Esta es una traducción de la página original en inglés.
Inseguridad en el software privativo
El software que no es libre (privativo) a menudo es malware (diseñado para maltratar a los usuarios). El software que no es libre está controlado por quienes lo han desarrollado, lo que los coloca en una posición de poder sobre los usuarios; esa es la injusticia básica. A menudo los desarrolladores y fabricantes ejercen ese poder en perjuicio de los usuarios a cuyo servicio deberían estar.
Habitualmente, esto suele realizarse mediante funcionalidades maliciosas.
Esta página ofrece una lista de casos comprobados de inseguridad en el software privativo con graves consecuencias o dignos de mención. Aun cuando la mayor parte de estos fallos de seguridad no son intencionados, de modo que en sentido estricto no son funcionalidades maliciosas, los mencionamos aquí para mostrar que el software privativo no es inmune a los fallos, y a menudo es bastante chapucero.
Todo programa complejo, sea libre o privativo, contiene fallos. Lo que hace que los fallos sean más peligrosos en el software privativo es que los usuarios se ven imposibilitados para subsanar cualquier problema de seguridad que surja. El software privativo es culpable de mantener a los usuarios en la indefensión.
Si conoce algún otro ejemplo que debería mencionarse en esta página, escríbanos por favor a <webmasters@gnu.org>. Incluya la URL de una o más referencias confiables que justifiquen su inclusión.
-
2021-01
Un delincuente informático se hizo con el control de las jaulas de castidad conectadas a internet de algunas personas y les pidió un rescate. Las jaulas de castidad están controladas por una aplicación privativa (un programa para móviles).
(Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»)
-
2020-12
Hay programas espía comerciales capaces de obtener las contraseñas de los iMonstruos, utilizar el micrófono y la cámara, y más cosas.
-
2020-12
Un ejecutivo de Zoom ha sido descubierto espiando y censurando para el gobierno chino.
Este abuso del poder de Zoom muestra lo peligroso que es ese poder. El problema de fondo no es la vigilancia y la censura, sino el poder del que dispone Zoom. Obtiene ese poder en parte gracias al uso de su servidor, pero en parte también gracias al programa cliente privativo.
-
2020-12
Funcionarios estadounidenses están enfrentándose a uno de los mayores ataques informáticos en años, debido a la inserción de código malicioso en Orion, un software privativo de SolarWinds. Los atacantes consiguieron acceder a las redes cuando los usuarios descargaron una actualización manipulada. Los atacantes pudieron monitorear los mensajes de correo electrónico de algunas de las más importantes agencias gubernamentales.
(Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»)
-
2020-12
Se ha descubierto que las aplicaciones de Baidu filtran datos personales sensibles que pueden utilizarse para rastrear de por vida a los usuarios y ponerlos así en peligro. Más de 1.400 millones de personas en todo el mundo se ven afectadas por estas aplicaciones privativas, y la privacidad de los usuarios se ve comprometida por esta herramienta de vigilancia. Los datos recopilados por Baidu pueden estar siendo cedidos al Gobierno chino, poniendo así posiblemente en peligro a muchas personas de ese país.
-
2020-11
Apple ha insertado en sus ordenadores un malware de vigilancia que informa a la compañía del uso que estos hacen de sus ordenadores.
Tales informes se vienen transmitiendo desde hace ya dos años y ni siquiera van cifrados. Este software malicioso informa a Apple de qué usuario abre qué programa y a qué hora. También le da a Apple la capacidad de sabotear las operaciones informáticas de los usuarios.
-
2020-10
A partir de una actualización del software en septiembre de 2020, Samsung obliga a los usuarios de sus smartphones en Hong Kong (y Macao) a utilizar una DNS pública de China continental, lo que provoca gran inquietud y preocupación con respecto a la privacidad.
-
2020-08
TikTok aprovechó una vulnerabilidad de Android para conseguir direcciones MAC de los usuarios.
