenta de Twitter.

Los intentos de alertar al presidente, a su equipo en la Casa Blanca, al de la campaña, e incluso a miembros de su familia sobre la seguridad de la cuenta de Twitter fracasaron, pero días después, los servicios secretos estadounidenses se pusieron en contacto con Gevers para agradecerle el aviso.

Trump cambió su clave y activó la doble verificación.

Aunque la piratería informática es punible en Países Bajos, la Fiscalía consideró que Gevers había cumplido criterios para no ser imputado: se trata de un “hacker” ético, dedicado a la “divulgación responsable”, y se puso en contacto con las autoridades bajo su nombre real, les avisó de la situación y les dio consejos sobre cómo arreglar la vulnerabilidad de la cuenta de Trump.

No es la primera vez que Gevers, de 44 años, logra acceder a la cuenta del presidente estadounidense. Ya en octubre de 2016, él y varios amigos dieron con la contraseña de Trump en una base de datos filtrada por piratas informáticos.

Entonces, Trump tenía “youarefired” (“estásdespedido”, en inglés) como clave de acceso.

Entre otros descubrimientos, dio con una base de datos china con información personal (teléfono, fechas de nacimiento, empleador, número de identidad o nacionalidad) y ubicaciones (con coordenadas GPS de lugares visitados) de 2,7 millones de habitantes de Xinjang, la provincia más grande de China y hogar de uigures, evidenciando que el Gobierno chino está monitoreando a esta minoría étnica en el país.