El gobierno del Reino Unido acordó formalmente trabajar con Estados Unidos en el desarrollo de pruebas para modelos avanzados de inteligencia artificial. El 1 de abril de 2024, la Secretaria de Tecnología del Reino Unido, Michelle Donelan, y la Secretaria de Comercio de los Estados Unidos, Gina Raimondo, firmaron un Memorando de Entendimiento, que es un acuerdo no vinculante legalmente (Figura A). Figura A La secretaria de Comercio de Estados Unidos, Gina Raimondo (izquierda), y la secretaria de Tecnología del Reino Unido, Michelle Donelan (derecha). Fuente: Gobierno del Reino Unido. Imagen: Gobierno del Reino Unido Ambos países ahora “alinearán sus enfoques científicos” y trabajarán juntos para “acelerar e iterar rápidamente conjuntos sólidos de evaluaciones para modelos, sistemas y agentes de IA”. Esta medida se está tomando para mantener los compromisos establecidos en la primera Cumbre mundial sobre seguridad de la IA en noviembre pasado, donde gobiernos de todo el mundo aceptaron su papel en las pruebas de seguridad de la próxima generación de modelos de IA. ¿Qué iniciativas de IA han acordado el Reino Unido y Estados Unidos? Con el MoU, el Reino Unido y los EE. UU. acordaron cómo construirán un enfoque común para las pruebas de seguridad de la IA y compartirán sus desarrollos entre sí. Específicamente, esto implicará: Desarrollar un proceso compartido para evaluar la seguridad de los modelos de IA. Realizar al menos un ejercicio de prueba conjunto sobre un modelo de acceso público. Colaborar en la investigación técnica de seguridad de la IA, tanto para avanzar en el conocimiento colectivo de los modelos de IA como para garantizar que las nuevas políticas estén alineadas. Intercambio de personal entre respectivos institutos. Compartir información sobre todas las actividades realizadas en los respectivos institutos. Trabajar con otros gobiernos en el desarrollo de estándares de IA, incluida la seguridad. «Gracias a nuestra colaboración, nuestros institutos obtendrán una mejor comprensión de los sistemas de inteligencia artificial, realizarán evaluaciones más sólidas y emitirán directrices más rigurosas», dijo el secretario Raimondo en un comunicado. VER: Aprenda a utilizar la IA para su negocio (Academia TechRepublic) El MoU se relaciona principalmente con el avance de los planes elaborados por los Institutos de Seguridad de IA en el Reino Unido y EE. UU. Las instalaciones de investigación del Reino Unido se lanzaron en la Cumbre de Seguridad de IA con los tres objetivos principales. de evaluar los sistemas de IA existentes, realizar investigaciones fundamentales sobre la seguridad de la IA y compartir información con otros actores nacionales e internacionales. Empresas como OpenAI, Meta y Microsoft han acordado que el AISI del Reino Unido revise de forma independiente sus últimos modelos de IA generativa. De manera similar, el AISI de EE. UU., establecido formalmente por el NIST en febrero de 2024, fue creado para trabajar en las acciones prioritarias descritas en la Orden Ejecutiva de AI emitida en octubre de 2023; Estas acciones incluyen el desarrollo de estándares para la seguridad de los sistemas de IA. El AISI de EE. UU. cuenta con el apoyo de un consorcio del AI Safety Institute, cuyos miembros son Meta, OpenAI, NVIDIA, Google, Amazon y Microsoft. ¿Conducirá esto a la regulación de las empresas de IA? Si bien ni el AISI del Reino Unido ni el de los EE. UU. son un organismo regulador, es probable que los resultados de su investigación combinada sirvan de base para futuros cambios de políticas. Según el gobierno del Reino Unido, su AISI «proporcionará conocimientos fundamentales para nuestro régimen de gobernanza», mientras que la instalación estadounidense «desarrollará directrices técnicas que serán utilizadas por los reguladores». Podría decirse que la Unión Europea todavía está un paso por delante, ya que su histórica Ley de IA se convirtió en ley el 13 de marzo de 2024. La legislación describe medidas diseñadas para garantizar que la IA se utilice de forma segura y ética, entre otras normas relativas a la IA para el reconocimiento facial y la transparencia. . VER: La mayoría de los profesionales de la ciberseguridad esperan que la IA afecte sus trabajos La mayoría de los grandes actores tecnológicos, incluidos OpenAI, Google, Microsoft y Anthropic, tienen su sede en EE. UU., donde actualmente no existen regulaciones estrictas que puedan restringir sus actividades de IA. La EO de octubre proporciona orientación sobre el uso y la regulación de la IA, y se han tomado medidas positivas desde su firma; sin embargo, esta legislación no es ley. El Marco de Gestión de Riesgos de IA finalizado por el NIST en enero de 2023 también es voluntario. De hecho, estas grandes empresas tecnológicas son en su mayoría responsables de regularse a sí mismas y el año pasado lanzaron el Foro Modelo Frontier para establecer sus propias “barandillas” para mitigar el riesgo de la IA. ¿Qué piensan la IA y los expertos legales sobre las pruebas de seguridad? La regulación de la IA debería ser una prioridad La formación del AISI del Reino Unido no fue una forma universalmente popular de controlar la IA en el país. En febrero, el director ejecutivo de Faculty AI, una empresa involucrada con el instituto, dijo que desarrollar estándares sólidos puede ser un uso más prudente de los recursos gubernamentales en lugar de intentar examinar cada modelo de IA. «Creo que es importante que establezca estándares para el resto del mundo, en lugar de intentar hacerlo todo por sí mismo», dijo Marc Warner a The Guardian. Más cobertura de IA de lectura obligada Los expertos en derecho tecnológico tienen un punto de vista similar cuando se trata del MoU de esta semana. «Idealmente, los esfuerzos de los países se gastarían mucho mejor en desarrollar regulaciones estrictas en lugar de investigación», dijo a TechRepublic en un correo electrónico Aron Solomon, analista legal y director de estrategia de la agencia de marketing legal Amplify. “Pero el problema es este: pocos legisladores (yo diría, especialmente en el Congreso de Estados Unidos) tienen un conocimiento tan profundo de la IA como para regularla. Solomon añadió: “Deberíamos salir en lugar de entrar en un período de estudio profundo necesario, en el que los legisladores realmente