Historias de ciberseguridad: los ataques informáticos más terroríficos de la historia
A medida que el mundo se digitaliza y la tecnología cobra una mayor importancia en nuestras vidas, la ciberseguridad se vuelve más imprescindible para todos. De hecho, usuarios y profesionales gastan cada día más esfuerzos y recursos en intentar mantenerse a salvo de las continuas amenazas que surgen en la red. En algunos casos, incluso hablamos de ataques capaces de generar pérdidas realmente millonarias. Lea también: Ciberseguridad, historia y futuro En este artículo vamos a repasar los peores, aquellos que más han afectado, incluso podría decirse de manera global. En muchos casos, además, tanto los objetivos finales como el lugar de origen no están del todo claros, surgiendo muchísimos misterios a su alrededor. Estos han sido los peores ataques informáticos de la historia de los que se tiene constancia. WannaCry, uno de los peores ataques informáticos de la historia Hablar de los peores ataques informáticos de la historia, es sin duda hacerlo del tristemente célebre WannaCry. Este duro golpe a la ciberseguridad mundial tuvo lugar en 2017, y durante mucho tiempo fue seguido por los más importantes medios de comunicación internacionales. WannaCry nació a raíz de una vulnerabilidad en el protocolo SMB de Windows. A partir de ese momento, infectó hospitales, empresas y servicios gubernamentales, y encriptó todo tipo de archivos. Para recuperarlos, se exigía una gran cantidad de bitcoins a modo de pago. En España, grandes empresas como Iberdrola o Gas Natural lo sufrieron en sus propias carnes. Ataque a Sony Pictures Algunos de los peores ataques informáticos de la historia han tenido como objetivo una compañía concreta, o al menos una parte de las mismas. Eso fue lo sucedió en 2014 cuando Sony Pictures padeció un ciberataque llevado a cabo por el grupo conocido como Guardians of Peace (GOP). A razón del mismo, quedaron al descubierto distintas informaciones privadas de la compañía, pero también datos sensibles sobre sus trabajadores y suscriptores. El precio final del golpe se saldó con los 100 millones de dólares que los criminales exigieron al gigante japonés a cambio de recuperar su seguridad. Stuxnet Muchas veces no queda claro quién está de un ciberataque, pero se sospecha que su intención tiene fines políticos o geopolíticos. Así sucedió con uno de los primeros “gusanos” en golpear con fuerza uno de los puntos sensibles de un país. En este caso, Irán. En este caso, la intención fue clara: sabotear el programa nuclear iraní, atacando sus sistemas utilizados para enriquecer uranio. Aunque nunca se confirmó, como suele ocurrir en estos casos, muchos apuntaron que Estados Unidos o Israel pudieron estar detrás de su autoría. NotPetya Hablamos ahora del que está considerado el primer gran ciberataque de ‘ransomware’ de la historia, allá por 2016, pero que pronto se demostró como un destructor de todo tipo de archivos. También se extendió a nivel global, golpeando de lleno en muchos países como Ucrania y causando pérdidas multimillonarias a muchísimas compañías. Equifax Está claro que uno de los principales problemas de vulnerabilidad que generan los ataques informáticos son los robos de información. Uno de los casos más terroríficos en este sentido fue el que tuvo como protagonista a la empresa de informes de crédito Equinax, en 2017. Según la información que se dio a conocer en el momento del delito, se estima que los datos personales de 143 millones de personas fueron filtrados. Entre ellos direcciones, números de la seguridad social y también de tarjetas de crédito. Estos han sido algunos de los ataques informáticos más célebres que se recuerdan, pero no han sido los únicos, ni desgraciadamente lo serán, viendo los últimos casos. Todos ellos demuestran claramente el enorme impacto, a nivel económico y social que hoy en día tienen este tipo de operaciones delictivas. En el otro lado de la balanza, claro, están los esfuerzos y el aprendizaje cada vez mayores por proteger los datos sensibles de muchas empresas y de sus clientes. Por mucho que a veces da la impresión de que los “malos” siempre vayan un paso por delante en todo. FUENTE: Luque de Gregorio, Enrique. »Historias de ciberseguridad: los ataques informáticos más terroríficos de la historia» Computerhoy.com. 28/10/2023. (https://computerhoy.com/ciberseguridad/historias-ciberseguridad-ataques-informaticos-terrorificos-historia-1323240).
