8 estrategias avanzadas de ciberseguridad impulsadas por inteligencia artificial que debes conocer
La ciberseguridad es un campo en constante evolución, impulsado por la creciente sofisticación de las amenazas y la complejidad de los entornos digitales. En este contexto, la IA se ha convertido en una herramienta fundamental para mejorar la defensa contra ataques cibernéticos. La integración de IA en estrategias de ciberseguridad permite una detección más rápida y precisa de amenazas, una respuesta más eficiente a incidentes y una protección más robusta de los datos y sistemas críticos. Detección y prevención de amenazas en tiempo real Una de las principales ventajas de la IA en ciberseguridad es su capacidad para analizar grandes volúmenes de datos en tiempo real, identificando patrones y anomalías que podrían indicar una amenaza. Los sistemas de detección basados en IA utilizan algoritmos de aprendizaje automático para monitorear continuamente el tráfico de red, el comportamiento de los usuarios y las actividades del sistema. Estos sistemas pueden identificar comportamientos inusuales, como intentos de acceso no autorizados o transferencias de datos sospechosas, y generar alertas inmediatas para que los equipos de seguridad puedan intervenir rápidamente. Automatización de la respuesta a incidentes de ciberseguridad La respuesta rápida y eficaz a los incidentes de seguridad es crucial para minimizar el daño causado por un ciberataque. La IA permite la automatización de muchas tareas críticas en la gestión de incidentes, desde la identificación y clasificación de amenazas hasta la implementación de medidas de contención y recuperación. Por ejemplo, los sistemas de IA pueden ejecutar automáticamente scripts para aislar dispositivos comprometidos, bloquear direcciones IP maliciosas o restaurar datos desde copias de seguridad. Esto no solo acelera la respuesta, sino que también reduce la carga de trabajo de los analistas de seguridad, permitiéndoles centrarse en tareas más estratégicas. Lea también: El futuro de la ciberseguridad en Europa: cómo la nueva ley de la UE protegerá a usuarios y empresas Análisis predictivo y proactivo Otra área en la que la IA está revolucionando la ciberseguridad es el análisis predictivo. Los algoritmos de aprendizaje automático pueden analizar datos históricos y actuales para predecir futuros ataques y vulnerabilidades. Al identificar tendencias y patrones en los datos de seguridad, las organizaciones pueden anticiparse a las amenazas y reforzar sus defensas antes de que ocurra un ataque. Esto incluye la identificación de nuevas técnicas de ataque emergentes y la actualización proactiva de las políticas de seguridad y los controles de acceso. Desarrollo de perfiles de comportamiento en ciberseguridad La IA también se utiliza para crear perfiles detallados del comportamiento de los usuarios y dispositivos en una red. Al establecer una línea base de lo que constituye una actividad normal, los sistemas de seguridad pueden detectar más fácilmente comportamientos anómalos que podrían indicar una intrusión. Este enfoque basado en perfiles es particularmente útil para detectar amenazas internas, como empleados deshonestos o cuentas comprometidas, que pueden pasar desapercibidas para los sistemas de seguridad tradicionales. Refuerzo del aprendizaje y la adaptación continua La inteligencia artificial se beneficia del aprendizaje continuo y la adaptación, mejorando su eficacia con el tiempo. Los sistemas de ciberseguridad impulsados por IA pueden ajustar sus modelos y algoritmos basándose en la retroalimentación y los resultados de incidentes pasados. Esta capacidad de aprender y adaptarse es esencial en un entorno de amenazas dinámico, donde los atacantes están en constante evolución y perfeccionamiento de sus técnicas. Protección del Internet de las Cosas (IoT) Con la proliferación de dispositivos conectados, el Internet de las Cosas (IoT) se ha convertido en un objetivo atractivo para los ciberatacantes. La IA puede desempeñar un papel crucial en la protección de estos dispositivos, muchos de los cuales tienen capacidades de seguridad limitadas. Los sistemas de IA pueden monitorizar el comportamiento de los dispositivos IoT, detectar anomalías y aplicar políticas de seguridad específicas para cada tipo de dispositivo. Además, la IA puede ayudar a gestionar la enorme cantidad de datos generados por los dispositivos IoT, identificando rápidamente posibles amenazas y vulnerabilidades. Uso de IA en la gestión de identidades y accesos La gestión de identidades y accesos es un componente crítico de la ciberseguridad. La IA puede mejorar significativamente la eficacia de las soluciones IAM al proporcionar autenticación multifactor basada en el comportamiento y la biometría. Por ejemplo, los sistemas de IA pueden analizar patrones de inicio de sesión y comportamientos de uso para detectar intentos de acceso sospechosos y aplicar medidas de autenticación adicionales cuando sea necesario. Esto no solo mejora la seguridad, sino que también reduce la fricción para los usuarios legítimos. Simulación y formación en ciberseguridad con IA Las plataformas de simulación impulsadas por IA pueden crear entornos de entrenamientos realistas para los equipos de seguridad, permitiéndoles practicar la respuesta a una variedad de escenarios de ataque. Estas simulaciones pueden adaptarse dinámicamente para reflejar las últimas amenazas y técnicas de ataque, proporcionando una formación continua y relevante. Además, la IA puede analizar el rendimiento de los equipos durante estas simulaciones, identificando áreas de mejora y personalizando los programas de formación en consecuencia. Simulación y formación con IA Las plataformas de simulación impulsadas por IA pueden crear entornos de entrenamientos realistas para los equipos de seguridad, permitiéndoles practicar la respuesta a una variedad de escenarios de ataque. Estas simulaciones pueden adaptarse dinámicamente para reflejar las últimas amenazas y técnicas de ataque, proporcionando una formación continua y relevante. Además, la IA puede analizar el rendimiento de los equipos durante estas simulaciones, identificando áreas de mejora y personalizando los programas de formación en consecuencia. FUENTE: Martorell Delgado, Sergio. ‘8 estrategias avanzadas de ciberseguridad impulsadas por inteligencia artificial que debes conocer» Bitlifemedia.com. 11/07/2024. (https://bitlifemedia.com/2024/07/estrategias-avanzadas-ciberseguridad-impulsadas-inteligencia-artificial/).
