España busca adaptar su normativa a la era de la inteligencia artificial
La evolución de las tecnologías de creación de imágenes y el creciente protagonismo de la inteligencia artificial (IA) en los últimos años han desencadenado un amplio espectro de oportunidades en la gran mayoría de sectores. Sin embargo, este avance vertiginoso también ha suscitado retos y dilemas, especialmente debido a la falta de una regulación adecuada que se ajuste a estas innovaciones. En particular, las técnicas vinculadas a la recreación de imágenes y voces de personas mediante técnicas de inteligencia artificial demandan una protección mayor de ciertos derechos fundamentales, como la intimidad, la propia imagen y el honor. Deepfakes e hiperrealismo, de los principales problemas de la inteligencia artificial En este escenario de rápidos avances tecnológicos, las deepfakes o vídeos hiperrealistas se destacan como uno de los exponentes más reconocibles. Estas creaciones se definen como composiciones visuales, auditivas o audiovisuales que emulan la realidad, generando imágenes y/o voces ficticias de personas. Basada en el uso de IA y aprendizaje automático (machine learning), esta tecnología logra recrear acciones con una apariencia hiperrealista, aparentando ser ejecutadas por las personas en cuestión. Este fenómeno plantea desafíos significativos, ya que la capacidad de generar contenidos realistas de manera ficticia puede tener repercusiones éticas y sociales, afectando directamente a la percepción pública y la confianza en los medios visuales y auditivos. Ejemplo de ello en España son los casos de las adolescentes de Almendralejo o de la reconocida cantante Rosalía, en los que se utilizó la manipulación de imágenes mediante IA con el propósito de crear contenido pornográfico falso. Proposición de Ley En respuesta a esta problemática, España ha dado un paso significativo con la presentación, el 13 de octubre de 2023, de una Proposición de Ley Orgánica para regular las simulaciones de imágenes y voces generadas por inteligencia artificial. Esta iniciativa legislativa reconoce la imperante necesidad de establecer marcos legales sólidos frente a la amenaza emergente que implica esta tecnología, especialmente teniendo en cuenta que desde el año 2009 el Tribunal Europeo de Derechos Humanos ha reconocido como una dimensión ineludible del derecho a la intimidad, el control de la propia imagen. Lea también: 50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento La Proposición de Ley aboga por modificar normativas existentes. Partiendo de que la regulación de la inteligencia artificial implica reformar el ordenamiento jurídico español, esta iniciativa busca abordar las modificaciones legislativas consideradas más inmediatas y urgentes. Estas modificaciones se centran en áreas críticas, como el acceso a información veraz y la protección de derechos fundamentales, enfocándose especialmente en aspectos como la privacidad y la intimidad. Modificaciones propuestas Las principales y destacables reformas propuestas son las siguientes: Marco jurídico internacional En el plano internacional también ha habido avances regulatorios en esta materia, especialmente a nivel de la Unión Europea, donde se espera la pronta aprobación del Reglamento de Inteligencia Artificial, que aborda la tecnología deepfake y establecerá una serie de pautas para su uso. La Proposición de Ley española, por ende, deberá adecuarse a las disposiciones de este reglamento. Además, el reciente Reglamento europeo de Servicios Digitales también hace referencia a la tecnología deepfake al imponer la obligación a los motores de búsqueda en línea y a las plataformas en línea de muy gran tamaño de etiquetar las deepfakes como tal, de conformidad con el principio de transparencia. En este contexto, el Servicio de Estudios del Parlamento Europeo ha emitido el informe Tackling deepfakes in European policy, referenciado en la exposición de motivos de esta Proposición de Ley. Este informe examina los riesgos asociados con las deepfakes, como el robo de identidad, la intimidación y la afectación de derechos fundamentales como la igualdad y la no discriminación, proponiendo medidas para abordar estos riesgos en diversas dimensiones (entre otras, la tecnológica, la creativa o la de difusión). En otras latitudes se ha oportado por implementar medidas similares Fuera de Europa, Corea del Sur ha adoptado medidas drásticas mediante la promulgación de una ley en 2020 que prohíbe la distribución de deepfakes que puedan causar perjuicio al interés público, con sanciones que incluyen penas de hasta cinco años de prisión o multas de hasta 43.000 dólares estadounidenses. En China, el 10 de enero de 2023 entraron en vigor unas disposiciones aplicables a proveedores y usuarios de tecnología deepfake que regulan procedimientos que abarcan todo el ciclo de vida de esta tecnología, desde su creación hasta su distribución. En contraste, en Estados Unidos, a pesar de la ausencia de legislación federal específica sobre las deepfakes, algunos estados como California, Texas o Nueva York han implementado leyes centradas principalmente en el ámbito de la pornografía deepfake. FUENTE: IT and data. »España busca adaptar su normativa a la era de la inteligencia artificial» Osborneclarke.com. 27/11/2023. (https://www.osborneclarke.com/es/insights/espana-busca-adaptar-su-normativa-la-era-de-la-inteligencia-artificial).
