Esta página ofrece una lista de casos comprobados de inseguridad en el software privativo con graves consecuencias o dignos de mención. Aun cuando la mayor parte de estos fallos de seguridad no son intencionados, de modo que en sentido estricto no son funcionalidades maliciosas, los mencionamos aquí para mostrar que el software privativo no es tan seguro como a menudo dicen los medios.

Esto no significa que el software libre sea inmune a fallos y a defectos de seguridad. La diferencia a este respecto entre el software libre y el software privativo es la forma de manejar los fallos: los usuarios de software libre pueden estudiar el programa y/o arreglar los fallos (a menudo colectivamente, ya que pueden compartir el programa), mientras que los usuarios de programas privativos se ven obligados a confiar en que el desarrollador del programa los solucione.

Si el desarrollador no se ocupa de arreglar el fallo (lo que sucede a menudo con el software embebido y las versiones antiguas), los usuarios están perdidos. Pero si el desarrollador envía una versión corregida, además del arreglo de los fallos esta puede contener nuevas funcionalidades maliciosas.

• 2024-09

  Los coches Kia se fabricaron con una puerta trasera que permitía a los servidores de la compañía localizarlos y tomarlos bajo control. Los propietarios de los vehículos tenían acceso a esos controles a través del servidor de Kia. Ese control por parte de los propietarios de los vehículos no es censurable. No obstante, que la propia Kia tuviera ese control es orwelliano, y debería ser ilegal. La guinda de este pastel orwelliano es que el servidor tenía un fallo de seguridad que permitía a absolutamente cualquiera activar dichos controles en cualquier coche Kia.

  Mucha gente estará indignada por ese fallo de seguridad, pero es de suponer que fue accidental. El hecho de Kia tuviera ese control sobre los vehículos una vez vendidos a los clientes es lo que a nosotros nos indigna, y eso sí que Kia ha tenido que hacerlo intencionadamente.

• 2024-01

  Los discos Blu-ray Ultra HD están llenos de malware de la peor clase. Entre otras cosas, reproducirlos en un PC requiere el módulo Intel SGX (Software Guard Extensions), que no solo tiene numerosas vulnerabilidades en cuanto a su seguridad, sino que en 2022 dejó de utilizarse y fue eliminado de las CPU convencionales de Intel.

• 2023-12

  Una puerta trasera de dispositivos de Apple, presente y utilizada al menos desde 2019 hasta 2023, ha permitido a delincuentes informáticos hacerse con el control total de dichos dispositivos mediante el envío de mensajes de texto que, sin intervención del usuario, instalaban directamente malware. La infección proporcionaba a los intrusos, entre otras cosas, acceso al audio registrado por el micrófono, las fotos, la ubicación y otros datos personales del usuario.

• 2023-11

  Los ordenadores basados en x86 y ARM que tienen interfaz UEFI son potencialmente vulnerables a ataques debido a un defecto de diseño que se conoce como LogoFAIL. Un atacante puede sustituir el logo de BIOS con uno falso que contenga código malicioso. Los usuarios no pueden solucionar ese fallo ya que se encuentra en el firmware UEFI privativo, que no es posible sustituir.

• 2022-11

  Hackers han descubierto docenas de fallos de seguridad (en el habitual sentido reducido) en muchas marcas de automóviles.

  Seguridad, en el habitual sentido reducido, significa seguridad frente a terceros desconocidos. A nosotros nos preocupa más la seguridad en sentido amplio: tanto frente a desconocidas terceras partes como frente al fabricante. Está claro que todas y cada una de eses vulnerabilidades pueden ser aprovechadas también por el fabricante, y por cualquier Gobierno con capacidad de extorsionar al fabricante para obligarlo a cooperar.

• 2022-10

  El cifrado de Microsoft Office es débil y vulnerable a ataques.

  La encriptación es un terreno intrincado y fácil de echar a perder. Lo sensato es reclamar un software que sea (1) software libre y (2) analizado por expertos.

• 2022-08

  Un experto en seguridad descubrió que el navegador integrado en TikTok para iOS inyecta en las páginas web externas código JavaScript capaz de registrar las pulsaciones del teclado. Ese código tiene la capacidad de rastrear todas las actividades del usuario y extraer cualquier dato personal introducido en las páginas. No hay forma de verificar la alegación de TikTok de que la inclusión de ese código obedece a propósitos exclusivamente técnicos. Algunos de los datos obtenidos bien podrían quedar guardados en los servidores de la compañía, e incluso enviarse a terceros. Esto abriría la puerta a una vigilancia extensiva, incluso por parte del Gobierno chino (con el que TikTok tiene vínculos indirectos). Existe también el riesgo de que los datos sean robados por delincuentes informáticos y utilizados para lanzar ataques con malware.