entiendan colectivamente cómo funciona la IA y cómo se utilizará en el futuro. Pero, como lo puso de relieve la reciente debacle estadounidense en la que los legisladores intentan prohibir TikTok, ellos, como grupo, no entienden la tecnología, por lo que no están bien posicionados para regularla de manera inteligente. “Esto nos deja en la situación difícil en la que nos encontramos hoy. La IA está evolucionando mucho más rápido de lo que los reguladores pueden regular. Pero aplazar la regulación en favor de cualquier otra cosa en este momento es retrasar lo inevitable”. De hecho, dado que las capacidades de los modelos de IA cambian y se expanden constantemente, las pruebas de seguridad realizadas por los dos institutos deberán hacer lo mismo. «Algunos malos actores pueden intentar eludir las pruebas o aplicar incorrectamente las capacidades de IA de doble uso», dijo a TechRepublic en un correo electrónico Christoph Cemper, director ejecutivo de la plataforma de gestión rápida AIPRM. El doble uso se refiere a tecnologías que pueden utilizarse tanto con fines pacíficos como hostiles. Cemper dijo: “Si bien las pruebas pueden señalar problemas de seguridad técnica, no reemplazan la necesidad de directrices sobre cuestiones éticas, políticas y de gobernanza… Idealmente, los dos gobiernos considerarán las pruebas como la fase inicial de un proceso colaborativo continuo”. VER: La IA generativa puede aumentar la amenaza global de ransomware, según un estudio del Centro Nacional de Seguridad Cibernética Se necesita investigación para una regulación eficaz de la IA Si bien las directrices voluntarias pueden no resultar suficientes para incitar un cambio real en las actividades de los gigantes tecnológicos, una legislación de línea dura podría sofocar Según el Dr. Kjell Carlsson, el progreso en IA si no se considera adecuadamente. El ex analista de ML/AI y actual jefe de estrategia de Domino Data Lab dijo a TechRepublic en un correo electrónico: “Hoy en día, hay áreas relacionadas con la IA donde el daño es una amenaza real y creciente. Se trata de áreas como el fraude y el cibercrimen, donde normalmente existe regulación pero es ineficaz. “Desafortunadamente, pocas de las regulaciones de IA propuestas, como la Ley de IA de la UE, están diseñadas para abordar eficazmente estas amenazas, ya que se centran principalmente en ofertas comerciales de IA que los delincuentes no utilizan. Como tal, muchos de estos esfuerzos regulatorios dañarán la innovación y aumentarán los costos, al tiempo que harán poco para mejorar la seguridad real”. Por lo tanto, muchos expertos piensan que priorizar la investigación y la colaboración es más eficaz que apresurarse con las regulaciones en el Reino Unido y los EE. UU. El Dr. Carlsson dijo: “La regulación funciona cuando se trata de prevenir daños establecidos en casos de uso conocidos. Hoy en día, sin embargo, la mayoría de los casos de uso de la IA aún no se han descubierto y casi todo el daño es hipotético. Por el contrario, existe una increíble necesidad de investigar cómo probar, mitigar el riesgo y garantizar la seguridad de los modelos de IA de forma eficaz. «Como tal, el establecimiento y la financiación de estos nuevos Institutos de Seguridad de IA y estos esfuerzos de colaboración internacional son una excelente inversión pública, no sólo para garantizar la seguridad, sino también para fomentar la competitividad de las empresas en los EE.UU. y el Reino Unido».
Etiqueta: Reino Unido Página 1 de 3
Podría decirse que mantenerse actualizado con lo último en seguridad cibernética nunca ha sido más importante que en 2024. El proveedor de servicios financieros Allianz nombró los ataques cibernéticos como el mayor riesgo de este año para las empresas en el Reino Unido y por primera vez una de las principales preocupaciones para empresas de todos los tamaños. Sin embargo, muchos profesionales aún no saben qué nos dicen los acontecimientos del primer trimestre sobre el panorama cibernético para el resto del año que podría tener consecuencias importantes. TechRepublic consultó a expertos de la industria del Reino Unido para identificar las tres tendencias más importantes en seguridad cibernética (IA, días cero y seguridad de IoT) y brindar orientación sobre cómo las empresas pueden defender mejor su posición. 1. Ciberataques sofisticados con IA En enero de 2024, el Centro Nacional de Seguridad Cibernética del Reino Unido advirtió que se esperaba que la amenaza global de ransomware aumentara debido a la disponibilidad de tecnologías de IA, con ataques aumentando tanto en volumen como en impacto. El riesgo para las empresas del Reino Unido es especialmente pronunciado: un informe reciente de Microsoft encontró que el 87% son “vulnerables” o “en alto riesgo” de sufrir ataques cibernéticos. El Ministro de Inteligencia Artificial y Propiedad Intelectual, Vizconde Camrose, ha destacado específicamente la necesidad de que las organizaciones del Reino Unido «intensifiquen sus planes de ciberseguridad», ya que es el tercer país del mundo más blanco de ciberataques, después de EE.UU. y Ucrania. James Babbage, director general de amenazas de la Agencia Nacional contra el Crimen, dijo en la publicación del NCSC: «Los servicios de inteligencia artificial reducen las barreras de entrada, aumentan el número de ciberdelincuentes y aumentarán su capacidad al mejorar la escala, la velocidad y la eficacia de las amenazas existentes». métodos de ataque”. Los delincuentes pueden utilizar la tecnología para realizar ataques de ingeniería social más convincentes y obtener acceso inicial a la red. Según el informe global Cybersecurity Forecast de Google Cloud, los grandes modelos de lenguaje y la IA generativa «se ofrecerán cada vez más en foros clandestinos como un servicio pago y se utilizarán para diversos fines, como campañas de phishing y difusión de desinformación». VER: Principales predicciones de IA para 2024 (descarga premium gratuita de TechRepublic) Jake Moore, asesor global de ciberseguridad de la empresa antivirus y de seguridad de Internet ESET, ha estado investigando un software de clonación en tiempo real que utiliza IA para intercambiar la cara de una persona que llama por video con la de otra persona. Le dijo a TechRepublic por correo electrónico: «Esta tecnología, junto con el impresionante software