La falta de estrategias para la protección de datos personales fomentan los casos de ciberataques
La ciberseguridad se ha vuelto un tema recurrente en las empresas que manejan una gran cantidad de datos personales y los almacenan, ya sea en la nube o de forma local. Junto con esto, los cibercrímenes han aumentado significativamente desde el surgimiento de nuevas tecnologías y servicios digitales (especialmente en aquellas empresas y entidades que no han acoplado los protocolos y medidas necesarias para contener esta amenaza). Derivado de los ciberataques, aparecen consecuencias de orden económico, político y legal por el acceso y manipulación que los ciberdelincuentes hacen con los datos personales y/o financieros. Tal es el caso del ataque cibernético más sonado en Colombia en el último tiempo, el ataque tipo ‘ransomware’ a IFX Networks que afectó a los datos de la rama judicial colombiana, el ICA, dos superintendencias y algunas dependencias del Ministerio de Salud. Lea también: Protección de Datos: Panorama legislativo en Perú y Latinoamérica En esta intromisión a los servidores de las mencionadas empresas, se puso al descubierto la fragilidad de las empresas y entidades del estado con respecto a la protección de datos sensibles y la manera de afrontar estas situaciones. Al respecto, Thales aseguró que en América Latina, el 60% de las empresas tienen cifrados el 40% de sus datos cifrados en la nube; guarismo que evidencia la falta de compromiso de las compañías por robustecer sus esquemas de seguridad cibernética. De la misma manera, un reporte de Cybersecurity Ventures resaltó que los costos globales de la ciberdelincuencia ascenderán 15% anualmente en los próximos dos años, pasando de US$8 billones en 2023 a US$10.5 billones en 2025; la cifra muestra el crecimiento que ha tenido este gasto con respecto a la cifra de hace ocho años (US$3 billones). La afectación económica de un ciberataque si no se presta atención a los datos personales Michael Ortegón, decano de la facultad de ciencias económicas y administrativas de Uninpahu, resaltó que la principal consecuencia económica de un ciberataque es la afectación a las actividades regulares de una empresa, perjudicando la operación normal de esta y deteniendo sus actividades productivas (oferta de productos o prestación de servicios). Haciendo referencia a las alternativas de solución, Ortegón aseguró que es necesario que en la planeación de un presupuesto se asignen porciones robustas a la gestión segura de los accesos a la información y se hagan capacitaciones al personal para concientizar y educarlos sobre la importancia de la seguridad digital. Así mismo, Diego Osorio, docente de la especialización en Seguridad Informática de la misma universidad, reiteró la importancia de crear archivos de respaldo (back-ups), contar con un plan de contingencia para el manejo de situaciones de crisis y, en términos coloquiales, crear una cultura de paranoia en la que se desconfíe de actuaciones sospechosas y se prevenga el acceso a personas que no pertenecen a una empresa en particular. Fuente: Larepublica.co. Sin embargo, Osorio también defiende que un trabajo coordinado entre las empresas privadas y las instituciones del Estado fortalecerá la eficacia de la protección de datos sensibles; esto por medio de la inversión de ambas partes en la infraestructura digital, la formación de nuevos profesionales capaces de afrontar este tipo de situaciones y el establecimiento de estándares, normativas y regulaciones claras y rigurosas sobre los ciberataques en el país. FUENTE: Colorado, Juan Camilo. »La falta de estrategias para la protección de datos fomentan los casos de ciberataques» Larepublica.co. 28/10/2023. (https://www.larepublica.co/internet-economy/la-falta-de-estrategias-de-proteccion-de-datos-fomentan-casos-de-ciberataques-mas-la-poca-inversion-en-estructuras-de-seguridad-3738169).