El futuro de la ciberseguridad en Europa: cómo la nueva ley de la UE protegerá a usuarios y empresas
La Ley de Ciberresiliencia de la Unión Europea marcará un antes y un después en la seguridad digital y las firmas Letslaw, RSM y 4Geeks exploran cómo la nueva normativa elevará la seguridad de las organizaciones, así como los derechos y obligaciones que plantea. La Ley de Ciberresiliencia de la Unión Europea (Cyber Resilience Act, CRA), prevista para su entrada en vigor este año, establecerá un marco regulatorio esencial para mejorar la seguridad cibernética de los productos con elementos digitales y abordar los riesgos actuales del mercado. Este reglamento pionero establece directrices de ciberseguridad para productos con elementos digitales, afectando tanto a hardware como a software, y promete transformar el mercado europeo en un entorno más seguro para usuarios y empresas. Según la firma de abogados Letslaw, los consumidores y usuarios profesionales son los más afectados por la falta de ciberseguridad en muchos productos conectados. “En un mundo cada vez más interconectado, es importante tener una regulación que garantice la protección de los usuarios ante los productos con acceso a internet, ya que cuantos más puntos de acceso existen, más puntos de entrada tienen los ciberdelincuentes”, afirma Alberto Malo, Manager en el Departamento de Nuevas Tecnologías de Letslaw. Responsabilidades y oportunidades para los fabricantes La Ley de Ciberresiliencia ha centrado su atención en varios riesgos presentes en el mercado actual. El bajo nivel de ciberseguridad de muchos productos inalámbricos y por cable conectados a internet, así como de los programas informáticos introducidos en el mercado de la UE, es una preocupación constante. Otro principal riesgo es la falta de actualizaciones por parte de los fabricantes para solucionar las vulnerabilidades detectadas, lo que agrava la situación. Lea también: La importancia de la protección de datos personales en el sistema empresarial de México Además, de acuerdo con Alberto Malo, “las empresas y los consumidores no suelen disponer de la información precisa y necesaria que permita conocer si un producto es seguro en el ámbito de la ciberseguridad. Es más, suelen desconocer qué elementos buscar para asegurarse de que los productos que compran se instalan de manera segura. Los fabricantes se encuentran ante una oportunidad de oro para poder posicionar sus productos como líderes de seguridad en el mercado”. Formación y ciberseguridad, prioritarios Los sistemas informáticos, administrados por el capital humano de las organizaciones, deben precisar de una formación apropiada para los desafíos que plantea la nueva Ley de Ciberresiliencia, así como concienciarse en tener una estructura robusta ante las ciberamenazas. 4Geeks Academy, una escuela de programación, enfocada en el desarrollo de software y habilidades tecnológicas, ha desarrollado un programa de ciberseguridad ante la importancia de la seguridad en el espacio cibernético y las consecuencias de un ciberataque o fuga de información. “La ley fomenta una cultura de ciberseguridad continua, transformando nuestro entorno digital en un espacio seguro y preparado para el futuro”, apunta Daniela Maissi, investigadora en materia de ciberseguridad y creadora de programas formativos en 4Geeks Academy. “Tenemos una política de protección de datos y uso de dispositivos muy rigurosa para disminuir las probabilidades de sufrir algún ciberataque y de la misma forma contamos con un plan de acción y protocolo de actuación por si llegara a ocurrir disminuyendo el impacto del mismo”, explica. Un futuro más seguro Desde Letslaw apuntan que la nueva ley establecerá un período de soporte que coincida con la duración prevista de uso del producto, “asegurarse de que se proporcionen actualizaciones de seguridad durante este período siendo de al menos cinco años, a excepción de los productos cuyo uso previsto sea más corto”. La implementación de la Ley de Ciberresiliencia promete un mercado más seguro y transparente. Los usuarios podrán adquirir productos con la tranquilidad de que se han tomado medidas para proteger su información personal. Así, el marco legal de la Ley de Ciberresiliencia no solo eleva los estándares de seguridad para productos digitales, sino que también asegura una mayor transparencia y protección para los usuarios finales, estableciendo así un entorno digital más seguro y fiable, como expone Gallardo. “Eso representa un avance significativo en la regulación de la ciberseguridad en Europa, imponiendo estrictas obligaciones a las empresas y otorgando derechos cruciales a los usuarios. Esta legislación horizontal es fundamental para enfrentar los desafíos de seguridad en un mundo cada vez más digitalizado”, asegura. FUENTE: M.H. »El futuro de la ciberseguridad en Europa: cómo la nueva ley de la UE protegerá a usuarios y empresas» Europasur.es. 06/07/2024. (https://www.europasur.es/tecnologia/futuro-ciberseguridad-europa-nueva-ley_0_2001385647.html).
