Expertos en ciberseguridad identifican aumento del 587% en los ataques ‘quishing’ con códigos QR
Un grupo de expertos en ciberseguridad ha observado un crecimiento del 587 por ciento de ataques ‘quishing’ a través del escaneo de códigos QR, lo que puede conducir a páginas de obtención de credenciales para posteriormente utilizarlos con distintos fines, como puede ser el robo de datos. Las estafas de ‘phishing’ a través de códigos QR, también conocidas como ‘quishing’, utilizan estos códigos para compartir un enlace malicioso sin que el usuario se dé cuenta. Así, se trata de una técnica que va acompañada de ingeniería social para suplantar la identidad de compañías u organismos públicos. En este sentido, un grupo de investigadores del grupo Check Point Research, perteneciente a la compañía proveedora de sistemas de ciberseguridad Check Point, ha advertido del peligro de los ataques ‘quishing’, que han crecido un 587 por ciento entre agosto y septiembre. En el día a día, los usuarios utilizan los códigos QR para diversas acciones, desde ver las opciones de un menú en un restaurante hasta inscribirse en actividades o para acceder a un servicio. De hecho, según el estudio ‘Mobile & Conectividad inteligente’, elaborado por la asociación de comunicación IAB Spain en el año 2021, más del 82,2 por ciento de los usuarios encuestados en España afirmaron que habían utilizado en alguna ocasión códigos QR. Frente a ello, tan solo un 2 por ciento indicaron desconocer qué son estos códigos. Es decir, la mayoría de los ciudadanos españoles utilizan los códigos QR y, por tanto, son susceptibles a sufrir un ataque de ‘quishing’. En este sentido, tal y como han explicado los investigadores de Check Point, aunque a primera vista los códigos QR parecen un sistema «inofensivo», se trata de una «excelente forma de ocultar intenciones maliciosas», ya que son utilizados por ciberdelincuentes para ocultar un enlace fraudulento. ¿Cómo se gestan estos ataques? Un ejemplo de estos ataques, tal y como ha mostrado Check Point en un comunicado, es el envío de códigos QR a través de correos electrónicos. En concreto, en el ataque compartido por los investigadores, se utiliza como señuelo un ‘email’ en el que se informa de que la autenticación multifactor (MFA) de Microsoft está a punto de caducar y anima al usuario a volver a autenticarse. En este caso, los actores maliciosos introducen un código QR en el correo con un enlace fraudulento que conduce a una página de obtención de credenciales. Una vez el usuario haya escaneado dicho código QR, se abre una página de imitación a la página legítima de credenciales de Microsoft y, aunque su apariencia es similar, en realidad sirve para el robo de credenciales. Podría interesarle: Los datos privados de la salud están en manos de Google, Microsoft y Meta Según los expertos en ciberseguridad, es «muy fácil» crear un código QR, ya que existen multitud de páginas gratuitas que lo suelen generar de forma automática. De esta forma, los ciberdelincuentes pueden incluir cualquier enlace malicioso. Asimismo, en el ejemplo mostrado, también se ha de observar que, aunque el asunto indica que se trata de Microsoft, la dirección del remitente es distinta. ¿Cómo protegerse del Quishing? Con todo ello, desde Check Point han compartido algunas recomendaciones para combatir el ‘quishing’. Una de ellas es implementar un sistema de seguridad en el correo electrónico que utilice el reconocimiento óptico de caracteres (OCR) para identificar todos los posibles ataques. Asimismo, los usuarios pueden aplicar un sistema que utilice inteligencia artificial, aprendizaje automático y procesamiento del lenguaje natural, para comprender la intención de los mensajes y detectar cuándo ‘email’ puede «utilizar un lenguaje de suplantación de identidad». Tal y como ha explicado el director técnico de Check Point Software para España y Portugal, Eusebio Nieva, los métodos que han utilizado los investigadores para descubrir este tipo de ataques se basan en utilizar el analizador de códigos QR de su motor OCR. De esta forma, se consigue identificar el código y recuperar la URL sin abrirla, ya que el motor OCR pasa la imagen del código QR a texto. Tras ello, se analiza la URL para verificar si se trata de un sitio web ilegítimo utilizando el NLP, que es capaz de identificar el lenguaje sospechoso y marcarlo como ‘phishing’. «Los ciberdelincuentes siempre prueban nuevas tácticas y otras veces recuperan métodos antiguos. En ocasiones, se apropian de elementos legítimos como los códigos QR», ha sentenciado Nieva, al tiempo que ha detallado que la existencia de un código QR en el cuerpo del mensaje de correo electrónico «es un indicador de un ataque». FUENTE: Europa Press. »Expertos en ciberseguridad identifican aumento del 587% en los ataques ‘phishing’ con códigos QR» Listindiario.com. 28/10/2023. (https://listindiario.com/la-vida/tecnologia/20231028/investigadores-expertos-ciberseguridad-identifican-aumento-587-ataques-phishing-codigos-qr_780375.html).
