CISO: Qué es, funciones y por qué es importante
En el mundo digital, la seguridad de la información es vital para proteger los activos empresariales contra amenazas cibernéticas. Exploramos el papel del Chief Information Security Officer (CISO) en esta tarea. Desde definir estrategias hasta implementar medidas de seguridad, el CISO desempeña un papel fundamental en la protección de datos y la actividad económica de las empresas. En este artículo, analizaremos las funciones, actividades y diferencias entre el CISO y el Chief Security Officer (CSO), así como la importancia de contar con ellos en las organizaciones modernas. La seguridad de la información o de los datos consiste en proteger la información digital contra el acceso no autorizado, la corrupción o el robo durante todo su ciclo de vida, según indica la IBM (International Business Machines), cuyo significado en español se traduce como Máquina de Negocios Internacionales. Actualmente, el valor empresarial de los datos es más alto que nunca, debido a que se producen una gran cantidad a diario y el análisis correcto puede llevar a las empresas a tomar decisiones estratégicas que lleven a mejorar la eficiencia operativa y la productividad, según indican desde SAP España. Cualquier pérdida o robo de secretos comerciales o de propiedad industrial puede ser fatal para la innovación de la empresa y su rentabilidad. Además de afectar a su reputación, dado que los consumidores no tienden a comprar en una empresa que no protege sus datos. Por todo ello, el CISO cada vez está siendo una figura más relevante en las empresas, no solo a la hora de proteger datos, sino también de proteger la actividad económica de la misma. ¿Qué es el CISO? El CISO es uno de los roles de seguridad dentro de las empresas. Las siglas quieren decir «Chief Information Security officer». INCIBE lo define como «el responsable de la seguridad de la información de la empresa». Uno de sus objetivos principales es alinear la gestión empresarial con la ciberseguridad. Por lo general, es una persona que cuenta con estudios técnicos como ingeniería informática, telecomunicaciones y que tiene amplios conocimientos en ciberseguridad. Podría interesarle: ¿Cómo pueden las empresas mejorar la seguridad de los datos en la nube? Pero también, al haber crecido su papel en la empresa, se requieren habilidades estratégicas como el liderazgo, confianza, tener visión empresarial, conocer las últimas tendencias tecnológicas, capacidad de oratoria y persuasión. Además, sería muy interesante que la persona que tiene este papel dentro de la empresa tuviera también una amplia experiencia en incidentes informáticos, dado que de esta forma va a poder anteponerse y saber reaccionar de forma rápida. Funciones del CISO Las funciones principales del CISO podrían dividirse en tres bloques: Así, pues, el CISO también puede coordinar el equipo de ciberseguridad, concienciar a los empleados y liderar la respuesta ante cualquier amenaza digital. Actividades del CISO Para poder llevar a cabo las funciones descritas en el apartado anterior, el CISO tiene que llevar a cabo unas concretas, las cuales, según el Libro Blanco del CISO son: Es responsable de identificar los recursos necesarios, establecer un mapa de riesgos y definir el nivel de riesgo aceptable para la organización. También debe desarrollar un plan estratégico de seguridad y un marco de control normativo. Además, es fundamental establecer comités, establecer relaciones con partes interesadas relevantes y establecer canales de reporte efectivos. CISO vs CSO El «Chief Security Officer» o CSO es el responsable de la seguridad corporativa de la empresa, según Andalucía Open Future, y su tarea principal consiste en garantizar la seguridad física y tecnológica de la compañía. Ambos perfiles deben trabajar juntos para conseguir que la empresa esté plenamente protegida, por lo que el CISO responderá ante el CSO y este ante la dirección de la empresa. El CISO se centra más en la seguridad de la información, en cambio, el CSO debería tener una visión del negocio y tomar decisiones orientadas a los objetivos de la empresa. En empresas pequeñas los roles de CISO y CSO recaen en la misma persona. ¿Por qué las empresas deberían contar con un CISO? El INCIBE detalla los beneficios que tiene el tener un CISO entre la plantilla de una empresa, los cuales son: Todas estas premisas van a permitir una ventaja competitiva frente a otras empresas, dado que proyecta una imagen de avance y de ir al día en todo lo que respecta a la seguridad de la información, lo cual hoy en día significa diferenciarse debido al valor que tienen los datos. FUENTE: Naranjo, Isabel. »CISO: Qué es, funciones y por qué es importante» Lisanews.org. 08/02/2024. (https://www.lisanews.org/ciberseguridad/ciso-que-es-funciones-por-que-es-importante/).