de clonación de voz de IA, ya está comenzando a cuestionar la autenticidad de una videollamada, lo que podría tener un impacto devastador en empresas de todos los tamaños». OpenAI anunció el 29 de marzo de 2024 que estaba adoptando un «enfoque cauteloso e informado» a la hora de lanzar su herramienta de clonación de voz al público en general «debido al potencial de uso indebido de la voz sintética». El modelo llamado Voice Engine es capaz de replicar de manera convincente la voz de un usuario con solo 15 segundos de audio grabado. «Los piratas informáticos maliciosos tienden a utilizar una variedad de técnicas para manipular a sus víctimas, pero una nueva e impresionante tecnología sin límites ni regulaciones está facilitando a los ciberdelincuentes influir en las personas para obtener ganancias financieras y agregar otra herramienta más a su creciente conjunto de herramientas», dijo Moore. “Es necesario recordar al personal que estamos entrando en una era en la que ver no siempre es creer y la verificación sigue siendo la clave de la seguridad. Las políticas nunca deben limitarse a las instrucciones habladas y todo el personal debe estar al tanto (del software de clonación en tiempo real) que está a punto de explotar en los próximos 12 meses”. 2. Explotaciones de día cero más exitosas Las estadísticas gubernamentales encontraron que el 32% de las empresas del Reino Unido sufrieron una violación de datos conocida o un ataque cibernético en 2023. Raj Samani, vicepresidente senior científico jefe de la plataforma unificada de seguridad cibernética Rapid7, cree que los ataques empresariales seguirán siendo particularmente frecuentes en el Reino Unido a lo largo de este año, pero agregó que los actores de amenazas también son más sofisticados. Le dijo a TechRepublic en un correo electrónico: “Una de las tendencias más emergentes durante 2023 que vemos que continúa hasta 2024 es la gran cantidad de Días Cero explotados por grupos de amenazas que normalmente no habríamos anticipado que tuvieran tales capacidades. “Lo que esto significa para el sector de ciberseguridad del Reino Unido es la demanda de una clasificación más rápida de la priorización de las actualizaciones de seguridad. Es imperativo que las organizaciones de todos los tamaños implementen un enfoque para mejorar la identificación de avisos críticos que impactan su entorno y que incorporen el contexto en estas decisiones. «Por ejemplo, si una vulnerabilidad se está explotando de forma natural y no hay controles de compensación (y está siendo explotada, por ejemplo, por grupos de ransomware), entonces probablemente será necesario priorizar la velocidad con la que se aplican los parches». VER: Principales predicciones de ciberseguridad para 2024 (descarga gratuita de TechRepublic Premium) La “Encuesta sobre violaciones de seguridad cibernética 2023” realizada por el gobierno del Reino Unido encontró disminuciones en las prácticas clave de higiene cibernética de políticas de contraseñas, firewalls de red, derechos de administrador restringidos y políticas para aplicar actualizaciones de seguridad de software dentro de 14 días. Si bien los datos reflejan en gran medida cambios en las micro, pequeñas y medianas empresas, la laxitud aumenta significativamente el alcance de los objetivos disponibles para los ciberdelincuentes y resalta la necesidad de mejorar en 2024. «Los datos personales siguen siendo una moneda enormemente valiosa», dijo Moore. República Tecnológica. «Una vez que los empleados bajan la guardia (los ataques) pueden ser extremadamente exitosos, por eso es vital que los miembros del personal estén conscientes de (las) tácticas que se utilizan». Cobertura de seguridad de lectura obligada 3. Enfoque renovado en la seguridad de IoT Para el 29 de abril de 2024, todos los proveedores de dispositivos de IoT en el Reino Unido deberán cumplir con la Ley de Telecomunicaciones y Seguridad de Productos de 2022, lo que significa que, como mínimo: Los dispositivos deben estar habilitados con contraseña . Los consumidores pueden informar claramente sobre problemas de seguridad. Se divulga la duración del soporte de seguridad del dispositivo. Si bien este es un paso positivo, muchas organizaciones continúan dependiendo en gran medida de dispositivos heredados que tal vez ya no reciban soporte de su proveedor. Moore le dijo a TechRepublic en un correo electrónico: “Con demasiada frecuencia, los dispositivos IoT han sido empaquetados con características de seguridad integradas débiles, si las hay, por lo que (los usuarios) están a la defensiva desde el principio y, a menudo, no se dan cuenta de las debilidades potenciales. Las actualizaciones de seguridad también tienden a ser poco frecuentes, lo que supone mayores riesgos para el propietario”. Las organizaciones que dependen de dispositivos heredados incluyen aquellas que manejan infraestructura nacional crítica en el Reino Unido, como hospitales, servicios públicos y telecomunicaciones. La evidencia de Thales presentada para un informe del gobierno del Reino Unido sobre la amenaza del ransomware a la seguridad nacional decía que «no es raro dentro del sector CNI encontrar sistemas obsoletos con una larga vida operativa que no se actualizan, monitorean o evalúan de manera rutinaria». Otra evidencia de NCC Group decía que «es mucho más probable que los sistemas OT (tecnología operativa) incluyan componentes que tienen entre 20 y 30 años y/o utilicen software más antiguo que es menos seguro y ya no es compatible». Estos sistemas más antiguos ponen en riesgo de interrupción los servicios esenciales. VER: Principales riesgos de seguridad de IIoT Según la empresa de seguridad de TI ZScaler, 34 de los 39 exploits de IoT más utilizados han estado presentes en dispositivos durante al menos tres años. Además, los analistas de Gartner predijeron que el 75% de las organizaciones albergarán sistemas heredados o no administrados que realizan tareas de misión crítica para 2026 porque no han sido incluidos en sus estrategias de confianza cero. «Los propietarios de IoT deben comprender los riesgos al instalar cualquier dispositivo conectado a Internet en su negocio, pero obligar a los dispositivos de IoT a ser más seguros desde la fase de diseño es vital y podría reparar muchos vectores de ataque comunes», dijo Moore.
