Hiscox identifica las 5 principales tendencias de ciberseguridad para 2024
El panorama de ciberseguridad en 2023 ha sido complicado para las empresas, las cuales han visto cómo la amenaza cibernética ha continuado aumentando de forma exponencial. Y es que si bien se ha experimentado un ligero descenso en la incidencia de los ciberataques, en el último año ha destacado el aumento de los costes de los ciberataques y de su recuperación. De hecho, tal y como se desprende del Informe de Ciberpreparación de Hiscox 2023, el coste de los ciberataques ya había crecido un 43% en 2022, duplicando la cifra con respecto al ejercicio anterior. Además, el coste de recuperación de los ciberataques de ransomware, sin tener en cuenta los pagos de rescates, aumentó un 88%. Más allá, en medio de las dificultades económicas actuales y el aumento del coste de vida, otros protagonistas del último año en materia de ciberseguridad han sido también el fraude financiero, la extorsión cibernética, las vulnerabilidades en servicios y tecnologías de terceros o el aumento de la frecuencia del robo de datos. En este sentido y tras un año marcado por un contexto cibernético sin duda complejo, desde Hiscox C3, división de la compañía formada por expertos en ciberseguridad, se han identificado los principales riesgos en ciberseguridad que deberán tener en cuenta las empresas en 2024: 1. Aumento del ransomware de exfiltración de datos Una de las principales tendencias en ciberdelincuencia que se han observado en los últimos años es cómo se está pasando de optar por la encriptación de los archivos y documentos de las víctimas a las amenazas de filtraciones de datos y las demandas de pagos a cambio de no revelar la información robada. En este sentido, en 2023, según el Informe, el 46% de las empresas a nivel mundial de más de 250 empleados afirmó haber pagado un rescate para proteger los datos de sus clientes, mientras que el 42% de las pequeñas y medianas de menos de 250 empleados afirmó que lo hizo para proteger los datos confidenciales de la empresa. Podría interesarle: Kaspersky adelanta las claves de ciberseguridad para consumidores en 2024 Más allá, se ha visto cómo afortunadamente son pocas las empresas a nivel mundial que han pagado un rescate para volver a ser operativas, concretamente el 40%. Sin embargo, en 2024 veremos previsiblemente cómo los ciberdelincuentes continuarán con esta tendencia y pedirán rescates cada vez más voluminosos a cambio de no filtrar datos confidenciales. 2. Aspectos positivos y negativos de la inteligencia artificial (IA) La democratización de los grandes modelos lingüísticos (LLM) como ChatGPT ha abierto un mar de oportunidades a los ciberdelincuentes en 2023 que habrá que tener en cuenta este año. Y es que estos les ayudan a crear sofisticados programas dañinos hechos a medida, a utilizar herramientas de pirateo informático y a redactar correos electrónicos de phishing coherentes y convincentes, como puede ser WormGTP. Sin embargo, no todo son malas noticias y es que, aunque la IA puede dar más poder a los ciberdelincuentes, también puede desempeñar un papel crucial en el desarrollo y despliegue de software de seguridad innovador, así como en el refuerzo de las actuales medidas de defensa frente a las nuevas amenazas. La IA, en este sentido, contribuye a automatizar la detección de amenazas en los servicios de correo electrónico y en sus redes, así como a analizar las actividades y el comportamiento de los usuarios en busca de indicios maliciosos. 3. El fraude por desvío de pagos continúa siendo un desafío Según los datos del Informe de Ciberpreparación de Hiscox 2023, una de cada tres empresas atacadas experimentó al menos un ciberataque que culminó en fraude por desvío de pagos, lo que ha pasado a ocupar el primer puesto a nivel mundial de los resultados de los ciberataques. Esta técnica, que implica tácticas de manipulación o engaño para inducir a los empleados a desviar pagos a cuentas fraudulentas, se posicionó como el segundo resultado de ciberataque más común también en los dos ejercicios anteriores. En este sentido, en 2024 será más imprescindible que nunca poner el foco en la defensa y gestión de los ataques de ingeniería social como el phishing por correo electrónico y SMS, el llamado ‘smishing’, a través de la formación de todos los empleados. 4. Gestión de activistas políticos El Comité Internacional de la Cruz Roja (CICR) publicó en 2023 el primer reglamento para ‘hackers’ civiles involucrados en conflictos, advirtiendo sobre el aumento de ciberataques por motivos patrióticos y de defensa de los estados, especialmente tras la invasión de Ucrania y ahora el conflicto entre Israel y Hamás. Así, grupos de agentes amenazadores con motivaciones ideológicas han alterado, y seguirán haciéndolo en 2024, diversos sectores tanto públicos como privados como bancos, empresas, hospitales, ferrocarriles y servicios gubernamentales. La amenaza que suponen estos actores de cualquier bando resulta así un factor de riesgo en el próximo año ya que existe la posibilidad de que estos ciberataques se extiendan a organizaciones que no estén implicadas en los conflictos. Por otro lado, aunque no todos estos ‘hacktivistas’ se adherirán a estas normas, éstas establecen un marco ético y legal como base para condenar las acciones inaceptables, promover el hacktivismo responsable y preservar las normas éticas esenciales en dicha comunidad. 5. El malware avanzado evita ser detectado Desde la adopción generalizada en 2023 de las tecnologías de detección y respuesta basadas en el comportamiento (EDR), se ha observado un descenso de la eficiencia del software malicioso clásico, como pueden ser los malwares o virus más tradicionales. Sin embargo, también se está observando un cambio en las estrategias de los ciberdelincuentes en el que estos malwares usan tácticas que no generan alertas a las víctimas y así pasar desapercibidos, tales como el uso de software comercial con fines maliciosos, como puede ser el acceso remoto y la transferencia de archivos. En este sentido, se prevé que esta evolución en el funcionamiento del malware continúe en el próximo año, dando lugar a formas de malware más sofisticadas y difíciles de detectar. FUENTE: Redacción. »Hiscox identifica las 5 principales tendencias de ciberseguridad para 2024» Seguronews.com. 19/01/2024. (https://segurosnews.com/news/hiscox-identifica-las-5-principales-tendencias-de-ciberseguridad-para-2024).