Cómo crear una estrategia de ciberseguridad para ahora y el futuro
El 2024 ha comenzado y con él llegan las predicciones en diversos temas y la ciberseguridad no se queda atrás. Predecir las tendencias en ciberseguridad no es sencillo, dado que los avances tecnológicos, el agitado panorama de la ciberdelincuencia, las nuevas tecnologías y la rápida evolución de las prácticas y normativas de protección de datos pueden provocar acontecimientos transformadores en cualquier momento. Aun así, he elaborado cinco predicciones para la ciberseguridad en 2024, de acuerdo a los acontecimientos durante 2023 y el escenario en Latinoamérica y el mundo. También aporto datos de investigaciones recientes, tendencias y una pizca de corazonadas basadas en mi experiencia apoyando a empresas de los más diversos segmentos en la creación de estrategias de protección durante casi tres décadas. Además, incluyo algunos consejos, que espero sinceramente que ayuden a que mis predicciones no se cumplan. Predicción 1: La identidad digital será el activo más deseado De chicos a grandes, tienen cosas en común y entre ellas está la identidad digital. Ya sea una dirección de correo electrónico, un usuario de redes sociales o el acceso a un sitio web gubernamental. Si tu identidad digital se ve comprometida, la persona que la posea puede suplantarla. Además, según una investigación llevada a cabo por la empresa brasileña Apura Cyber Intelligence, solo en 2023 se descubrió que se habían filtrado más de 11,000 millones de credenciales digitales, ya fuera en la Web tradicional, en la Deep Web o en la Dark Web. Predicción 2: La ciberseguridad será un tema aún más importante en las reuniones de directivos, ya que los incidentes seguirán aumentando A principios de este año, el Foro Económico Mundial presentó el Informe sobre Riesgos Mundiales 2024. Este informe analiza los riesgos más graves que podrían tener un impacto importante durante la próxima década y, como viene siendo habitual desde hace años, la ciberseguridad aparece entre los diez primeros riesgos, ya sea en un escenario a dos años (4º puesto de la lista) o a diez años (8º puesto). Las empresas y los usuarios más digitalizados aumentan lo que técnicamente llamamos la «superficie de ataque». La superficie de ataque no se reduce, sino todo lo contrario, por lo que la cuestión de la ciberseguridad exige un enfoque responsable por parte de la alta dirección de las organizaciones. Con unas normativas sobre privacidad y protección de datos cada vez más exigentes y punitivas, la cuestión debe formar parte de la planificación estratégica corporativa. Mi consejo es: si la ciberseguridad se considera sólo una cuestión «técnica» en su organización, replante ese mindset. La ciberseguridad va mucho más allá de la instalación de soluciones tecnológicas, se trata de un profundo cambio cultural. Crear una cultura de seguridad digital sólida depende de un trabajo a medio y largo plazo. Predicción 3: La ciberseguridad y la Inteligencia Artificial serán gemelas inseparables En 2023, de cada diez presentaciones sobre tecnología, probablemente 11 de ellas mencionen de alguna manera la Inteligencia Artificial. Es más, la popularización de la IA ha hecho que el tema vaya más allá de la tecnología, aterrizando en las áreas de negocio de las empresas y en nuestra vida cotidiana. En resumen, la IA ya nos está ayudando a crear productos y experiencias digitales más seguros. Ya seas un profesional de la tecnología, de la ciberseguridad o incluso un usuario, estos dos temas irán de la mano, como gemelos inseparables. Los proyectos de adopción de IA sin tener en cuenta los aspectos de seguridad están condenados al fracaso, y del mismo modo, los proyectos de ciberseguridad sin considerar el uso intensivo de la IA también estarán condenados al fracaso. Mi consejo es evalúa cómo se interrelacionan la ciberseguridad y la IA en tú organización. Predicción 4: Seguirá siendo primordial hacer bien las cosas básicas Según el Informe 2023 de Verizon sobre filtraciones de datos, las tres causas principales de los incidentes cibernéticos fueron el robo de credenciales, los ataques de ingeniería social y la explotación de vulnerabilidades. En otras palabras, las empresas siguen fallando en lo básico. Y para 2024, no es probable que el panorama cambie. Al fin y al cabo, como suelo decir, haciendo lo básico no se consigue nada, por eso a veces es más fácil pensar en grandes inversiones en diversas tecnologías que en crear un proyecto de bajo coste para implantar un segundo factor de autenticación. Consejo: Si el plan estratégico de seguridad de tu empresa no establece claramente cómo aborda la copia de seguridad de los datos, la protección de las copias de seguridad, la garantía de resiliencia de los datos, la implantación de un segundo factor de autenticación, las políticas de formación y seguridad para los usuarios y una estrategia de pruebas y parches frecuentes para las vulnerabilidades, ten cuidado. Un plan de seguridad no sólo debe contener grandes inversiones en nuevas tecnologías que utilicen la mejor IA. Un buen plan de seguridad equilibra aspectos de innovación con el conservadurismo necesario para aplicar controles tradicionales. Predicción 05: Pix seguirá siendo un objetivo popular para los defraudadores Empecemos hablando del escenario brasileño y de sus peculiaridades. Desde su creación, el PIX en Brasil ha facilitado su uso, popularizando las transacciones rápidas y sin comisiones y aprovechando la bancarización de una parte de la población que no tenía acceso a transacciones sin coste. El PIX se ha convertido en un ejemplo para todo el mundo y en un objetivo para los defraudadores. Según una investigación realizada por Apura Cyber Intelligence, sólo en 2023 se identificaron nueve familias de malware (virus informáticos) creadas para realizar transacciones PIX no autorizadas, es decir, virus que infectan los teléfonos móviles y ordenadores de los usuarios con el objetivo de realizar transacciones no autorizadas o manipular las transacciones durante su ejecución. A pesar de tantas campañas de difusión y concienciación de los usuarios por parte de bancos y empresas en general, miles de personas fueron víctimas de este tipo de fraude en 2023. Lea también: Las tendencias en seguridad electrónica y ciberseguridad que nos depara este 2024 para Latinoamérica En 2024, el fraude no