Los piratas informáticos estatales rusos están adaptando sus técnicas para atacar a las organizaciones que se trasladan a la nube, advirtió un aviso del Centro Nacional de Seguridad Cibernética del Reino Unido y agencias de seguridad internacionales. El aviso detalla cómo el grupo de ciberespionaje APT29 está apuntando directamente a las debilidades en los servicios en la nube utilizados por las organizaciones víctimas para obtener acceso inicial a sus sistemas. APT29 también está ampliando el alcance de sus ataques más allá de los gobiernos, los grupos de expertos, los proveedores de atención médica y de energía para incluir víctimas en la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares. APT29 ha sido vinculado al Servicio de Inteligencia Exterior de Rusia. El aviso insta a las organizaciones a abordar las vulnerabilidades comunes en sus entornos de nube eliminando cuentas inactivas, habilitando la autenticación multifactor y creando cuentas canary para monitorear actividades sospechosas. ¿Quién es APT29? APT29, también conocido como Cozy Bear, Midnight Blizzard o The Dukes, es un grupo de ciberespionaje que se cree que es el autor del infame ataque SolarWinds de 2020, que aprovechó las vulnerabilidades de la red Orion y tuvo un impacto devastador en las agencias gubernamentales de EE. UU. y varias empresas del sector privado. El grupo de hackers también fue culpado por el reciente ataque de difusión de contraseñas a Microsoft que resultó en el compromiso de una pequeña cantidad de cuentas de correo electrónico corporativas. Cómo APT29 está adaptando sus ciberataques para centrarse en entornos basados en la nube y «bombardeo MFA» Según el aviso, se ha observado que APT29 utiliza una serie de técnicas durante los últimos 12 meses que sugieren que se está adaptando al cambio hacia operaciones basadas en la nube. ambientes en los sectores público y privado. Específicamente, el grupo está explotando cada vez más las debilidades de los servicios en la nube utilizados por las organizaciones para obtener acceso inicial a las redes. Esto marca un alejamiento de los métodos de ataque tradicionales utilizados por el grupo, es decir, aquellos que apuntan a equipos locales. Las técnicas utilizadas por APT29 incluyen la difusión de contraseñas y ataques de fuerza bruta dirigidos a cuentas que están inactivas o no son operadas por una persona y se utilizan para administrar otras aplicaciones en la red. “Este tipo de cuenta se utiliza normalmente para ejecutar y administrar aplicaciones y servicios. No hay ningún usuario humano detrás de ellas, por lo que no pueden protegerse fácilmente con autenticación multifactor (MFA), lo que hace que estas cuentas sean más susceptibles a un compromiso exitoso”, señala el aviso. “Las cuentas de servicio a menudo también tienen muchos privilegios dependiendo de qué aplicaciones y servicios son responsables de administrar. Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red para lanzar más operaciones”. APT29 también está explotando las debilidades de los protocolos MFA a través del «bombardeo MFA», que implica bombardear el dispositivo de la víctima con solicitudes de autenticación hasta que se cansa de aceptar, ya sea accidentalmente o no. Después de eludir MFA, los piratas informáticos pueden registrar su propio dispositivo en la red y obtener un acceso más profundo a los sistemas de la organización víctima. También se ha observado que los actores de SVR roban tokens de autenticación emitidos por el sistema, lo que les permite acceder a las cuentas de las víctimas sin necesidad de una contraseña. Toby Lewis, jefe de análisis de amenazas de la empresa británica de ciberseguridad Darktrace, dijo que el cambio en las tácticas de APT29 destacó algunos de los «desafíos inherentes» a la seguridad de la infraestructura de la nube. «La creciente migración de datos y cargas de trabajo a la nube ha abierto nuevas superficies de ataque que los ciberdelincuentes están ansiosos por explotar», dijo Lewis a TechRepublic por correo electrónico. “Los entornos de nube contienen enormes cantidades de datos confidenciales que atraen tanto a los malos actores como a los grupos de estados-nación. La naturaleza distribuida de la infraestructura de la nube, el rápido aprovisionamiento de recursos y la prevalencia de configuraciones erróneas han planteado importantes desafíos de seguridad”. Cómo los piratas informáticos de SVR pasan desapercibidos Los servidores proxy residenciales y las cuentas inactivas también están demostrando ser herramientas muy útiles para los piratas informáticos de SVR, señala el aviso. Las cuentas inactivas generalmente se crean cuando un empleado deja una organización pero su cuenta permanece activa. Los piratas informáticos que tienen acceso a una cuenta inactiva pueden eludir cualquier restablecimiento de contraseña impuesto por una organización luego de una violación de seguridad, señala el aviso; simplemente inician sesión en la cuenta inactiva o inactiva y siguen las instrucciones para restablecer la contraseña. «Esto ha permitido al actor recuperar el acceso tras las actividades de desalojo en respuesta a incidentes», dice. Del mismo modo, los actores de SVR utilizan servidores proxy residenciales para enmascarar su ubicación y hacer que parezca que el tráfico de su red se origina en una dirección IP cercana. Esto hace que sea más difícil para una organización víctima detectar actividad sospechosa en la red y hace que las defensas de ciberseguridad que utilizan direcciones IP como indicadores de actividad sospechosa sean menos efectivas. «A medida que las defensas a nivel de red mejoran la detección de actividades sospechosas, los actores de SVR han buscado otras formas de permanecer encubiertos en Internet», dice el aviso. Cobertura de seguridad de lectura obligada Los desafíos de proteger las redes en la nube Si bien no se menciona específicamente en el aviso, Lewis dijo que los avances en la inteligencia artificial generativa plantean desafíos adicionales para proteger los entornos en la nube, es decir, que los atacantes están aprovechando la tecnología para diseñar ataques de phishing e ingeniería social más sofisticados. técnicas. También sugirió que muchas organizaciones rebasan la seguridad en la nube porque asumen que es responsabilidad del proveedor de servicios en la nube, cuando en realidad es una responsabilidad compartida. DESCARGAR: Esta política de capacitación y concientización sobre seguridad de TechRepublic Premium “Muchas organizaciones asumen erróneamente que el proveedor de la nube se encargará de todos los aspectos de la seguridad. Sin embargo, aunque el proveedor protege la infraestructura subyacente, el cliente sigue siendo responsable de configurar adecuadamente los recursos, la gestión de identidades y accesos y la seguridad a nivel de aplicaciones”, dijo. “Los líderes empresariales deben tomarse en serio la seguridad en la nube invirtiendo en habilidades, herramientas y procesos adecuados. Deben asegurarse de que los empleados tengan capacitación en seguridad y arquitectura de la nube para evitar configuraciones erróneas básicas. También deberían adoptar el modelo de responsabilidad compartida, para saber exactamente qué es de su competencia”. Consejos del NCSC para mantenerse seguro con respecto al aviso SVR