Una denuncia en Italia revela cómo Xandr, una filial publicitaria de Microsoft, infringe los fundamentos más básicos del RGPD
En torno a Europa y sus ingentes regulaciones tecnológicas hay mucho sujeto a debate. Lo último tiene que ver con una denuncia hecha en Italia contra Microsoft. Apple, por ejemplo, tiene una visión muy sucinta sobre cómo se debe cumplir el Reglamento de Mercados Digitales en lo que concierne a la presencia de tiendas de apps de terceros en su ecosistema. Meta sigue haciendo piruetas para que el Reglamento General de Protección de Datos (RGPD) afecte poco a su modelo de negocio basado en la publicidad personalizada. Pero al margen de esos debates hay algunas certezas. Las normas hay que cumplirlas y las autoridades de protección de datos de todo el continente se están acostumbrando a poner sanciones multimillonarias a las grandes tecnológicas que osen cuestionar las leyes comunitarias. Por eso, la denuncia que se ha conocido este martes llama tanto la atención. La ha presentado Noyb, una asociación de activistas por la privacidad con base en Austria. Esta organización ha presentado un escrito ante Garante, la agencia de protección de datos italiana, al entender que Xandr, un negocio publicitario de Microsoft, está incumpliendo sistemáticamente varios preceptos del RGPD. Xandr es una adtech que adquirió Microsoft a finales de 2021 por unos 1.000 millones de euros. Es una de tantas compañías que en el negocio de la publicidad en línea se dedica a subastar en tiempo real espacios de inserciones publicitarias. La subasta se realiza mediante un proceso algorítmico para que los anuncios se muestren a perfiles que puedan estar interesados en un producto. Podría interesarle: La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados Entre esos datos se encuentra información como por ejemplo las creencias filosóficas y políticas del usuario, su orientación y vida sexual, su estado de salud o su estado financiero. Pero además, Xandr tiene una tasa de respuesta del 0% a la petición de acceso que ampara el RGPD. El RGPD permite a los usuarios solicitar a las empresas que digan qué información tienen almacenada sobre ellos. Amparándose en que Xandr no puede deanonimizar sus bases de datos, la tasa de respuesta de la compañía de Microsoft a esas peticiones es del 0%. Así consta en una página oculta dentro de su dominio web a la que ha tenido acceso el demandante en Italia. El abogado de Noyb en este caso es Massimiliano Gelmi: «El negocio de Xandr se basa obviamente en almacenar datos de millones de europeos. Aun así, la compañía admite que tiene una tasa de respuesta del 0% cuando reciben peticiones de acceso o borrado de datos. Es sorprendente que Xandr confirme incluso públicamente como vulnera el RGPD», apunta. El problema no queda ahí. El demandante que sí ha podido conocer qué información se tiene en Xandr sobre él ha descubierto que la información ni siquiera es precisa. Gelmi carga contra toda la industria publicitaria: «Parece que no le importa realmente ofrecer información certera a los anunciantes». Noyb considera que con lo descubierto Xandr estaría vulnerando varios preceptos de cuatro artículos del RGPD. Por eso la plataforma pide que la autoridad de protección de datos italiana investigue a la filial de Microsoft y le imponga una multa administrativa. Este tipo de denuncias son ya comunes en el sector digital. La que presenta Noyb contra Xandr es noticia por lo burda que es la infracción. FUENTE: Aguiar, Alberto R. »Una denuncia en Italia revela cómo Xandr, una filial publicitaria de Microsoft, infringe los fundamentos más básicos del RGPD» Businessinsider.es. 09//07/2024. (https://www.businessinsider.es/denuncia-italia-revela-como-xandr-filial-publicitaria-microsoft-infringe-fundamentos-basicos-rgpd-1394776).