Los datos privados de la salud están en manos de Google, Microsoft y Meta
Un estudio de la empresa de ciberseguridad Feroot reveló que nuestros datos privados más sensibles, incluyendo los de la salud, están en manos de empresas como Google, Meta y Microsoft. La principal forma de hacerse con estos datos en EE.UU. es la de los píxeles de seguimiento y los más comunes descubiertos se produjeron a través de las grandes tecnológicas como Google, Microsoft, las plataformas de Meta y de ByteDanza, la empresa matriz de TikTok. Los representantes de Facebook, Google y Microsoft han negado con contundencia el uso de sus píxeles de seguimiento para recopilar datos confidenciales. Ante los resultados del estudio, un portavoz de Google ha declarado que son los propietarios del sitio, no el buscador, los que tienen el control de cómo se recopila la información y que el sitio debe informar a los usuarios sobre cualquier recopilación que realicen. Los analistas de terceros de Google indican que la política de la tecnológica prohíbe a sus clientes recolectar datos protegidos sobre salud para utilizar esa información con fines publicitarios. Otro portavoz de Facebook, por su parte, ha aclarado que cualquier uso del envío de información sensible y de datos, a través de herramientas comerciales o de análisis, va en contra de la política de la empresa, y agregó que el sistema está diseñado para filtrar información de datos confidenciales. El informe de la empresa de Seguridad Feroot es el resultado de la recopilación de cientos de datos de salud en sitios web de internet que se dedicaban a la atención sanitaria, y el estudio de las nuevas modalidades de trato con los pacientes, como por ejemplo la teleasistencia. Los representantes de los tres gigantes han negado el uso de píxeles para la recopilación de datos de salud u otros de carácter sensible El estudio indica cómo constataron que más de un 86% de estas páginas recolectan y transfieren datos sin obtener el consentimiento del usuario. Más del 73% de las páginas de inicio de sesión y registro tienen rastreadores, lo que expone información personal. Alrededor del 15% de los píxeles de seguimiento identificados por Feroot pueden leer y recopilar las pulsaciones de teclas de un usuario, lo que significa que podrían identificar números de Seguro Social, nombres, direcciones de correo electrónico, fechas de citas, direcciones IP, información de facturación e incluso un diagnóstico y tratamiento médico, según el informe. Los rastreadores colocan un pequeño fragmento de código en un sitio web y registran cómo interactúa un usuario con la página. Luego, el rastreador envía un paquete de información sobre el usuario a la empresa de tecnología que gestiona esas páginas médicas. El datos recopilados pueden servir de base para análisis de sitios web, campañas de marketing y orientación de anuncios. También se puede transferir fuera de EE. UU. si la empresa anfitriona tiene su sede en un país distinto. ¿Qué dice la legislación europea y española al respecto? La información se recopila a través de un rastreador o de un tercero sin el consentimiento del usuario, representaría una violación de la Ley de Responsabilidad y Portabilidad de Seguros de Salud, conocida como HIPAA, en Estados Unidos. En España y el resto de Europa violan el Reglamento General del Protección de Datos (RGPD) que es muy claro al respecto de los derechos sobre la privacidad de los ciudadanos de la Unión Europea. No pueden ser captados, ni almacenados ni utilizados, y mucho menos con fines comerciales o de establecimiento de sesgos, bajo ningún concepto. Su tratamiento está directamente prohibido. Y es que estos datos pueden incluir todo tipo de información actualizada médica, tanto mental como física, así como infromación relativa a la facturación emitida por el servicio médico. La duda es si una cosa así puede ocurrir en España. El especialista en derecho digital de Ecix Group, profesor de la Universidad Carlos III de Madrid y miembro de ENATIC, Francisco Pérez Bes, nos confirma que «en estos mismos servicios ubicados en España esta situación no debería poder darse. Y, en caso de hacerlo, sería una práctica sancionable desde varios puntos de vista, especialmente el de protección de datos y protección del consumidor y, en su caso, del paciente». Además de lo ilícito de la captación y almacenamiento, para Pérez Bes «la remisión de los mismos con empresas ubicadas fuera del espacio económico europeo se vería restringida por la regulación de las transferencias internacionales de datos«, de manera que si una empresa llevase a cabo este tipo de prácticas, podría ser sancionada por un tratamiento ilícito de datos personales de especial protección, como son los datos de naturaleza médica». La protección, gracias a la legislación, en Europa Así que desde el punto de vista legislativo, los europeos, y por consiguiente los españoles, podemos estar tranquilos, porque cualquiera de las tecnológicas que consintiera algo similar con datos médicos de pacientes españoles, se les caería el presupuesto en multas. Desde el punto de vista técnico, el control del comportamiento del usuario «puede hacerse también con cookies comportamentales, o con la descarga de programas ejecutables en el dispositivo, lo que en Europa requiere el consentimiento expreso e informado del usuario. Son prácticas intrusivas que pueden llevar a la empresa responsable a grandes multas en Europa«, concluye el especialista de ENATIC. El 90% de los datos de salud y/o sensibles, en el informe de Feroot, provienen de Google El experto en ciberseguridad y privacidad de ERNI, David Soto, ha analizado el informe de Seguridad Feroot y ha visto que el 90% de los datos de los que habla provienen de Google, más específicamente de sus aplicaciones como Analitics, por ejemplo. «Que se vendan o transmitan nuestros datos a otro país, en el caso de Estados Unidos, posiblemente sí puede ocurrir. En el caso de España o del resto de Europa, es más difícil». A nivel de pixels, «lo que sí se está haciendo es traking para temas relacionados con el SEO o el posicionamiento web, para mejorar la experiencia de usuario, a través de las herramientas analíticas de Google o del mismo Facebook, porque el caso de TikTok que menciona el informe en Europa es residual», nos tranquiliza Soto. Sin embargo, sí nos confirma que en España tenemos el riesgo de que nuestros
¿Ya conoces qué es la Ley “Dejen de Fregar”?