Las tendencias en seguridad electrónica y ciberseguridad que nos depara este 2024 para Latinoamérica
Desde una mayor colaboración entre los equipos de seguridad electrónica y TI hasta la mitigación de los riesgos de la cadena de suministro, te explicamos cuáles serán las tendencias en seguridad y ciberseguridad en 2024. Las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica vienen marcadas, en algunos casos, por la unificación de ambos tipos de seguridad. Sin duda, algo necesario para lograr entornos de seguridad integral que contribuyan a reforzar la protección de las organizaciones. Tendencias en seguridad electrónica en 2024 para Latinoamérica En este sentido, la firma canadiense Genetec ha compartido cuáles son, según el proveedor especializado en soluciones unificadas de seguridad, las ocho tendencias más relevantes en materia de seguridad electrónica. 1. Colaboración entre los equipos de seguridad electrónica y TI Una de las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica viene marcada, como se comentaba anteriormente, por la unificación de ambas seguridades. En este caso, por una mayor colaboración entre los equipos de seguridad electrónica y tecnología de la información (TI), que, entre otras, considerarán las siguientes estrategias: Lea también: Así funcionan las nuevas estafas telefónicas 3.0: inteligencia artificial al servicio de los ciberdelincuentes Esa forma de operar incrementará la demanda de soluciones de seguridad electrónica unificadas y conectadas a la nube. Y dará como resultado una mitigación de riesgos y una optimización de datos más efectivas. 2. Mayor uso de soluciones colaborativas y fáciles de usar Además, teniendo en cuenta que cada vez es mayor el número de empleados que necesitan interactuar con tecnologías y datos de seguridad electrónica, las organizaciones buscarán soluciones más colaborativas y fáciles de usar. Y también que admitan aplicaciones seguras y de uso limitado para personas ajenas al área de seguridad. 3. Inversiones para modernizar los sistemas de control de acceso En las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica también se prevé una modernización en los sistemas de control de acceso: 4. Rentabilidad de las inversiones en la nube híbrida Este año, las organizaciones buscarán rentabilizar sus inversiones en la nube híbrida y adquirir nuevos dispositivos listos para el entorno cloud. Y también se verá un mayor enfoque en el uso de los datos y la optimización de los gastos en la nube. Para ello, muchos usuarios se apoyarán en los socios de canal. 5. Políticas para generar más confianza en los ciudadanos y reforzar su privacidad Con el objetivo de combatir la delincuencia, muchas ciudades están invirtiendo en tecnologías de seguridad que abarcan desde sistemas de videovigilancia hasta drones. Pero ese esfuerzo en brindar una mayor protección a los ciudadanos también conlleva garantizar su privacidad. Y para esto último es necesario: 6. Auge del IIoT y las soluciones optimizadas para datos Cada vez son más los dispositivos de seguridad electrónica y los sensores del Internet de las Cosas Industrial (IIoT, por sus siglas en inglés). Y en ese contexto se busca ampliar, extraer y generar datos. Al respecto: 7. Cumplimiento de normativas gubernamentales y más certificaciones Continuando con las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica, todo parece indicar que se incrementará el número de organizaciones que tendrán en cuenta el cumplimiento de normativas gubernamentales y las certificaciones a la hora de tomar decisiones relativas a la adquisición de soluciones de seguridad electrónica. Y también para robustecer la cadena de suministro. Ese cumplimiento, al suponer una apuesta por la continuidad de negocio, se traducirá en organizaciones más resilientes. 8. Protección ante ataques cibernéticos Finalmente, ante el aumento de los ataques cibernéticos, se espera que las organizaciones continúen implementando herramientas de ciberseguridad para protegerse. En el caso de la seguridad electrónica, es importante seleccionar proveedores que apuesten por la resiliencia cibernética. Tendencias en ciberseguridad en 2024 para Latinoamérica Ya que hemos hecho referencia a la seguridad cibernética, en las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica conviene poner el foco en los riesgos del ciberespacio y en cuáles son los retos a los que se enfrentan los líderes para lograr que sus empresas sean resilientes. 1. Aumentar el número de pymes con protocolos básicos de ciberseguridad Actualmente, no hay un grupo intermedio entre las empresas más resilientes y las que no lo son. Así pues, es crucial que haya más pequeñas y medianas empresas (pymes) con protocolos básicos de ciberseguridad. Por ejemplo, se calcula que sólo el 25% de las pymes ha contratado un ciberseguro. 