La importancia de la protección de datos personales en el sistema empresarial de México
Las MIPYMES son fundamentales para el desarrollo económico de México. Representan una parte significativa del tejido empresarial y contribuyen de manera importante a la generación de empleo y al crecimiento económico del país. Su capacidad de adaptación, innovación y flexibilidad las convierte en actores clave para el futuro de México. En México, existen 280,489 empresas, de éstas, el 6.9% son medianas, el 35.3% son pequeñas y el 52.8% son microempresas. Además, según datos del Instituto Nacional de Estadística y Geografía (INEGI), se estima que hay 4.9 millones de PYMES en el país, de las cuales el 97.6% son microempresas, el 2% son pequeñas y las medianas representan solo el 0.4% restante. Por otro lado, en México, el comercio electrónico creció un 24.6% en 2023, alcanzando 658.3 mil millones de pesos, en dónde 5 de cada 10 compradores digitales declaró escribir reseñas sobre sus compras; así como guardar sus datos personales y bancarios. Sin duda, el comercio electrónico es un habilitador del desarrollo económico, sin embargo, al necesariamente estar involucrados los datos personales dentro de este desarrollo, también representa ser un reto para las empresas que recolectan, almacenan, procesan y transfieren información personal brindada por sus clientes, los cuales tienen la expectativa razonable que su privacidad estará protegida. Lea también: Cómo afecta la inteligencia artificial a la protección de datos personales Los datos personales se han transformado en uno de los activos más importantes y con más valor para las empresas. Las bases de datos acumulan un tesoro digital, ya que brindan información que ayudan a las empresas en la toma de decisiones estratégicas, personalización de servicios, segmentación de mercado y desarrollo de productos. El reto es que las empresas manejen estos datos de manera ética y conforme a las regulaciones de protección de datos para garantizar la privacidad y seguridad de los titulares. En ese sentido, las MIPYMES deben cumplir con las leyes de protección de datos personales. Esto implica tomar medidas para proteger la información personal de los clientes, empleados y proveedores, como es la puesta a disposición de avisos de privacidad, implementación de medidas de seguridad, obtención de consentimiento para el procesamiento de datos, información que puede ser consultada mas a detalle en: https://micrositios.inai.org.mx/mipymes/ Actualmente el INAI ha implementado talleres de cumplimiento en materia de protección de datos personales con diversas Organizaciones Empresariales, logrando que a través de acciones específicas y conjuntas, se facilite el cumplimiento normativo en la materia. Asimismo, el Instituto pone a dispocisión del sector privado la posiblidad de desarrollar y adoptar esquemas de autorregulación vinculante, demostrando el cumplimiento de la Ley y lo faculta para ostentar el sello de confianza REA-INAI, distinguiendolas como empresas comprometidas con la protección de datos personales. La protección de datos personales es un elemento esencial para preservar la seguridad, patrimonio y bienestar de las personas en su vida y en el entorno digital en constante evolución. FUENTE: Vergara Román, Josefina. »La importancia de la protección de datos personales en el sistema empresarial mexicano» Eluniversal.com.mx. 01/07/2024. (https://www.eluniversal.com.mx/opinion/josefina-roman-vergara/la-importancia-de-la-proteccion-de-datos-personales-en-el-sistema-empresarial-mexicano/).
Cómo afecta la inteligencia artificial a la protección de datos personales
Hasta hace relativamente poco tiempo, las pocas referencias que teníamos de la inteligencia artificial provenían del cine o de la literatura, donde se la solía (y suele) presentar como una tecnología que, generalmente, termina por escapar a nuestro control, dominar el mundo y someter a los humanos. Sin embargo, en el mundo real no paran de decirnos que la inteligencia artificial (IA) es el futuro, que es una herramienta con grandes posibilidades, que va a facilitar enormemente las vidas de la gente. Pero ¿realmente se saben las implicaciones y consecuencias del uso de esta tecnología? ¿Qué riesgos puede traer consigo? Para evitar caer bajo el yugo de una Skynet o una Shodan cualquiera, hemos hablado con los expertos de Grupo Atico34, una de las consultoras de protección de datos de referencia en España, quien nos ha aportado su visión acerca de este tema, ahora que está a punto de entrar en vigor la nueva Ley de Inteligencia Artificial, de la Unión Europea. ¿Un riesgo para los datos personales? Una de las principales cuestiones que hay que tener en cuenta a la hora de hablar de inteligencia artificial y protección de datos es que se trata de una tecnología relativamente joven y que, como tal, su uso todavía no se encuentra generalizado ni regulado. Por tanto, se podría decir que, de momento, ni siquiera se alcanza a vislumbrar una mínima parte de su potencial… o de sus riesgos. Según Alejandro Flores, del equipo jurídico de Grupo Atico34, “la gran mayoría de inteligencias artificiales que se usan en la actualidad son inteligencias artificiales generativas, las cuales se encargan de crear contenido de forma automatizada en base a contenido ya existente”. Un ejemplo de esto sería Meta, quien hace poco ha confirmado que ya está usando la IA en Facebook e Instagram para generar contenido nuevo a partir del contenido ya creado por los usuarios. En este sentido, el problema está en los datos con los que se alimenta a estos sistemas de IA. Al final, los datos con los que trabajan tienen que venir de alguna parte, y es posible que estas fuentes contengan datos incorrectos, sesgados o que incluso se utilicen para recabar datos personales con fines de mercadotecnia u otros. Lea también: El reto para la protección de datos