El aviso del NCSC enfatiza la importancia de los fundamentos de la ciberseguridad, que incluyen: Implementación de MFA. Usar contraseñas seguras y únicas para las cuentas. Reducir la duración de las sesiones para tokens y sesiones de usuario. Implementar un principio de privilegio mínimo para las cuentas de sistema y servicio, mediante el cual a cada cuenta se le otorgan solo los niveles mínimos de acceso necesarios para realizar sus funciones. Esto minimiza el daño potencial de las cuentas comprometidas y restringe el nivel de acceso que podrían obtener los atacantes. «Una buena base de los fundamentos de la seguridad cibernética puede negar incluso una amenaza tan sofisticada como el SVR, un actor capaz de llevar a cabo un compromiso de la cadena de suministro global como el compromiso de SolarWinds de 2020», señala el aviso. DESCARGAR: Esta política de seguridad en la nube de TechRepublic Premium Más allá de esto, el aviso sugiere configurar cuentas de servicio canary, es decir, cuentas que parecen legítimas pero que en realidad se utilizan para monitorear actividades sospechosas en la red. Se deben implementar políticas de inscripción sin intervención siempre que sea posible para que solo los dispositivos autorizados puedan agregarse automáticamente a la red, y las organizaciones deben «considerar una variedad de fuentes de información, como eventos de aplicaciones y registros basados en host, para ayudar a prevenir, detectar e investigar posibles ataques maliciosos». comportamiento.» Lewis destacó la importancia de la colaboración para responder al panorama de amenazas en evolución, así como para garantizar que las empresas cuenten con las habilidades, las personas y los procesos adecuados para defenderse contra amenazas nuevas y emergentes. “La colaboración global entre agencias y empresas de ciberseguridad es fundamental para identificar y responder a amenazas sofisticadas. Los atacantes como APT29 piensan globalmente, por lo que los defensores también deben hacerlo”, dijo. “Compartir inteligencia sobre nuevas tácticas permite a las organizaciones de todo el mundo mejorar sus defensas y responder rápidamente. Ninguna agencia o empresa tiene visibilidad completa por sí sola”.
Imagen: Adobe/The KonG El UK Tech Cluster Group, que reúne a grupos tecnológicos de todo el país, ha lanzado un informe que describe los pasos que el próximo gobierno debería tomar para garantizar que las empresas de todo el país puedan aprovechar la innovación digital. El informe hace estas cuatro recomendaciones generales para el gobierno: Crear una fuente de talento tecnológico globalmente competitiva en cada región del Reino Unido Fomentar estrategias de transformación digital a nivel local. Desarrollar una “política de innovación del Reino Unido” que coloque la tecnología en el centro de las estrategias de desarrollo regional. Hacer más para apoyar financieramente a nuevas empresas emergentes en las regiones. ¿Qué tamaño tiene el mercado tecnológico del Reino Unido? El Reino Unido tiene un ecosistema tecnológico sólido; de hecho, el ecosistema de startups valía alrededor de 1,1 billones de dólares en 2023 (£897 mil millones), según datos de Dealroom (Figura A). Fintech es el sector más grande para la inversión de capital de riesgo, seguido por la atención médica y el transporte. Figura A: En 2023, el ecosistema de startups del Reino Unido valía alrededor de 1,1 billones de dólares (897 mil millones de libras esterlinas). Imagen: Dealroom Sin embargo, esa inversión está distribuida de manera muy desigual; la gran mayoría de la financiación se destina a empresas de Londres y el sureste, incluido el llamado Triángulo Dorado formado por Londres y las ciudades universitarias de Oxford y Cambridge. Londres tiene 87 empresas unicornio con un valor de más de mil millones de dólares (788 millones de libras esterlinas), según los datos de Dealroom, mientras que toda Escocia sólo tiene cuatro empresas unicornio. Esa economía digital está impulsando cada vez más el crecimiento económico del Reino Unido. Según una investigación de la Asociación de la Industria de Computación y Comunicaciones, la economía digital y el comercio minorista en línea del Reino Unido respaldan £227 mil millones ($288 mil millones) en actividad económica y más de 2,6 millones de empleos en el Reino Unido, lo que la convierte en la economía digital más avanzada de Europa. El salario medio en la economía digital ronda las 45.700 libras esterlinas al año (58.000 dólares), más de 12.000 libras esterlinas (15.000 dólares) o un 37% más que las 33.400 libras esterlinas (42.000 dólares) que se observan en el Reino Unido en su conjunto. Parte del desafío es ayudar a que las empresas tecnológicas prosperen de manera más amplia. «Aunque el dinero y las oportunidades no se distribuyen de manera equitativa, el talento sí lo está», afirmó Katie Gallagher, presidenta de UKTCG y directora general de Manchester Digital. “Elegimos centrarnos en las cuatro áreas que creemos que impactan más a las regiones. Se trata de garantizar que cada región tenga una cartera de talentos tecnológicos competitiva. Se trata de garantizar que la innovación digital se impulse desde los cimientos y garantizar que cada empresa tenga la oportunidad de comprender los beneficios de integrar lo digital y la tecnología en su empresa”, dijo Gallagher a TechRepublic en una entrevista por Zoom. VER: Impacto de la IA en los empleos en el Reino Unido: entre el 10% y el 30% de los trabajos podrían automatizarse con IA (TechRepublic) Alrededor del 70% de las empresas de IA están en Londres y el sureste, y solo el 30% en el resto del país. y eso empieza a dar “una cierta idea del desequilibrio” en términos de los ecosistemas tecnológicos en todo el país, dijo. Más sobre la innovación Impulsando la transformación digital en el Reino Unido El informe de UKTCG dice que es necesario hacer más para abordar las habilidades tecnológicas en el Reino Unido. Hay una serie de iniciativas diferentes en el Reino Unido, como programas de aprendizaje, T Levels y campamentos de programación que prometen brindar a los trabajadores la habilidades tecnológicas adecuadas, pero es difícil para las empresas entender a cuál de estos esquemas prestar atención. «El panorama de las habilidades es muy ruidoso», dijo Gallagher. UKTCG dijo que ese era particularmente el caso de las PYMES tecnológicas, que generalmente son empresas nuevas y no tienen funciones de recursos humanos establecidas ni redes industriales integradas a las que recurrir en busca de asesoramiento. Las PYMES necesitan incentivos para contratar nuevos talentos, de modo que más estudiantes de programas de habilidades puedan adaptarse a roles en la industria, afirmó. El informe también dice que si bien la adopción temprana de la tecnología digital puede impulsar un aumento de la productividad regional a largo plazo, los esfuerzos para fomentar esto a nivel central han fracasado en gran medida, mientras que señala que “los esfuerzos para hacerlo a nivel local han tenido gran éxito”. Dijo que era necesario hacer más para fomentar la adopción y la innovación digitales, pero esto debería realizarse a nivel local. “La necesidad de impulsar la productividad a través de la innovación digital no ha desaparecido ni desaparecerá”, señala el informe. También dijo