  Los navegadores integrados en Instagram y Facebook para iOS se comportan esencialmente de la misma forma que el de TikTok. La diferencia principal es que Instagram y Facebook permiten al usuario acceder a las páginas de terceros con su navegador predeterminado, mientras que TikTok lo hace casi imposible.

  El experto no investigó las versiones para Android de los navegadores integrados, pero no hay razones para suponer que sean más seguros que las versiones para iOS.

  Advierta que el artículo utiliza erróneamente el término «hacker» para referirse a los «crackers».

• 2022-07

  Un fallo en los coches Tesla hace que los delincuentes informáticos puedan instalar nuevas llaves para el coche, desbloquearlo, arrancar el motor, y hasta impedir que el verdadero propietario acceda a su coche.

  Un delincuente informático declaró que había logrado desactivar los sistemas de seguridad y tomar el control de 25 coches.

  Advierta que en estos artículos se utiliza erróneamente el término «hacker» en lugar de «cracker».
• 2022-02

  Un fallo de seguridad de Microsoft's Windows está infectando los ordenadores de la gente con el malware RedLine Stealer, utilizando para ello un instalador de actualizaciones fraudulento de Windows 11.

• 2022-01

  Un error crítico en el iOS de Apple permite que un atacante altere el proceso de desconexión, haciendo creer al usuario que el teléfono se ha apagado, cuando en realidad sigue funcionando. El usuario no nota ninguna diferencia entre un apagado real y uno falso.

• 2021-11

  Cientos de conductores de vehículos Tesla se vieron imposibilitados de acceder al interior de sus coches debido a que Tesla sufrió un apagón. Esto sucede porque la aplicación está vinculada a los servidores de la compañía.

• 2021-11

  Unos investigadores de Google descubrieron una vulnerabilidad de día cero en MacOS que delincuentes informáticos utilizaron para poner en su punto de mira a las personas que visitaban los sitios web de un medio de comunicación y de un grupo político y sindical prodemócrata en Hong Kong.

  Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»

• 2021-08

  Varios modelos de cámaras de seguridad, DVR y monitores de bebés que funcionan con software privativo están afectados por una vulnerabilidad que puede permitir a posibles atacantes acceder a los registros en vivo.

• 2021-07

  El programa espía Pegasus ha aprovechado vulnerabilidades existentes en los sistemas operativos privativos de los smartphones para vigilar a los usuarios. Aprovechando un fallo de seguridad, el programa puede grabar las conversaciones del usuario, copiar sus mensajes y tomar imágenes clandestinamente. También hay un análisis técnico de este software espía disponible en formato PDF.

  Un sistema operativo libre permitiría a los usuarios arreglar los fallos por sí mismos, pero en la situación actual las personas afectadas se verán obligadas a esperar a que las empresas lo hagan.

  Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»

• 2021-07

  Una nueva vulnerabilidad descubierta en Microsoft Windows permite que delincuentes informáticos accedan de forma remota al sistema operativo e instalen programas, vean y borren datos, o incluso creen nuevas cuentas de usuario con todos los permisos.

  La empresa de seguridad que la descubrió ha filtrado accidentalmente instrucciones para aprovechar ese fallo, pero los usuarios de de Windows tendrán que esperar a que Microsoft lo arregle, si es que lo hace.

  Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»

• 2021-06

  Las aplicaciones de TikTok recogen identificadores e información biométricos de los usuarios de smartphones, además de todo otro tipo de datos.

• 2021-05

  Apple está trasladando los datos de sus clientes chinos en iCloud a centros de datos controlados por el Gobierno chino. Obedeciendo a las autoridades del país, Apple está ya almacenando en esos servidores las claves criptográficas, permitiendo así que los datos de los usuarios chinos queden a disposición del Gobierno.

• 2021-05

  Una empresa de equipamiento para motocicletas, Klim, que vende chalecos con airbag, entre los métodos de pago que ofrece uno de ellos es la opción de compra basada en suscripción, de modo que si el cliente deja de pagar, el sistema impedirá que el airbag se infle.

  El periodo de gracia de 30 días que dicen conceder en caso de retraso en el pago no es excusa para actuar de ese modo.