El derecho al olvido en las redes sociales: protección de la privacidad en línea
En la era digital, las redes sociales se han convertido en una parte muy importante de nuestras vidas. Sin embargo, a medida que compartimos cada vez más información personal en estas plataformas, surge la preocupación por la protección de nuestra privacidad y la gestión de nuestra identidad en línea. Es aquí donde entra en juego el concepto del derecho al olvido en las redes sociales. El derecho al olvido y las redes sociales Lo primero que hay que destacar es que debes tener cuidado porque lo que escribes en la red no desaparece, se queda para siempre y revela mucho de ti. Esto puede perjudicarte en numerosas ocasiones como por ejemplo a la hora de conseguir un empleo. 1 de cada 3 candidatos quedan eliminados de procesos de selección debido a su perfil digital. Si te arrepientes de alguna de las cosas que has publicado en tus redes sociales, es importante que conozcas el concepto de derecho al olvido. Se trata de un concepto relacionado con la protección de datos personales, el derecho al honor, a la intimidad y a la imagen. De manera más clara, se puede identificar con el derecho que tiene una persona a no aparecer en Internet ni en sus buscadores. Sin embargo, este derecho puede en ocasiones colisionar con la libertad de expresión o información ¿Cómo se aplica este derecho en redes sociales? El derecho al olvido en Redes Sociales se compone de distintos aspectos igualmente de relevantes para su ejercicio. Hay que distinguir si el origen de los datos procede del interesado o de terceros que lo han facilitado, pues las razones que asisten al interesado para ejercer el derecho de supresión son distintas, como posteriormente se verá. Igualmente conviene citar en qué momento se pretende ejercer este derecho, si lo es durante la vida del interesado o lo es tras su muerte, pues las condiciones de ejercicio son distintas. ¿Qué pasa con las redes sociales de una persona cuando fallece? En cuanto a los contenidos aparecidos en Redes Sociales, desde que en la actual LOPD se reguló especialmente el Derecho al Testamento Digital, son los herederos o las personas vinculadas a la persona fallecida quienes están llamados a gestionar dichos contenidos y por tanto acceder a los mismos para ejercer los derechos digitales del modo que estimen conveniente. Estas podrán tomar las decisiones al respecto del uso, supresión o destino de los citados contenidos, siempre que la persona fallecida no lo hubiera prohibido expresamente, quedando siempre a salvo, los derechos hereditarios que pudieran surgir sobre los citados contenidos si estos forman parte de la herencia. Al respecto de la subsistencia o no de los perfiles personales en redes sociales de las personas fallecidas, hoy se permite, que una persona pueda disponer en su testamento digital del destino que habrán de seguir sus perfiles personales y los herederos habrán de estar a sus instrucciones dadas. De no existir disposición especial a ese respecto, serán los herederos o las personas vinculadas al fallecido quienes habrán de decidir sobre la eliminación o no de estos perfiles personales. ¿Cómo podemos solicitar la supresión de datos personales? Para suprimir los datos personales, basta que la persona física dirija una petición razonada y donde acredite su identidad, a los canales habilitados para tales efectos en los servicios de redes sociales y servicios de la sociedad de la información. ¿Cómo puedo ejercer el derecho de supresión? El derecho al olvido en las Redes Sociales es el derecho otorgado a toda persona para que le sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados tanto por el interesado, como por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes. Si bien este derecho al olvido, cuando los datos han sido facilitados por terceros, ha de ser razonado y atender a alguna de las causas que precisamente se describen en el art. 94.2 de la LOPD al referirse que, esos datos personales fuesen: inadecuados, inexactos, no pertinentes, no actualizados, excesivos, o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. FUENTE: de la Cruz, Juan Rubén. »El derecho al olvido en las redes sociales: protección de la privacidad en línea» Lawtrends.com. 19/01/2024. (https://www.lawandtrends.com/noticias/tic/el-derecho-al-olvido-en-las-redes-sociales-proteccion-de-la-privacidad-en-linea-1.html#gsc.tab=0).