-
2020-06
Un desastroso fallo de seguridad afecta a millones de productos del Internet de las Trucosas.
A consecuencia de esto, cualquiera puede atacar al usuario, no solo el fabricante.
-
2020-04
El nuevo sistema de Riot Games para evitar las trampas es malware: se ejecuta al arrancar el sistema a nivel del núcleo en Windows. Es software inseguro que amplía la superficie de ataque del sistema operativo.
-
2019-12
Algunos delincuentes informáticos (a los que equivocadamente se refieren en este artículo como «hackers») han conseguido entrar en el sistema privativo del Amazon Ring y acceder a la cámara, los altavoces y los micrófonos.
-
2019-11
El Amazon Ring, que está subordinado a un servidor, tiene una vulnerabilidad que permite a los atacantes acceder a la contraseña de la wifi del usuario y espiar en la casa a través de los dispositivos de vigilancia conectados a la red.
Conocer la contraseña de la wifi no sería suficiente para llevar a cabo ninguna vigilancia significativa si los dispositivos dispusieran de medidas de seguridad adecuadas, incluido el cifrado. Pero muchos dispositivos con software privativo carecen de ello. Por supuesto, también sus fabricantes los utilizan para espiar.
-
2019-08
Una serie de vulnerabilidades halladas en iOS permitía a los atacantes acceder a información sensible, incluidos mensajes privados, contraseñas, fotos y contactos registrados en el iMonstruo del usuario.
La profunda inseguridad de los iMonstruos es aún más relevante dado que el software privativo de Apple hace a los usuarios totalmente dependientes de esa compañía a cambio de una endeble seguridad. Esto significa también que los dispositivos no ofrecen ninguna seguridad frente a la propia Apple.
-
2019-08
De las 21 aplicaciones antivirus gratuitas de Android estudiadas por expertos en seguridad, ocho fallaron en la detección de un virus de prueba. Todas ellas solicitaban peligrosos permisos o contenían rastreadores publicitarios, y siete representaban mayor riesgo que la media de las cien aplicaciones de Android más populares.
(Observe que el artículo se refiere a esas aplicaciones privativas como «free». En lugar ello, debería decir «gratis».)
-
2019-07
Muchas aplicaciones de Android pueden rastrear los movimientos del usuario incluso cuando este no les permite obtener datos de localización.
Al parecer se trata de un defecto no intencionado de Android, aprovechado intencionalmente por aplicaciones maliciosas.
-
2019-05
Los usuarios que quedan atrapados en la prisión de un iMonstruo se convierten en objetivos fáciles para otros atacantes, y la censura de las aplicaciones impide que las empresas de seguridad puedan descubrir cómo funcionan los ataques.
La censura de las aplicaciones por parte de Apple es fundamentalmente injusta, y sería inadmisible aun si no acarreara peligros de seguridad.
-
2019-03
El protocolo de telemetría Conexus, de Medtronics, tiene dos vulnerabilidades que afectan a varios modelos de desfibriladores implantables y a los dispositivos a los que se conectan.
Este protocolo se ha estado utilizando aproximadamente desde 2006, y en 2008 se descubrieron vulnerabilidades similares en un protocolo de comunicaciones anterior de Medtronics. Es obvio que la compañía no hizo nada por solucionarlo. Esto significa que no se puede confiar en que los desarrolladores de software privativo corrijan los fallos de sus productos.
-
2019-02
El videotimbre Ring (ahora Amazon) está diseñado de tal modo que el fabricante (ahora Amazon) puede estar observando todo el tiempo. Ahora resulta que también cualquier otro puede observar e incluso falsear vídeos.
Es de suponer que la vulnerabilidad a terceros no es intencionada, y probablemente Amazon lo solucionará. Sin embargo, no contamos con que Amazon cambie el diseño que le permite observar.