El RGPD se consolida como norma referente de protección de datos en su quinto año de vida
Habiéndose cumplido, en el mes de mayo del año en curso, cinco años desde que entró en vigor el Reglamento General de Protección de Datos – RGPD, resulta interesante repasar cuáles han sido los motivos del éxito de su aplicación, así como formular conclusiones de su implantación en el marco europeo de protección de datos. Sin embargo, como sucede con toda normativa, también debe de hacerse autocrítica respecto a ciertos aspectos que, por distintas razones, no se han podido cumplir en su totalidad. El éxito del RGPD Existe una amplia unanimidad en el sector respecto del éxito de esta norma en Europa. Por ello, resulta un hecho incuestionable que el reglamento ha elevado la protección de los datos personales, a un nivel superior al esperado en el momento de su redacción. El hecho más importante en la aplicación de esta norma ha sido la generalización de la cultura de protección de datos en la ciudadanía en general, más allá de los directamente involucrados, como delegados de protección de datos y responsables o encargados de tratamiento. Consecuentemente, la generalización de esta cultura ha supuesto la difusión y conocimiento de todos los derechos contenidos en esta normativa, entre todos los miembros de la sociedad. Podría interesarle: ¿Qué es la LOPD y cómo afecta a un restaurante? Por otro lado, esto también ha comportado el inicio de un cambio en el desarrollo de las organizaciones, fortaleciendo la relación existente hasta la fecha entre la debida protección de los datos y la buena gestión empresarial. Las sociedades han tenido que adaptar su organización y gestión hacia una más concienciada e involucrada con el cumplimiento de la normativa. Asimismo, su éxito radica también en la inspiración que tuvo la normativa en la redacción del cuerpo legal en una serie de principios renovadores, con la finalidad de dotar de gran flexibilidad al entramado normativo en la materia. Entre ellos encontramos, por ejemplo, el principio de evaluación basada en el riesgo, el de responsabilidad proactiva o el de privacidad. Con todo ello, en definitiva, el RGPD ha aportado al entramado jurídico, un abanico de regulaciones y disposiciones destinadas al establecimiento de un marco homogeneizado en la materia del tratamiento de los datos personales. A través de esta normativa, se ha logrado el objetivo último del legislador, la consecución de un cumplimiento real, que no solo meramente formal de la regulación. Autocrítica: aspectos a tener en cuenta Así pues, resulta claramente positivo el balance del reglamento durante estos cinco años de aplicación. No obstante, sin negar los avances conseguidos con su implantación, como toda legislación, debe de ser revisada al detalle, para averiguar si han surgido puntos que deben de ser reconsiderados. Es cierto que, por razón de su contenido amplio y tedioso, a muchos profesionales en la materia les resulta complicado apreciar la importancia de esta disciplina en el marco empresarial de nuestra sociedad actual. Una parte de los responsables siguen considerando a la protección de datos como un tipo de burocracia de molesto seguimiento. El motivo de este fenómeno encuentra su principal origen en la rígida aplicación que se da de la norma por parte de algunos sujetos. Optimización de su aplicación, aspecto crítico y de suma importancia Otro punto sobre el cual se debería de incidir aún más en la búsqueda de la optimización de su aplicación, se encuentra en las mismas autoridades competentes en la materia. Resulta poco útil en la práctica crear a grandes organismos con importantes funciones si, a la hora de la verdad, carecen de recursos e independencia para ejercer sus potestades. Asimismo, la falta de diligencia de algunos obligados en el cumplimiento de esta normativa ha comportado la recaudación de más de cincuenta millones de euros en sanciones interpuestas por la Agencia Española de Protección de Datos. Si a todo lo anterior, añadimos el creciente aumento del uso de la inteligencia artificial y del Big Data, el escenario que se plantea en los próximos años resulta, por lo menos, desafiante para el tratamiento y la protección de los datos personales. Solamente con el paso del tiempo podremos llegar a ver si se ha conseguido una adaptación eficiente a los constantes cambios y evoluciones que sufrimos en nuestra sociedad actual. FUENTE: Abad, Laura. »El RGPD se consolida como norma referente de protección de datos en su quinto año de vida» Economistjurist.es. 29/10/2023. (https://www.economistjurist.es/premium/la-firma/el-rgpd-se-consolida-como-norma-referente-de-proteccion-de-datos-en-su-quinto-ano-de-vida/).
