Después de varios días examinando el alcance de la brecha de seguridad que ha sufrido Facebook y que inicialmente, según los datos de la compañía, afectaba a 50 millones de cuentas, parece que su alcance ha sido bastante menor de lo esperado. Según Reuters, desde Facebook han reducido notablemente su impacto, y han asegurado que, finalmente, los atacantes han conseguido acceder a los datos de 29 millones de cuentas. Los responsables de la red social han asegurado que enviarán un mensaje de aviso a las cuentas afectadas a lo largo de los próximos días, detallando a qué información de su cuenta se ha accedido.

Los atacantes han conseguido acceso a bastantes datos de 14 millones de esas esas cuentas, como las fechas de nacimiento, historial laboral y educativo, preferencias religiosas, tipos de dispositivos utilizados, páginas que siguen o búsquedas recientes y check-ins realizados en la red social. En cuanto a los 15 millones restantes de cuentas afectadas, los atacantes que han accedido a ellas únicamente han conseguido ver su nombre y sus datos de contacto.

Independientemente de estos dos niveles de ataque, los que han accedido a estos datos de 29 millones de cuentas han logrado acceso a los post y a las listas de amigos de otras 400.000 cuentas. Eso sí, no parece que hayan robado mensajes personales ni datos financieros. Tampoco han utilizado la oportunidad que han tenido de acceder a cuentas en la red social para hacer lo mismo en las cuentas de los usuarios afectados en otros servicios.

Esta nueva información la ha facilitado el Vicepresidente de Facebook Guy Rosen, que además de los detalles ha informado de cómo pueden saber los usuarios de la red social si su cuenta es una de las afectadas por esta brecha de seguridad, tal como han recogido nuestros compañeros de Muyseguridad. Rosen también ha confirmado que el FBI ha pedido a la compañía que limite las descripciones de los atacantes y evite facilitar datos sobre ellos, debido a una investigación que están realizando.

Aunque en principio puede parecer que con esta información los ciberatacantes no van a poder hacer mucho, sí que puede servirles para intentar llevar a cabo scam dirigido contra los propietarios de las cuentas accedidas. También para intentar que piquen con más facilidad en ataques de phishing dirigido. Por ahora, según Rosen, se desconocen las intenciones concretas que tenían los atacantes. Eso sí, no parece que estén motivadas por las elecciones de media legislatura para el Congreso de Estados Unidos, que tendrán lugar el próximo 6 de noviembre.

La vulnerabilidad que ha llevado a este robo de datos existió desde el mes de julio de 2017 hasta el mes pasado, cuando Facebook la detectó debido a un aumento poco habitual en el uso de su función “Ver cómo”, la que permitía el acceso a los datos de los perfiles. Tres errores en el diseño de la función permitían que cualquiera que accediese a dicha función pudiese publicar y navegar por la cuenta de la red social.

Los atacantes utilizaron estos fallos con un pequeño número de cuentas que controlaban, para después capturar los datos de los amigos que tenían. Después desarrollaron una herramienta que les permitía acceder a la información de los amigos que tenían los de este segundo bloque de cuentas. Y así, sucesivamente. Facebook parcheó la vulnerabilidad el mes pasado, como hemos mencionado, y como medida de precaución, hizo que 90 millones de usuarios tuviesen que introducir de nuevo sus credenciales para poder acceder a sus cuentas.

El ataque ha afectado a un amplio espectro de usuarios y a varios países, aunque desde Facebook no han desvelado a cuáles ha afectado. Desde la red social han asegurado que van a seguir investigando si los atacantes han tomado medidas posteriores al robo de información. Entre ellas, la publicación desde las cuentas afectadas. Eso sí, por ahora, no parece que hayan descubierto casos de uso no autorizado.

Un grupo de empleados de Microsoft han publicado una carta abierta en la que expresan su oposición a que su compañía opte a un contrato para crear servicios en la nube en programas militares IA para el Departamento de Defensa de Estados Unidos.

Hace una semanas, Microsoft expresó su intención de ofertar por un contrato denominado Enterprise Defense Infrastructure (JEDI), bajo la capacidad de Azure y sus tecnologías de Inteligencia Artificial. El proyecto es secreto, lo que hace que sea casi imposible saber qué tecnologías estaría construyendo Microsoft, si bien el Director de Gestión del Departamento de Defensa explicó el impacto del programa: “Tenemos que ser muy claros. Este programa realmente trata de aumentar la letalidad de nuestro departamento“.

Esto ha provocado el posicionamiento contrario de un grupo de empleados. “Muchos empleados de Microsoft no creemos que lo que creamos deba usarse para librar la guerra. Cuando decidimos trabajar en Microsoft, lo estábamos haciendo con la esperanza de “capacitar a cada persona en el planeta para lograr más”, no con la intención de poner fin a la vida y mejorar la letalidad“.