que el gobierno del Reino Unido debería invertir en capacitación en liderazgo y gestión para las pymes tecnológicas. «Las empresas tecnológicas que han comenzado y crecido en nuestros ecosistemas no deberían perder el apoyo para desarrollar su liderazgo y capacidad de gestión», dice el informe. “También se trata de comprender que no todas las empresas buscan salir y convertirse en unicornios. Se trata de construir algunas de esas empresas hasta alcanzar tamaños sostenibles que generen empleos de buena calidad. Esas empresas medianas y pequeñas en general están impulsando las economías regionales”, dijo Gallagher. Construyendo una economía digital más amplia en el Reino Unido Al analizar la política de innovación del Reino Unido, el informe dice que el gobierno también debería trabajar para desarrollar programas que fomenten la colaboración entre empresas locales, instituciones locales como universidades y empresas tecnológicas ambiciosas que puedan fomentar la innovación regional y el crecimiento empresarial. . El informe también pide más apoyo financiero para las empresas de tecnología fuera del sureste de Inglaterra. “No todo el mundo puede permitirse el lujo de experimentar en una nueva empresa después de graduarse, con apoyo financiero y conexiones. El gobierno puede fomentar una cartera más sólida de nuevas empresas emergentes considerando la mejora del crédito fiscal para investigación y desarrollo y la subvención de fondos de apoyo para empresas innovadoras y spin-outs fuera del Triángulo Dorado”, dice el informe. Proporcionar incentivos fiscales específicos y planes de apoyo a las pistas ayudaría a que ideas más innovadoras se conviertan en valor comercial y buenos empleos, como se señala en el informe. Si bien fomentar el crecimiento de la industria tecnológica más allá del sudeste puede ser un desafío, las recompensas podrían ser significativas. Una investigación realizada por el organismo industrial techUK encontró que en Londres el “valor agregado bruto” del sector digital (una medida de productividad) era de £9,083 ($11,500), mientras que en West Midlands era de £2,055 ($2,605), y en Gales era sólo £1,348 ($1,709). Según techUK, si las seis regiones con el menor valor agregado bruto digital (esas regiones son el suroeste, East Midlands, Yorkshire y Humber, el noreste, Irlanda del Norte y Gales) pudieran alcanzar aproximadamente el mismo nivel que el promedio región del Reino Unido, podría aportar £4.8 mil millones adicionales ($6.1 mil millones) a la economía del Reino Unido, lo que generaría nuevos empleos, oportunidades y crecimiento.
La computación cuántica es el foco de una inversión de £45 millones ($57 millones) por parte del gobierno del Reino Unido anunciada el 5 de febrero. El dinero se destina a encontrar usos prácticos para la computación cuántica y crear una “economía habilitada para lo cuántico” para 2033. a prototipos y acelerador de negocios De la inversión total, £30 millones ($38 millones) se dedican al desarrollo y entrega de computadoras cuánticas novedosas y avanzadas. Parte de este dinero se destina a la creación de entornos controlados en los que ingenieros y científicos puedan experimentar. Los 15 millones de libras restantes (19 millones de dólares) de la inversión se destinan al Quantum Catalyst Fund, que se otorga a organizaciones del sector público con proyectos de computación cuántica destinados a resolver problemas prácticos como la optimización del uso público de la energía. En esencia, las empresas elegidas para la financiación del Centro Nacional de Computación Cuántica trabajarán en el desarrollo de hardware cuántico. Mientras tanto, el Quantum Catalyst Fund apoya estudios de viabilidad sobre cómo se puede utilizar la tecnología cuántica para mejorar los servicios públicos. Más sobre Innovación Ganadores nombrados en el concurso Quantum Computing Testbeds El Centro Nacional de Computación Cuántica anunció que siete empresas han avanzado a la siguiente ronda de competencia en su desarrollo de prototipos de hardware de computación cuántica: ORCA Computing. Iónicos de Oxford. Quanta fría Reino Unido. QuEra Reino Unido. Rigetti. Aegiq. Movimiento cuántico. Estas organizaciones están probando diferentes tipos de plataformas de computación cuántica (entre ellas de iones atrapados, superconductoras, fotónica y átomos neutros) para ver cuál es más efectiva para tipos particulares de problemas. Cada empresa estudia diferentes formas de trabajar con los qubits, la unidad básica de información en la computación cuántica. A continuación, las siete empresas elegidas tendrán acceso a una instalación del NQCC para desplegar sus plataformas. Se esperan resultados para marzo de 2025. El Quantum Catalyst Fund tiene como objetivo resolver los problemas del sector público El Quantum Catalyst Fund es administrado por Innovate UK (una división del organismo del sector público de investigación e innovación del gobierno del Reino Unido, UKRI) y el Departamento de Ciencia, Innovación y Tecnología. Las empresas que recibieron dinero del Quantum Catalyst Fund son: Quantinuum (simulaciones de química). MoniRail (navegación ferroviaria). Cerca Magnetics (imágenes cerebrales para afecciones como epilepsia, conmoción cerebral y demencia). Delta g (cartografía gravitacional). Q-CTRL UK (horarios de trenes optimizados cuánticamente). Phasecraft (mejora del uso de la energía en la red pública). Estas seis empresas fueron elegidas tras una primera fase del concurso que duró tres meses. En la fase 2, desarrollarán prototipos y demostrarán lo que hacen sus proyectos. «Estamos brindando a nuestras empresas e instituciones líderes en el mundo los recursos y herramientas necesarios para construir una base sólida en computación cuántica con el potencial de escalar sus actividades para obtener una ventaja competitiva a largo plazo», dijo Kedar Pandya, director ejecutivo de programas entre consejos. en UKRI, en el comunicado de prensa. «Esta inversión ayudará a nuestros investigadores e innovadores a desarrollar el plan para el hardware y software de computación cuántica y asegurará el lugar del Reino Unido en este campo en desarrollo». VER: La computación cuántica podría ser un negocio de 6.000 millones de dólares para Australia, aprovechando la inversión estadounidense. (TechRepublic) Búsqueda de usos prácticos para la computación cuántica Además de la inversión de £45 millones en febrero, el Reino Unido dedicó £2.5 mil millones ($3.1 mil millones) en marzo de 2023 en apoyo de la Estrategia Cuántica Nacional. Esta estrategia tiene como objetivo desarrollar tecnologías cuánticas durante 10 años, a partir de 2024. Las tecnologías cuánticas son una de las cinco tecnologías críticas del gobierno identificadas en el Marco de Ciencia y Tecnología del Reino Unido como tecnologías con el potencial de resolver desafíos sociales, crear empleos bien remunerados e impulsar la economía. «Las tecnologías cuánticas tienen el potencial de enfrentar algunos de los mayores desafíos que enfrenta la sociedad», dijo Will Drury, director ejecutivo de tecnologías digitales de Innovate UK, en el comunicado de prensa. «Al liberar una potencia informática que va mucho más allá de la tecnología digital existente, podemos alcanzar nuevas fronteras en detección, temporización, imágenes y comunicaciones».