Siete consejos de ciberseguridad para el trabajo remoto
El trabajo remoto trajo consigo ventajas como la flexibilidad y el acceso a un talento global, pero también introdujo nuevas amenazas a la ciberseguridad de las organizaciones. Por otra parte, el cambio a una fuerza de trabajo remota o híbrida obligó a las empresas a adoptar más aplicaciones Software como un Servicio o SaaS, lo que provocó que casi el 40% de las compañías pierdan el control de sus entornos de TI y seguridad, según datos de un estudio de Cloudflare. Además, para el 49% de los participantes de ese estudio la adopción de este nuevo modelo de trabajo fue el principal catalizador de esta situación. Trabajo remoto y ciberseguridad Pero no todo está perdido. Tener empleados trabajando de forma remota y mantener la seguridad de la empresa es posible. Solo requiere una planificación cuidadosa, establecer una serie de políticas de teletrabajo y herramientas que acompañen dicho proceso. Entonces, ¿cómo pueden las compañías con trabajadores en remoto reforzar su ciberseguridad? Los especialistas de WatchGuard ofrecen siete consejos para retomar el control de tu seguridad en un modelo de teletrabajo. Los riesgos de seguridad del trabajo remoto son una realidad, pero puedes tomar medidas para mitigarlos. Evalúa tu plan de continuidad de operaciones para el trabajo remoto Es importante asegurarte de que tus políticas sobre el uso de los equipos y sistemas fuera de la oficina sean claras y estén actualizadas. Para realizar esta evaluación es conveniente hacerte una serie de preguntas que te permitan valorar las capacidades de trabajo remoto de tu empresa. Por ejemplo, cuestionarte si dispones de suficientes licencias VPN o si los miembros de la plantilla conocen las políticas para trabajar en casa. Comunica las expectativas a los trabajadores remotos Una vez creada una política completa y detallada que especifique las funciones y responsabilidades de cada empleado, directivo y personal de apoyo informático, debes comunicarla a los empleados para que comprendan la razón de ser de estas medidas, así como las ventajas y los riesgos de no seguirlas. Capacita a los empleados en ciberseguridad para trabajar remoto Además de proporcionar herramientas y sistemas de seguridad, debes capacitar a la plantilla para que sepan cómo utilizarlos. La capacitación puedes realizarla en diferentes formatos, como webinars, videos, cuestionarios, newsletters o boletines informativos. Esto ayuda a crear una cultura de seguridad en tu organización, donde los empleados se responsabilizan de su propia seguridad y de la seguridad de los activos de la empresa. Implementa la autenticación multifactor (MFA) para proteger los usuarios y las aplicaciones La MFA agrega una capa adicional de seguridad al exigir a los usuarios que verifiquen su identidad con dos factores diferentes, como una contraseña y una notificación push en su dispositivo móvil. Esto dificulta que los cibercriminales accedan a las cuentas de los usuarios, incluso si conocen sus credenciales. Escala la capacidad de la VPN para satisfacer la demanda creciente de acceso remoto Si la capacidad de la VPN es insuficiente, los empleados remotos pueden experimentar problemas de rendimiento, como tiempos de espera prolongados y desconexiones frecuentes. Los firewalls alojados en la nube pueden ayudar a resolver estos problemas al equilibrar la carga del tráfico VPN y escalar para adaptarse a las necesidades cambiantes de la empresa. Ayuda a los empleados remotos a habilitar redes Wi-Fi seguras en casa En primer lugar, deberán conectarse a la red de la empresa mediante una VPN. Además, es recomendable que oculten el SSID de su router, así como utilizar un módem/router con protección WPA2 o WPA3, y cambiar regularmente la contraseña de la red Wi-Fi. Del mismo modo, deben evitar la configuración predeterminada y crear una red de invitados para que los demás miembros del hogar puedan conectarse sin acceder a la red principal de la empresa, manteniendo así una conexión más segura contra posibles amenazas. Aplicar principios de zero-trust en redes y dispositivos Asegúrate de adoptar un enfoque de seguridad basado en zero-trust, que requiere que se verifique la identidad de todos los usuarios y dispositivos antes de que se les conceda acceso a los recursos. Del mismo modo, procura disponer de una solución que analice y bloquee procesos maliciosos, así como actividades sospechosas en los endpoints, ya que esto puede suponer el inicio de un ataque que se propague al resto de equipos de la organización. Detectar y responder ante este tipo de amenazas a tiempo puede suponer la diferencia entre mantener el control de la seguridad de tu empresa o la pérdida de actividad de tu negocio por un tiempo prolongado. Estrategia de seguridad por capas No cabe duda de que la mejor forma de garantizar la seguridad de tu empresa es establecer una estrategia de seguridad por capas. Esta estrategia combinando múltiples soluciones de protección, como el MFA, Antivirus o Seguridad Endpoint, el filtrado DNS y el VPN que, acompañado del enfoque zero-trust y la formación en materia de seguridad, te permitirá blindar el perímetro distribuido. FUENTE: Novedades. »Siete consejos de ciberseguridad para trabajadores remotos» Todoriesgo.com.ar. 16/01/2024. (https://www.todoriesgo.com.ar/siete-consejos-ciberseguridad-trabajadores-remotos/).