Fichar con la huella dactilar en el trabajo era legal. En Europa han decidido que ya no lo es y amenazan con multar a quien usen datos biométricos
Los sistemas de control de datos biométricos de entrada han estado en el foco de la polémica desde que se obligó a las empresas a registrar la jornada de los empleados. Su normativa ha estado sujeta a guías, normativas e incluso leyes, que no han dejado de cambiar y complicarse desde sus inicios, creando inseguridad jurídica que puede desembocar en severas multas. Por resumir la última polémica en cuatro palabras: si una empresa utiliza un sistema de reconocimiento de huella dactilar para fichar en la entrada o salida, estaría incumpliendo la normativa de la Agencia Española de Protección de Datos (AEPD), y la empresa podría ser sancionada porque utilizar la huella dactilar es ilegal incluso cuando el empleado ha dado su consentimiento de uso. Pero, tal y como destacan desde Audens, no siempre lo ha sido. En julio de 2007 el Tribunal Supremo dictaba sentencia considerando que utilizar la huella dactilar para el control horario no era una medida excesiva, y el uso a esta tecnología no estaba limitado por norma alguna. En noviembre de 2012 se aplicaban cambios en el artículo 20.3 del Real Decreto Legislativo 2/2015 indican que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Es decir, que el empresario podía continuar usando el registro de jornada por huella dactilar de forma legal. La inclusión de regulación de datos biométricos en el RGPD En 2016 se publica el Reglamento General de Protección de Datos (RGPD), y en él se incluyen los sistemas de identificación por huella dactilar y datos biométricos como “categoría especial”, diferenciando los usos de “identificación” y “autenticación”. El RGPD dice: “Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”. Lea también: Hacia el futuro digital de Europa: implicaciones en privacidad y protección de datos de la nueva Ley de Datos o “Data act” Esto implica que el sistema de registro de jornada por huella dactilar vendría a verificar la identidad de un empleado previamente registrado está presente, con lo cual no incurre en los supuestos de identificación sino en los de autenticación, quedando fuera de “categoría especial”. Por lo tanto, en este supuesto, el registro por huella dactilar todavía se ajusta a la doctrina del Tribunal Supremo y mantiene su legalidad. Los cambios en la normativa europea En abril de 2023, el Comité Europeo de Protección de Datos confirmó unas directrices que tiraban por tierra las instrucciones del Tribunal Supremo y de la Agencia Española de Protección de Datos. En estas directrices se unifica el criterio de Autenticación y e Identificación que la AGPD había mantenido separado metiendo a ambos en “categoría especial” para el tratamiento de datos. El artículo 12 de esta directriz del Comité Europeo de Protección de Datos dice: ”Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal”. Con la nueva interpretación de la AEPD, debe sustituirse un sistema de registro de huella dactilar o por reconocimiento facial por una persona que controle y verifique el acceso o cualquier otro sistema de que no implique el uso de sus datos biométricos. Su aplicación es inmediata, por lo que cualquier empresa que utilice este sistema de reconocimiento biométrico en 2023 puede ser sancionada por la AEPD, sin importar que cuando se instalara dicho sistema fuera legal. FUENTE: Andrés, Rubén. »Fichar con la huella dactilar en el trabajo era legal. En Europa han decidido que ya no lo es y amenazan con multar» Xataka.com.
Pilares, tendencias y panorama de la ciberseguridad en 2024 según Check Point
Este año marca el octavo aniversario consecutivo del evento anual de Check Point, centrado en la educación para sus socios de negocios. El objetivo principal de este evento es acercarse a los socios, proporcionando una visión profunda de las soluciones que ofrecen. A diferencia de eventos convencionales, La compañía busca que los participantes exploren y configuren las soluciones, brindándoles una comprensión detallada de cada pilar teniendo en cuenta las tendencias y el panorama al que se ven enfrentadas empresas privadas, entidades del gobierno y la ciudadanía en general. De acuerdo con Francisco Robayo, director de ingeniería para Latam de Check Point: ‘Los pilares fundamentales son tres, y uno transversal. El primero de estos denominado Quantum, aborda todo lo relacionado con la seguridad en redes y soluciones relacionadas. El segundo pilar, Cloudgard, se enfoca en la seguridad en la nube, mientras que el tercero, Harmony, busca garantizar la seguridad de los usuarios finales y el acceso a diversas aplicaciones. El pilar transversal Horizon se centra en brindar visibilidad, automatización y mejora de operaciones’. Durante dos días, Check Point suministró información profunda sobre estos pilares, destacando el impacto de sus soluciones en la prevención de ciberataques. Esto cobra especial relevancia en donde la ciberseguridad es esencial, dado el continuo aumento en la sofisticación y cantidad de ciberataques. Soluciones, tendencias y desafíos según Check Point La ciberseguridad se vuelve más esencial que nunca, el evento de Check