Un cachorro de cocker spaniel se lo pasó muy entretenido en un viaje reciente al lavado de autos, persiguiendo el cepillo del trabajador e intentando agarrarlo a través del vidrio.
Source link
Un empleado de finanzas de una empresa global ha sido engañado para que transfiera 38,8 millones de dólares a estafadores que utilizaron tecnología avanzada de deepfake para organizar una reunión falsa con su jefe. Los estafadores pudieron utilizar tecnología de vanguardia para hacerse pasar por el director financiero de la empresa de Hong Kong durante una videollamada. El empleado de finanzas fue engañado con éxito y transfirió la suma de ocho cifras directamente a sus bolsillos. Este complejo fraude llevó al empleado a participar en una videoconferencia falsa bajo la impresión de que se reuniría con varios colegas. Sin embargo, las figuras con las que interactuó eran todas creaciones artificiales generadas por tecnología deepfake, según las autoridades de Hong Kong. “(En la) videoconferencia de varias personas, resulta que todos [he saw] era falso”, explicó el superintendente principal Baron Chan Shun-ching. El acto fraudulento que involucró al director financiero falso salió a la luz sólo después de que el trabajador de finanzas verificara la transacción con la oficina principal de la compañía. El incidente se encuentra entre los últimos de una serie de fraudes en los que los delincuentes han explotado la tecnología deepfake para manipular vídeos existentes y otros medios con fines de estafas financieras. Durante la misma conferencia de prensa, los agentes de policía de Hong Kong revelaron que habían arrestado a seis personas en relación con esquemas de fraude similares. Chan mencionó además que entre julio y septiembre del año anterior año, los estafadores utilizaron ocho documentos de identidad robados de Hong Kong, declarados perdidos, para presentar 90 solicitudes de préstamos y registrar 54 cuentas bancarias. La tecnología deepfake se empleó al menos en 20 ocasiones para eludir las medidas de seguridad de reconocimiento facial imitando las identidades de los titulares de las tarjetas. Los críticos de esta tecnología altamente avanzada han predicho durante mucho tiempo las repercusiones potencialmente catastróficas que rodean la creación de imágenes ultrarrealistas de IA y su uso en estafas. Los deepfakes tienen potencial para aplicaciones legítimas en entretenimiento, educación y creación de contenido, pero también han dado lugar a formas más creativas de estafas y actividades maliciosas. Para crear un deepfake, se necesitan cantidades sustanciales de datos (imágenes o secuencias de video) de la persona objetivo. recogido. Cuantos más datos estén disponibles, más convincente puede ser el deepfake. Con la explosión de las redes sociales en los últimos 20 años, junto con el hecho de que cada vez más propietarios de teléfonos inteligentes utilizan su rostro para desbloquear su dispositivo, los estafadores y piratas informáticos sofisticados tienen una presencia cada vez mayor. una mezcla heterogénea de información a su disposición. Personas de alto perfil se han transformado regularmente en videos falsos para promover estafas en las redes sociales. Recientemente, la imagen del multimillonario australiano Dr. Andrew Forrest se utilizó en una estafa de videos criptográficos falsos. El empresario y magnate minero, apodado Twiggy, se utilizó su identidad para diseñar un plan para hacerse rico rápidamente con el anuncio que circula en Instagram. El video manipulado, que apareció a fines del mes pasado en la plataforma propiedad de Meta, muestra al ‘Dr. Forrest’ instando a los usuarios a registrarse para una plataforma fraudulenta que promete hacer ganar a la “gente común” miles de dólares diarios. Luego lleva a las víctimas a un sitio web llamado “Quantum AI”, que se ha convertido en un nombre asociado con estafas y fraudes financieros, según Cybertrace, la organización liderada por inteligencia. empresa de investigaciones cibernéticas que identificó el video de la estafa. El clip fue cuidadosamente editado a partir de una “charla junto a la chimenea” de Rhodes Trust, cambiando la apariencia y el comportamiento del Dr. Forrest para que parezca que está promocionando software para el comercio de criptomonedas. También existen grandes riesgos de desinformación como deepfakes se vuelven cada vez más comunes en línea. Los analistas estadounidenses ya han dado la alarma sobre las falsificaciones de audio en el período previo a las elecciones estadounidenses de 2024, que se consideran una de las más apasionantes de los últimos tiempos. Una llamada automática en la que aparece un falso presidente estadounidense, Joe Biden, ha generado especial alarma sobre los audios falsificados. La llamada automática instó a los residentes de New Hampshire a no emitir su voto en las primarias demócratas del mes pasado, lo que llevó a las autoridades estatales a iniciar una investigación sobre una posible supresión de votantes. Los reguladores estadounidenses han estado considerando ilegalizar las llamadas automáticas generadas por IA, y la llamada falsa de Biden dio un nuevo impulso al esfuerzo. “El momento político del deepfake está aquí”, dijo Robert Weissman, presidente del grupo de defensa Public Citizen. “Los formuladores de políticas deben apresurarse a implementar protecciones o Estamos ante un caos electoral. El deepfake de New Hampshire es un recordatorio de las muchas formas en que los deepfake pueden sembrar confusión”. Los investigadores temen el impacto de las herramientas de inteligencia artificial que crean videos y textos tan aparentemente reales que los votantes podrían tener dificultades para descifrar la verdad de la ficción, socavando la confianza en el proceso electoral. Pero los deepfakes de audio utilizados para suplantar o difamar a celebridades y políticos de todo el mundo han generado la mayor preocupación. “De todas las superficies (video, imagen, audio) en las que la IA puede usarse para suprimir votantes, el audio es la mayor vulnerabilidad”, Tim Harper , dijo a la AFP un analista político del Centro para la Democracia y la Tecnología. “Es fácil clonar una voz usando IA, y es difícil de identificar”. Publicado originalmente como Trabajador financiero de una empresa global engañado para transferir 38 millones de dólares después de un deepfake Los estafadores se hacen pasar por su jefe.