Las cookies y su inherente carga mental
Entras a Google. Tecleas tu búsqueda y eliges uno de los resultados. Aún no ha terminado de cargar la página cuando de repente una ventana emergente ocupa tu pantalla: «Aviso de privacidad». Cada sitio web maneja su propio diseño –algunos te dejan sencillamente «aceptar solo las cookies necesarias»–, pero por lo general hay dos opciones: «aceptar» o «configurar». Decides configurar y aparece un nuevo chorro de texto, con opción múltiple. «Usted permite», dice la página (que todavía no ha dejado leer nada de la búsqueda inicial) y lanza más de una decena de opciones que se deben rechazar o aceptar. Estas van desde «utilizar datos de localización geográfica precisa» hasta «almacenar o acceder a información en un dispositivo». Como no quieres hacer trece clics, bajas y bajas buscando el botón que te permita «rechazar todo». Clicas y, por fin, logras leer el contenido. Ahora haces una nueva búsqueda; nuevo sitio web. Vuelve y juega: política de cookies. Empiezas de nuevo. ¿Qué son las cookies? A fin de cuentas, ¿qué son las cookies? Google las describe como «pequeños fragmentos de texto que los sitios web que visitas envían al navegador. Permiten que los sitios web recuerden información sobre tu visita, lo que puede hacer que sea más fácil volver a visitar los sitios y hacer que te resulten más útiles». Pero no todas las cookies son iguales: las hay propias, temporales, técnicas y permanentes, aunque las más cuestionadas han sido las cookies de terceros. Además de ser una de las bases de la industria de la publicidad digital, son generadas por servicios y proveedores externos al sitio web que se está visitando. Básicamente, rastrean nuestra actividad en internet para enviar información a los anunciantes y que estos, a su vez, puedan ofrecernos avisos publicitarios personalizados. De ahí las bases del debate sobre la privacidad y el posible abuso en la obtención de datos personales. A pesar de que Google ha estado trabajando en iniciativas para bloquear el uso de cookies de terceros desde 2020, y aunque dijo que las suprimiría el año pasado, luego afirmó que lo haría este año, y, finalmente, pospuso su eliminación –gradual– hasta 2024. Recientemente, la compañía anunció que, a partir del 2 de enero, la plataforma Google Drive ofrecerá descargar archivos sin necesidad de usar cookies de terceros. Las cookies: una carga cognitiva omnipresente Sin embargo, el debate sobre las cookies va más allá de la privacidad de los datos de navegación. James Williams, exempleado de Google e investigador de Oxford en ética de la tecnología, explica que las cookies representan un «aumento considerable de la carga cognitiva para el usuario, que en la práctica pesa mucho más que cualquier beneficio que pudiera reportarle su “consentimiento” al análisis de sus hábitos de navegación». En otras palabras, tener que presionar una y otra vez el botón de «rechazar todo», buscarlo en las diferentes páginas, entre diferentes diseños y tipografías –muchas veces pensados para que simplemente le demos a «aceptar»–, genera un peso mental que recae sobre nuestra memoria de trabajo y que puede afectar la realización o la culminación de una tarea. Hace unos meses, la Agencia Española de Protección de Datos (AEPD) actualizó su Guía sobre el uso de las cookies en internet subrayando la necesidad de que los usuarios puedan gestionarlas «sin que sea más complicado rechazarlas que aceptarlas». Asimismo, el Comité Europeo de Protección de Datos ya había publicado nuevas directrices sobre los patrones de diseño engañosos en las plataformas de redes sociales. A grandes rasgos, la AEPD señaló que las opciones de «aceptar» o «rechazar» deben ser fácilmente visibles, mostrarse en lugares concretos y con formatos destacados, con suficiente color para que se puedan leer y utilizando un lenguaje claro. Lea también: La importancia del consentimiento de cookies y la protección de datos personales Déficit de atención No obstante, como explica Williams en su libro Clics contra la humanidad, si bien estas medidas son eficaces para prevenir la intrusión no deseada en el ámbito privado, «la propagación vertiginosa de las tecnologías digitales ha comprometido la atención». Es cierto que es absolutamente necesario establecer normas sobre la protección de nuestros datos, pero el debate también debería situarse en la implementación de criterios que evalúen –y contrarresten– el daño atencional. Porque bien lo dice Johann Hari en El valor de la atención: «Una vida llena de distracciones es, a nivel individual, una vida mermada» Y lo más grave es que no se trata solo de distracción –ya de por sí una de las grandes culpables de la crisis de la atención–, sino que el tema de la carga cognitiva pone sobre la mesa la importancia de legislar en materia de privacidad mental y, por ende, de libertad cognitiva. FUENTE: Nader Toro, Marina. »LAS COOKIES Y SU (INHERENTE) CARGA MENTAL». Ethic.es. 27/10/2023. (https://ethic.es/2023/10/las-cookies-y-su-inherente-carga-mental/).