Point no solo se centró en presentar soluciones sino en educar sobre las tendencias y desafíos que se avecinan. La ciberseguridad enfrenta un entorno desafiante con un crecimiento anual del 40% en los ciberataques, caracterizados por su sofisticación, evasión y componentes geopolíticos. Podría interesarle: Cinco hitos y tendencias que se vivieron en ciberseguridad durante este 2023 2023 ha sido testigo de la proliferación de la inteligencia artificial (IA) en el ámbito de la ciberseguridad. ´Este año ha sido el año de la IA no porque recién se hayan creado motores de IA, sino porque los atacantes utilizan estas herramientas para hacer los ataques más resistentes, más evasivos, sofisticados y esto sumado a que los motores de IA generativa ponen tecnología al alcance de las manos de personas que antes no la tenían. Antes había la necesidad de tener mucho conocimiento para ser un gran atacante, hoy no porque está al alcance de todos y eso hace que tengamos mucho trabajo para 2024 y es que se va a seguir utilizando la IA del lado de los malos´ destaca Robayo, director de ingeniería para Latam de Check Point. Panorama actual y tendencias Inteligencia Artificial y aprendizaje automático: La inteligencia artificial (IA) y el aprendizaje automático (AA) son las estrellas de las predicciones para 2024. Si bien estos avances tecnológicos han sido adoptados tanto por ciberdelincuentes como por ciberdefensores, el uso de la IA para desarrollar nuevas variantes de malware y ransomware, así como para potenciar ataques de phishing, se espera que crezca de manera significativa. GPU Farming – La nube como campo de batalla: La popularidad de la IA generativa ha llevado a un nuevo objetivo para los ciberdelincuentes: los recursos de inteligencia artificial basados en la nube, conocido como «GPU Farming». Este enfoque, destinado a financiar actividades de IA, representa una evolución en la forma en que los piratas informáticos buscan aprovechar la potencia computacional disponible en la nube. Ataques a la cadena de suministro- Confianza cero y evaluaciones rigurosas: Los ataques a la cadena de suministro siguen siendo una amenaza, y Check Point prevé un cambio hacia modelos de ‘confianza cero’. Además, se destaca la necesidad de evaluaciones más estrictas de proveedores externos y la implementación de protocolos de seguridad sólidos para contrarrestar los riesgos asociados con la cadena de suministro. Seguro cibernético: La inteligencia artificial también se proyecta como una fuerza transformadora en la industria de seguros cibernéticos. Se espera que las compañías utilicen la IA para evaluar la ciberresiliencia de los clientes potenciales y ofrezcan servicios de ciberseguridad directamente. Además, se prevé un cambio hacia un enfoque preventivo para reducir las primas, demostrando acciones preventivas contra ciberataques. Guerra cibernética permanente: El conflicto ruso-ucraniano ha marcado un hito en la guerra cibernética, con actividades hacktivistas ganando terreno, sumado al reciente conflicto en Medio Oriente. Se espera que la inestabilidad geopolítica continúe alimentando ataques DDoS y que los motivos detrás del hacktivismo se vuelvan más complejos, difuminando las líneas entre la política y el comercialismo. ´Encontramos muchos ataques donde los estados se encuentran involucrados y precisamente en estos momentos tenemos dos conflictos grandes en el mundo como el de Rusia y Ucrania y el reciente que se presenta en Oriente Medio que también es utilizado por los ciberatacantes para lanzar grandes campañas de ataques. Adicionalmente, los atacantes utilizan hoy técnicas como el uso de la inteligencia artificial, agrega Robayo´. Tecnología Deepfake: Los avances en la tecnología deepfake plantean nuevos desafíos en ciberseguridad. Estas herramientas podrían utilizarse como armas para influir en opiniones, alterar los precios de las acciones y, en última instancia, desencadenar consecuencias más graves. La capacidad de los actores de amenazas para utilizar la ingeniería social para obtener permisos y acceder a datos confidenciales se vuelve más sofisticada. Ataques de phishing: Los ataques de phishing, persistentes en el panorama cibernético, evolucionan hacia formas más personalizadas y efectivas con el uso de la inteligencia artificial. La dificultad para identificar intenciones maliciosas se intensifica, lo que podría resultar en un aumento de las infracciones relacionadas con el phishing. Para concluir, Robayo agrega ´Debemos esperar que los ataques sigan en aumento, especialmente en América Latina, que siempre es una región bien interesante, bastante conflictiva y de las más atacadas del mundo. Tenemos en esta segunda mitad del 2023 y primera mitad del 2024 muchos países en procesos electorales, otros tantos cambiando gobiernos y por supuesto, es de esperar que tengamos muchos ataques asociados y dirigidos generando picos que se van a seguir viendo´. 2024 se presenta como un desafío crucial para la ciberseguridad, donde la inteligencia artificial, la nube y las amenazas emergentes requerirán una preparación sólida y una respuesta proactiva por parte de las organizaciones.
¿Cómo construir una estrategia de ciberseguridad holística?