Desde el 10 de octubre entró en vigencia la Ley 2300 de 2023 «Dejen de Fregar», que tiene como propósito proteger el derecho a la intimidad y privacidad de los consumidores, regulando los horarios, canales y los tiempos en los que los bancos y otras entidades de consumo pueden contactar a sus usuarios. Lea también: Protección de Datos: Panorama legislativo en Perú y Latinoamérica Dentro de las restricciones están: pedir referencias personales de un posible deudor, solo se puede llamar al codeudor, el deudor solo puede ser llamado una vez por semana y no se podrá consultar a un deudor las causales de no pago de sus deudas. Las entidades encargadas de regular esta ley serán la superintendencia Financiera y la Superintendencia de Industria y Comercio de Colombia; estas dos instituciones impondrán las sanciones correspondientes a aquellas entidades que no cumplan la normativa nacional. Datos importantes sobre la Ley »Dejen de Fregar» Solo podrán realizar máximo dos llamadas en la semana, así el usuario haya registrado varios números de contacto. Además, el Ministerio de Tecnologías de la Información y las Comunicaciones y la Comisión de Regulación de Comunicaciones, lograrán un registro de número de contacto de usuarios que no quieran recibir mensajes de texto, correos electrónicos o llamadas, en general que sus contactos no sean utilizados para ningún fin. ¿Qué entidades deben cumplir con esta Ley? ¿Cuáles son los horarios en los que me pueden llamar? Los horarios permitidos para contactar a usuarios son de lunes a viernes de 7:00 a.m. a 7:00 p.m. y los sábados de 8:00 a.m. a 3.00 p.m.; Los domingos y festivos, en ningún horario, estará permitido para generar algún tipo de llamada. Algunas excepciones de la Ley »Dejen de Fregar» Consulte el archivo oficial de la Ley, aquí: Ley »Dejen de Fregar» FUENTE: Urna de Cristal. »¿Ya conoces qué es la Ley “Dejen de Fregar”?» Urnadecristal.gov.co. 27/10/2023. (https://www.urnadecristal.gov.co/actualizate/ya-conoces-que-es-la-ley-dejen-de-fregar).
Historias de ciberseguridad: los ataques informáticos más terroríficos de la historia
A medida que el mundo se digitaliza y la tecnología cobra una mayor importancia en nuestras vidas, la ciberseguridad se vuelve más imprescindible para todos. De hecho, usuarios y profesionales gastan cada día más esfuerzos y recursos en intentar mantenerse a salvo de las continuas amenazas que surgen en la red. En algunos casos, incluso hablamos de ataques capaces de generar pérdidas realmente millonarias. Lea también: Ciberseguridad, historia y futuro En este artículo vamos a repasar los peores, aquellos que más han afectado, incluso podría decirse de manera global. En muchos casos, además, tanto los objetivos finales como el lugar de origen no están del todo claros, surgiendo muchísimos misterios a su alrededor. Estos han sido los peores ataques informáticos de la historia de los que se tiene constancia. WannaCry, uno de los peores ataques informáticos de la historia Hablar de los peores ataques informáticos de la historia, es sin duda hacerlo del tristemente célebre WannaCry. Este duro golpe a la ciberseguridad mundial tuvo lugar en 2017, y durante mucho tiempo fue seguido por los más importantes medios de comunicación internacionales. WannaCry nació a raíz de una vulnerabilidad en el protocolo SMB de Windows. A partir de ese momento, infectó hospitales, empresas y servicios gubernamentales, y encriptó todo tipo de archivos. Para recuperarlos, se exigía una gran cantidad de bitcoins a modo de pago. En España, grandes empresas como Iberdrola o Gas Natural lo sufrieron en sus propias carnes. Ataque a Sony Pictures Algunos de los peores ataques informáticos de la historia han tenido como objetivo una compañía concreta, o al menos una parte de las mismas. Eso fue lo sucedió en 2014 cuando Sony Pictures padeció un ciberataque llevado a cabo por el grupo conocido como Guardians of Peace (GOP). A razón del mismo, quedaron al descubierto distintas informaciones privadas de la compañía, pero también datos sensibles sobre sus trabajadores y suscriptores. El precio final del golpe se saldó con los 100 millones de dólares que los criminales exigieron al gigante japonés a cambio de recuperar su seguridad. Stuxnet Muchas veces no queda claro quién está de un ciberataque, pero se sospecha que su intención tiene fines políticos o geopolíticos. Así sucedió con uno de los primeros “gusanos” en golpear con fuerza uno de los puntos sensibles de un país. En este caso, Irán. En este caso, la intención fue clara: sabotear el programa nuclear iraní, atacando sus sistemas utilizados para enriquecer uranio. Aunque nunca se confirmó, como suele ocurrir en estos casos, muchos apuntaron que Estados Unidos o Israel pudieron estar detrás de su autoría. NotPetya Hablamos ahora del que está considerado el primer gran ciberataque de ‘ransomware’ de la historia, allá por 2016, pero que pronto se demostró como un destructor de todo tipo de archivos. También se extendió a nivel global, golpeando de lleno en muchos países como Ucrania y causando pérdidas multimillonarias a muchísimas compañías. Equifax Está claro que uno de los principales problemas de vulnerabilidad