En el sector transporte puedes avanzar con la Firma Electrónica Certificada
La era digital, también conocida como la cuarta revolución industrial, ha modificado los métodos y procedimientos que los sectores económicos emplean en sus operaciones empresariales. En consonancia con estos cambios, las empresas dedicadas al transporte de carga y logística se ven compelidas a incorporar herramientas tecnológicas avanzadas y eficientes en sus procesos (como lo son las Firmas Electrónicas Certificadas), con el fin de optimizar y superar distintos desafíos. El sector de carga en Colombia desempeña un papel fundamental en la economía y el desarrollo industrial de la sociedad. A lo largo de la historia, este sector ha construido su presencia desde las oficinas de diversas empresas que integran sus procesos y procedimientos para cumplir eficientemente con sus objetivos. Sin embargo, la rápida evolución tecnológica a veces hace que estos procesos se vuelvan obsoletos de un día para otro. Hoy en día, contamos con diversas herramientas tecnológicas que podrían contribuir a la actualización y optimización de los procesos empresariales tradicionales. La clave radica en seleccionar de manera acertada entre las numerosas tecnologías disponibles aquella que genere valor y proporcione la mejor experiencia en la digitalización empresarial. Por este motivo, proporcionaremos consejos específicos para entender cómo una herramienta tecnológica puede aportar beneficios a una empresa en la era digital. En el sector de carga, todos estamos familiarizados con el proceso asociado al manifiesto de carga, que generalmente se firma entre despachadores y conductores. Este documento contiene información crucial para las empresas, como datos del vehículo, del propietario, del conductor, origen y destino de la carga, entre otros. A pesar de su historia, es imperativo mantenerse a la vanguardia de la tecnología en el entorno empresarial, donde la oferta y la demanda dependen del producto y su calidad, y quedarse rezagado ante la transformación digital no es una opción. Firmas Electrónicas Certificadas, una solución efectiva para el sector transportador En este sentido, el proceso asociado al manifiesto de carga, al igual que cualquier contrato comercial, laboral, civil o de mutuo, puede ser objeto de automatización para mejorar su eficiencia y optimizar resultados. Esto se logra fácilmente mediante la implementación de firmas electrónicas en formularios digitales. El manifiesto de carga puede convertirse en un formulario digital que se puede completar mediante dispositivos móviles o computadoras, y firmarse electrónicamente desde cualquier parte del mundo en una plataforma electrónica única, simplificando toda la operación a unos pocos clics. Lea también: Mayor respaldo jurídico a los procesos de Firma Electrónica La implementación de un portal de firmas electrónicas para la gestión de formularios, como el manifiesto de carga, permite minimizar riesgos asociados al papel y reducir costos ocultos de operaciones de archivo y conservación de documentos físicos, entre otros beneficios. Esto ayuda a optimizar la gestión y evitar gastos elevados por papelería, transporte de documentos y tiempos empleados por las partes involucradas en la operación, así como el deterioro, daño, pérdida o hurto de documentos, el impacto ambiental negativo, y las limitaciones geográficas, logísticas, operativas y funcionales. Concluimos que mantener prácticas antiguas puede generar numerosas afectaciones en la operatividad. En cuanto a los beneficios de la automatización de la operación de carga al pasar de firmas manuscritas a firmas electrónicas, las ventajas más relevantes incluyen la eficiencia y agilidad en los procesos, la eliminación de distancias y la reducción de tiempos, la disminución de gastos a mediano y largo plazo al anular costos ocultos y de operación, el valor agregado en productos y operaciones al presentarse como empresas ecoamigables, y la accesibilidad y trazabilidad en los procesos. FUENTE: Luis Francisco Ramos, Director de Proyectos para Protecdata Colombia. director.proyectos@protecdatacolombia.com.
Kaspersky adelanta las claves de ciberseguridad para consumidores en 2024
Kaspersky adelanta una advertencia para el 2024. Una serie de desafíos emergentes en materia de ciberseguridad que los consumidores deberán afrontar. La amenaza de cibercriminales utilizando temas en tendencia y tecnologías avanzadas se cierne sobre los internautas cada vez más conscientes de salvaguardar su vida digital. Preocupaciones de seguridad en Latinoamérica El estudio reciente de Kaspersky adelanta que, si bien más del 66% de los latinoamericanos se preocupan significativamente por su seguridad en línea, los argentinos muestran un nivel de preocupación inferior, alcanzando solo el 53%. Comparativamente, Brasil, Chile, Colombia, México y Perú exhiben tasas de preocupación de 62%, 68%, 70%, 73% y 74%, respectivamente. Podría interesarle: Kaspersky descubre una vulnerabilidad desconocida en iPhones Con el objetivo de ayudar a los usuarios a anticipar posibles amenazas, desde Kaspersky detallan las cinco principales tendencias que podrían ser empleadas en intentos de estafa durante 2024. Se espera que las estafas benéficas, el enfoque en los gamers, el aumento de deepfakes de voz, la segmentación de Internet y los servicios VPN, así como las estafas relacionadas con estrenos cinematográficos y de videojuegos, dominen el panorama. Auge de estafas benéficas: El entorno global de conflictos violentos y crisis, combinado con las consecuencias de la pandemia y desastres climáticos, crea un caldo de cultivo para estafas benéficas. Aprovechando la empatía de los usuarios, se espera un aumento significativo en tácticas que exploten estas crisis mundiales. Gamers en la mira de ciberdelincuentes: Con el crecimiento de las inversiones y ganancias en juegos ‘play-to-earn’ (P2E), los gamers se convierten en objetivos atractivos para la ciberdelincuencia. La promesa de dinero fácil y el valor creciente de Bitcoin intensifican el interés de los ciberdelincuentes en este sector. Aumento de deepfakes de voz: A medida que las falsificaciones de imágenes se vuelven más comunes, los deepfakes de voz ganan terreno. El lanzamiento de la API Text-to-Speech (TTS) de OpenAI destaca avances en tecnología de voz artificial, pero también aumenta el riesgo de un uso indebido por parte de estafadores. Segmentación de Internet y auge de VPN: Las VPN no solo refuerzan la privacidad, sino que también contrarrestan la segmentación de Internet y la delimitación geográfica de sitios web. Ante cambios geopolíticos, se anticipa un aumento en la demanda global de soluciones VPN. Estafas en estrenos cinematográficos y de videojuegos: Con los esperados estrenos de películas taquilleras y videojuegos como Dune: Parte 2, Deadpool 3 y GTA VI, se prevé un aumento en estafas. La reactivación de la industria cinematográfica y el atractivo de videojuegos populares abren oportunidades para sitios de phishing y ofertas fraudulentas. Anna Larkina, experta en seguridad y privacidad de Kaspersky, comenta: ‘En nuestras predicciones sobre las amenazas para los consumidores en 2024, ofrecemos información sobre los posibles riesgos cibernéticos. El mundo de las estafas es dinámico y los defraudadores no dejan de idear nuevas tácticas, por lo que estar siempre en alerta y mantener una postura proactiva sigue siendo la mejor defensa contra estas amenazas en evolución’. FUENTE: »Kaspersky adelanta las claves de ciberseguridad para consumidores en 2024» Prensariotila.com. 16/01/2024. (https://prensariotila.com/kaspersky-adelanta-las-claves-de-ciberseguridad-para-consumidores-en-2024/).