2. Entender el impacto de la IA generativa Entender la inteligencia artificial (IA) generativa es fundamental para protegerse de los ciberdelincuentes, ya que es utilizada para difundir campañas de phishing y desinformación. Según los líderes encuestados, el 56% opina que la IA generativa será muy provechosa para los ciberatacantes en los próximos dos años. 3. Atraer y retener talentos en seguridad cibernética Otra de las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica será atraer y retener talentos en ciberseguridad. El 15% de las organizaciones es optimista y opina que sus cibercapacidades mejorarán. Pero más de la mitad de las organizaciones públicas reconoce que contar con más recursos y competencias en seguridad cibernética es su mayor reto para ser resilientes. 4. Invertir y concienciar sobre los fundamentos de la ciberseguridad En relación al anterior informe, los responsables de seguridad encuestados han expresado una mayor preocupación por el nivel de resiliencia de sus organizaciones. Para fortalecer esta última se sugiere seguir invirtiendo y concienciando sobre los fundamentos de la ciberseguridad. 5. Comprender los riesgos de la cadena de suministro Para este año también será imprescindible que las organizaciones comprendan los riesgos de la cadena de suministro y los derivados de las relaciones con terceros. Esta debe ser una tendencia prioritaria si se tiene en cuenta que más del 40% de las organizaciones encuestadas atribuye los ciberincidentes a terceros. 6. Colaborar para reforzar la resiliencia cibernética Y finalizamos el repaso a las tendencias en seguridad y ciberseguridad para 2024 en Latinoamérica con la que tendría que convertirse en una práctica habitual durante el año: la colaboración entre todas las partes interesadas para reforzar la resiliencia cibernética a todos los niveles: mundial, regional, estatal, organizacional y ciudadano. FUENTE: Redacción. »Las tendencias en seguridad y ciberseguridad que nos depara este 2024 para Latinoamérica» Segurilatam.com. 06/02/2024. (https://www.segurilatam.com/actualidad/tendencias-seguridad-ciberseguridad-latinoamerica_20240206.html).
IA vs. IA: cómo puede ser una herramienta de defensa, pero también una amenaza
Aunque la IA comienza a demostrar su valor como herramienta en los procesos de seguridad, también implica la presencia de nuevos riesgos, desde la ampliación de la superficie de ataque hasta su uso por cibercriminales, explicaron ejecutivos de IBM. Juan Carlos Zevallos, director de Ciberseguridad en América Latina para IBM, citó un estudio de la compañía, el cual revela que los costos derivados de una filtración en América Latina se incrementaron en un 76 por ciento durante 2023, con lo que en promedio se elevó a 2.46 millones de dólares. Más allá del costo para las víctimas, alertó que los ciberataques tienen consecuencias a nivel del orden social, pueden alterar un mercado o los precios de los insumos en las industrias. Lea también: Así funcionan las nuevas estafas telefónicas 3.0: inteligencia artificial al servicio de los ciberdelincuentes Bajo este contexto, la IA ha logrado llegar a cierta madurez para ampliar su uso como herramienta de defensa en la prevención o respuesta de ataques; sin embargo, también se ha incrementado entre los cibercriminales, quienes ahora pueden acceder a estas herramientas para escalar y hacer más efectivos sus ataques. En cuanto a su uso como herramienta de defensa, Zevallos señala que la IA es un gran aliado para cubrir uno de los elementos más relevantes después de un ataque: reducir el tiempo para identificar y contener una amenaza al contar con herramientas automatizadas mediante IA. Según IBM, si se logra una respuesta dentro de los primeros 200 días, el costo se puede mantener por debajo de 2.13 millones de dólares, pero si pasa de este tiempo podría elevarse a 2.79 millones Datos de la compañía indican también que 55 por ciento de las empresas encuestadas señaló haber reducido su tiempo en triage (identificar, priorizar y resolver) con herramientas de IA, a la vez que un 85 por ciento reportó una reducción en el tiempo de respuesta. Por ello, 85 por ciento de las empresas indicó que priorizará el uso de herramientas de seguridad con IA sobre las tradicionales, ya que estas podrán ayudar a los analistas de ciberseguridad al análisis de datos, predicción y protección de amenazas. Sin embargo, Zevallos reconoció que al tiempo en que se convierte en una herramienta que impulsa la productividad de las empresas, el acceso a los datos y el uso de información valiosa para que funcionen los modelos de IA, también la convierten en un nuevo objetivo de los cibercriminales. Por ello, recomendó que la seguridad se debe integrar desde el modelo, para proteger los datos, pero también asegurarse que se hace un buen uso de la IA, en líneas con las guías de ética y responsabilidad. Podría interesarle: La protección de datos y la Ley de Inteligencia Artificial europea: el derecho al Digital Trust no esperará a 2026 Por otro lado, Bruno Pancica, director de Ciberseguridad para IBM México, alertó sobre el uso de herramientas de IA entre los cibercriminales. Explicó que aunque no se va a generar un cambio radical en el tipo de ataques, la IA permitirá escalar y reducir el tiempo de los mismos. Por ejemplo, ya es una realidad que se ha utilizado IA para crear phishing más efectivo, que existen en el mercado grandes modelos de lenguaje (LLMs) maliciosos como FraudGPT, que reducen la barrera de entrada para atacantes menos expertos, así como la creación de deepfakes, especialmente conforme múltiples países se acercan a temporadas electorales en este 2024. Otro tipo de ataques aún permanecen más como un mito que como realidad, pero que no se descarta su existencia en el futuro, como la automatización de ataques mediante IA Generativa o la existencia de IA de código abierto que pueda ser utilizada para nuevas formas de ataque. FUENTE: Jiménez Páez, Efrén. »IA vs. IA: cómo puede ser una herramienta de defensa, pero también una amenaza» Dplnews.com. 02/02/2024. (https://dplnews.com/ia-vs-ia-como-puede-ser-una-herramienta-de-defensa-pero-tambien-una-amenaza/).