que generan los ataques informáticos son los robos de información. Uno de los casos más terroríficos en este sentido fue el que tuvo como protagonista a la empresa de informes de crédito Equinax, en 2017. Según la información que se dio a conocer en el momento del delito, se estima que los datos personales de 143 millones de personas fueron filtrados. Entre ellos direcciones, números de la seguridad social y también de tarjetas de crédito. Estos han sido algunos de los ataques informáticos más célebres que se recuerdan, pero no han sido los únicos, ni desgraciadamente lo serán, viendo los últimos casos. Todos ellos demuestran claramente el enorme impacto, a nivel económico y social que hoy en día tienen este tipo de operaciones delictivas. En el otro lado de la balanza, claro, están los esfuerzos y el aprendizaje cada vez mayores por proteger los datos sensibles de muchas empresas y de sus clientes. Por mucho que a veces da la impresión de que los “malos” siempre vayan un paso por delante en todo. FUENTE: Luque de Gregorio, Enrique. »Historias de ciberseguridad: los ataques informáticos más terroríficos de la historia» Computerhoy.com. 28/10/2023. (https://computerhoy.com/ciberseguridad/historias-ciberseguridad-ataques-informaticos-terrorificos-historia-1323240).
La falta de estrategias para la protección de datos personales fomentan los casos de ciberataques
La ciberseguridad se ha vuelto un tema recurrente en las empresas que manejan una gran cantidad de datos personales y los almacenan, ya sea en la nube o de forma local. Junto con esto, los cibercrímenes han aumentado significativamente desde el surgimiento de nuevas tecnologías y servicios digitales (especialmente en aquellas empresas y entidades que no han acoplado los protocolos y medidas necesarias para contener esta amenaza). Derivado de los ciberataques, aparecen consecuencias de orden económico, político y legal por el acceso y manipulación que los ciberdelincuentes hacen con los datos personales y/o financieros. Tal es el caso del ataque cibernético más sonado en Colombia en el último tiempo, el ataque tipo ‘ransomware’ a IFX Networks que afectó a los datos de la rama judicial colombiana, el ICA, dos superintendencias y algunas dependencias del Ministerio de Salud. Lea también: Protección de Datos: Panorama legislativo en Perú y Latinoamérica En esta intromisión a los servidores de las mencionadas empresas, se puso al descubierto la fragilidad de las empresas y entidades del estado con respecto a la protección de datos sensibles y la manera de afrontar estas situaciones. Al respecto, Thales aseguró que en América Latina, el 60% de las empresas tienen cifrados el 40% de sus datos cifrados en la nube; guarismo que evidencia la falta de compromiso de las compañías por robustecer sus esquemas de seguridad cibernética. De la misma manera, un reporte de Cybersecurity Ventures resaltó que los costos globales de la ciberdelincuencia ascenderán 15% anualmente en los próximos dos años, pasando de US$8 billones en 2023 a US$10.5 billones en 2025; la cifra muestra el crecimiento que ha tenido este gasto con respecto a la cifra de hace ocho años (US$3 billones). La afectación económica de un ciberataque si no se presta atención a los datos personales Michael Ortegón, decano de la facultad de ciencias económicas y administrativas de Uninpahu, resaltó que la principal consecuencia económica de un ciberataque es la afectación a las actividades regulares de una empresa, perjudicando la operación normal de esta y deteniendo sus actividades productivas (oferta de productos o prestación de servicios). Haciendo referencia a las alternativas de solución, Ortegón aseguró que es necesario que en la planeación de un presupuesto se asignen porciones robustas a la gestión segura de los accesos a la información y se hagan capacitaciones al personal para concientizar y educarlos sobre la importancia de la seguridad digital. Así mismo, Diego Osorio, docente de la especialización en Seguridad Informática de la misma universidad, reiteró la importancia de crear archivos de respaldo (back-ups), contar con un plan de contingencia para el manejo de situaciones de crisis y, en términos coloquiales, crear una cultura de paranoia en la que se desconfíe de actuaciones sospechosas y se prevenga el acceso a personas que no pertenecen a una empresa en particular. Fuente: Larepublica.co. Sin embargo, Osorio también defiende que un trabajo coordinado entre las empresas privadas y las instituciones del Estado fortalecerá la eficacia de la protección de datos sensibles; esto por medio de la inversión de ambas partes en la infraestructura digital, la formación de nuevos profesionales capaces de afrontar este tipo de situaciones y el establecimiento de estándares, normativas y regulaciones claras y rigurosas sobre los ciberataques en el país. FUENTE: Colorado, Juan Camilo. »La falta de estrategias para la protección de datos fomentan los casos de ciberataques» Larepublica.co. 28/10/2023. (https://www.larepublica.co/internet-economy/la-falta-de-estrategias-de-proteccion-de-datos-fomentan-casos-de-ciberataques-mas-la-poca-inversion-en-estructuras-de-seguridad-3738169).