• 2021-05

  Al parecer el Gobierno de EE. UU. está considerando asociarse con compañías privadas para hacer un seguimiento de las actividades en línea privadas y las comunicaciones digitales de los ciudadanos estadounidenses.

  La ocasión para intentar esto la proporciona el hecho de que esas compañías están ya espiando las actividades privadas de los usuarios. Por su lado, esto se debe a la utilización por parte de la gente de software privativo y antiservicios que los espían.

• 2021-04

  Investigadores han descubierto en Zoom una vulnerabilidad de día cero que puede utilizarse para lanzar ataques de ejecución remota de código (RCE). Los investigadores efectuaron una cadena de ataque de tres errores que ocasionó un RCE en la máquina objetivo, y todo ello sin ningún tipo de interacción del usuario.

• 2021-03

  Un fallo de seguridad ha permitido que que más de 150.000 cámaras de seguridad que utilizaban el software privativo de la compañía Verkada hayan sido crackeadas. Los atacantes han accedido a los archivos de seguridad de gimnasios, hospitales, prisiones, centros educativos y comisarías que han utilizado las cámaras de Verkada.

  Es una injusticia para la gente que acude a gimnasios, comercios, hospitales, prisiones y centros educativos entregar filmaciones de «seguridad» a una compañía de la que el Gobierno puede obtenerlas en cualquier momento, sin ni siquiera decírselo.

  Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»

• 2021-03

  Al menos 30.000 organizaciones estadounidenses han sido recientemente «crackeadas» a través de agujeros en el software privativo de mensajería electrónica de Microsoft llamado Microsoft 365. No está claro si hay o no otros agujeros y vulnerabilidades en el programa, pero la historia y la experiencia nos enseñan que no será el último desastre ocasionado por programas privativos.

• 2021-02

  Investigadores de la compañía de seguridad SentinelOne han descubierto un fallo de seguridad en el programa privativo Microsoft Windows Defender que había permanecido oculto durante 12 años. Si el programa fuera libre, muchas más personas habrían tenido la oportunidad de advertir el problema, de modo que se habría solucionado mucho antes.

• 2021-01

  Un delincuente informático se hizo con el control de las jaulas de castidad conectadas a internet de algunas personas y les pidió un rescate. Las jaulas de castidad están controladas por una aplicación privativa (un programa para móviles).

  (Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»)

• 2020-12

  Hay programas espía comerciales capaces de obtener las contraseñas de los iMonstruos, utilizar el micrófono y la cámara, y más cosas.

• 2020-12

  Un ejecutivo de Zoom ha sido descubierto espiando y censurando para el Gobierno chino.

  Este abuso del poder de Zoom muestra lo peligroso que es ese poder. El problema de fondo no es la vigilancia y la censura, sino el poder del que dispone Zoom. Obtiene ese poder en parte gracias al uso de su servidor, pero en parte también gracias al programa cliente privativo.

• 2020-12

  Funcionarios estadounidenses están enfrentándose a uno de los mayores ataques informáticos en años, debido a la inserción de código malicioso en Orion, un software privativo de SolarWinds. Los atacantes consiguieron acceder a las redes cuando los usuarios descargaron una actualización manipulada. Los atacantes pudieron monitorear los mensajes de correo electrónico de algunas de las más importantes agencias gubernamentales.

  (Advierta que en ese artículo se refieren erróneamente a los «crackers» como «hackers»)

• 2020-12

  Se ha descubierto que las aplicaciones de Baidu filtran datos personales sensibles que pueden utilizarse para rastrear de por vida a los usuarios y ponerlos así en peligro. Más de 1.400 millones de personas en todo el mundo se ven afectadas por estas aplicaciones privativas, y la privacidad de los usuarios se ve comprometida por esta herramienta de vigilancia. Los datos recopilados por Baidu pueden estar siendo cedidos al Gobierno chino, poniendo así posiblemente en peligro a muchas personas de ese país.

• 2020-11

  Algunos enrutadores wifi Wavelink y JetStream contienen puertas traseras universales que permiten a usuarios no autentificados controlar no solo el enrutador, sino también cualquier dispositivo conectado a la red. Hay pruebas de que está vulnerabilidad está siendo aprovechada.

  Si tiene intención de adquirir un enrutador, le exhortamos a que busque uno que funcione con software libre. Cualquier intento de introducir en él funcionalidades maliciosas (por ejemplo, mediante una actualización del firmware será detectado por la comunidad y corregido enseguida.