que supone el tratamiento de neurodatos También tenemos ya ejemplos como el de Worldcoin, proyecto del CEO de OpenAI que escaneaba el iris de las personas a cambio de una remuneración en criptomonedas, y cuya actividad en España acaba de ser paralizada por la Agencia Española de Protección de Datos (AEPD). Para Atico34, “el principal problema es que la tecnología, como siempre, está avanzando más rápido que la legislación, y por tanto no queda muy claro hasta dónde está el límite en las obligaciones de los operadores de IA ni en los derechos de los usuarios”. ¿Cómo habría que actuar entonces mientras estamos en esta especie de limbo legal? Desde la consultora indican que lo recomendable es aplicar la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), esto es, la transposición española del Reglamento General de Protección de Datos europeo (RGPD). La ley que se avecina ¿Qué datos personales puede recabar una IA? ¿Para qué los puede emplear? ¿Quién es el responsable del tratamiento de los datos que maneja una IA? ¿Quién es el dueño del contenido generado por una IA? Son algunas de las preguntas que viene a resolver la próxima Ley europea de Inteligencia Artificial. Esta nueva normativa, cuyo texto preliminar ya ha sido aprobado y se encuentra en las últimas fases de su tramitación, viene a establecer las bases para la regulación de la IA a nivel europeo, poniendo especial énfasis en la protección de los derechos y libertades de los individuos. Se podría decir que esta normativa gravita sobre cuatro puntos principales: la transparencia de los contenidos creados mediante IA y la defensa de los derechos de autor; la prohibición de los sistemas de categorización biométrica; la prohibición del uso de la IA como una vía para engañar y manipular a los individuos o para explotar sus vulnerabilidades; la protección de los usuarios frente a las ultrafalsificaciones generadas por IA. Todavía es pronto para conocer dónde se situarán exactamente los límites al uso de esta tecnología y lo más probable es que la Ley de Inteligencia Artificial sufra continuas modificaciones una vez que vea la luz. Así que, habrá que estar atentos a ver cómo evolucionan las cosas porque, no hay duda ya, la IA va a ser parte activa, seguro, de nuestras vidas. FUENTE: Tablado, Fernando. »Cómo afecta la inteligencia artificial a la protección de datos personales» Aceprensa.com. 01/07/2024. (https://www.aceprensa.com/ciencia/tecnologia/como-puede-afectar-la-inteligencia-artificial-a-la-proteccion-de-datos-personales/).
La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados
Una política de Meta proponía que los usuarios paguen para evitar que sus datos sean usados para anuncios personalizados. En 2023, la UE emitió una multa de 2,3 billones de euros a la compañía por violar leyes de privacidad. A Europa no le gustó la postura de Meta de ‘o pagas o usamos tus datos’. La Comisión Europea dijo este lunes 1 de julio que la empresa estadounidense está incumpliendo la ley de mercados digitales. Se refirió específicamente a la política de recopilación de datos personales de los usuarios, al obligarles a pagar si no quieren que la compañía los utilice para mostrar anuncios personalizados en Facebook e Instagram. «Meta ha forzado a millones de usuarios en la Unión Europea a una elección binaria: pagar o dar consentimiento. En nuestra conclusión preliminar, esto es una infracción de la ley de mercados digitales», dijo el comisario europeo de Mercado Interior, Thierry Breton. «Queremos dar la capacidad a los ciudadanos para que sean capaces de tener el control sobre sus propios datos y elegir una forma de anuncios menos personalizada», añadió la vicepresidenta de la Comisión Europea de la Era Digital, Margrehte Vestager, en un comunicado. Una multa millonaria en el horizonte Bruselas continuará con su investigación hasta marzo de 2025 y mientras tanto, espera que Meta proporcione una solución alternativa a su modelo publicitario, pero si confirma sus conclusiones iniciales, podría acabar imponiendo una multa a la empresa del 10 % de su facturación mundial. La sanción podría ascender hasta el 20 % en caso de incumplir reiteradamente la normativa y la Comisión podría obligar a Meta a vender una parte de su negocio. Lea también: La UE contra Meta: ¡Sus sucripciones pagas no bastan para anuncios! La ley de mercados digitales, en Europa, obliga a las grandes empresas de internet a obtener el consentimiento de los usuarios para poder usar sus datos personales y combinarlos entre sus distintas plataformas con el objetivo de mostrar anuncios personalizados. Y en caso de que los usuarios no den su consentimiento, deben darles la opción de acceder a un servicio equivalente que no use con tanta frecuencia esta información para fines publicitarios. No es el primer freno de Meta en Europa El 14 de junio de 2024, la Comisión de Protección de Datos de Irlanda exigió a Meta que retrase el entrenamiento de su Inteligencia Artificial usando el contenido publicado por adultos tanto en Facebook como en Instagram. «Estamos decepcionados con el pedido», expresó la compañía estadounidense, apenas cuatro días después que anunciaran la expansión de estos servicios al territorio europeo. En mayo de 2023, el Comité Europeo de Protección de Datos, con sede en Bruselas, exigió a Meta el pago de una multa histórica por 1.2 billones de euros por haber violado las reglas de privacidad de la región. La entonces presidenta de este comité, Andrea Kelinek, expresó que la infracción era «muy seria» y que la multa era una «fuerte señal para las organizaciones» para recalcar que las «infracciones serias tienen consecuencias de gran alcance» FUENTE: Redacción Primicias. »La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados» Primicias.ec. 01/07/2024. (https://www.primicias.ec/noticias/entretenimiento/tecnologia/meta-union-europea-incumplimiento-datos-personales/).