Publicidad personalizada: el motor del nuevo sistema de comunicación global
La Asociación de Medios de Información acusa a Meta de obtener ventaja en publicidad violando normativas de protección de datos. La disputa subraya el choque entre la privacidad y la publicidad dirigida, desafiando la sostenibilidad de los medios tradicionales. La Asociación de Medios de Información (AMI) presentó hace unas semanas una demanda millonaria (550 millones) y pionera contra Meta (antes Facebook) por competencia desleal. Los más de 80 medios españoles a los que representa la AMI acusan a Meta de incumplir de manera masiva y sistemática la normativa europea de protección de datos personales (RGPD 216/679). Al menos, entre mayo de 2018 y julio de 2023. Este incumplimiento habría otorgado a la gran tecnológica una posición muy aventajada en el mercado publicitario: le habría permitido atraer grandes inversiones de anunciantes al ofrecerles canales hipersegmentados para comunicarse con su público objetivo sin que las personas afectadas hubieran dado su consentimiento para tal fin. La AMI señala el perjuicio que suponen estas prácticas para la sostenibilidad financiera y, en definitiva, para la supervivencia de los medios de comunicación españoles. En este sentido, son muy relevantes las recientes decisiones vinculantes y, finalmente, la prohibición impuesta a Meta por el Comité Europeo de Protección de Datos de tratar datos personales y relativos al comportamiento de las personas usuarias para emitir publicidad personalizada sobre la base del contrato y el interés legítimo. Podría interesarle: Así avanza la regulación de las ‘fintech’ en Colombia, Chile, México y Perú La estructura del sistema de comunicación se transforma de manera constante y la demanda interpuesta a Meta pone de manifiesto una cuestión clave del momento actual. En las últimas décadas, la irrupción de los nuevos medios digitales y, en particular, de las plataformas sociales, ha sacudido los cimientos de la industria, cambiando dinámicas y relaciones de poder fuertemente arraigadas. Algo que se ha mantenido invariable, sin embargo, es la centralidad de la publicidad, que sigue siendo (quizás hoy más que nunca) la base de la financiación de los medios de comunicación. No obstante, la forma de hacer publicidad sí ha cambiado notablemente, fundamentalmente a causa del desarrollo de las tecnologías de procesamiento masivo de datos. Las consecuencias de este cambio son transcendentales para los medios de comunicación tradicionales, que se ven obligados a plantearse un cambio de modelo al que muchos, desde convicciones democráticas y defensoras de los derechos fundamentales, oponen razones de peso. Frente a este nuevo escenario, les quedan pocas opciones: subirse al carro de la explotación de datos o buscar formas creativas para intentar esquivar el nuevo orden establecido. La ilusión en el mundo de la publicidad, cada vez más evidente Desde sus inicios, la publicidad ha sido la base de la financiación de los medios. En un primer momento, los ingresos publicitarios se consideraban un garante de la independencia mediática de los poderes públicos y de posibles injerencias políticas. Hoy, aunque esta idea sigue vigente, la justificación principal es que la publicidad permite a los medios reducir (o eliminar) el precio que paga el público por acceder a sus espacios o a sus contenidos. Entretanto, la propiedad de muchos medios tradicionales ha pasado a manos de grandes empresarios poco interesadas en la calidad, la accesibilidad o la diversidad de los contenidos y mucho en los beneficios económicos. Y, por otra parte, sus ingresos publicitarios han caído en picado en favor de los nuevos medios. Así, la ilusión publicitaria que, como argumenta la economista francesa Julia Cagé, ha guiado al sector durante demasiado tiempo se muestra de forma cada vez más cruda. En los últimos años, los nuevos medios, y especialmente las plataformas digitales, han copado el grueso de las inversiones publicitarias. Su modelo de negocio consiste en ofrecer a los anunciantes canales hipersegmentados para comunicarse con su público objetivo. Para ello, recopilan y procesan grandes cantidades de datos de las personas que usan sus servicios y los utilizan para definir su perfil, clasificarlas en grupos, generar y dirigirles mensajes o contenidos más directos y personalizados (propios o de anunciantes). El objetivo de estas empresas no es tanto informar o entretener como atraer a cada vez más gente que comparta datos en sus plataformas y así a más anunciantes que inviertan en sus espacios. Un bucle, el de los efectos de red, que les ha situado ya entre las empresas más ricas del mundo y que pone en jaque a la industria mediática. La “plataformización” de los medios Esta tendencia a la “plataformización” de los medios, guiada por la nueva forma de hacer y de distribuir la publicidad que los financia, tiene consecuencias relevantes a las que vale la pena prestar atención. Por una parte, la recopilación y el procesamiento de datos de la audiencia, masivos e indiscriminados amenaza el cumplimiento de derechos fundamentales como la privacidad, la protección de datos personales o, de forma más general, las libertades individuales. Por otra, las nuevas formas de creación y distribución de contenidos hipersegmentados conllevan una pérdida de diversidad y, con ello, ponen en riesgo valores relevantes como el pluralismo mediático. Mientras, el modelo de acceso mediante suscripción compromete la universalidad de los medios. Y, por último, la irrupción de las tecnologías de procesamiento de datos en el sector genera una fuerte dependencia de las grandes empresas tecnológicas. Por una parte, para que los contenidos de los demás medios se distribuyan en sus plataformas digitales y así atraer inversiones publicitarias derivadas. Por otra, para utilizar las tecnologías de procesamiento de datos que estas desarrollan y poder así monetizar sus contenidos. Como consecuencia, las grandes tecnológicas se sitúan en una posición privilegiada que afecta a la estructura de la industria global de la comunicación, con un importante coste para el sistema democrático y las libertades individuales. En definitiva, la publicidad ha marcado y sigue marcando el ritmo, el devenir y la estructura del sistema de comunicación global. FUENTE: Gonzalo-Suárez, Sara. »Publicidad personalizada: el motor del nuevo sistema de comunicación global» Redaccion.com.ar. 04/02/2024. (https://www.redaccion.com.ar/publicidad-personalizada-el-motor-del-nuevo-sistema-de-comunicacion-global/).