En un mundo cada vez más interconectado, la ciberseguridad se ha convertido en una preocupación fundamental. Según un estudio realizado por IBM en 2022, los ciberataques a nivel global tuvieron un costo de $5.2 millones de millones (trillones en inglés). Cada brecha de seguridad tiene un costo promedio de $4.3 millones. De acuerdo con este mismo informe, en 2022 las principales brechas se registraron por medio de phishing, con un costo total de $4.91 millones, seguido por la infiltración de cuentas de correo electrónico ($4.89 millones), las vulnerabilidades en aplicaciones de terceros ($4.55 millones) y el robo de credenciales de acceso a los sistemas ($4.5 millones). Podría interesarle: ¿Haces trabajo remoto en tu computadora? Sigue estos consejos de seguridad Según estudios realizados por Mastercard, el 95% de las brechas cibernéticas son producto de errores humanos, donde las técnicas de engaño a usuarios finales través de correos electrónicos o phishing, así como errores en el manejo de la tecnología, facilitaron la labor de los ciberdelincuentes. Por otro lado, el 59% de las brechas se materializaron a través de productos o servicios provistos por terceros como parte de su cadena de suministro. Las empresas no solo carecen de estrategias, sino de herramientas en ciberseguridad Aunado a ello, la gran mayoría de organizaciones aún carece de las herramientas de visibilidad necesarias para identificar y contener estos ataques de forma expedita. A nivel global, las organizaciones tardan 228 días en detectar una brecha de seguridad de una de las cuatro categorías identificadas más arriba, y un promedio de 76 días más para contener dicha situación. Finalmente, conforme aumenta el uso de medios digitales para realizar transacciones financieras, crecen los niveles de exposición a los ciber riesgos. Además, aumenta el número de adversarios, que ya no sólo se limita a hackers maliciosos, sino que se incorporan organizaciones de crimen organizado, con capacidades altamente especializadas a nivel técnico y de financiamiento. La inversión en ciberseguridad, la educación de colaboradores y usuarios de servicios digitales, así como la implementación de políticas y controles de seguridad, son esenciales para reducir los niveles de riesgo en las instituciones y participantes del ecosistema en general. FUENTE: Voz Calificada. »Cómo construir una estrategia de ciberseguridad holística» Martesfinanciero.com. 27/11/2023. (https://www.martesfinanciero.com/voz-calificada/como-construir-una-estrategia-de-ciberseguridad-holistica/).
¿Haces trabajo remoto en tu computadora? Sigue estos consejos de seguridad
Desde la pandemia por COVID-19, el trabajo remoto, también conocido como «home office» llegó para quedarse hasta nuetros días, sin embargo, quienes trabajan de esta manera y utilizan sus propios equipos corren un mayor riesgo de ser víctima de algunas de las amenazas informáticas. ESET, compañía de seguridad informática, da algunas recomendaciones sobre qué se puede hacer y a qué prestar atención para mantener protegidos los dispositivos. Actualizar software y navegador El trabajar de manera remota con un equipo propio significará en primera instancia no tener el respaldo del departamento de TI, encargado de instalar cada una de las actualizaciones en el equipo, como de monitorear el funcionamiento de los programas de seguridad. Ante este escenario, lo más recomendable considerar como una tarea semanal más actualizar el software del sistema como el navegador. Sobre todo, teniendo en cuenta que los navegadores web se han transformado en aplicaciones y programas en sí mismos. Reducir la superficie de ataque E difícil dimensionar la cantidad de software que hay instalado en un teléfono móvil, computadora y tablet. Pero, una muy buena práctica es tomarse el tiempo para eliminar aquellas aplicaciones que ya no se utilizan. De esta manera se estará reduciendo la superficie de ataque y dando menos margen a los cibercriminales, que dedican gran cantidad de recursos y dinero para encontrar nuevos vectores de ataque. Resguardar la información confidencial: Es un hecho que muchas personas han almacenado alguna vez información confidencial en sus equipos, incluso antes de la irrupción del trabajo remoto. Esto puede representar un gran riesgo, ya que esa información podría caer en manos equivocadas muy fácilmente. Podría interesarle: Cinco hitos y tendencias que se vivieron en ciberseguridad durante este 2023 Una muy buena alternativa es contar con un servicio de almacenamiento en la nube, en el cual poder migrar aquellos archivos de alta relevancia, a los cuales solo se pueda acceder mediante una conexión cifrada. Establecer una conexión segura: Los ataques dirigidos al protocolo de escritorio remoto (RDP) pueden llegar a tener consecuencias graves e indeseadas. Si los cibercriminales logran su cometido, podrán enviar correos electrónicos corporativos a departamentos de contabilidad, desviar la propiedad intelectual de la empresa, y hasta cifrar todos los archivos para retenerlos para luego obtener dinero a cambio de un rescate. Recaudos en el hogar y fuera de este: El trabajar desde casa puede conllevar riesgos invisibles, como las vulnerabilidades referidas a la Internet de las cosas (IoT). Para evitar cualquier contratiempo desde ESET recomiendan asegurarlos con contraseñas seguras, cambiando aquella que viene desde fábrica, y actualizar el firmware y el software. Videollamadas, un llamado a la seguridad: Es clave tener en cuenta ciertas consideraciones referidas a la seguridad, para que no haya ningún tipo de sorpresas. Por un lado, verificar las opciones de configuración y encontrar la que sea correcta al entorno. La limpieza, un punto clave: Es importante borrar el historial de navegación regularmente, por dos motivos: rendimiento del equipo y seguridad. El caché acumulado puede llegar a generar algún que otro dolor de cabeza. Prestar mucha atención a las descargas: Involuntariamente, claro está, las descargas pueden representar un riesgo para el equipo que está siendo utilizado para cuestiones laborales. Por ello, es necesario evaluar conscientemente qué tipos de descargas se están realizando. FUENTE: Vargas, Mayra Elizabeth. »¿Haces trabajo remoto en tu computadora? Sigue estos consejos de seguridad» Informador.mx. 24/11/2023. (https://www.informador.mx/tecnologia/Ciberseguridad-Haces-trabajo-remoto-en-tu-computadora-Sigue-estos-consejos-de-seguridad-20231124-0088.html).