¿Qué es la LOPD y cómo afecta a un restaurante?
Ante un entorno cada vez más digitalizado, gestionar adecuadamente los datos personales se ha vuelto esencial para el funcionamiento de cualquier empresa de restauración. Debido al gran volumen de información que se recopila diariamente al desempeñar sus actividades. Es posible que ya estés familiarizado con la Ley Orgánica de Protección de Datos (LOPD), pero ¿realmente conoces en profundidad cómo afecta esta legislación a tu restaurante? La verdad es que no existe sector que quede fuera del alcance de la aplicación de esta normativa, y por ende, el ámbito de aplicación de la LOPD en restauración también se ve implicado. “La presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Indica la ley, en el artículo 2. Ámbito de aplicación. A continuación, veremos un poco más sobre qué es esta ley, y cómo afecta al sector de restauración, y las formas de evitar posibles sanciones ante el incumplimiento de las normas. ¿Qué es la LOPD o Ley Orgánica de Protección de Datos? Aunque muchos aún se refieren a la Ley de Protección de Datos como LOPD. Lo cierto es que el nombre completo de la ley actual es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). En este artículo utilizaremos las siglas LOPD y LOPDGDD indistintamente para referirnos a la ley actualmente entrada en vigor. La ley tiene como objetivo adaptar la legislación Española a las regulaciones europeas, finalizadas por el Reglamento General de Protección de Datos (GDPR), con entrada en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018 a todo el territorio europeo. Al hablar de protección de datos en España, la ley LOPDGDD, establece los requisitos y responsabilidades para la protección de datos en las empresas y cómo proceder con la información personal bajo su custodia. De esta manera, es posible prevenir que los datos personales de clientes y usuarios se usen para violar su privacidad y otros derechos y libertades fundamentales. Podría interesarle: El Parlamento Europeo prevé aprobar una ley para defenderse de los ciberataques en 2024 Es importante mencionar que el propósito de esta Ley es hacer que las empresas y organizaciones tengan un mayor compromiso respecto al tratamiento de datos personales y archivos recibidos de los usuarios y su protección. ¿A qué se considera datos personales? Según la página oficial de la Unión Europea. “Los datos personales son cualquier información relacionada con una persona identificada o identificable. Como por ejemplo: nombre y apellidos, dirección, número de documento de identidad/pasaporte, ingresos, perfil cultural, dirección de protocolo internet (IP) datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios)”. Hay datos que se consideran de menor riesgo, como el correo electrónico o el nombre de la persona; sin embargo, hay otros datos confidenciales de alto riesgo, como los datos sensibles relacionados con la salud o la religión. Sin embargo, los datos que no permitan identificar a una persona no se considerarán datos de carácter personal. Por ejemplo, manuales de maquinaria, pronósticos meteorológicos o datos que se han vuelto anónimos y ya no se pueden vincular a nadie. Diferencias entre LOPD y RGPD En España, existen dos normativas que regulan el tratamiento de datos personales: El Reglamento General de Protección de Datos (RGPD): Es el marco legal europeo para la protección de datos y de obligado cumplimiento en toda la UE y el EEE (Espacio Económico Europeo). La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD o LOPD): Adapta el Reglamento europeo al ordenamiento jurídico español, si bien añade y desarrolla algunos aspectos que la norma europea deja a disposición de los Estados miembros. ¿Cómo afecta la LOPD a los restaurantes? Entre las categorías