El RGPD se consolida como norma referente de protección de datos en su quinto año de vida
Habiéndose cumplido, en el mes de mayo del año en curso, cinco años desde que entró en vigor el Reglamento General de Protección de Datos – RGPD, resulta interesante repasar cuáles han sido los motivos del éxito de su aplicación, así como formular conclusiones de su implantación en el marco europeo de protección de datos. Sin embargo, como sucede con toda normativa, también debe de hacerse autocrítica respecto a ciertos aspectos que, por distintas razones, no se han podido cumplir en su totalidad. El éxito del RGPD Existe una amplia unanimidad en el sector respecto del éxito de esta norma en Europa. Por ello, resulta un hecho incuestionable que el reglamento ha elevado la protección de los datos personales, a un nivel superior al esperado en el momento de su redacción. El hecho más importante en la aplicación de esta norma ha sido la generalización de la cultura de protección de datos en la ciudadanía en general, más allá de los directamente involucrados, como delegados de protección de datos y responsables o encargados de tratamiento. Consecuentemente, la generalización de esta cultura ha supuesto la difusión y conocimiento de todos los derechos contenidos en esta normativa, entre todos los miembros de la sociedad. Podría interesarle: ¿Qué es la LOPD y cómo afecta a un restaurante? Por otro lado, esto también ha comportado el inicio de un cambio en el desarrollo de las organizaciones, fortaleciendo la relación existente hasta la fecha entre la debida protección de los datos y la buena gestión empresarial. Las sociedades han tenido que adaptar su organización y gestión hacia una más concienciada e involucrada con el cumplimiento de la normativa. Asimismo, su éxito radica también en la inspiración que tuvo la normativa en la redacción del cuerpo legal en una serie de principios renovadores, con la finalidad de dotar de gran flexibilidad al entramado normativo en la materia. Entre ellos encontramos, por ejemplo, el principio de evaluación basada en el riesgo, el de responsabilidad proactiva o el de privacidad. Con todo ello, en definitiva, el RGPD ha aportado al entramado jurídico, un abanico de regulaciones y disposiciones destinadas al establecimiento de un marco homogeneizado en la materia del tratamiento de los datos personales. A través de esta normativa, se ha logrado el objetivo último del legislador, la consecución de un cumplimiento real, que no solo meramente formal de la regulación. Autocrítica: aspectos a tener en cuenta Así pues, resulta claramente positivo el balance del reglamento durante estos cinco años de aplicación. No obstante, sin negar los avances conseguidos con su implantación, como toda legislación, debe de ser revisada al detalle, para averiguar si han surgido puntos que deben de ser reconsiderados. Es cierto que, por razón de su contenido amplio y tedioso, a muchos profesionales en la materia les resulta complicado apreciar la importancia de esta disciplina en el marco empresarial de nuestra sociedad actual. Una parte de los responsables siguen considerando a la protección de datos como un tipo de burocracia de molesto seguimiento. El motivo de este fenómeno encuentra su principal origen en la rígida aplicación que se da de la norma por parte de algunos sujetos. Optimización de su aplicación, aspecto crítico y de suma importancia Otro punto sobre el cual se debería de incidir aún más en la búsqueda de la optimización de su aplicación, se encuentra en las mismas autoridades competentes en la materia. Resulta poco útil en la práctica crear a grandes organismos con importantes funciones si, a la hora de la verdad, carecen de recursos e independencia para ejercer sus potestades. Asimismo, la falta de diligencia de algunos obligados en el cumplimiento de esta normativa ha comportado la recaudación de más de cincuenta millones de euros en sanciones interpuestas por la Agencia Española de Protección de Datos. Si a todo lo anterior, añadimos el creciente aumento del uso de la inteligencia artificial y del Big Data, el escenario que se plantea en los próximos años resulta, por lo menos, desafiante para el tratamiento y la protección de los datos personales. Solamente con el paso del tiempo podremos llegar a ver si se ha conseguido una adaptación eficiente a los constantes cambios y evoluciones que sufrimos en nuestra sociedad actual. FUENTE: Abad, Laura. »El RGPD se consolida como norma referente de protección de datos en su quinto año de vida» Economistjurist.es. 29/10/2023. (https://www.economistjurist.es/premium/la-firma/el-rgpd-se-consolida-como-norma-referente-de-proteccion-de-datos-en-su-quinto-ano-de-vida/).