“Para aquellos que dicen que otra compañía simplemente recogerá JEDI donde Microsoft lo deja, les pediríamos a los trabajadores de esas compañía que hagan lo mismo. Una carrera hacia el fondo no es una posición ética. Al igual que aquellos que tomaron medidas en Google , Salesforce y Amazon, pedimos a todos los empleados de las empresas de tecnología que pregunten cómo se usará su trabajo, dónde se aplicará y actúen de acuerdo con sus principios”. 

Necesitamos poner a JEDI en perspectiva, explica el grupo. “Este es un proyecto secreto de 10.000 millones de dólares con la ambición de construir una fuerza militar “más letal” supervisada por la Administración Trump. Los trabajadores de Google que protestaron por estas colaboraciones y forzaron a la compañía a tomar acción vieron esto. Nosotros también. Entonces preguntamos, ¿cuáles son los Principios de AI de Microsoft, especialmente con respecto a la aplicación violenta de la poderosa tecnología de AI? ¿Cómo sabrán los trabajadores que construyen y mantienen estos servicios, en primer lugar, si nuestro trabajo se está utilizando para ayudar a crear perfiles, vigilancia o matanza?”

Ética empresarial en programas militares IA

Los empleados de Microsoft no son los primeros. El pasado verano, Google descartó participar en el Projecto Maven (un programa militar de inteligencia artificial y aprendizaje automático impulsado por el Departamento de Defensa de Estados Unidos) tras la “rebelión” de más de 6.400 empleados.

Los empleados de Google contaron con el apoyo de un importante número de científicos y académicos (300 expertos en robótica, inteligencia artificial, relaciones internacionales, seguridad, ética y derecho) que pusieron en el punto de mira a todas las tecnológicas señalando “una peligrosa alianza entre la industria tecnológica privada, actualmente en posesión de grandes cantidades de datos personales confidenciales recabados de personas de todo el mundo, y el ejército de un país”.

Amazon también se ha enfrentado a duras críticas por suministrar tecnología de reconocimiento facial a las fuerzas del orden de Oregón y Orlando, en documentos obtenidos por la Unión Estadounidense de Libertades Civiles mediante una petición por la Ley de Libertad de Información, usada para vigilancia masiva y que podría afectar sobre todo a los colectivos y comunidades más vulnerables, personas que no son blancas e inmigrantes.

La misma Microsoft es consciente de esta problemática y Brad Smith, presidente y responsable jurídico de Microsoft, abordó la cuestión en una entrada en el blog de la compañía bajo dos ideas que a su juicio son fundamentales, “este tipo de tecnologías necesitan regulación pública y responsabilidad corporativa”.

El grupo de empleados de Microsoft recuerda este posicionamiento y reclama “no traicionar estos principios a cambio de ganancias a corto plazo”. “Si Microsoft debe rendir cuentas de los productos y servicios que hace, necesitamos pautas éticas claras y una responsabilidad significativa que rija cómo determinamos qué usos de nuestra tecnología son aceptables y cuáles no. Microsoft ya ha reconocido los peligros de la tecnología que construye, incluso pidiendo al gobierno federal que regule las tecnologías de inteligencia artificial. Pero no hay ninguna ley que impida a la empresa ejercer su propio escrutinio interno y defender su propia brújula ética”. 

El gigante surcoreano ha trabajado durante muchos años por convertirse en el primer vendedor en lanzar al mercado un smartphone flexible, y según las últimas declaraciones del CEO de su división móvil, DJ Koh, parece que lo han conseguido.

Según el ejecutivo su primer smartphone flexible está prácticamente terminado y partirá de un concepto tan simple como interesante: cuando esté desplegado trabajará como una tableta, es decir, contará con una pantalla de gran tamaño y permitirá hacer uso de multitarea. Cuando tenga la pantalla plegada se comportará como un smartphone “tradicional”.

La descripción que ha ofrecido DJ Koh nos lleva al concepto de smartphone flexible más tradicional y también más “antiguo” de todos los que hemos visto hasta el momento, ya que encaja a la perfección con el prototipo avistado en 2014 que podemos ver en la imagen de portada. Esto confirma lo que era un secreto a voces, que los smartphones flexibles han estado en desarrollo desde hace bastante tiempo y que podrían haber llegado al mercado hace años, pero que no lo hicieron porque no eran viables a nivel de costes.

Con el paso de los años el coste de los componentes necesarios para fabricar en masa un smartphone flexible ha disminuido, aunque todavía están lejos de un nivel que podamos considerar como aceptable para el mercado de consumo general, ya que se estima que los primeros terminales de este tipo costarán entre 1.500 y 2.000 dólares.

En cualquier caso lo importante para Samsung no es vender muchos millones de unidades de su smartphone flexible, sino marcarse el tanto de ser la primera empresa en poner en el mercado un terminal de este tipo. No se conoce una fecha exacta de lanzamiento, pero las fuentes creen que podría producirse un anuncio antes de terminar este año y un lanzamiento en algún momento del primer trimestre de 2019.