-
2018-09
Algunos investigadores han descubierto cómo ocultar las órdenes vocales en otras transmisiones de audio, de modo que resultan inaudibles para los seres humanos pero no para Alexa y Siri.
-
2018-08
Unos «crackers» encontraron la manera de sortear las medidas de seguridad de un dispositivo de Amazon y convertirlo en un dispositivo de escucha a su servicio.
Les costó mucho hacerlo. A Amazon eso le resultaría mucho más sencillo. Y si algún Gobierno, como China o EE. UU., le dijera a Amazon que lo hiciera, o que dejara de vender ese dispositivo en el país, ¿creen que Amazon tendría la suficiente integridad moral para negarse?
(Estos crackers son probablemente también hackers, pero por favor no utilice la palabra «hackear» para referirse a «sortear medidas de seguridad».)
-
2018-07
Siri, Alexa y todos los demás sistemas de control vocal pueden ser secuestrados por programas que envían órdenes mediante ultrasonidos inaudibles para los humanos.
-
2018-07
Algunos teléfonos de Samsung envían fotos, al azar, a gente que se encuentra en la lista de contactos del propietario.
-
2017-12
Uno de los peligros del «Internet de las Trucosas» es que si se pierde la conexión a internet, también se pierde el control de la casa y aparatos domésticos.
Por el bien de su seguridad, no utilice aparatos conectados a internet.
-
2017-11
La puerta trasera intencional del «motor de gestión» de Intel tiene también puertas traseras accidentales.
-
2017-11
Recientemente Amazon embaucó a los consumidores para que permitieran al personal de la compañía abrir la puerta de entrada de sus casas. Por si no lo sabía, el sistema tiene un grave fallo de seguridad.
-
2017-09
El sistema de seguridad deficiente de algunos coches hace que sea posible activar las bolsas de aire de forma remota.
-
2017-09
Una bomba intravenosa «inteligente» para hospitales está conectada a internet. Naturalmente, su seguridad ya ha sido burlada.
(En ese artículo se utiliza erróneamente el término «hackers» para referirse a los «crackers».)
-
2017-08
El sistema de seguridad deficiente de muchos de los aparatos que funcionan en el Internet de las Trucosas permite que los proveedores de los servicios de internet espíen a quienes los usan.
No sea ingenuo, rechace todas las trucosas.
(Lamentablemente, en al artículo se utiliza el término «monetizar».)
-
2017-06
Muchos modelos de cámaras conectadas a internet tienen puertas traseras.
Esta es una funcionalidad maliciosa, pero también un gran defecto de seguridad, ya que cualquier persona, incluso un intruso malintencionado, puede encontrar las cuentas y usarlas para acceder a las cámaras de los usuarios.
-
2017-06
La puerta trasera de la CPU de Intel (el motor de gestión de Intel) tuvo una importante vulnerabilidad de seguridad durante 10 años.
La vulnerabilidad permitía que un delincuente informático pudiera acceder a la interfaz web de la «tecnología Intel para la gestión activa» (AMT) del ordenador sin contraseña y con privilegios de administrador, obteniendo así acceso al teclado, al ratón y al monitor, entre otros privilegios.
Además, en los nuevos procesadores Intel es imposible desactivar el motor de gestión, de modo que los usuarios, incluso los que se preocupan activamente por su seguridad, no pueden hacer nada para protegerse aparte de utilizar máquinas que no tengan la puerta trasera.
-
2017-05
El código privativo que hace funcionar a los marcapasos, bombas de insulina y otros dispositivos médicos está repleto de graves fallos de seguridad.
-
2017-05
El controlador de audio Conexant HD (versión 1.0.0.46 y precedentes) preinstalado en 28 modelos de portátiles HP anotaba todos los movimientos del teclado del usuario en un registro guardado en el sistema de archivos. Cualquier proceso con acceso al sistema de archivos o a la API MapViewOfFile podía acceder al registro. Es más, según modzero, «la fuga de datos a través del Covert Storage Channel permite a los autores de malware capturar las pulsaciones de teclado sin correr el riesgo de que los controles heurísticos del antivirus lo clasifique como tarea maliciosa».