Las cookies y su inherente carga mental
Entras a Google. Tecleas tu búsqueda y eliges uno de los resultados. Aún no ha terminado de cargar la página cuando de repente una ventana emergente ocupa tu pantalla: «Aviso de privacidad». Cada sitio web maneja su propio diseño –algunos te dejan sencillamente «aceptar solo las cookies necesarias»–, pero por lo general hay dos opciones: «aceptar» o «configurar». Decides configurar y aparece un nuevo chorro de texto, con opción múltiple. «Usted permite», dice la página (que todavía no ha dejado leer nada de la búsqueda inicial) y lanza más de una decena de opciones que se deben rechazar o aceptar. Estas van desde «utilizar datos de localización geográfica precisa» hasta «almacenar o acceder a información en un dispositivo». Como no quieres hacer trece clics, bajas y bajas buscando el botón que te permita «rechazar todo». Clicas y, por fin, logras leer el contenido. Ahora haces una nueva búsqueda; nuevo sitio web. Vuelve y juega: política de cookies. Empiezas de nuevo. ¿Qué son las cookies? A fin de cuentas, ¿qué son las cookies? Google las describe como «pequeños fragmentos de texto que los sitios web que visitas envían al navegador. Permiten que los sitios web recuerden información sobre tu visita, lo que puede hacer que sea más fácil volver a visitar los sitios y hacer que te resulten más útiles». Pero no todas las cookies son iguales: las hay propias, temporales, técnicas y permanentes, aunque las más cuestionadas han sido las cookies de terceros. Además de ser una de las bases de la industria de la publicidad digital, son generadas por servicios y proveedores externos al sitio web que se está visitando. Básicamente, rastrean nuestra actividad en internet para enviar información a los anunciantes y que estos, a su vez, puedan ofrecernos avisos publicitarios personalizados. De ahí las bases del debate sobre la privacidad y el posible abuso en la obtención de datos personales. A pesar de que Google ha estado trabajando en iniciativas para bloquear el uso de cookies de terceros desde 2020, y aunque dijo que las suprimiría el año pasado, luego afirmó que lo haría este año, y, finalmente, pospuso su eliminación –gradual– hasta 2024. Recientemente, la compañía anunció que, a partir del 2 de enero, la plataforma Google Drive ofrecerá descargar archivos sin necesidad de usar cookies de terceros. Las cookies: una carga cognitiva omnipresente Sin embargo, el debate sobre las cookies va más allá de la privacidad de los datos de navegación. James Williams, exempleado de Google e investigador de Oxford en ética de la tecnología, explica que las cookies representan un «aumento considerable de la carga cognitiva para el usuario, que en la práctica pesa mucho más que cualquier beneficio que pudiera reportarle su “consentimiento” al análisis de sus hábitos de navegación». En otras palabras, tener que presionar una y otra vez el botón de «rechazar todo», buscarlo en las diferentes páginas, entre diferentes diseños y tipografías –muchas veces pensados para que simplemente le demos a «aceptar»–, genera un peso mental que recae sobre nuestra memoria de trabajo y que puede afectar la realización o la culminación de una tarea. Hace unos meses, la Agencia Española de Protección de Datos (AEPD) actualizó su Guía sobre el uso de las cookies en internet subrayando la necesidad de que los usuarios puedan gestionarlas «sin que sea más complicado rechazarlas que aceptarlas». Asimismo, el Comité Europeo de Protección de Datos ya había publicado nuevas directrices sobre los patrones de diseño engañosos en las plataformas de redes sociales. A grandes rasgos, la AEPD señaló que las opciones de «aceptar» o «rechazar» deben ser fácilmente visibles, mostrarse en lugares concretos y con formatos destacados, con suficiente color para que se puedan leer y utilizando un lenguaje claro. Lea también: La importancia del consentimiento de cookies y la protección de datos personales Déficit de atención No obstante, como explica Williams en su libro Clics contra la humanidad, si bien estas medidas son eficaces para prevenir la intrusión no deseada en el ámbito privado, «la propagación vertiginosa de las tecnologías digitales ha comprometido la atención». Es cierto que es absolutamente necesario establecer normas sobre la protección de nuestros datos, pero el debate también debería situarse en la implementación de criterios que evalúen –y contrarresten– el daño atencional. Porque bien lo dice Johann Hari en El valor de la atención: «Una vida llena de distracciones es, a nivel individual, una vida mermada» Y lo más grave es que no se trata solo de distracción –ya de por sí una de las grandes culpables de la crisis de la atención–, sino que el tema de la carga cognitiva pone sobre la mesa la importancia de legislar en materia de privacidad mental y, por ende, de libertad cognitiva. FUENTE: Nader Toro, Marina. »LAS COOKIES Y SU (INHERENTE) CARGA MENTAL». Ethic.es. 27/10/2023. (https://ethic.es/2023/10/las-cookies-y-su-inherente-carga-mental/).
¿Qué es la LOPD y cómo afecta a un restaurante?
