Mes: julio 2020

Que representa TIK TOK en el mundo?

Guido Rosales 28/07/2020

Es probable que su nombre no te resulte conocido, pero ByteDance es uno de los "unicornios" tecnológicos más valiosos del mundo.

Valorada en US$78.000 millones -según un reporte de Reuters de finales del año pasado- la compañía china ha invertido en más de 21 startups desde 2012.

Algunos ejemplos son Lark (una alternativa a Slack), Flipchat (para chatear por video) o Toutia (un agregador de noticias). Pero la más popular es sin duda TikTok.

Es la aplicación de moda. La popular app gratuita de videos cortos no deja de crecer y fue la aplicación más descargada en el primer trimestre de 2020.

Sin embargo, ha colocado a ByteDance en el centro de la disputa geopolítica entre China y Estados Unidos, que acusa a TikTok de ceder datos de sus usuarios para que acaben "en manos del Partido Comunista chino".

Cifras astronómicas

Sus inversores dicen que ByteDance está en camino de generar US$30.000 millones de ingresos en 2020 (una cifra astronómica si se compara con los US$15.000-US$20.000 millones de 2019).

Su beneficio neto podría duplicarse este año a US$7.000 millones, según cifras publicadas por la revista The Economist.

La empresa nació en el año 2012 y tiene sede en Pekín.

Tras invertir en varias aplicaciones, ByteDance desarrolló la precursora de TikTok, Douyin, que lanzaron a nivel local en 2016. La idea era crear videos musicales de 15 segundos para compartir en internet.

En 2017, Douyin llegó al mercado internacional rebautizada como TikTok. Fue el mismo año que ByteDance compró Musical.ly, heredando más de 20 millones de usuarios activos que usó para su expansión.

Secretismo

A diferencia de otros grandes magnates chinos, como Jack Ma -fundador de Alibaba- o Pony Ma -creador de Tencent, otro gigante asiático- el hombre detrás de ByteDance no se prodiga mucho en los medios de comunicación.

Su presencia en medios occidentales es prácticamente inexistente, pero se conocen algunos datos.

Zhang Yiming nació en Longyan, al sureste de China, en 1983.

Antes de crear su propia empresa, trabajó en Microsoft y en Kuxun, uno de los principales motores de búsqueda de viajes y transporte en China, que después fue adquirido por Trip Advisor.

Este ingeniero de software comenzó la trayectoria de su empresa con un agregador de noticias basado en inteligencia artificial que resultó un éxito en China y que él mismo definió como "un negocio de búsquedas" o una "red social", más que una empresa de noticias, según le contó a Bloomberg en 2017.

En 2019, Zhang fue nombrado una de las 100 personas más influyentes del mundo por la revista Time.

Según Forbes, el empresario es la novena persona más rica de China.

Más allá de TikTok

ByteDance es mucho más que TikTok.

En 2016, se convirtió en el mayor accionista del servicio de noticias indio BaBe.

Entre otras de sus aplicaciones exitosas, destaca Xigua Video, una plataforma de videos semanales de hasta cinco minutos de duración, el servicio de comunicación en línea Lark o la app de videos cortos Vigo Video, muy popular entre adolescentes en China.

La empresa también fabrica celulares y trabaja desde 2019 en el lanzamiento de su propio smartphone.

En los últimos meses, las acusaciones de espionaje para el gobierno chino vertidas por parte de Estados Unidos han cobrado fuerza. Además, cada vez son mayores los rumores que apuntan a que varios inversores estadounidenses podrían comprar TikTok, según recoge The Information.

ByteDance ha desmentido todas las acusaciones. En su sitio web se define como una empresa que "inspira creatividad" y "enriquece la vida", y como una compañía que "apunta a lo más alto".

Andrey Turchin, el hacker de Kazajistan llamado “el dios invisible”

Guido Rosales 28/07/2020

De él solo se sabían tres cosas: que Fxmsp era su alias en internet, que lo llamaban el "dios invisible" de las redes y que había robado información fundamental de las entrañas de más 300 corporaciones en 44 países.

Una serie de documentos judiciales señalan al ciudadano de Kazajstán Andrey Turchin como Fxmsp, el autor intelectual de una campaña de piratería que golpeó a 44 países y algunas de las empresas de ciberseguridad más grandes del mundo con la que ganó casi 1,4 millones de euros

Y un dato adicional: que su alias se había vuelto famoso en 2019 después de que ofreció - a cambio de dinero, claro- el modo de acceso a servidores de las tres principales empresas de ciberseguridad en el mundo, McAfee, Symantec y Trend Micro.