-
2017-05
Procedimientos para sacar provecho de fallos de Windows, que fueron desarrollados por la NSA y luego divulgados por el grupo Shadowbrokers, se están utilizando ahora para atacar con programas secuestradores a un gran número de máquinas que operan con Windows.
-
2017-04
Muchos dispositivos Android pueden ser atacados a través de sus chips Wi-Fi debido a un fallo en el firmware privativo de Broadcom.
-
2017-03
Cuando el lavavajillas desinfectante Miele que se usa en los hospitales se conecta al Internet de las Trucosas, su seguridad es pura basura.
Por ejemplo, un delincuente informático puede acceder al sistema de archivos del lavavajillas, infectarlo con malware, y hacer que la máquina lance un ataque a los otros dispositivos conectados a la red. Dado que estos lavavajillas se usan en los hospitales, tales ataques podrían poner en riesgo las vidas de cientos de personas.
-
2017-03
La CIA aprovechó vulnerabilidades existentes en teléfonos y televisores «inteligentes» para diseñar un software malicioso capaz de espiar mediante sus micrófonos y cámaras mientras parecían estar apagados. Puesto que este software espía capta las señales, sortea el encriptado.
-
2017-02
Si usted compra algo que supuestamente es «inteligente», como por ejemplo un automóvil, una casa, un televisor, un refrigerador, etc., por lo general los anteriores dueños siguen teniendo el control de manera remota.
-
2017-02
Las aplicaciones de los móviles para comunicarse con un automóvil supuestamente «inteligente» ofrecen poca seguridad.
A esto se añade el hecho de que el vehículo lleva un módem de radiocomunicación que informa permanentemente al Gran Hermano de su localización. Si posee un automóvil de este tipo, sería razonable desconectar el módem a fin de evitar el rastreo.
-
2017-01
Un atacante podría convertir los sensores del Oculus Rift en cámaras de vigilancia, tras haber penetrado en el ordenador al que están conectadas.
(Desafortunadamente, el artículo emplea de forma impropia la palabra «hackers» para referirse a los crackers.)
-
2017-01
Los teléfonos de Samsung tienen un fallo de seguridad que permite que un mensaje de SMS instale programas secuestradores del sistema).
-
2017-01
WhatsApp tiene una función que se ha descrito como «puerta trasera», ya que permitiría a los Gobiernos anular su encriptación.
Los desarrolladores afirman que su propósito no era introducir una puerta trasera. Y esto bien puede ser cierto, pero deja en el aire la cuestión de si funciona como tal. Como el programa no es libre, no podemos estudiarlo para comprobarlo.
-
2016-12
Los juguetes «inteligentes» My Friend Cayla y i-Que se pueden controlar a distancia con un teléfono móvil, no es necesario acceder físicamente. Esto permitiría a los delincuentes informáticos escuchar las conversaciones de los niños e incluso hablarles a través de los juguetes.
Esto significa que un ladrón podría, a través de los juguetes, pedirle al niño que abra la puerta de la casa mientras su mamá está distraída.
-
2016-10
Las redes telefónicas 4G LTE son sumamente inseguras. Cualquier tercero puede tomar el control de las redes y usarlas para perpetrar ataques de intermediario.
-
2016-08
Debido a una seguridad deficiente, es fácil abrir las puertas de cien millones de automóviles construidos por Volkswagen.
-
2016-08
Se ha desarrollado software para el secuestro de datos para un termostato que funciona con software privativo.
-
2016-08
Un fallo en Internet Explorer y Edge permite a un atacante obtener los datos identificativos de la cuenta de Microsoft si el usuario cae en la trampa de visitar un enlace malicioso.