Ante un entorno cada vez más digitalizado, gestionar adecuadamente los datos personales se ha vuelto esencial para el funcionamiento de cualquier empresa de restauración. Debido al gran volumen de información que se recopila diariamente al desempeñar sus actividades. Es posible que ya estés familiarizado con la Ley Orgánica de Protección de Datos (LOPD), pero ¿realmente conoces en profundidad cómo afecta esta legislación a tu restaurante? La verdad es que no existe sector que quede fuera del alcance de la aplicación de esta normativa, y por ende, el ámbito de aplicación de la LOPD en restauración también se ve implicado. “La presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Indica la ley, en el artículo 2. Ámbito de aplicación. A continuación, veremos un poco más sobre qué es esta ley, y cómo afecta al sector de restauración, y las formas de evitar posibles sanciones ante el incumplimiento de las normas. ¿Qué es la LOPD o Ley Orgánica de Protección de Datos? Aunque muchos aún se refieren a la Ley de Protección de Datos como LOPD. Lo cierto es que el nombre completo de la ley actual es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). En este artículo utilizaremos las siglas LOPD y LOPDGDD indistintamente para referirnos a la ley actualmente entrada en vigor. La ley tiene como objetivo adaptar la legislación Española a las regulaciones europeas, finalizadas por el Reglamento General de Protección de Datos (GDPR), con entrada en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018 a todo el territorio europeo. Al hablar de protección de datos en España, la ley LOPDGDD, establece los requisitos y responsabilidades para la protección de datos en las empresas y cómo proceder con la información personal bajo su custodia. De esta manera, es posible prevenir que los datos personales de clientes y usuarios se usen para violar su privacidad y otros derechos y libertades fundamentales. Podría interesarle: El Parlamento Europeo prevé aprobar una ley para defenderse de los ciberataques en 2024 Es importante mencionar que el propósito de esta Ley es hacer que las empresas y organizaciones tengan un mayor compromiso respecto al tratamiento de datos personales y archivos recibidos de los usuarios y su protección. ¿A qué se considera datos personales? Según la página oficial de la Unión Europea. “Los datos personales son cualquier información relacionada con una persona identificada o identificable. Como por ejemplo: nombre y apellidos, dirección, número de documento de identidad/pasaporte, ingresos, perfil cultural, dirección de protocolo internet (IP) datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios)”. Hay datos que se consideran de menor riesgo, como el correo electrónico o el nombre de la persona; sin embargo, hay otros datos confidenciales de alto riesgo, como los datos sensibles relacionados con la salud o la religión. Sin embargo, los datos que no permitan identificar a una persona no se considerarán datos de carácter personal. Por ejemplo, manuales de maquinaria, pronósticos meteorológicos o datos que se han vuelto anónimos y ya no se pueden vincular a nadie. Diferencias entre LOPD y RGPD En España, existen dos normativas que regulan el tratamiento de datos personales: El Reglamento General de Protección de Datos (RGPD): Es el marco legal europeo para la protección de datos y de obligado cumplimiento en toda la UE y el EEE (Espacio Económico Europeo). La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD o LOPD): Adapta el Reglamento europeo al ordenamiento jurídico español, si bien añade y desarrolla algunos aspectos que la norma europea deja a disposición de los Estados miembros. ¿Cómo afecta la LOPD a los restaurantes? Entre las categorías que pueden verse directamente afectadas ante la normativa vigente estarían: El incumplimiento de la LOPD en el ámbito de restauración puede resultar en sanciones económicas significativas, – las veremos en el último punto de este artículo – que no solo impactarían tu economía, sino que también podrían perjudicar la reputación de tu establecimiento. ¿Cómo cumplir con la LOPD en un negocio de restauración? Para que la protección de datos en restaurantes sea correcta y puedas evitar enfrentarte a sanciones elevadas, puedes tomar en cuenta los siguientes aspectos: Evaluación de riesgos Antes de cualquier tratamiento de datos, se debe ejecutar una evaluación de riesgos, la cual permitirá identificar la probabilidad de ocurrencia del riesgo y el nivel de impacto que podría tener sobre los afectados. Lea también: LA AEPD impone la primera sanción por la utilización de patrones oscuros en el diseño de la interfaz de usuario de una página web para configurar las opciones de privacidad Por ejemplo, en un restaurante, si mantenemos una lista de clientes frecuentes con sus respectivos datos para aplicar descuentos o promociones especiales. Y además, si esta – o cualquier otra – información sensible está almacenada en un ordenador accesible para cualquier empleado porque no se manejan con contraseña, existe el riesgo de exposición o robo de estos datos para fines no deseados, como envío de spam o intentos de fraude. Gracias a la evaluación de riesgos, conoceremos las posibilidades de que esto suceda y qué medidas son las más apropiadas para prevenirlo, como establecer una contraseña, limitar el acceso de empleados a la computadora o cifrar la lista. Registro de actividades de tratamiento de datos Si en tu establecimiento se manejan datos personales de forma sistemática o a gran escala, si se han instalado cámaras de seguridad, o si cuentas con más de 250 empleados, es obligatorio mantener un registro de actividades de tratamiento de datos. Su elaboración es el primer paso para cumplir con la normativa vigente en materia de privacidad y protección de datos Este registro documenta la información concerniente a los tratamientos de datos personales que se llevan a cabo en un restaurante, y debe contener la siguiente información: Dicho registro de actividades de procesamiento debe estar constantemente actualizado y debe estar a disposición de la Agencia Española de Protección de Datos
Protección de Datos: Panorama legislativo en Perú y Latinoamérica