Nada más. Ni su nombre, ni su nacionalidad, a pesar de que se trata de uno de los hackers más populares del planeta.

Sin embargo, en las últimas semanas y después de una extensa investigación, la empresa de ciberseguridad Group-IB no sólo reveló los detalles de cómo Fxmsp había logrado hackear los sistemas de estas empresas, sino que dio a conocer su nombre real.

Andrey Turchin, de 37 años y ciudadano de Kazajistán.

La acusación oficial

Seattle - Se desveló hoy una acusación en el Distrito Oeste de Washington acusando a un ciudadano de Kazajstán, ANDREY TURCHIN, a / k / a "fxmsp", 37, con varios delitos federales relacionados con un grupo de cibercrimen prolífico y motivado financieramente que pirateó la computadora Las redes de una amplia gama de entidades corporativas, instituciones educativas y gobiernos de todo el mundo, anunciaron EE.UU. Abogado Brian T. Moran. El grupo "fxmsp" estableció el acceso persistente, o "puertas traseras", a las redes de víctimas, que luego anunciaron y vendieron a otros cibercriminales sometiendo a las víctimas a una variedad de ataques cibernéticos y fraude.

“El delito cibernético no conoce fronteras internacionales, y detener estos crímenes requiere la cooperación entre una variedad de socios internacionales. Elogio a Kazajstán por su ayuda en esta investigación ", dijo Estados Unidos. Abogado Brian T. Moran. "Espero que estas asociaciones internacionales críticas entre los investigadores de delitos cibernéticos conduzcan a responsabilizar a Andrey Turchin en un tribunal de justicia".

“Los delitos informáticos sofisticados pueden ser extremadamente difíciles de investigar. Sin embargo, al trabajar en estrecha colaboración con nuestros socios internacionales de aplicación de la ley en la Agencia Nacional del Crimen del Reino Unido, junto con las víctimas, los investigadores de seguridad del sector privado y la gran cooperación de nuestros socios internacionales de aplicación de la ley en Kazajstán, el FBI pudo interrumpir al Sr. Turchin y las supuestas intrusiones criminales de su co-conspirador ", dijo Raymond Duda, Agente Especial a Cargo de la Oficina de Campo del FBI en Seattle. "Este caso demuestra el compromiso del FBI para descubrir y contrarrestar a los ciberdelincuentes, nacionales o extranjeros".

De acuerdo con la acusación y los registros de cinco cargos en el archivo, desde al menos octubre de 2017 hasta la fecha en que un Gran Jurado devolvió los cargos, en diciembre de 2018, TURCHIN y sus cómplices perpetraron una ambiciosa empresa de piratería que ataca ampliamente a cientos de víctimas en seis continentes, incluyendo más de 30 en los Estados Unidos. Ampliamente conocido en los círculos de piratería por el apodo "fxmsp", TURCHIN empleó una colección de técnicas de piratería y software malicioso (malware) para obtener y mantener el acceso a las redes de las víctimas. Por ejemplo, a menudo usaba un código especialmente diseñado para escanear Internet en busca de puertos abiertos de Protocolo de escritorio remoto (RDP) y realizar ataques de fuerza bruta para comprometer inicialmente las redes de las víctimas. Una vez dentro del sistema de la víctima, se movió lateralmente a través de la red e implementó código malicioso adicional para localizar y robar credenciales administrativas y establecer acceso persistente. Los conspiradores a menudo modificaron la configuración del software antivirus para permitir que el malware continúe ejecutándose sin ser detectado.

TURCHIN y sus conspiradores luego comercializaron y vendieron el acceso a la red en varios foros clandestinos comúnmente frecuentados por hackers y cibercriminales, como Exploit.in, fuckav.ru, Club2Card, Altenen, Blackhacker, Omerta, Sniff3r y L33t, entre otros. Los precios generalmente oscilaban entre un par de miles de dólares y, en algunos casos, más de cien mil dólares, según la víctima y el grado de acceso y control del sistema. Muchas transacciones se produjeron mediante el uso de un corredor y un depósito en garantía, lo que permitió a los compradores interesados probar el acceso a la red durante un período limitado para probar la calidad y la fiabilidad del acceso ilícito. Como se informó públicamente, el grupo "fxmsp" se ha relacionado con numerosas violaciones de datos de alto perfil, ataques de ransomware y otras intrusiones cibernéticas.