Violaciones de datos de empresas de alto perfil
La tasa de violaciones de la seguridad cibernética de lo datos en empresas grandes y pequeñas ha alcanzado niveles alarmantes. Con ataques de alto perfil dirigidos a la atención médica, las finanzas, el comercio minorista, el gobierno, la fabricación y la energía, está claro que el panorama de amenazas ha evolucionado significativamente en los últimos años. Según las proyecciones , se estima que los delitos cibernéticos costarán a la economía mundial 10,5 billones de dólares en 2025, lo que refleja un aumento anual del 15%. Las empresas nunca han sido más vulnerables; incluso las grandes empresas con importantes defensas de ciberseguridad pueden ser víctimas. Las lecciones aprendidas de estos ataques pueden ayudar a las empresas más pequeñas a preparar su estrategia de seguridad para cualquier eventualidad. En este artículo se analizan algunas de las violaciones de datos empresariales más notables en 2023 y 2024, sus causas, impactos y lo que debe hacer para mantenerse protegido. Violaciones recientes de datos de empresas de alto perfil Snowflake: mayo de 2024 Un ataque informático a la empresa de almacenamiento en la nube Snowflake ha desencadenado una ola de filtraciones que podría convertirse en “una de las mayores violaciones de datos de la historia”. Un número no revelado de bases de datos de clientes se vieron comprometidas en el ataque, lo que dio lugar a más violaciones en muchas otras empresas, incluidas Ticketmaster y Santander. Snowflake afirma que los piratas informáticos atacaron a los usuarios que dependían de la autenticación de un solo factor, utilizando credenciales robadas a través de malware. La empresa no aplica la autenticación de un solo factor , y opta por permitir que los usuarios administren su propia seguridad. En su divulgación inicial, afirmó: “Snowflake es un producto en la nube y cualquiera puede registrarse para obtener una cuenta en cualquier momento. Si un actor de amenazas obtiene las credenciales del cliente, es posible que pueda acceder a la cuenta”. Ticketmaster: mayo de 2024 En una de las infracciones más notorias vinculadas al ataque Snowflake, más de 500 millones de clientes de Ticketmaster vieron su información filtrada en la red oscura. Datos, incluidos nombres completos, direcciones, números de teléfono, direcciones de correo electrónico e historial de pedidos, se pusieron a la venta en un foro de piratería. El grupo “ShinyHunters” se atribuyó la fuga de información y, según se informa, intentó pedir un rescate antes de publicar los datos para su venta. La empresa matriz de Ticketmaster, Live Nation, confirmó la filtración en una presentación ante la Comisión de Bolsa y Valores de Estados Unidos y declaró: “Estamos trabajando para mitigar el riesgo para nuestros usuarios y la empresa, y hemos notificado y estamos cooperando con las autoridades”. AT&T: abril de 2024 Se estima que en abril se informó a 73 millones de clientes actuales y antiguos de AT&T de que sus datos personales habían sido vulnerados y publicados en la red oscura. Entre los datos filtrados se encontraban números de la Seguridad Social y códigos de acceso de clientes, con la posibilidad de que también se hubiera accedido a nombres, direcciones y fechas de nacimiento. Podría interesarle: Microsoft admite fallos que facilitaron ataque de espía chino a la ciberseguridad de EEUU En el momento del anuncio, AT&T declaró que no sabía si la violación de datos «se originó en AT&T o en uno de sus proveedores», pero que se estaban llevando a cabo investigaciones. Se cree que el ataque en sí tuvo lugar en 2019, pero no salió a la luz hasta 2021. Sin embargo, los clientes no fueron informados hasta que sus datos se localizaron en la red oscura en marzo de 2024. Desde entonces, se han presentado múltiples demandas colectivas contra AT&T como resultado de la violación de datos. American Express: marzo de 2024 A principios de marzo de 2024, se notificó a un número no revelado de clientes de American Express sobre una posible violación de sus datos. En un comunicado, American Express anunció que el incidente se debió a un acceso no autorizado a un procesador comercial externo, en lugar de a sus propios sistemas internos. Se informó a los clientes de que sus nombres, números de cuenta y datos de tarjetas podrían haber sido vulnerados en la vulneración de seguridad, y se les instó a que vigilaran sus cuentas para detectar actividades fraudulentas durante los siguientes 12 a 24 meses. También se animó a los usuarios de American Express a que habilitaran las notificaciones en tiempo real para alertarlos sobre compras o transacciones inusuales. Fujitsu: marzo de 2024 En marzo de 2024, Fujitsu confirmó la presencia de malware en su red corporativa, que podría haber dejado la información de los clientes vulnerable a los piratas informáticos. En su declaración inicial, la empresa se negó a revelar el número de usuarios afectados o la naturaleza de los datos que podrían haberse visto comprometidos. Así mismo, Fujitsu afirma que, al descubrir el malware, “desconectó inmediatamente los ordenadores afectados… Además, seguimos