Consejos para adecuarse a la nueva ley de protección de datos personales de Chile
Ante la inminente aprobación de una nueva ley de protección de datos personales en Chile, te contamos cuáles son los principales puntos a los que empresas y organismos deberán prestar atención e implementar cuando entre en vigencia la nueva Ley. En la era digital actual, donde la información se ha convertido en un activo invaluable, las empresas chilenas se encuentran en un punto de inflexión al enfrentarse a una nueva ley de protección de datos. Esta legislación no solo busca resguardar la privacidad de los individuos, sino que también reconoce la creciente importancia económica de los datos. En un panorama empresarial donde la información se ha consolidado como una moneda de cambio estratégica, adaptarse a estas regulaciones no solo es un requisito legal, sino también una oportunidad para maximizar sus negocios. En este contexto, las organizaciones deben reevaluar sus prácticas de manejo de datos y establecer estrategias proactivas para cumplir con las exigencias normativas. Este cambio de paradigma en la percepción de los datos personales como activos económicos ha llevado a la posibilidad de considerarlos como mercancías intercambiables en el mercado digital, lo que ha producido la aparición de un gran mercado en torno a los datos. ¿Cómo pueden las empresas adaptarse al cumplimiento de la nueva ley de Protección de Datos en Chile? Establecer medios para garantizar el consentimiento de los titulares de datos: Las empresas de Chile deberán proporcionar información clara y comprensible sobre cómo se recopilan, procesan y utilizan los datos personales. Deben asegurarse de que los titulares de datos estén completamente informados sobre las finalidades para las cuales se recopilan sus datos y que puedan brindar el correspondiente consentimiento explícito y afirmativo para el procesamiento de datos personales. Lea también: Cómo la Ley de Servicios Digitales quiere poner fin a los patrones oscuros y cómo nos afectará como usuarios Por otro lado, deben proporcionar a los individuos una forma sencilla y clara de retirar su consentimiento en cualquier momento. Asegurarse de mantener la confidencialidad: Implementar políticas internas que destaquen la importancia del deber de secreto o confidencialidad con respecto a los datos personales. Deben asegurarse de que las cláusulas de confidencialidad estén incluidas en los contratos con los empleados y otros involucrados en el tratamiento de datos. Las empresas deben revisar y comprender las disposiciones legales que permiten la comunicación o cesión de datos en situaciones específicas. Es recomendable que realicen auditorías periódicas para asegurarse de que se estén cumpliendo las políticas y procedimientos de confidencialidad. Asimismo, deben implementar sistemas informáticos seguros capaces de prevenir accesos indebidos a sus bases, para lo cual deben contar con soluciones de software adecuadas, así como implementación segura de hardware. Adecuar la implementación de procedimientos automatizados: En el caso del tratamiento automatizado de datos (big data, machine learning, por ejemplo), deben asegurarse de que los procedimientos automatizados para el tratamiento y transferencia de grandes volúmenes de datos sean diseñados de manera responsable y ética, implementando controles de calidad para garantizar la precisión y relevancia de los datos tratados. Deben desarrollar mecanismos y controles para garantizar que los derechos de los titulares de datos en Chile, estén protegidos durante el tratamiento automatizado, incluyendo la posibilidad de acceso y corrección de datos. El tratamiento automatizado debe estar alineado con las finalidades autorizadas por los titulares de datos y no se utilice para fines no consentidos. Si el tratamiento automatizado implica la toma de decisiones que afectan a los titulares de datos, asegurarse de que en caso de ser requeridas puedan explicar y, en la medida de lo posible, permitir la intervención humana en decisiones automatizadas que afecten significativamente a los individuos. Resulta, al efecto, muy importante que se implementen medidas de seguridad sólidas para proteger los grandes volúmenes de datos tratados automáticamente, garantizando la confidencialidad, integridad y disponibilidad de la información. Cumplir con los requisitos para transferencia internacional de datos: Antes de realizar transferencias internacionales de datos, deben asegurarse de que el país de destino proporcione niveles adecuados de protección de datos personales, según lo requerido por la ley chilena. Cuando se realicen transferencias internacionales, se recomienda utilizar cláusulas contractuales u otros instrumentos jurídicos entre el responsable que efectúa la transferencia y el que la recibe. Estas cláusulas deben establecer los derechos y garantías de los titulares, así como las obligaciones de los responsables y los medios de control. Las empresas deben considerar la adopción de un modelo de cumplimiento o autorregulación vinculante y certificado de acuerdo con la legislación aplicable en cada jurisdicción. Esto puede proporcionar una base sólida para garantizar el cumplimiento de normativas de protección