Protección de Datos en España multa a Glovo con 550.000 euros por violar la privacidad de los repartidores
La Agencia Española de Protección de Datos ha impuesto una multa de 550.000 euros a Glovo por un tratamiento abusivo de los datos personales de los repartidores que utilizan la plataforma. El regulador considera que la compañía lleva a cabo una vigilancia excesiva de los riders y además no impide que cualquier persona de la empresa con acceso a su sistema interno de repartos pueda consultar un enorme número de datos sobre ellos, incluso aunque el repartidor se encuentren en un país diferente. Entre estos datos se encuentran, según la resolución de la Agencia, “la ubicación geográfica (en tiempo real)” de los repartidores, “la monitorización de cada paso de la entrega a través de una aplicación móvil”, “los datos sobre las comunicaciones intercambiadas con el operador de la plataforma a través de correos electrónicos, chats y llamadas de teléfono”, así como los tiempos de entrega (tanto estimado como real); rutas seguidas; cumplimiento de las órdenes; valoraciones de los repartidores por los clientes o vendedores y las puntuaciones de reputación. La investigación del regulador de la privacidad español comenzó en 2020 tras un aviso de su homólogo italiano, la Garante per la Protezione dei Dati Personali. El motivo es que la autoridad transalpina estaba investigando una posible infracción de la normativa europea de protección de datos por parte de la empresa Foodinho SRL, que se dedica a la entrega de comida y otros ítems con la ayuda de la plataforma de Glovo. Al ser Glovo una compañía con sede en España, esta rama del caso pasó a la autoridad española. Podría interesarle: Las 35 medidas y las 10 actuaciones de la AEPD para limitar el acceso de los menores al porno Tras un análisis de más de tres años, la AEPD ha concluido que Glovo ha infringido tres artículos de las leyes de privacidad europeas. Dos de ellos corresponden a la obligación de “garantizar que, por defecto, solo se traten los datos personales que sean necesarios” y no se realice una extracción masiva injustificada; así como el deber de impedir que esa información sea accesible “a un número indeterminado de personas físicas”, como ocurría en el caso de la compañía española. “En el presente caso, se estaban tratando datos, mediante el acceso a los mismos, de repartidores de países que no era necesario tratar para realizar el seguimiento de esos repartidores, debido a una falta de previsión en el diseño del sistema que no garantizaba el cumplimiento de los principios de protección de datos y ni establecía medidas para garantizar que, por defecto, los trabajadores solo tratarían los datos de los repartidores que fueran necesarios”, zanja la resolución. La Agencia también encuentra a Glovo culpable de una infracción más, aunque en este caso la deja sin multa. Se trata de la obligación de informar a los trabajadores con precisión de cuándo las decisiones sobre sus labores se toman mediante algoritmos automáticos o inteligencia artificial. En el comienzo de la investigación Glovo tampoco cumplía esta obligación, pero la plataforma modificó sus prácticas tras la aprobación de la ley rider y se ajustó a la normativa, por lo que la AEPD deja la sanción en un apercibimiento. Las declaraciones de Glovo Glovo ha hecho diversas alegaciones durante el proceso de resolución. Entre ellas, la ausencia de dolo o que la cuantía de la multa impuesta es desproporcionada teniendo en cuenta las infracciones cometidas. Protección de Datos las ha desestimado todas. Glovo ha recurrido la resolución de la AEPD ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, según han confirmado fuentes de la compañía a elDiario.es. “Glovo está muy comprometido, de forma activa y responsable, con el cumplimiento de la normativa en materia de protección de datos, siendo una prioridad en su día a día”, han añadido las mismas fuentes. FUENTE: del Castillo, Carlos. »Protección de Datos multa a Glovo con 550.000 euros por violar la privacidad de los repartidores» Eldiario.es. 02/02/2024. (https://www.eldiario.es/tecnologia/proteccion-datos-multa-glovo-550-000-euros-violar-privacidad-repartidores_1_10888906.html).