Cinco hitos y tendencias que se vivieron en ciberseguridad durante este 2023
Este año hubo ataques basados en el aprovechamiento de las vulnerabilidades presentes en productos de software y se prolongó la expresión en el ciberespacio de las guerras entre naciones. Mientras que la inteligencia artificial (IA) generativa mostró progresos importantes y fue aprovechada por los cibercriminales para optimizar sus ataques y afectar la estructura crítica de ciberseguridad global. Estos retos para la ciberseguridad han dado lugar a tendencias de protección durante todo el ciclo de desarrollo de la tecnología, que incluyen el uso de IA a su favor, y de manera defensiva o preventiva, y novedades en los mecanismos de autenticación. Así, detectamos las siguientes cinco tendencias e hitos en ciberseguridad del presente año: La inteligencia artificial en contra y a favor de la ciberseguridad Los criminales han aprovechado la IA generativa para crear mensajes fraudulentos más convincentes. Pero la IA también se ha estado usando para fines positivos como, por ejemplo, analizar inmensas cantidades de datos de las conexiones a Internet y así detectar y analizar más rápido los ciberataques contra organizaciones en todo el mundo. En cuanto al apoyo a la postura preventiva, la IA sirve para ayudar a eliminar las vulnerabilidades encontradas en el software, ya sea generando guías que los desarrolladores puedan seguir o presentando las modificaciones al código sugeridas para que estos simplemente las acepten o rechacen. Podría interesarle: Desafíos de ciberseguridad que las compañías tendrán que afrontar en 2024 Ciberguerra La guerra entre Israel y Hamás, como la de Rusia y Ucrania, ha incluido ciberataques por hackers activistas, algunos con la intención de interrumpir los servicios de sitios web, principalmente del gobierno y la milicia, y otros buscando impactar a naciones simpatizantes con alguna de las partes en conflicto. Por ejemplo, un aumento en ciberataques contra EE. UU., Francia, India e Italia, ha sido relacionado a las actividades de algunos grupos que están en contra de Israel y posiblemente asociados con Rusia, Irán u otras naciones. Ataques a las cadenas de suministro de software Grupos de cibercriminales han logrado causar grandes pérdidas de dinero y reputación a organizaciones al infectar productos de software de terceros usados por ellas en sus operaciones o productos propios. Este año, una fuga de datos a causa de este tipo de ataque costó en promedio USD 4,63 millones.La amenaza constante de estos ataques hace muy necesario seguir la reciente tendencia de mejorar la seguridad de la cadena de suministro de software, que comprende no solo tener un listado actualizado de esos componentes o productos en uso y su estado de seguridad, sino además verificar su proveniencia y revisar las políticas de seguridad de los proveedores y su cumplimiento con regulaciones de la industria Contenido relacionado: Las 10 Mejores Herramientas de Ciberseguridad en 2023 Ataques a gobiernos e infraestructura crítica Son tendencia los ataques que causan altos costos para los gobiernos y paralizan servicios para grandes cantidades de usuarios. Por ejemplo, el secuestro de datos de clientes de IFX Networks en Colombia dejó offline al menos 50 páginas de instituciones estatales, puso en riesgo de colapso la atención en salud y obligó al suspenso de las actividades judiciales, entre otras consecuencias.El incidente, tal como las olas de ciberataques al gobierno de Costa Rica el año pasado, en que un grupo criminal robó información de organismos estatales, resalta la necesidad de los países de Latinoamérica de crear entidades estatales a cargo de la planeación de la estrategia de ciberseguridad para prevenir, contener y reaccionar efectivamente a ciberataques. Esto es urgente, porque el costo promedio de una brecha de datos ha llegado a los USD 4,45 millones. Alternativas más seguras que las contraseñas Se han venido reemplazando las contraseñas por las llaves de acceso (en inglés, passkeys), las cuales son un estándar que consiste de un PIN, patrón o factor biométrico, como la cara o la huella, para acceder a cuentas en varias aplicaciones. Esta alternativa permite autenticarse en la mitad del tiempo que toma hacerlo con contraseñas. Además, son más seguras, porque no son procesadas por servidores, sino que son guardadas solamente en el dispositivo, y, como se usan solo en aplicaciones autorizadas, evitan que se compartan credenciales en sitios fraudulentos. La relevancia de seguir una postura preventiva en ciberseguridad sigue aumentando frente al panorama de amenazas actual, en el cual puede apreciarse que muchas empresas impactadas por ciberataques están pagando precios más altos que nunca. Esta postura ha requerido la adopción de nuevas tecnologías y prácticas, teniendo en cuenta cómo los cibercriminales mejoran constantemente sus técnicas, tácticas y procedimientos. FUENTE: Gómez, Mauricio. »Cinco hitos y tendencias que se vivieron en ciberseguridad durante este 2023» Tekiosmag.com. 24/11/2023. (https://tekiosmag.com/2023/11/24/cinco-hitos-y-tendencias-que-se-vivieron-en-ciberseguridad-durante-este-2023/).