de datos. Por otro lado, deben asegurarse de que las transferencias de datos relacionadas con actividades bancarias, financieras o bursátiles específicas cumplan con las leyes que regulan dichas transferencias. Adoptar medidas preventivas para evitar infracciones de la ley: Es importante que al efecto las empresas incluyan implementación de medidas de seguridad, políticas internas y capacitación del personal. Se recomienda nombrar un encargado de prevención o delegado de protección de datos como parte del modelo de prevención. Es importante que adopten un programa de cumplimiento o prevención de infracciones como parte del modelo. Este programa puede incluir políticas, procedimientos y controles internos para garantizar el cumplimiento de las disposiciones legales. Todos los escalafones de la organización deben estar informados y en línea en cuanto a las políticas preventivas, y es fundamental el esfuerzo en común para evitar infracciones. FUENTE: Cuenca Ramírez, Fabiana. »Consejos para adecuarse a la nueva ley de protección de datos personales chilena» Welivesecurity.com. 16/01/2024. (https://www.welivesecurity.com/es/seguridad-corporativa/consejos-adecuarse-nueva-ley-proteccion-datos-chile/).
Cómo la Ley de Servicios Digitales quiere poner fin a los patrones oscuros y cómo nos afectará como usuarios
Cuando nos peleamos por cerrar la cajita del anuncio que nos aparece en una web o cuando nos dicen que solo quedan dos habitaciones a un precio mientras buscamos hotel, estamos viendo patrones oscuros. Son las estrategias basadas en la experiencia de usuario y en cómo navegamos en internet que buscan engañarnos para hacer algo que no queremos hacer, como empujarnos a comprar un producto o suscribirnos a un servicio sin que nos demos cuenta. Hasta ahora no había una legislación concreta sobre el diseño de los patrones oscuros online, pero a partir del 17 de febrero de 2024 todas las plataformas que operan en la Unión Europa tendrán que cumplir con la Ley de Servicios Digitales (DSA, por sus siglas en inglés), que prohíbe el uso de estas prácticas. Esto significa que dejaremos de ver pestañas que nos preguntan constantemente por una decisión aunque ya la hayamos rechazado y darnos de baja de un servicio no podrá ser más difícil que contratarlo. Los patrones oscuros se valen del diseño web, la experiencia de usuario y nuestros sesgos para manipularnos “10 personas más están mirando el mismo producto, ¡no te quedes sin él!”. “Este es el último billete con descuento, ¡aprovecha la oportunidad!”. Navegando por la red seguro que te has encontrado con alguna de estas frases. Se trata de patrones oscuros: estrategias basadas en la experiencia del consumidor cuyo objetivo es engañar a los usuarios para que hagan algo que en realidad no quieren hacer. Para ello se valen del diseño web (la distribución de elementos como botones o pestañas), de la experiencia de usuario (cómo interaccionamos con una página) y de nuestros sesgos para intentar que tomemos una decisión que de otro modo a lo mejor no tomaríamos. Según Lorena Sánchez Chamorro, doctoranda en la Universidad de Luxemburgo y especializada en Human-Computer Interaction, este tipo de técnicas se han ido sofisticando ya que las empresas cada vez tienen más datos sobre cómo navegamos por la red, lo que hace que sean más difíciles de detectar. “Las plataformas saben cómo reaccionamos por defecto. Al haber cambiado la forma en la que consumimos, al encontrarnos con plataformas en todos los sectores, los riesgos de encontrar patrones oscuros y caer en ellos son mayores”, detalla la experta, algo que también reflejan los estudios. La Ley de Servicios Digitales prohíbe el uso de patrones oscuros en las plataformas en línea Aunque este tipo de técnicas están reguladas por la directiva de la Comisión Europea contra las prácticas comerciales desleales y por el Reglamento General de Protección de Datos (RGPD), no había una legislación que tratara en concreto sobre el diseño de los patrones oscuros en las plataformas en línea hasta la llegada de la Ley de Servicios Digitales: un conjunto de normas de la Unión Europea para regular el espacio digital que deben cumplir las grandes plataformas en línea desde el 25 de agosto de agosto y el resto de plataformas desde el 17 de febrero de 2024. En su artículo 25 la DSA regula el uso de las interfaces de usuario de estas plataformas en línea y prohíbe su diseño “de manera que engañen o manipulen” a los usuarios o que afecten sustancialmente a sus capacidades de decisión. Es decir, que utilicen patrones oscuros. La DSA también permite a la Comisión Europea elaborar directrices sobre determinadas prácticas que pueden suponer patrones oscuros y que las plataformas tendrán que tener en cuenta. Aunque por el momento la Comisión Europea no ha hecho público ningún documento, sí que hay otro tipo de trabajos que pueden dar una idea sobre las pautas que podrá adoptar. Uno de ellos es la guía sobre el uso de patrones de diseño engañosos en las redes sociales publicada por el Comité Europeo de Protección de Datos (CEPD) en febrero de 2023. A partir del 17 de febrero de 2024 dejaremos de ver ventanas emergentes o jerarquías de opciones a la hora de decidir Según Sánchez, en