  Si por desgracia posee un enrutador que funciona con software que no es libre, no se alarme. Puede sustituir su firmware con un sistema operativo libre como libreCMC. Si no sabe cómo hacerlo, puede pedir ayuda a algún grupo de usuarios de GNU/Linux cercano.

• 2020-11

  Apple ha insertado en sus ordenadores un malware de vigilancia que informa a la compañía del uso que estos hacen de sus ordenadores.

  Tales informes se vienen transmitiendo desde hace ya dos años y ni siquiera van cifrados. Este software malicioso informa a Apple de qué usuario abre qué programa y a qué hora. También le da a Apple la capacidad de sabotear las operaciones informáticas de los usuarios.

• 2020-10

  A partir de una actualización del software en septiembre de 2020, Samsung obliga a los usuarios de sus smartphones en Hong Kong (y Macao) a utilizar una DNS pública de China continental, lo que provoca gran inquietud y preocupación con respecto a la privacidad.

• 2020-08

  TikTok aprovechó una vulnerabilidad de Android para conseguir direcciones MAC de los usuarios.

• 2020-06

  Un desastroso fallo de seguridad afecta a millones de productos del Internet de las Trucosas.

  A consecuencia de esto, cualquiera puede atacar al usuario, no solo el fabricante.

• 2020-04

  La falta de seguridad del programa privativo Microsoft Teams puede haber permitido que un GIF malicioso robe datos de las cuentas de los usuarios de Microsoft Teams, probablemente dentro de toda la empresa, y haciéndose con el control del «registro completo de cuentas de Teams de toda la organización».

• 2020-04

  El nuevo sistema de Riot Games para evitar las trampas es malware: se ejecuta al arrancar el sistema a nivel del núcleo en Windows. Es software inseguro que amplía la superficie de ataque del sistema operativo.

• 2019-11

  El Amazon Ring, que está subordinado a un servidor, tiene una vulnerabilidad que permite a los atacantes acceder a la contraseña de la wifi del usuario y espiar en la casa a través de los dispositivos de vigilancia conectados a la red.

  Conocer la contraseña de la wifi no sería suficiente para llevar a cabo ninguna vigilancia significativa si los dispositivos dispusieran de medidas de seguridad adecuadas, incluido el cifrado. Pero muchos dispositivos con software privativo carecen de ello. Por supuesto, también sus fabricantes los utilizan para espiar.

• 2019-08

  Una serie de vulnerabilidades halladas en iOS permitía a los atacantes acceder a información sensible, incluidos mensajes privados, contraseñas, fotos y contactos registrados en el iMonstruo del usuario.

  La profunda inseguridad de los iMonstruos es aún más relevante dado que el software privativo de Apple hace a los usuarios totalmente dependientes de esa compañía a cambio de una endeble seguridad. Esto significa también que los dispositivos no ofrecen ninguna seguridad frente a la propia Apple.

• 2019-08

  De las 21 aplicaciones antivirus gratuitas de Android estudiadas por expertos en seguridad, ocho fallaron en la detección de un virus de prueba. Todas ellas solicitaban peligrosos permisos o contenían rastreadores publicitarios, y siete representaban mayor riesgo que la media de las cien aplicaciones de Android más populares.

  (Observe que el artículo se refiere a esas aplicaciones privativas como «free». En lugar ello, debería decir «gratis».)

• 2019-07

  Muchas aplicaciones de Android pueden rastrear los movimientos del usuario incluso cuando este no les permite obtener datos de localización.

  Al parecer se trata de un defecto no intencionado de Android, aprovechado intencionalmente por aplicaciones maliciosas.

• 2019-05

  Los usuarios que quedan atrapados en la prisión de un iMonstruo se convierten en objetivos fáciles para otros atacantes, y la censura de las aplicaciones impide que las empresas de seguridad puedan descubrir cómo funcionan los ataques.

  La censura de las aplicaciones por parte de Apple es fundamentalmente injusta, y sería inadmisible aun si no acarreara peligros de seguridad.

• 2019-03

  El protocolo de telemetría Conexus, de Medtronics, tiene dos vulnerabilidades que afectan a varios modelos de desfibriladores implantables y a los dispositivos a los que se conectan.

  Este protocolo se ha estado utilizando aproximadamente desde 2006, y en 2008 se descubrieron vulnerabilidades similares en un protocolo de comunicaciones anterior de Medtronics. Es obvio que la compañía no hizo nada por solucionarlo. Esto significa que no se puede confiar en que los desarrolladores de software privativo corrijan los fallos de sus productos.