TURCHIN está acusado de conspiración para cometer piratería informática, dos cargos de fraude y abuso informático (piratería informática), conspiración para cometer fraude electrónico y acceso a fraude de dispositivos. La conspiración para cometer fraude informático se castiga con hasta cinco años de prisión. Los dos cargos de fraude y abuso informático (piratería) se castigan con hasta diez y cinco años de prisión, respectivamente. La conspiración para cometer fraude electrónico se castiga con hasta 20 años de prisión. El fraude de dispositivos de acceso se castiga con hasta diez años de prisión.

Los cargos contenidos en la acusación son solo alegaciones. Se presume que una persona es inocente a menos y hasta que se demuestre su culpabilidad más allá de una duda razonable en un tribunal de justicia.

El caso está siendo investigado por la Oficina del FBI de Seattle, la Fuerza de Tarea contra Delitos Cibernéticos, con la cooperación de la Agencia Nacional contra el Delito (NCA) del Reino Unido y con la asistencia de los Estados Unidos. La Oficina de Asuntos Internacionales de la División Criminal del Departamento de Justicia, las Oficinas de Agregados Legales del FBI en Londres y Nur-sultan, y el Comité de Seguridad Nacional de la República de Kazajstán (KNB).

El caso está siendo procesado por el fiscal federal adjunto Steven Masada.

En el siguietne enlace pueden encontrar un documento relacionado: https://www.justice.gov/usao-wdwa/press-release/file/1292541/download

El secreto profesional en materia de Seguridad

Guido Rosales 27/07/2020

El secreto profesional debe ser una característica general de los trabajo profesionales. Mas aun cuando el cliente te contrata para temas muy sensibles, sabiendo a priori que tendrás acceso a información sensible. Mas allá de los acuerdos y clausulas de confidencialidad esta la ÉTICA PROFESIONAL.

Los trabajos en seguridad tiene calidad de secreto de CONFESIÓN

Lamentablemente no siempre ocurre asi y vemos en la web trabajos que debian gozar del debido secreto profesional, pero estan publicados sin ninguna consideracion y respeto no solo al cliente sino a la profesion misma y oficio que se tiene.

Sin duda muchas veces los profesionales en seguridad que hacen auditorias y ethicl hacking, llegan a conocer hasta la misma médula los secretos de las empresas y las personas, pero están ahí no por merito propio sino invitados y contratados para lidiar con esa información.

Claramente se coloca en los acuerdos y contratos que el revelamiento de la información debe ser por acuerdo de partes o por solicitud de autoridad competente utilizando los canales formales definidos para este fin.

Autoridad competente en nuestro país es un JUEZ quien debe solicitar el revelamiento de la información confidencial que vincula a un consultor con un trabajo.

Cuando la ETICA profesional no es tomada en cuenta, entonces se hace atractivo lograr cobertura mediática revelando información confidencial en desmedro no solo de la misma reputación del consultor, sino también afectando al gremio profesional. Por supuesto que muchas veces los consultores se ven asediados por periodistas y medios de comunicación, pero en su responsabilidad esta el ACUERDO DE CONFIDENCIALIDAD. No se espera que el consultor encubra ningún hecho que haya sido de su conocimiento en merced al trabajo realizado, pero debe elevar esta situación a su contratante y en ultimo caso a la autoridad competente de manera formal para esperar la orden legal y revelar la información en cuestión.

Ejemplo de clausula de confidencialidad

DÉCIMA PRIMERA.- (CONFIDENCIALIDAD): Las partes que celebran el presente contrato acuerdan mantener y guardar estricta CONFIDENCIALIDAD DE TODA LA INFORMACIÓN obtenida, elaborada, procesada y resultante de la prestación de Servicios de CONSULTORIA, que llegaran a conocer directa o indirectamente; comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan ambos acceso, por tiempo ilimitado

Ambas partes convienen que la cláusula de confidencialidad del presente contrato no tiene plazo ni término; y se comprometen a cumplir todas las obligaciones asumidas de manera indefinida, las que se extienden a todos sus empleados y personal relacionado de ambas Partes.Salvo de común acuerdo se autoriza la revelación de información o esta sea requerida por autoridad competente y por los canales formalmente establecidos para este fin dentro la jurisdicción que se ha establecido en el presente contrato.

Los pecados se silvan, pero no se cantan

Así decimos cuando se comparte CASUISTICA real. Se habla de las experiencias, pero sin decir nombres, fechas y descripciones que permitan identificar a las partes.