-
2016-07
Los mensajes «borrados» de WhatsApp no se borran completamente. Hay diversas maneras de recuperarlos.
-
2016-07
Una vulnerabilidad en la interfaz de programación (API) Image I/O de Apple permitía a un atacante ejecutar código malicioso desde cualquier aplicación que utilizara esta API para mostrar cierto tipo de archivos de imagen.
-
2016-07
Un fallo en la biblioteca privativa ASN.1, utilizada en torres de telefonía móvil, así como en teléfonos móviles y enrutadores, permite tomar el control de esos sistemas.
-
2016-06
Los programas antivirus contienen tantos errores que pueden empeorar la seguridad.
GNU/Linux no necesita software antivirus.
-
2016-05
El sistema «Smart Home» de Samsung tiene un gran agujero de seguridad: puede ser controlado a distancia por personas sin autorización.
Samsung dice que se trata de una plataforma «abierta», por lo que los desarrolladores de aplicaciones son en parte los responsables del problema. Esto es claramente cierto en el caso de aplicaciones privativas.
Todo lo que incluye la palabra «inteligente» (smart) en el nombre con toda probabilidad está diseñado para engañar.
-
2016-04
Un fallo en la aplicación de mensajería de las iCosas permitió a un sitio web malicioso obtener todo el historial de mensajes del usuario.
-
2016-04
Se ha encontrado malware en las cámaras de seguridad que se venden en Amazon.
Si una cámara registra localmente en un soporte físico y no está conectada a una red, ésta no constituye peligro de vigilancia, ni por el hecho de que observa a las personas ni por la presencia de malware en la misma.
-
2016-03
Más de setenta cámaras de vigilancia conectadas a la red tienen fallos de seguridad que permiten que cualquiera pueda mirar a través de ellas.
-
2016-03
Muchas aplicaciones privativas de pago transmiten datos personales de manera insegura. Sin embargo, lo peor de estas aplicaciones es que el pago no es anónimo.
-
2016-02
El Nissan Leaf contiene un módem integrado de teléfono móvil que permite a cualquiera acceder a distancia al ordenador del coche y hacer modificaciones en la configuración.
Es fácil hacerlo porque el sistema no requiere autenticación cuando se accede a través del módem. Pero aunque fuese necesaria la autenticación, no se puede confiar en que Nissan no tenga acceso. El software del coche es privativo, lo que significa que a los usuarios se les pide que confíen ciegamente en él.
Aun en el caso de que nadie se conecte al coche de forma remota, el módem del móvil hace que la compañía telefónica pueda rastrear los movimientos del coche en todo momento; no obstante, es posible quitar físicamente el módem del móvil.
-
2015-10
Los medidores de actividad física FitBit tienen una vulnerabilidad de Bluetooth que permite a un atacante enviar a un dispositivo malware que sucesivamente se puede propagar a otros medidores FitBit con los que interactúa.
-
2015-10
Los discos duros «autoencriptables» encriptan los datos con firmware privativo, de modo que no se puede confiar. Los discos «My Passport" de Western Digital' tienen una puerta trasera.
-
2015-08
Algunos investigadores en materia de seguridad han descubierto una vulnerabilidad en los dispositivos de diagnóstico que se usan para el rastreo y el seguro de vehículos; la vulnerabilidad consiste en que se puede tomar el control a distancia del automóvil o camión a través de un mensaje de texto (SMS).
-
2015-07
Algunos delincuentes informáticos lograron tomar el control remoto del «automóvil conectado» Jeep, lo que les permitió rastrear el vehículo, encender o apagar el motor y activar o desactivar los frenos, entre otras cosas.
Es de suponer que Chrysler y la NSA también pueden hacerlo.
Si posee un automóvil que contiene un teléfono móvil, desactivarlo sería una buena idea.
-
2015-06
Debido a fallos de seguridad en una bomba de infusión en los hospitales, los delincuentes informáticos podrían utilizarla para matar a los pacientes.