• 2019-02

  El videotimbre Ring está diseñado de tal modo que el fabricante (ahora Amazon) puede estar observando todo el tiempo. Ahora resulta que también cualquier otro puede observar e incluso falsear vídeos.

  Es de suponer que la vulnerabilidad a terceros no es intencionada, y probablemente Amazon lo solucionará. Sin embargo, no contamos con que Amazon cambie el diseño que le permite observar.

• 2018-09

  Algunos investigadores han descubierto cómo ocultar las órdenes vocales en otras transmisiones de audio, de modo que resultan inaudibles para los seres humanos pero no para Alexa y Siri.

• 2018-08

  Desde comienzos de 2017, los teléfonos Android recogen las direcciones de las torres de comunicación próximas, incluso cuando los servicios de localización están desactivados, y envían esos datos a Google.

• 2018-08

  Unos «crackers» encontraron la manera de sortear las medidas de seguridad de un dispositivo de Amazon y convertirlo en un dispositivo de escucha a su servicio.

  Les costó mucho hacerlo. A Amazon eso le resultaría mucho más sencillo. Y si algún Gobierno, como China o EE. UU., le dijera a Amazon que lo hiciera, o que dejara de vender ese dispositivo en el país, ¿creen que Amazon tendría la suficiente integridad moral para negarse?

  (Estos crackers son probablemente también hackers, pero por favor no utilice la palabra «hackear» para referirse a «sortear medidas de seguridad».)

• 2018-07

  Siri, Alexa y todos los demás sistemas de control vocal pueden ser secuestrados por programas que envían órdenes mediante ultrasonidos inaudibles para los humanos.

• 2018-07

  Algunos teléfonos de Samsung envían fotos, al azar, a gente que se encuentra en la lista de contactos del propietario.

• 2017-12

  Uno de los peligros del «Internet de las Trucosas» es que si se pierde la conexión a internet, también se pierde el control de la casa y aparatos domésticos.

  Por el bien de su seguridad, no utilice aparatos conectados a internet.

• 2017-11

  La puerta trasera intencional del «motor de gestión» de Intel tiene también puertas traseras accidentales.

• 2017-11

  Recientemente Amazon embaucó a los consumidores para que permitieran al personal de la compañía abrir la puerta de entrada de sus casas. Por si no lo sabía, el sistema tiene un grave fallo de seguridad.

• 2017-09

  El sistema de seguridad deficiente de algunos coches hace que sea posible activar las bolsas de aire de forma remota.

• 2017-09

  Una bomba intravenosa «inteligente» para hospitales está conectada a internet. Naturalmente, su seguridad ya ha sido burlada.

  (En ese artículo se utiliza erróneamente el término «hackers» para referirse a los «crackers».)

• 2017-08

  El sistema de seguridad deficiente de muchos de los aparatos que funcionan en el Internet de las Trucosas permite que los proveedores de los servicios de internet espíen a quienes los usan.

  No sea ingenuo, rechace todas las trucosas.

  (Lamentablemente, en al artículo se utiliza el término «monetizar».)

• 2017-06

  Muchos modelos de cámaras conectadas a internet tienen puertas traseras.

  Esta es una funcionalidad maliciosa, pero también un gran defecto de seguridad, ya que cualquier persona, incluso un intruso malintencionado, puede encontrar las cuentas y usarlas para acceder a las cámaras de los usuarios.

• 2017-06

  Muchos modelos de cámaras conectadas a Internet son sumamente inseguras. Tienen cuentas de acceso con contraseñas codificadas de forma fija que no pueden cambiarse, y tampoco hay forma de borrar esas cuentas.

• 2017-06

  La puerta trasera de la CPU de Intel (el motor de gestión de Intel) tuvo una importante vulnerabilidad de seguridad durante 10 años.

  La vulnerabilidad permitía que un delincuente informático pudiera acceder a la interfaz web de la «tecnología Intel para la gestión activa» (AMT) del ordenador sin contraseña y con privilegios de administrador, obteniendo así acceso al teclado, al ratón y al monitor, entre otros privilegios.

  Además, en los nuevos procesadores Intel es imposible desactivar el motor de gestión, de modo que los usuarios, incluso los que se preocupan activamente por su seguridad, no pueden hacer nada para protegerse aparte de utilizar máquinas que no tengan la puerta trasera.

• 2017-05

  El código privativo que hace funcionar a los marcapasos, bombas de insulina y otros dispositivos médicos está repleto de graves fallos de seguridad.