El jefe de WhatsApp: “Lo que Bruselas propone contra la pornografía infantil es como poner una cámara en cada casa”
“Creo que si alguien propusiera obligar a todos los constructores de Europa a poner una cámara vigilando lo que hace la gente en sus casas, todo el mundo se horrorizaría. Para mí, esto es exactamente lo mismo que la Comisión Europea propone para que los servicios digitales detecten la pornografía infantil”. Es la “mejor analogía” que encuentra Will Cathcart, el director de WhatsApp, para hablar de la nueva ley europea para la seguridad online de la infancia que se negocia en Bruselas. “Las empresas debemos ser reguladas para aumentar la seguridad de nuestros servicios, no para disminuirla”, ha enfatizado Cathcart en una reunión con periodistas de elDiario.es y de Le Monde en la que el máximo directivo de la app de mensajería ha avisado de los peligros de la propuesta europea. “Exige que cada comunicación privada enviada en Europa sea escaneada por una empresa en busca de actividad ilegal. Poner una cámara siempre encendida a supervisar lo que hace la gente en su sala de estar no es aumentar la seguridad”. La propuesta desde Bruselas para frenar la pornografía infantil Las regulaciones sobre Internet redactadas por departamentos no especializados en política digital suelen ser problemáticas. El paquete de medidas para frenar el abuso infantil en la red elaborado por la comisaria de Interior de la UE, Ylva Johansson, no ha sido una excepción. El texto, que obliga a las plataformas digitales a revisar los mensajes privados de sus usuarios con una inteligencia artificial capaz de detectar pornografía infantil, ha puesto en pie de guerra tanto a empresas como a expertos en ciberseguridad por su impacto en la privacidad. Todos los grupos del Parlamento Europeo han rechazado apoyar la idea de Johansson, pero la comisaria sueca no se plantea modificarla. Sabe que cuenta con el apoyo de varios países del Consejo que son partidarios de aumentar sus capacidades de vigilancia. Según documentos filtrados, uno de ellos es España. La clave ahora serán los trílogos, las negociaciones a tres bandas entre Parlamento, Comisión y Consejo europeos, de los que saldrá el texto definitivo. Un agujero en el cifrado El debate gira alrededor de la protección de las comunicaciones que incluyen la mayoría de grandes plataformas, conocido como cifrado de extremo a extremo. Es un proceso que hace que el contenido de los mensajes sea ilegible para cualquier persona excepto para los destinatarios. Es como escribir una carta con un código secreto que convierte cada palabra en un conjunto de letras, números y símbolos sin sentido aparente excepto para el receptor, que conoce la clave para descifrarlo. El método utiliza algoritmos matemáticos para asegurar la confidencialidad y la integridad de lo que se envía a través de Internet. La Comisión Europea y los partidarios de la propuesta (organizaciones de protección a la infancia que se han mostrado partidarias de recortar el derecho a la privacidad a cambio de más seguridad) defienden que una inteligencia artificial podría analizar el contenido de los mensajes sin interferir en el cifrado. La propuesta de la UE busca el »equilibrio» FUENTE: del Castillo, Carlos. »El jefe de WhatsApp: “Lo que Bruselas propone contra la pornografía infantil es como poner una cámara en cada casa” Eldiario.es. 21/11/2023. (https://www.eldiario.es/tecnologia/jefe-whatsapp-bruselas-propone-pornografia-infantil-poner-camara-casa_128_10705489.html).