el momento actual la DSA puede ser algo confusa en algunos aspectos “por su amplitud”, pero, a falta de que se publiquen directrices concretas, la ley sí que detalla algunas prácticas que quedan claramente prohibidas y que a partir del 17 de febrero deberíamos dejar de ver en la mayoría de páginas web. Una de ellas es dar más protagonismo a determinadas acciones qué a otras cuando se nos pide tomar una decisión, es decir, establecer una jerarquía de opciones. Por ejemplo, la opción de aceptar las cookies no puede destacar más (ya sea a través del color o el tamaño) que la opción de rechazarlas, ambas se tienen que presentar a un mismo nivel. Otro de los patrones oscuros que prohíbe la DSA es pedirnos reiteradamente que elijamos una opción cuando ya la hemos rechazado. Si ya hemos rechazado el uso de cookies o nos hemos negado a dar información personal como el número de teléfono, la web no nos puede volver a preguntar si queremos ceder estos datos. Especialmente cuando la página nos muestra una ventana emergente que dificulta nuestra navegación. La ley también prohíbe que sea más difícil poner fin a un servicio que suscribirse a él. Si decidimos pagar una cuota mensual por un producto o un servicio, la opción de desuscribirse no puede estar enterrada bajo menús de difícil acceso que nos puedan llevar a desistir. FUENTE: »Cómo la Ley de Servicios Digitales quiere poner fin a los patrones oscuros y cómo nos afectará como usuarios» Maldita.es. 15/01/2024. (https://maldita.es/malditatecnologia/20240115/dsa-fin-patrones-oscuros-afecta-usuarios/).
Microsoft Cloud permite mantener todos los datos personales dentro de la EU Data Boundary
Con la actualización del pasado lunes día 12, Microsoft Cloud da otro paso decisivo en la ampliación de su oferta de servicios en su nube de confianza, que respetan los valores europeos y cumplen los requisitos específicos de nuestros clientes comerciales y del sector público en Europa. Este paso forma parte de una iniciativa más amplia destinada a permitir que los clientes europeos prosperen en todos los sectores y países de la región. Ello comprende desde la aplicación de los Principios Europeos de la Nube, y el trabajo permanente para la expansión de Microsoft Cloud for Sovereignty, hasta las soluciones soberanas que ofrece Microsoft en colaboración con las principales compañías tecnológicas europeas, pasando por las inversiones en infraestructura global, que abarcan actualmente más de 60 regiones Cloud, 11 de ellas en Europa. Para seguir ofreciendo a sus clientes un conjunto de soluciones que satisfagan mejor sus necesidades, compañía norteamericana ha anunciado un importante paso en la aplicación de su EU Data Boundary para la nube de Microsoft. El año pasado, como primer paso de «nuestro enfoque gradual para el despliegue» de EU Data Boundary, ofreció la capacidad de almacenar y tratar datos de clientes dentro del territorio para los servicios de Microsoft 365, Azure, Power Platform y Dynamics 365. Lea también: Meta, Amazon y TikTok encabezan los 2.100 millones de euros en multas por violar la regulación de protección de datos (GDPR) en Europa en 2023 Sobre la base de ese lanzamiento inicial, ahora Microsoft amplía el almacenamiento y tratamiento local para incluir todos los datos personales, como los logs de sistema automatizados, lo que convierte a Microsoft en el primer proveedor de nube a gran escala que ofrece este nivel de residencia de datos a los clientes europeos. Las mejoras anunciadas hoy en EU Data Boundary para Microsoft Cloud se centran en tres áreas: En primer lugar, va más allá de los datos de los clientes y amplía, aún más, sus compromisos de almacenamiento y tratamiento local para incluir todos los datos personales dentro del territorio. A través de inversiones significativas y esfuerzos dedicados por miles de ingenieros, su EU Data Boundary ahora permite el tratamiento y almacenamiento de todos los datos en la UE a través de los principales servicios en la nube de Microsoft: Azure, Microsoft 365, Power Platform y Dynamics 365. Esto significa que EU Data Boundary ahora incluye datos personales que han sido seudonimizados. Estos datos se encuentran en los registros generados por el sistema, producidos automáticamente como parte del funcionamiento estándar de los propios servicios. Con esta ampliación, EU Data Boundary de Microsoft permite a sus clientes almacenar y tratar aún más datos dentro de la Unión Europea y refuerza el control del cliente. En segundo lugar, sabemos que nuestros clientes necesitan una visión clara y completa del tratamiento de datos, las transferencias limitadas y los procesos de protección de datos que está implantando en EU Data Boundary. Por ello, ahora ofrece nuevos recursos de transparencia, como documentación y más información, a los que los clientes de Microsoft pueden acceder en la página web del Centro de Confianza de EU Data Boundary. En tercer lugar, ha realizado grandes inversiones para desplegar tecnología con base en la UE con el fin de proteger aún más los datos personales seudonimizados dentro del territorio, cuando se accede a ellos de forma remota para supervisar el estado del sistema. Por ejemplo, evitando la necesidad de transferencias o almacenamiento