ESET, compañía de seguridad informática, repasa cuál es la situación en Latinoamérica ya que en países como Argentina y Chile, la ley de protección de datos tiene más de 20 años de creación. Con el crecimiento de las tecnologías que procesan datos a gran escala y con su implementación en diversos ámbitos de la sociedad, surge el desafío para los estados de regular el tratamiento de la información de los usuarios. Esta necesidad no es nueva, sino que está presente desde los inicios de la computación y, en el período pandémico y pospandémico, aumentó en forma brusca y a velocidades inesperadas. ESET, compañía líder en detección proactiva de amenazas, repasa cuál es la situación en Latinoamérica. Los ejes temáticos principales que se encuentran en discusión en Latinoamérica, actualmente son muy diversos y se pueden resumir en los siguientes: “La mayoría de las normativas relativas a la protección de datos personales, en muchos de los estados deLatinoamérica, data de hace más de 10 o 20 años y resultan insuficientes frente al actual estado de latecnología y las necesidades de esta era. Dada esta circunstancia, varios países latinoamericanos,buscan regular, reformular y actualizar sus normas vigentes, mientras que otros continúan estáticos.”,comenta Fabiana Rodriguez, Investigadora de Seguridad Informática de ESET Latinoamérica.A continuación, desde ESET repasan el estado de la situación normativa en Perú, Argentina, Chile,Colombia, Ecuador y México: Perú El pasado mes de agosto, El Ministerio de Justicia y Derechos Humanos, a través de la AutoridadNacional de Protección de Datos Personales, dispuso la publicación del Proyecto de Reglamento de laLey N.º 29733, Ley de Protección de Datos Personales, para recibir aportes, comentarios y/o sugerenciaspor parte de la ciudadanía. Dado que el reglamento vigente es del año 2013, las autoridades han visto lanecesidad de realizar las modificaciones pertinentes para que el mismo esté actualizado frente alescenario tecnológico que se presenta hoy en día. Lea también: Protección de Datos: Panorama y tendencias legislativas en Latinoamérica La ley establece una serie de principios para el tratamiento de datos personales, entre los que seencuentran: Legalidad, el tratamiento de datos personales debe basarse en una ley o en un contrato;Finalidad, el tratamiento de datos personales debe ser lícito, leal y transparente; Exactitud, los datospersonales deben ser exactos y actualizados; Seguridad, los datos personales deben ser tratados demanera segura, y Consentimiento, el tratamiento de datos personales requiere el consentimiento de lapersona titular de los datos. Argentina La protección de datos personales se encuentra sujeta a la Ley 25326, sancionada ypromulgada en el 2000, que dio lineamientos generales respecto a la forma de almacenar y transferirdatos, y reconoció en forma explícita algunos derechos en favor de los titulares de datos, como lamodificación y extinción de los registros. El nuevo proyecto de Ley de Protección de Datos Personales, que se está tratando en el Congreso de laNación, pretende dar una nueva perspectiva a la cuestión, desde una mirada centrada en los avancestecnológicos. Entre los principales cambios que se proponen se destacan: la posibilidad de que los niñosa partir de los 13 años puedan prestar consentimiento para el tratamiento de sus datos (de acuerdo conciertas circunstancias), la aplicación de la Ley para habitantes de la Nación, sin importar dónde seencuentren almacenados los datos A, y la ampliación del concepto de dato sensible. México a Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente desdeel año 2010, es la norma que rige la temática a nivel país. También da lineamientos generales en cuantoa clasificación de datos, estableciendo algunos principios sobre el tratamiento de los mismos aplicableen públicas y privadas. El eje central de esta ley es la garantía a los particulares de los derechosARCO (aceptación, rectificación, cancelación y oposición). Sin embargo, la misma cuenta con más de diezaños y no abarca cuestiones actuales como la internet, la Inteligencia Artificial, entre otras. Chile Se encuentra en vigencia la Ley 19628, sobre “Protección de Datos de Carácter Personal” tambiéndenominada “Ley de Protección de la Vida Privada” que fue sancionada en 1999. En el año 2018 semodificó la Constitución de Chile y se consagró textualmente a la protección de datos como derechofundamental. Sin embargo, y en consonancia con lo que sucede en otros países, la actual regulación noes eficaz en su aplicabilidad a diferentes situaciones que plantea la digitalización y el uso de tecnologíasen constantes cambios, razón por la cual se encuentra en tratativas un nuevo proyecto de ley. Ecuador La Ley Orgánica de Protección de Datos Personales entró en plena vigtencia el 26 de mayo de2023, dado que al momento de su promulgación se otorgó un plazo de gracia a las empresas yorganizaciones que tratan información para reorganizar sus sistemas de acuerdo con la ley en cuestión.A partir de este año, se volvieron aplicables las multas previstas por incumplimiento de la ley, quepueden alcanzar hasta el 1% del capital de negocios de quien la infringe. Colombia La Ley 1581 del 2012, es la norma central de la regulación de las cuestiones atinentes a laprotección de datos personales, que está complementada por el derecho constitucional de habeas datay otras regulaciones. Esta ley desarrolla los derechos de los titulares de datos a conocer, actualizar yrectificar las informaciones que se hayan recolectado sobre ellos en bases de datos o archivos, siendouna norma similar a las leyes de protección de datos iniciales de Latinoamérica y que estableceprincipios generales. La ley no contempla supuestos actuales relacionados con el aumento desmedido del almacenamientode datos en medios digitales y el crecimiento de tecnologías de procesamiento de datos, lo cual generóuna necesidad casi inmediata de reforma. Esto, sumado a la influencia del RGDP europeo, fue elpuntapié para el planteo de un nuevo proyecto de Ley (066 del 2022) que tiene como objeto aumentarel resguardo de los datos personales frente al tráfico de mensajería a través de empresas que prestanesos servicios. “Del panorama legislativo existente y tendencias de reforma respecto a normativas de protección dedatos, se puede concluir que, si bien los estados cuentan con lineamientos de protección de datos, losmismos resultan insuficientes para gestionar las problemáticas actuales. Se podría recomendarfuertemente a los estados el establecimiento de un sistema que permita un constante análisis