Ciberseguridad, el gasto que las empresas deberían considerar innegociable
Algunos empresarios recordarán con nostalgia cuando, en tiempos pasados, la protección de sus negocios se centraba simplemente en comprar e instalar un antivirus. Hoy, las necesidades de defensa frente a los delitos cibernéticos que tiene toda empresa -pequeña y recién conectada, grande y multidigitalizada, organización pública o privada- son cada vez mayores, a medida que la ciberseguridad evoluciona. La razón es contundente: en el mundo se producen 1.700 ataques informáticos cada segundo, con un coste que en 2025 podría ascender a 10,5 trillones de euros al año. Se trata de un incremento del 300% respecto a 2015. Con estos datos sobre la mesa, el tejido empresarial español -en un 97%, formado pequeñas y medianas empresas- bandea el temporal como mejor puede. En España existen más de 2,9 millones de compañías, de las que 1,6 millones son pymes sin asalariados y otros 1,3 millones pymes, con empleados. Son datos de la Confederación Española de la Pequeña y Mediana Empresa (Cepyme), que implican que «existe una casuística muy variada y, por lo tanto, el concepto de ciberseguridad necesaria no es homogéneo». Esto hace, en opinión de la patronal, que «algunas empresas puedan llegar a pensar que están protegidas al aplicar ciertas soluciones cuando realmente no lo están». Según el ex ministro de Industria Héctor Gómez, «España es el cuarto país más ciberseguro del mundo». Pero eso no ha librado a la Alhambra de sufrir la vulneración de datos de sus visitantes, o al Museo del Prado del clonado de su web y la venta de entradas falsas. Y si negocios de tal envergadura son presa de la ciberdelincuencia, ¿a qué se enfrentan las pymes españolas? Concretamente, a 40.000 ataques al día, conforme contabilizó en 2022 el proveedor de seguridad Datos 101. La sustracción del big data, un peligro constante para las organizaciones «Entre los peligros más comunes que acechan a las empresas destaca la sustracción de un importante big data: información financiera, datos de clientes, propiedad intelectual o registros empresariales», dice Santiago Cordero, director en Infrastructure & SecDevOps de la compañía de servicios digitales Vass. Y no hace falta llegar al temido ransomware o secuestro del sistema. Se estima que sólo el phising puede conducir al cierre de hasta seis de cada 10 empresas que lo sufren durante los seis meses posteriores al ataque. Una acción delictiva exitosa interrumpe las operaciones comerciales y su coste económico directo -de entre 15.000 y 35.000 euros- «resulta inasumible para muchas pymes. Y hay que sumar el daño causado en forma de tiempo dedicado a resolver el problemam restándoselo a la actividad ordinaria de la compañía, además del daño reputacional, que disminuye la base de clientes», remarcan desde Cepyme. Medidas y mercado La dificultad de las pymes para protegerse se debe a que tienen presupuestos reducidos y medios limitados para formar a sus empleados, además de adolecer de falta de asesoramiento. Así resume Cordero los motivos por los que «aún operan con controles básicos de protección», lo que las convierte en un blanco fácil. Sin olvidar, por supuesto, que en la mayoría de los casos, la mayor dificultad para la implantación de ciberseguridad en estas empresas se presenta a la hora de «concienciarlas de la importancia de apostar e invertir en ciberseguridad de la mano de asesores externos expertos, pues subestiman los riesgos asociados», añade. La pyme, según reconocen desde su patronal, suele ser objeto de ciberataques en mayor proporción que el resto de organizaciones. Mientras que las mayores medidas de seguridad en grandes empresas e instituciones pueden hacerlas menos atractivas y disuadir a los hackers, el esfuerzo del ataque a una pyme es menor debido a la desprotección. Con vistas a paliar esa situación, el Ministerio de Industria ha puesto en marcha recientemente el programa Activa Ciberseguridad, con una dotación de 9,6 millones, enfocado a mejorar los niveles de ciberseguridad de las pymes. Gestionado por la Escuela de Organización Industrial (EOI), incluye asesoramiento especializado y personalizado en forma de análisis de la situación de la empresa en materia de ciberseguridad y elaboración de un plan de acciones específicas para la misma. Lea también: Compraventas de bases de datos: requisitos y sugerencias El primer paso que debe dar una pyme para protegerse, cuenta el responsable de Vass, es «llevar a cabo un análisis para conocer las vulnerabilidades de sus s A medida que las empresas adopten herramientas como la inteligencia artificial o el metaverso, deberán protegerse de amenazas más sofisticadas. No sorprende, por ello, que las previsiones de crecimiento del negocio de la ciberseguridad sean considerables, según concluye Jeremy Gleeson, de AXA Investment Managers: «Es probable que el gasto en ciberseguridad incluso resista en una recesión económica». ervicios, qué riesgo corre ante la inacción y cuál sería el impacto. A continuación, se debe establecer un plan de mejora». Es decir, tomar medidas que aseguren la protección de los entornos tecnológicos, mejorar la política de contraseñas (reglas de cambio periódico, uso de autenticación multifactor o biométrica…), realizar backups más seguros con vistas a recuperarse de un ataque, proteger el puesto de usuario de forma correcta… Después, es momento de trabajar en la recuperación de un ataque, mediante «procedimientos que permitan restablecer la operativa de negocio lo antes posible». Y también, «concienciar y formar a los empleados». La ‘smart city’ demanda una mejor defensa Falta sólo un mes y medio para 2024, un año en el que se estima que habrá más de 1.300 millones de conexiones a Internet en las ‘smart cities’. Con la integración de la tecnología en las infraestructuras cotidianas, las ciudades inteligentes empiezan a ser una realidad. Pero esas instalaciones son cada vez más complejas y, por ello, más vulnerables a los ciberataques. Según el proveedor mundial de soluciones de ciberseguridad Check Point Software Technologies, cualquier servicio implantado por gobiernos o empresas estará más expuesto, pues el uso de grandes redes conectadas ofrece a los ciberdelincuentes más oportunidades. «Las redes son utilizadas por entidades públicas y privadas, personas y miles de dispositivos conectados cada día. La enorme cantidad de datos que se intercambian a través de estas redes requiere una estrategia de seguridad rigurosa».