¿Cómo pueden las empresas mejorar la seguridad de los datos en la nube?
La encriptación o realizar copias de seguridad periódicas son algunas de las medidas para proteger el almacenamiento de datos en la nube. Y es que, según un reciente informe de la consultora Eraneos, el 49,2% de las grandes empresas españolas prevén aumentar su inversión en la nube por encima del 20% en 2024. El objetivo es proteger el almacenamiento de datos en un momento en el que las empresas están migrando cada vez más hacia el cloud. “La nube se va configurando cada vez más como el ecosistema estándar de cualquier empresa, a la vez que la cantidad de datos que se generan y gestionan no deja de aumentar exponencialmente. Por ello, es fundamental recordar la importancia de contar con las prácticas necesarias para garantizar la seguridad de los datos en la nube”, explica Laura Iglesias Hevia, Data Protection Officer de knowmad mood. Estas son algunas buenas prácticas que las empresas pueden llevar a cabo para aumentar su seguridad: Encriptación de datos La encriptación de datos permite proteger toda la información a través de la transformación de los datos sin formato a formato codificado, quedando únicamente accesibles para sistemas o personas autorizadas. Según explican desde la consultora knowmad mood, este proceso no solo debe realizarse mientras los datos estén almacenados, sino también durante su transmisión. Así, durante el proceso de migración de los datos a la nube, la información se cifra a la vez y se almacena de forma segura. Gestión de acceso y autenticación Otra medida clave tiene que ver con asegurar la limitación de acceso a los datos a través de diferentes métodos, como la autenticación biométrica o de dos factores. Y es que, mientras que las contraseñas pueden ser robadas o descifradas, procedimientos como contestar a una pregunta personal, recibir un código desde un mensaje de texto o una huella dactilar son mucho más difíciles de combatir. Lea también: ¿Cómo mejorar la protección de los datos personales de tus clientes? Por ello, hace tan solo unos meses las grandes tecnológicas Apple, Google y Microsoft se han unido bajo el estándar FIDO con el fin de comprometerse a implementar sistemas de seguridad y finalmente superar las contraseñas, que actualmente son el método de autenticación más utilizado. Copias de seguridad Las copias de seguridad son un salvavidas en caso de que ocurra un ciberataque o incluso se eliminen los datos de forma accidental. Sin embargo, antes de realizar estas copias será imprescindible, en primer lugar, realizar un inventario de todos los datos que se contienen con el fin de determinar lo críticos que son para el negocio. De este modo se pueden clasificar por nivel de accesibilidad o confidencialidad e impacto en caso de pérdida o robo. La idea principal de ejecutar este proceso es tener un registro de todos los datos para determinar así cuál será la periodicidad de las copias y su contenido. Monitorizar la nube a tiempo real La monitorización de los eventos a tiempo real permite detectar cualquier actividad sospechosa o intentos de brechas de seguridad dentro de los sistemas donde se alojan los datos. Gracias a ello, se puede responder de forma rápida y efectiva a cualquier potencial amenaza. Una forma de esta monitorización es, por ejemplo, controlar el tráfico de la red a través de los cortafuegos implementados en los sistemas, que lo analizan con el fin de detectar y bloquear cualquier tipo de tráfico no solicitado. FUENTE: Marín, Juan Antonio. »¿Cómo pueden las empresas mejorar la seguridad de los datos en la nube?» Larazon.es. 31/01/24. (https://www.larazon.es/emergente/como-pueden-empresas-mejorar-seguridad-datos-nube_2024013165ba48dbb834070001e7632b.html).
Estos son los tres ciberataques que han marcado el inicio de 2024
Con motivo del Día Internacional de la Protección de Datos, celebrado el 28 de enero, Kaspersky ha destacado la urgencia de adoptar medidas para salvaguardar la privacidad en línea. Durante 2024, hemos sido testigos de diversos ciberataques, como deepfakes, phishing e ingeniería social, que representan una amenaza para la seguridad financiera y la integridad personal de las personas. Los ciberdelincuentes continúan actualizando sus tácticas, especialmente aprovechando los avances en inteligencia artificial. No obstante, las soluciones de seguridad también evolucionan constantemente para contrarrestar estas amenazas y prevenir la propagación de estafas en línea. Lea también: Tendencias de seguridad informática en Latinoamérica en 2024 “Es muy importante mantenerse informado sobre estas tendencias y adoptar prácticas de seguridad digital. Los deepfakes pueden influir en decisiones precipitadas, como enviar dinero a un delincuente. Por ello, debemos ser proactivos a la hora de proteger nuestra identidad digital y fomentar la educación sobre nuestros datos: hablar de estas amenazas con amigos, familiares y compañeros. Entender cómo funcionan estas estafas es el primer paso para reconocerlas”, comenta Marc Rivero, Lead Security Researcher de Kaspersky. Primeros ciberataques de 2024 Durante el transcurso del año 2023, los sistemas de detección de Kaspersky identificaron una media de 411.000 archivos maliciosos diarios, representando un incremento de casi el 3% en comparación con el año anterior. En este sentido, la compañía destaca tres tipos de ataques recurrentes que requieren una atención especial: Recomendaciones de seguridad Para salvaguardar tus datos personales de posibles ciberdelincuentes, Kaspersky sugiere tomar las siguientes medidas: FUENTE: Redacción. »Estos son los tres ciberataques que han marcado el inicio de 2024» Revistabyte.es. 30/01/2024. (https://revistabyte.es/actualidad-it/ciberataques-2024/).