• 2017-05

  El controlador de audio Conexant HD (versión 1.0.0.46 y precedentes) preinstalado en 28 modelos de portátiles HP anotaba todos los movimientos del teclado del usuario en un registro guardado en el sistema de archivos. Cualquier proceso con acceso al sistema de archivos o a la API MapViewOfFile podía acceder al registro. Es más, según modzero, «la fuga de datos a través del Covert Storage Channel permite a los autores de malware capturar las pulsaciones de teclado sin correr el riesgo de que los controles heurísticos del antivirus lo clasifique como tarea maliciosa».

• 2017-05

  Procedimientos para sacar provecho de fallos de Windows, que fueron desarrollados por la NSA y luego divulgados por el grupo Shadowbrokers, se están utilizando ahora para atacar con programas secuestradores a un gran número de máquinas que operan con Windows.

• 2017-04

  Muchos dispositivos Android pueden ser atacados a través de sus chips Wi-Fi debido a un fallo en el firmware privativo de Broadcom.

• 2017-03

  Cuando el lavavajillas desinfectante Miele que se usa en los hospitales se conecta al Internet de las Trucosas, su seguridad es pura basura.

  Por ejemplo, un delincuente informático puede acceder al sistema de archivos del lavavajillas, infectarlo con malware, y hacer que la máquina lance un ataque a los otros dispositivos conectados a la red. Dado que estos lavavajillas se usan en los hospitales, tales ataques podrían poner en riesgo las vidas de cientos de personas.

• 2017-03

  La CIA aprovechó vulnerabilidades existentes en teléfonos y televisores «inteligentes» para diseñar un software malicioso capaz de espiar mediante sus micrófonos y cámaras mientras parecían estar apagados. Puesto que este software espía capta las señales, sortea el encriptado.

• 2017-02

  Los juguetes «CloudPets» con micrófono revelan al fabricante las conversaciones de los niños. Y adivine qué... delincuentes informáticos encontraron la manera de acceder a los datos recogidos por el fabricante espía.

  El hecho de que el fabricante y el FBI pudieran acceder a esas conversaciones fue de por sí inaceptable.

• 2017-02

  Si usted compra algo que supuestamente es «inteligente», como por ejemplo un automóvil, una casa, un televisor, un refrigerador, etc., por lo general los anteriores dueños siguen teniendo el control de manera remota.

• 2017-02

  Las aplicaciones de los móviles para comunicarse con un automóvil supuestamente «inteligente» ofrecen poca seguridad.

  A esto se añade el hecho de que el vehículo lleva un módem de radiocomunicación que informa permanentemente al Gran Hermano de su localización. Si posee un automóvil de este tipo, sería razonable desconectar el módem a fin de evitar el rastreo.

• 2017-01

  Un atacante podría convertir los sensores del Oculus Rift en cámaras de vigilancia, tras haber penetrado en el ordenador al que están conectadas.

  (Desafortunadamente, el artículo emplea de forma impropia la palabra «hackers» para referirse a los crackers.)

• 2017-01

  Los teléfonos de Samsung tienen un fallo de seguridad que permite que un mensaje de SMS instale programas secuestradores del sistema).

• 2017-01

  WhatsApp tiene una función que se ha descrito como «puerta trasera», ya que permitiría a los Gobiernos anular su encriptación.

  Los desarrolladores afirman que su propósito no era introducir una puerta trasera. Y esto bien puede ser cierto, pero deja en el aire la cuestión de si funciona como tal. Como el programa no es libre, no podemos estudiarlo para comprobarlo.

• 2016-12

  Los juguetes «inteligentes» My Friend Cayla y i-Que se pueden controlar a distancia con un teléfono móvil, no es necesario acceder físicamente. Esto permitiría a los delincuentes informáticos escuchar las conversaciones de los niños e incluso hablarles a través de los juguetes.

  Esto significa que un ladrón podría, a través de los juguetes, pedirle al niño que abra la puerta de la casa mientras su mamá está distraída.

• 2016-10

  Las redes telefónicas 4G LTE son sumamente inseguras. Cualquier tercero puede tomar el control de las redes y usarlas para perpetrar ataques de intermediario.

• 2016-08

  Debido a una seguridad deficiente, es fácil abrir las puertas de cien millones de automóviles construidos por Volkswagen.

• 2016-08

  Se ha desarrollado software para el secuestro de datos para un termostato que funciona con software privativo.