investigando las circunstancias que rodearon la intrusión del malware y si se ha filtrado información”. Fondo Monetario Internacional: marzo de 2024 El Fondo Monetario Internacional (FMI) confirmó que se detectó un incidente cibernético en febrero de 2024 en el que se vieron comprometidas 11 cuentas de correo electrónico. En un breve comunicado , la organización dijo que trabajó con expertos en ciberseguridad para investigar la vulneración y volver a proteger las cuentas afectadas. Concluyó: “El FMI se toma muy en serio la prevención y la defensa contra los incidentes cibernéticos y, como todas las organizaciones, actúa partiendo del supuesto de que, lamentablemente, se producirán incidentes cibernéticos. El FMI cuenta con un sólido programa de ciberseguridad para responder con rapidez y eficacia a dichos incidentes”. Roku: marzo de 2024 Roku, una plataforma de transmisión de televisión utilizada por 80 millones de clientes, sufrió un ciberataque que afectó a 15.000 titulares de cuentas a principios de este año. La empresa afirmó que los piratas informáticos «probablemente habían obtenido ciertos nombres de usuario y contraseñas de consumidores de fuentes de terceros… Parece probable que las mismas combinaciones de nombre de usuario y contraseña se hayan utilizado
El reto para la protección de datos que supone el tratamiento de neurodatos
La Agencia Española de Protección de Datos (AEPD) y el Supervisor Europeo de Protección de Datos (EDPS) han publicado un informe conjunto en el que analizan los retos que supone el tratamiento de neurodatos para los derechos y libertades de las personas. El documento, que examina este fenómeno emergente, proporciona una descripción de los neurodatos y evalúa su impacto en la privacidad y la protección de datos personales, incluyendo casos prácticos. Los recientes avances en neurotecnología están permitiendo la aparición de un número creciente de dispositivos conectados que monitorizan la actividad cerebral para distintos propósitos. El cerebro desempeña un papel crucial en las capacidades cognitivas humanas, decisiones, emociones y comportamientos, entre otras funciones. El informe explica que las técnicas de imagen cerebral se desarrollaron originalmente en el contexto de la medicina clínica y la investigación neurocientífica, demostrando ser eficaces para diversos tratamientos. Sin embargo, en los últimos años, existe una tendencia hacia un uso relacionado con el marketing. Por ejemplo, para medir la reacción del cerebro humano ante anuncios o productos para estudiar, analizar y predecir el comportamiento de los consumidores. Las neurotecnologías también se han utilizado en dispositivos portátiles para una serie de actividades cotidianas, como la educación y el entretenimiento. Además, los implantes cerebrales ofrecen la posibilidad de influir y reescribir la actividad cerebral de las personas. Esta accesibilidad, junto con las capacidades de la Inteligencia Artificial para combinar datos de diversas fuentes, pueden interferir sustancialmente con los derechos y libertades fundamentales. Podría interesarle: Protección de datos personales: desafíos en un mundo digitalizado El informe analiza qué supone el tratamiento de neurodatos en distintos contextos y con ejemplos de casos de uso, como el entorno educativo o los videojuegos, así como las amenazas que suponen algunos de ellos. A continuación, especifica los requisitos y los principios de protección de datos que deben cumplirse para el tratamiento de esta tipología de datos personales que, con frecuencia, constituyen categorías especiales de datos (por ejemplo, datos biométricos o datos relativos a la salud). En principio, el tratamiento de categorías especiales de datos está prohibido, salvo excepciones en las que concurren unas circunstancias determinadas. El informe recoge que quienes se planteen tratar neurodatos deben tener siempre en cuenta el carácter intrusivo del tratamiento de dichos datos y valorar cuidadosamente si la finalidad que se persigue justifica plenamente este tratamiento de datos “extremadamente invasivo y sensible, que afecta al aspecto más íntimo de la vida” de las personas. Además, destaca como crucial llevar a cabo un análisis en profundidad de los neurodatos y evaluar el impacto de su tratamiento en los derechos fundamentales, incluida la necesidad de crear neuroderechos. La Carta de los Derechos Fundamentales de la Unión Europea reconoce expresamente el derecho fundamental a la integridad mental (artículo 3), como una de las expresiones del derecho fundamental a la dignidad humana (artículo 1), que es también el fundamento del derecho a la intimidad y a la protección de los datos personales (artículos 7 y 8 de la Carta). La Agencia ha establecido entre sus líneas estratégicas promover la regulación del tratamiento de los neurodatos y los correlativos neuroderechos, especialmente en el ámbito de los servicios dirigidos a menores. FUENTE: Noticia. »El reto para la protección de datos que supone el tratamiento de neurodatos» Elderecho.com. 27-06-2024. (https://elderecho.com/el-reto-para-la-proteccion-de-datos-que-supone-el-tratamiento-de-neurodatos).