físico de datos fuera de la UE desplegando una infraestructura de escritorio virtual en EU Data Boundary para supervisar nuestros sistemas. Mantener un nivel de seguridad líder en el sector para nuestros clientes europeos Al aplicar la EU Data Boundary, también mantiene su compromiso con una ciberseguridad de primer nivel. Microsoft cuenta con más de 8.000 expertos en todo el mundo que analizan billones de señales diarias para descubrir amenazas y ofrecer información sobre ciberseguridad, oportuna y muy relevante, para detectar y mitigar actividades maliciosas. Con el objetivo de garantizar que nuestros clientes de la UE reciban el mismo tipo de seguridad de primera clase que otros clientes globales, cualquier transferencia de datos fuera de la UE con fines de seguridad se documentará, se limitará a lo estrictamente necesario para las funciones de ciberseguridad cruciales y se utilizará únicamente para estos fines de ciberseguridad. Próximos pasos A finales de este año, Microsoft lanzará la siguiente fase de su EU Data Boundary para Microsoft Cloud transformando las capacidades de tratamiento y almacenamiento de los datos necesarios durante las interacciones de soporte técnico. Microsoft se asegurará de que los datos de soporte se almacenen dentro del territorio europeo, y cuando sea necesario el acceso desde fuera de la UE para permitir un soporte de máxima calidad, limitará y protegerá cualquier transferencia temporal de datos necesaria a través de enfoques técnicos como la Infraestructura de Escritorio Virtual. Posteriormente, Microsoft también tiene previsto ofrecer una modalidad de soporte de pago que proporcionará una respuesta técnica inicial desde dentro de la UE y permitirá a los clientes dar su consentimiento antes de que se recurra a expertos técnicos de fuera de la UE. La solución EU Data Boundary de Microsoft va más allá de los requisitos de cumplimiento europeos y refleja el compromiso de ofrecer servicios en la nube que inspiren confianza, diseñados para aprovechar toda la potencia de la nube pública, respetando los valores europeos y proporcionando los controles de soberanía y las características más avanzadas disponibles actualmente en el sector. FUENTE: Elderecho.com. »Microsoft Cloud permite mantener todos los datos personales dentro de la EU Data Boundary» Elderecho.com. 16/01/2024. (https://elderecho.com/microsoft-cloud-permite-mantener-todos-los-datos-personales-dentro-de-la-eu-data-boundary).
Cómo evitar que te espíen desde tu celular: esta es la regla de oro
Con el uso continuo del celular es normal que con el paso de las semanas tengamos varias aplicaciones instaladas, muchas de ellas sin usar. Algo que en teoría no debería ser un problema, pero puede que alguna de esas aplicaciones sea vulnerada y se convierta en una puerta de entrada para los ciberdelincuentes. Lea también: Kaspersky descubre una vulnerabilidad desconocida en iPhones Expertos en ciberseguridad, como la empresa Kaspersky, proponen una solución sencilla que puede evitar ser espiado y reducir el riesgo de que nuestra privacidad y seguridad se vea afectada por una plataforma que no estamos usando. La medida se llama: una al día. ¿Cómo funciona la regla de ‘una al día’? Con el paso de los meses, es común que descarguemos diversas aplicaciones en nuestros celulares, pero la realidad es que muchas de estas quedan en el olvido después de usarlas una vez jamás volvemos a entrar. La acumulación de estas aplicaciones no solo ocupa espacio de almacenamiento, sino que también puede tener consecuencias graves para nuestra privacidad y la integridad de nuestros datos. En primer lugar, estas aplicaciones a menudo poseen permisos que, si se les concede y luego se olvidan, pueden convertirse en un riesgo para nuestra privacidad. Además, algunas de estas apps pueden estar ejecutándose en segundo plano, consumiendo recursos valiosos como la memoria y la energía de la batería. Pero, lo más alarmante, es que muchas de ellas podrían estar desactualizadas, abandonadas por sus desarrolladores y expuestas a vulnerabilidades de seguridad que nunca son corregidas. Ante este panorama, los expertos han propuesto una solución simple pero efectiva: la regla de ‘una al día’. El objetivo es claro: liberar nuestros dispositivos de aquellas aplicaciones que llevamos meses sin utilizar y que podrían representar un riesgo para la salud de nuestros dispositivos y la seguridad de nuestros datos. ¿Cómo saber cuáles aplicaciones se usan menos? Al tener tantas aplicaciones descargadas es posible que no sepamos de la existencia de algunas. Así que para encontrar aquellas apps que no usamos o a las que accedemos poco y tener información suficiente para eliminarlas, dejamos el paso a paso para ver ese listado. Android iOS ¿Cómo saber si están espiando mi celular? Identificar si se está siendo espiado a través de la cámara del celular puede resultar difícil, pero hay algunas señales que podrían indicar una posible intrusión. Algunos indicios a tener en cuenta son: FUENTE: Rios, Juan. »Cómo evitar que te espíen desde tu celular: esta es la regla de oro» Infobae.com. 14/01/2024. (https://www.infobae.com/tecno/2024/01/14/como-evitar-que-te-espien-desde-tu-celular-esta-es-la-regla-de-oro/).