Source link
Historia no contada del flash de la ventana de mamá después de encerrar las llaves dentro de la casa
Cuando Lisa Rowland se dio cuenta de que había dejado las llaves dentro de su casa, entrar por la ventana era su única opción. Pero nunca podría haber anticipado que más de 20 millones de personas en las redes sociales verían sus senos siete meses después como resultado. La madre fue grabada colgando boca abajo dentro de su ventana después de intentar irrumpir en su propia casa. Y desafortunadamente, la gravedad hizo su trabajo. Las tetas de Lisa se cayeron de su vestido bandeau negro, dejándola presionada contra el cristal y expuesta a todo el vecindario. El incidente, que ocurrió el 20 de junio del año pasado, se ha vuelto viral y ha sido visto por más de 20 millones de personas. Fue grabado originalmente por Nicole, la hermana de Lisa, pero de alguna manera se extendió como la pólvora en línea siete meses después. “Simplemente dejé ir todo ”, recordó sobre el error en This Morning. «Llevo hierba alrededor de mi cuello. «Me sentí como [I was hanging there] durante mucho tiempo… pueden parecer segundos. “¡Mis piernas son demasiado largas, no pude meterlas! “Caí al suelo cubierto de orina. «Había superado el punto del pánico». Lisa, de Londres, dio todos los divertidos detalles a los presentadores Alison Hammond y Dermot O’Leary, quienes no podían creer que la orina «goteara por su cuello» mientras se reproducía el video. grabado. Y a pesar del incidente que ocurrió el verano pasado y Lisa no sabía que el video estaba en línea en ningún lugar, recibió una llamada a las 8:30 p. m. de anoche diciéndole que estaba «en todo Facebook». Se volvió viral «No sabía si reír o llorar. «, dijo. Pero ver tantos comentarios positivos y saber que ha hecho reír a la gente ha sido un pequeño precio a pagar por 20 millones de extraños que ven sus senos. «Me encanta un poco de risa, ¿sabes?» Lisa sonrió. Ella cree que el vídeo se volvió viral gracias a una mujer llamada Ruth que vive en Irlanda del Norte. “Está grabado en mi alma”, añadió. «No lo publicamos en ninguna red social. «Nadie lo sabe. [Ruth] o como ella llegó [the video]pero gracias a ella, he tenido un buen día». Lisa ahora lleva las llaves alrededor del cuello y bromea diciendo que «nunca la abandonan». Esta historia apareció originalmente en The Sun y fue reproducida con permiso Publicado originalmente como Historia no contada de El flash de la ventana de mamá después de guardar las llaves dentro de la casa
Source link
Un tribunal inglés desestimó el viernes un caso de orden público contra la activista climática Greta Thunberg y el juez criticó las condiciones «ilegales» que la policía había impuesto a los manifestantes. El juez de distrito John Law desestimó el caso contra la activista sueca de 21 años y otros cuatro activistas. en el segundo día de su juicio en Londres. Decidió que la policía había intentado imponer condiciones “ilegales” durante una protesta ambiental en la capital británica en octubre pasado cuando fueron arrestados. Thunberg, una figura global en la lucha contra el cambio climático, fue una de las docenas de activistas arrestados por interrumpir el acceso a una importante conferencia sobre petróleo y gas a la que asistieron empresas en el lujoso hotel InterContinental Park Lane. Se había declarado inocente en noviembre de violar una ley de orden público, junto con dos manifestantes de Fossil Free London ( FFL) y dos activistas de Greenpeace. En su fallo, Law dijo que las condiciones impuestas a los manifestantes eran “tan confusas que son ilegales”, lo que significaba que “cualquiera que no cumpliera en realidad no estaba cometiendo ningún delito”. “Es bastante sorprendente «No hubo evidencia de que ningún vehículo haya sido bloqueado, ni evidencia de interferencia con los servicios de emergencia. , o cualquier riesgo para la vida”. Thunberg, que llamó la atención mundial cuando tenía 15 años por organizar huelgas escolares en su Suecia natal, participa regularmente en este tipo de manifestaciones. Fue multada en octubre por bloquear el puerto de Malmo. en Suecia, unos meses después de que la policía la desalojara por la fuerza durante una manifestación contra el uso del carbón en Alemania. También se unió a una marcha el fin de semana pasado en el sur de Inglaterra para protestar contra la ampliación del aeropuerto de Farnborough, que es utilizado principalmente por aviones privados. Manifestantes había recibido a los participantes del foro de octubre con gritos de «¡qué vergüenza!». Algunos llevaban carteles que decían «Stop Rosebank», en referencia a un controvertido nuevo yacimiento petrolífero en el Mar del Norte que el gobierno británico autorizó en septiembre. La policía dijo que los agentes habían arrestado a Thunberg por no haber respetar la orden de no bloquear la calle donde se estaba celebrando la manifestación. Maja Darlington, activista de Greenpeace en el Reino Unido, elogió el veredicto del viernes como “una victoria para el derecho a protestar”. Y añadió: “Es ridículo que cada vez más activistas climáticos encuentren comparecen ante los tribunales por ejercer pacíficamente su derecho a protestar, mientras que a los gigantes de los combustibles fósiles como Shell se les permite obtener miles de millones en ganancias vendiendo combustibles fósiles que destruyen el clima”. Publicado originalmente cuando un juez del Reino Unido desestima el caso de protesta de Greta Thunberg
Source link