-
2015-05
Multitud de aplicaciones para teléfonos inteligentes utilizan métodos de autenticación inseguros al almacenar los datos personales en servidores remotos. Esto hace que la información personal, como direcciones de correo, contraseñas e información sanitaria, sea vulnerable. Dado que muchas de estas aplicaciones son privativas, es complicado o hasta imposible saber qué aplicaciones suponen un riesgo.
-
2015-05
Un investigador de seguridad calificó a las bombas de infusión Hospira, que se usan para suministrar medicamentos a los pacientes, como los dispositivos IP menos seguros que jamás haya visto.
Dependiendo del tipo de medicamento que se administra, esta inseguridad podría permitir la perpetración de asesinatos.
-
2015-04
Mac OS X tuvo durante cuatro años una puerta trasera local intencional que los atacantes podían aprovechar para obtener privilegios de administrador.
-
2014-05
Una aplicación para evitar el «robo de identidad» (acceso a los datos personales), y que para ello guardaba los datos del usuario en un servidor especial, fue desactivada por su desarrollador al descubrir un fallo de seguridad.
El desarrollador parece ser diligente con respecto a la protección de los datos personales frente a terceros en general, pero no puede proteger los datos frente al Estado. Todo lo contrario: confiar los datos personales a un servidor ajeno, si antes no han sido encriptados por uno mismo con software libre, socava nuestros derechos.
-
2014-04
Muchos de los equipos en los hospitales tienen una seguridad deficiente que puede llevar a la muerte.
-
2014-02
La inseguridad de WhatsApp facilita la interceptación de las comunicaciones.
-
2013-12
Algunas memorias flash contienen software modificable, lo que las hace vulnerables a los virus.
No consideramos esto como una «puerta trasera» porque es normal que se pueda instalar un nuevo sistema en un ordenador cuando se tiene acceso físico a él. Sin embargo, las tarjetas de memoria y los USB no deben admitir este tipo de modificación.
-
2013-12
Unos terminales de puntos de venta que funcionan con Windows han sido atacados y convertidos en una botnet con el propósito de obtener los números de las tarjetas de crédito de los clientes.
-
2013-11
La NSA puede acceder a los datos de los teléfonos inteligentes, incluidos iPhone, Android y BlackBerry. Aunque el artículo no ofrece muchos detalles, parece que esto no sucede mediante la puerta trasera universal que sabemos que tienen casi todos los teléfono móviles. Parece que se hace aprovechando varios fallos. Hay multitud de fallos en el software de radio de los teléfonos.
-
2013-09
La NSA ha introducido puertas traseras en el software privativo de cifrado. No sabemos en cuáles, pero podemos estar seguros de que entre ellos hay sistemas ampliamente utilizados. Esto confirma que no podemos confiar en la seguridad del software que no es libre.
-
2013-09
La FTC (Comisión Federal de Comercio, para la tutela del consumador) ha sancionado a una empresa por haber construido cámaras web con seguridad deficiente que permiten a cualquiera mirar a través de ellas.
-
2013-08
Un programa privativo permite reescribir el software privativo reemplazable de algunos discos duros. Esto hace que cualquier sistema sea vulnerable a ataques persistentes que las herramientas de escaneo normales no detectarán.
-
2013-07
Es posible matar a personas tomando el control de los implantes médicos por radio. Para más información, véase BBC News y el blog de IOActive Labs Research.
-
2013-07
Las «casas inteligentes» resultan ser estúpidamente vulnerables a la intrusión.
-
2012-12
Algunos delincuentes informáticos encontraron la manera de quebrar la seguridad de un televisor «inteligente» y, a través de la cámara, observar a la personas que miran la televisión.
-
2011-03
Es posible tomar el control de ciertos ordenadores en los automóviles a través de malware en los archivos de música. También por radio. Para más información, véase Automotive Security And Privacy Center.