• 2016-08

  Un fallo en Internet Explorer y Edge permite a un atacante obtener los datos identificativos de la cuenta de Microsoft si el usuario cae en la trampa de visitar un enlace malicioso.

• 2016-07

  Los mensajes «borrados» de WhatsApp no se borran completamente. Hay diversas maneras de recuperarlos.

• 2016-07

  Esta es una crítica miope de una aplicación rastreadora: descubrió que burdos fallos permitían a cualquiera husmear en los datos personales del usuario. La crítica no expresa la menor preocupación por el hecho de que la aplicación envía los datos personales a un servidor donde el desarrollador los recopila. ¡Es un «servicio» para incautos!

  El servidor tiene seguramente una «política de privacidad», y seguramente no sirve de nada, como casi todas.

• 2016-07

  Una vulnerabilidad en la interfaz de programación (API) Image I/O de Apple permitía a un atacante ejecutar código malicioso desde cualquier aplicación que utilizara esta API para mostrar cierto tipo de archivos de imagen.

• 2016-07

  Un fallo en la biblioteca privativa ASN.1, utilizada en torres de telefonía móvil, así como en teléfonos móviles y enrutadores, permite tomar el control de esos sistemas.

• 2016-06

  Los programas antivirus contienen tantos errores que pueden empeorar la seguridad.

  GNU/Linux no necesita software antivirus.

• 2016-05

  El sistema «Smart Home» de Samsung tiene un gran agujero de seguridad: puede ser controlado a distancia por personas sin autorización.

  Samsung dice que se trata de una plataforma «abierta», por lo que los desarrolladores de aplicaciones son en parte los responsables del problema. Esto es claramente cierto en el caso de aplicaciones privativas.

  Todo lo que incluye la palabra «inteligente» (smart) en el nombre con toda probabilidad está diseñado para engañar.

• 2016-04

  Un fallo en la aplicación de mensajería de las iCosas permitió a un sitio web malicioso obtener todo el historial de mensajes del usuario.

• 2016-04

  Se ha encontrado malware en las cámaras de seguridad que se venden en Amazon.

  Si una cámara registra localmente en un soporte físico y no está conectada a una red, ésta no constituye peligro de vigilancia, ni por el hecho de que observa a las personas ni por la presencia de malware en la misma.

• 2016-03

  Más de setenta cámaras de vigilancia conectadas a la red tienen fallos de seguridad que permiten que cualquiera pueda mirar a través de ellas.

• 2016-03

  Muchas aplicaciones privativas de pago transmiten datos personales de manera insegura. Sin embargo, lo peor de estas aplicaciones es que el pago no es anónimo.

• 2016-02

  El Nissan Leaf contiene un módem integrado de teléfono móvil que permite a cualquiera acceder a distancia al ordenador del coche y hacer modificaciones en la configuración.

  Es fácil hacerlo porque el sistema no requiere autenticación cuando se accede a través del módem. Pero aunque fuese necesaria la autenticación, no se puede confiar en que Nissan no tenga acceso. El software del coche es privativo, lo que significa que a los usuarios se les pide que confíen ciegamente en él.

  Aun en el caso de que nadie se conecte al coche de forma remota, el módem del móvil hace que la compañía telefónica pueda rastrear los movimientos del coche en todo momento; no obstante, es posible quitar físicamente el módem del móvil.

• 2016-02

  Un marcapasos que funciona con código privativo estaba mal configurado y podría haber matado a la persona a la que se le había implantado. A fin de descubrir qué iba mal y arreglarlo, esa persona tuvo que acceder al dispositivo remoto que establece los parámetros del marcapasos (probablemente infringiendo los derechos del fabricante en virtud de la DMCA). Si ese sistema funcionara con software libre, el problema se habría solucionado mucho antes.

• 2015-10

  Los medidores de actividad física FitBit tienen una vulnerabilidad de Bluetooth que permite a un atacante enviar a un dispositivo malware que sucesivamente se puede propagar a otros medidores FitBit con los que interactúa.

• 2015-10

  Los discos duros «autoencriptables» encriptan los datos con firmware privativo, de modo que no se puede confiar. Los discos «My Passport" de Western Digital' tienen una puerta trasera.

• 2015-08

  Algunos investigadores en materia de seguridad han descubierto una vulnerabilidad en los dispositivos de diagnóstico que se usan para el rastreo y el seguro de vehículos; la vulnerabilidad consiste en que se puede tomar el control a distancia del automóvil o camión a través de un mensaje de texto (SMS).