Protección de datos personales: desafíos en un mundo digitalizado
La protección de los datos personales de los refugiados y la garantía de sus derechos humanos son aspectos fundamentales en su camino hacia la reintegración social. Actualmente, el mundo enfrenta el mayor número de conflictos armados desde la Segunda Guerra Mundial. De acuerdo con el Alto Comisionado de las Naciones Unidas para los Refugiados (ACNUR), más de 82 millones de personas abandonaron sus países de origen a finales de 2020 debido a conflictos, persecuciones y violaciones de derechos humanos. Esta migración las coloca en situaciones de vulnerabilidad, exponiéndolas a riesgos adicionales como la explotación, la trata y la violencia sexual, incluso a través de los medios digitales. En esta semana, cobran relevancia dos fechas importantes, en primer lugar, el 19 de junio, pues se reconoce como el Día Internacional para la Eliminación de la Violencia Sexual en los Conflictos, fecha que nos invita a reflexionar sobre la importancia de proteger los datos personales como parte del derecho humanitario, empoderando a las víctimas en el entorno digital y reduciendo los efectos derivados de los conflictos. En segundo lugar, el 20 de junio, es reconocido como el Día Mundial del Refugiado, fecha que nos recuerda la importancia de proteger a las personas desplazadas por conflictos y persecuciones. Este día es una oportunidad para reflexionar sobre la situación de millones de refugiados en todo el mundo, quienes han tenido que abandonar sus hogares en busca de seguridad y un futuro mejor. La protección de sus datos personales y la garantía de sus derechos humanos son aspectos fundamentales en su camino hacia la reintegración social y la construcción de una vida digna en un nuevo entorno. Podría interesarle: El 50% de los consumidores se siente cómodo confiando sus datos personales Además de los daños físicos y psicológicos, la violencia sexual y los conflictos armados destruyen el tejido social y cultural. Por ello, es esencial proteger la identidad e información personal de las víctimas y refugiados para facilitar su reintegración social, por lo que, un tratamiento adecuado de sus datos personales evitará que sean discriminadas y puestas en riesgo al revelar información de carácter sensible, es así como la protección de sus datos personales se vuelve fundamental para salvaguardar su dignidad y evitar su revictimización. En este sentido, considerando que la intersección de estos temas con los derechos humanos es ineludible y esencial, las autoridades garantes de los derechos a la privacidad y protección de datos personales, como lo es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), debemos trabajar con el objetivo de fomentar una alfabetización digital y el uso eficaz de las tecnologías de la información y la comunicación (TIC), que se traduzca en un beneficio para la población vulnerable como las víctimas de violencia sexual o personas refugiadas. Lea también: Google revela un aumento del 75% en la actividad del ransomware, con más de 50 nuevas familias y variantes identificadas Destacando así los trabajos que se realizan con organizaciones internacionales en el ámbito del derecho humanitario, por ejemplo, como parte de la Asamblea Global de Privacidad (GPA, por sus siglas en inglés), actualmente presidida por el INAI, contamos con la participación como observadores del Fondo de las Naciones Unidas para la Infancia, el Instituto Interamericano de Derechos Humanos, la Federación Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja y la Organización Internacional para las Migraciones (OIM), por mencionar algunos. Estos trabajos han permitido construir instrumentos, tales como la resolución adoptada sobre el papel de la protección de datos personales en la ayuda internacional para el desarrollo, la ayuda humanitaria internacional y la gestión de crisis, adoptada por la GPA, documento que, en conjunto con distintas herramientas que hemos desarrollado en el INAI como la Guía para la Protección de Datos Personales de Personas Migrantes en Posesión de Albergues, permiten abonar a la salvaguarda de los derechos humanos y la dignidad de las personas. FUENTE: Román Vergara, Josefina. »Protección de datos personales: desafíos en un mundo digitalizado» Elfinanciero.com.mx. 18/06/2024. (https://www.elfinanciero.com.mx/opinion/josefina-roman-vergara/2024/06/18/proteccion-de-datos-personales-desafios-en-un-mundo-digitalizado).