Compraventas de bases de datos: requisitos y sugerencias
La compraventa de bases de datos personales no está prohibida por el régimen colombiano de protección de datos personales; sin embargo, estas operaciones deben cumplir ciertos requisitos para salvaguardar el derecho fundamental de habeas data de los titulares. Las compraventas de bases de datos personales son transferencias de datos personales. Esto significa que son operaciones de envío de información personal por parte de un responsable (o su encargado) a un receptor que, a su vez, será un nuevo responsable del tratamiento de los datos, a cambio de un precio. Es importante aclarar que en ningún caso se transfiere el dominio de los datos personales, ya que el dominio recae en cabeza de los titulares y no se transfiere. Como una operación de tratamiento de datos, la compraventa requiere contar con autorización previa, expresa e informada de los titulares de los datos para dicha operación, que se puede obtener del titular desde la autorización inicial para el tratamiento. Cuando la compraventa involucre exclusivamente datos de naturaleza pública no se requiere autorización (se aclara que el hecho de que los datos estén disponibles en una fuente pública no implica que los datos allí contenidos tengan esta naturaleza). En este sentido, las finalidades expresamente autorizadas son el límite del tratamiento de los datos que podrá realizar el comprador, por lo que, para realizar un tratamiento adicional deberá obtener una nueva autorización. Por lo tanto, es recomendable que el acuerdo de compraventa deje claro que el vendedor cuenta con la prueba de las autorizaciones y se mencionen expresamente las finalidades autorizadas por los titulares. Aspectos adicionales a tener en cuenta en las compraventas de bases de datos Debe tenerse en cuenta que las transferencias de datos pueden ser nacionales o internacionales según el receptor esté ubicado o no en Colombia. No existe regulación expresa para las transferencias nacionales de datos personales; sin embargo, dado que el receptor realizará tratamiento de datos en territorio colombiano, le será aplicable de forma directa la normativa colombiana de protección de datos personales. Así, el comprador tendrá que cumplir las obligaciones de los responsables del tratamiento previstas en la Ley 1581 de 2012, el Decreto 1074 de 2015 y el Título V de la Circular Única de la Superintendencia de Industria y Comercio. También se deben considerar las restricciones que se derivan para el desarrollo de actividades publicitarias y de gestiones de cobranza en virtud de la Ley 2300 de 2023. Por ejemplo, el comprador puede tener una limitación para el envío de mensajes publicitarios que no estén estrictamente relacionados con el bien o servicio adquirido inicialmente por el consumidor (si la transacción inicial es el origen de los datos). Lea también: Superintendencia de Industria le ordena a Linkedin reforzar seguridad para usuarios Por su parte, las transferencias internacionales están prohibidas salvo que: (i) el comprador esté ubicado en un país con un nivel adecuado de protección de datos; (ii) se configure alguna de las excepciones del artículo 26 de la Ley 1581 de 2012; o, (iii) se obtenga una declaración de conformidad previa. Esto teniendo en cuenta las reglas previstas en la Circular Única. Para las compraventas internacionales es importante que el vendedor aplique el principio de responsabilidad demostrada para garantizar un adecuado tratamiento de los datos personales por parte del comprador. Para lo cual se sugiere incluir en el acuerdo obligaciones expresas en cabeza del comprador de dar tratamiento a los datos conforme a los principios que los tutelan (artículo 4 de la Ley 1581 de 2012) y de salvaguardar la seguridad de los datos personales que sean transferidos. FUENTE: Cure Aaron, Fery Daniel. »Compraventas de bases de datos: requisitos y sugerencias» Asuntoslegales.com. 21/11/2023. (https://www.asuntoslegales.com.co/analisis/fery-daniel-cure-aaron-3456304/compraventas-de-bases-de-datos-requisitos-y-sugerencias-3752531).