• 2015-07

  Algunos delincuentes informáticos lograron tomar el control remoto del «automóvil conectado» Jeep, lo que les permitió rastrear el vehículo, encender o apagar el motor y activar o desactivar los frenos, entre otras cosas.

  Es de suponer que Chrysler y la NSA también pueden hacerlo.

  Si posee un automóvil que contiene un teléfono móvil, desactivarlo sería una buena idea.

• 2015-06

  Debido a fallos de seguridad en una bomba de infusión en los hospitales, los delincuentes informáticos podrían utilizarla para matar a los pacientes.

• 2015-05

  Multitud de aplicaciones para teléfonos inteligentes utilizan métodos de autenticación inseguros al almacenar los datos personales en servidores remotos. Esto hace que la información personal, como direcciones de correo, contraseñas e información sanitaria, sea vulnerable. Dado que muchas de estas aplicaciones son privativas, es complicado o hasta imposible saber qué aplicaciones suponen un riesgo.

• 2015-05

  Un investigador de seguridad calificó a las bombas de infusión Hospira, que se usan para suministrar medicamentos a los pacientes, como los dispositivos IP menos seguros que jamás haya visto.

  Dependiendo del tipo de medicamento que se administra, esta inseguridad podría permitir la perpetración de asesinatos.

• 2015-04

  Mac OS X tuvo durante cuatro años una puerta trasera local intencional que los atacantes podían aprovechar para obtener privilegios de administrador.

• 2014-05

  Una aplicación para evitar el «robo de identidad» (acceso a los datos personales), y que para ello guardaba los datos del usuario en un servidor especial, fue desactivada por su desarrollador al descubrir un fallo de seguridad.

  El desarrollador parece ser diligente con respecto a la protección de los datos personales frente a terceros en general, pero no puede proteger los datos frente al Estado. Todo lo contrario: confiar los datos personales a un servidor ajeno, si antes no han sido encriptados por uno mismo con software libre, socava nuestros derechos.

• 2014-04

  Muchos de los equipos en los hospitales tienen una seguridad deficiente que puede llevar a la muerte.

• 2014-02

  La inseguridad de WhatsApp facilita la interceptación de las comunicaciones.

• 2013-12

  Algunas memorias flash contienen software modificable, lo que las hace vulnerables a los virus.

  No consideramos esto como una «puerta trasera» porque es normal que se pueda instalar un nuevo sistema en un ordenador cuando se tiene acceso físico a él. Sin embargo, las tarjetas de memoria y los USB no deben admitir este tipo de modificación.

• 2013-12

  Unos terminales de puntos de venta que funcionan con Windows han sido atacados y convertidos en una botnet con el propósito de obtener los números de las tarjetas de crédito de los clientes.

• 2013-11

  La NSA puede acceder a los datos de los teléfonos inteligentes, incluidos iPhone, Android y BlackBerry. Aunque el artículo no ofrece muchos detalles, parece que esto no sucede mediante la puerta trasera universal que sabemos que tienen casi todos los teléfono móviles. Parece que se hace aprovechando varios fallos. Hay multitud de fallos en el software de radio de los teléfonos.

• 2013-09

  La NSA ha introducido puertas traseras en el software privativo de cifrado. No sabemos en cuáles, pero podemos estar seguros de que entre ellos hay sistemas ampliamente utilizados. Esto confirma que no podemos confiar en la seguridad del software que no es libre.

• 2013-09

  La FTC (Comisión Federal de Comercio, para la tutela del consumador) ha sancionado a una empresa por haber construido cámaras web con seguridad deficiente que permiten a cualquiera mirar a través de ellas.

• 2013-08

  Un programa privativo permite reescribir el software privativo reemplazable de algunos discos duros. Esto hace que cualquier sistema sea vulnerable a ataques persistentes que las herramientas de escaneo normales no detectarán.

• 2013-07

  Es posible matar a personas tomando el control de los implantes médicos por radio. Para más información, véase BBC News y el blog de IOActive Labs Research.

• 2013-07

  Las «casas inteligentes» resultan ser estúpidamente vulnerables a la intrusión.

• 2012-12

  Algunos delincuentes informáticos encontraron la manera de quebrar la seguridad de un televisor «inteligente» y, a través de la cámara, observar a la personas que miran la televisión.

• 2011-03

  Es posible tomar el control de ciertos ordenadores en los automóviles a través de malware en los archivos de música. También por radio. Para más información, véase Automotive Security And Privacy Center.