Protección de datos personales en redes sociales
La protección de los datos personales hoy en día resulta de suma importancia, por lo que se debe evitar caer en el error de pensar que “a quién podría importarle mi información”, señaló Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, empresa líder en detección proactiva de amenazas a los datos personales. En este sentido, señaló que los datos personales de cualquier individuo comprende información que permita identificar a alguien como: nombre completo, datos de contacto, números de tarjetas y credenciales bancarias, datos sobre la seguridad social, entre otros. Enfatizó que en la actualidad, la protección de todos estos datos es de suma importancia si se toma en cuenta que hoy la mayoría de las personas comparte información de todo tipo en las redes sociales de manera pública y se vuelve fácilmente localizable, con lo que, sin saberlo están permitiendo que sea recopilada y usada por terceros. Asimismo, recordó que cada vez es más frecuente que las empresas utilicen tecnología de inteligencia artificial para rastrear las preferencias de los usuarios y de igual manera, hay actores maliciosos quienes intentan sacar provecho de la información personal. Información valiosa que debe cuidarse De ahí, insistió que el planteamiento de quienes piensan que la información que comparten en redes sociales no son importantes, se debe tomar en cuenta que en la era digital, nuestros datos personales se han convertido en moneda de cambio y los cibercriminales buscan explotar toda información valiosa, desde detalles financieros hasta perfiles completos en redes sociales. Lea también: Protección de datos personales: cinco recomendaciones para tener en cuenta en internet En el marco de la conmemoración del Día Internacional de la Protección de Datos Personales, este 28 de enero, Camilo Gutiérrez, subrayó el cuidado que se debe tener con la información que se comparte online, a fin de evitar situaciones complicadas como pudieran ser, un fraude financiero, ya que los datos personales facilitan el acceso a los recursos financieros, y el fraude es la razón principal del interés de los ciberdelincuentes en cualquier tipo de información que facilite obtener ganancias financieras ilícitas, por lo que los números de tarjetas bancarias deben protegerse con especial cuidado, y extender esta precaución a cualquier detalle que nos identifique y cuidar activamente los datos sobre cuentas bancarias. Robo de identidad Riesgo de un robo de identidad, y una persona se vuelve más vulnerable, cuanta más información comparta en redes sociales, ya que tu identidad es única y para los cibercriminales es un recurso valioso: cuanta más información obtengan, más herramientas tendrán para realizar acciones maliciosas, como crear perfiles falsos en redes sociales o realizar estafas a tus contactos. El robo o suplantación de identidad les permite realizar actividades fraudulentas en tu nombre, afectando no solo tus finanzas, sino también tu reputación y credibilidad. Otro riesgo adicional, es no poder acceder a tus archivos personales o incluso a tu dispositivo de un momento a otro. Los cibercriminales lo saben y por eso emplean ransomware –que es un tipo de código malicioso que impide el uso de equipo o sistemas que infecta-, para cifrar datos y luego pedir dinero de tus contactos. También se corre el riesgo de que tus datos personales se vendan en la dark web, es decir, foros del mercado clandestino digital, desde credenciales de acceso, hasta detalles de la tarjeta de seguridad social, alimenta un mercado clandestino en el que los cibercriminales pueden vender esta información a compradores interesados, ya sea para realizar otros ataques u otros fines. Para evitar el robo de cuentas, se deben evitar contraseñas débiles por lo regular con la combinación de nombres, apellidos, fechas de nacimiento y utilizar contraseñas robustas, almacenadas de manera segura y la autenticación de doble factor, que son defensas poderosas contra este tipo de amenazas. Phishing y otras prácticas Los correos de phishing usan datos individuales para personalizar los ataques, utilizando detalles específicos como tu nombre, correo electrónico personal o laboral, la empresa en la que trabajas, el rol que ocupas, e incluso otros datos como antecedentes, ubicación o historial de compras, para aumentar la autenticidad de los correos electrónicos maliciosos. Estos mensajes aparentemente legítimos pueden llevar a la revelación inadvertida de contraseñas, información financiera y datos sensibles. El riesgo hoy en día, es que a través de las herramientas de Inteligencia Artificial (IA) juegan un nuevo papel central, ya que pueden utilizarse para generar correos electrónicos de phishing más convincentes que los que se generan manualmente. Ante tal panorama, es importante cuidar la información que se comparte en línea, y evitar proporcionar datos personales innecesarios, usar contraseñas seguras y únicas para cada una de las cuentas y cambiarlas con frecuencia, activar la autenticación de doble factor en cada cuenta que lo permita e instalar software de seguridad actualizado. FUENTE: Higuera Albarrán, Cecilia. »Protección de datos personales en redes sociales» Cronica.com.mx. 28/01/2024. (https://www.cronica.com.mx/nacional/proteccion-datos-personales-redes-sociales.html).