que pueden verse directamente afectadas ante la normativa vigente estarían: El incumplimiento de la LOPD en el ámbito de restauración puede resultar en sanciones económicas significativas, – las veremos en el último punto de este artículo – que no solo impactarían tu economía, sino que también podrían perjudicar la reputación de tu establecimiento. ¿Cómo cumplir con la LOPD en un negocio de restauración? Para que la protección de datos en restaurantes sea correcta y puedas evitar enfrentarte a sanciones elevadas, puedes tomar en cuenta los siguientes aspectos: Evaluación de riesgos Antes de cualquier tratamiento de datos, se debe ejecutar una evaluación de riesgos, la cual permitirá identificar la probabilidad de ocurrencia del riesgo y el nivel de impacto que podría tener sobre los afectados. Lea también: LA AEPD impone la primera sanción por la utilización de patrones oscuros en el diseño de la interfaz de usuario de una página web para configurar las opciones de privacidad Por ejemplo, en un restaurante, si mantenemos una lista de clientes frecuentes con sus respectivos datos para aplicar descuentos o promociones especiales. Y además, si esta – o cualquier otra – información sensible está almacenada en un ordenador accesible para cualquier empleado porque no se manejan con contraseña, existe el riesgo de exposición o robo de estos datos para fines no deseados, como envío de spam o intentos de fraude. Gracias a la evaluación de riesgos, conoceremos las posibilidades de que esto suceda y qué medidas son las más apropiadas para prevenirlo, como establecer una contraseña, limitar el acceso de empleados a la computadora o cifrar la lista. Registro de actividades de tratamiento de datos Si en tu establecimiento se manejan datos personales de forma sistemática o a gran escala, si se han instalado cámaras de seguridad, o si cuentas con más de 250 empleados, es obligatorio mantener un registro de actividades de tratamiento de datos. Su elaboración es el primer paso para cumplir con la normativa vigente en materia de privacidad y protección de datos Este registro documenta la información concerniente a los tratamientos de datos personales que se llevan a cabo en un restaurante, y debe contener la siguiente información: Dicho registro de actividades de procesamiento debe estar constantemente actualizado y debe estar a disposición de la Agencia Española de Protección de Datos
Protección de Datos: Panorama legislativo en Perú y Latinoamérica
ESET, compañía de seguridad informática, repasa cuál es la situación en Latinoamérica ya que en países como Argentina y Chile, la ley de protección de datos tiene más de 20 años de creación. Con el crecimiento de las tecnologías que procesan datos a gran escala y con su implementación en diversos ámbitos de la sociedad, surge el desafío para los estados de regular el tratamiento de la información de los usuarios. Esta necesidad no es nueva, sino que está presente desde los inicios de la computación y, en el período pandémico y pospandémico, aumentó en forma brusca y a velocidades inesperadas. ESET, compañía líder en detección proactiva de amenazas, repasa cuál es la situación en Latinoamérica. Los ejes temáticos principales que se encuentran en discusión en Latinoamérica, actualmente son muy diversos y se pueden resumir en los siguientes: “La mayoría de las normativas relativas a la protección de datos personales, en muchos de los estados deLatinoamérica, data de hace más de 10 o 20 años y resultan insuficientes frente al actual estado de latecnología y las necesidades de esta era. Dada esta circunstancia, varios países latinoamericanos,buscan regular, reformular y actualizar sus normas vigentes, mientras que otros continúan estáticos.”,comenta Fabiana Rodriguez, Investigadora de Seguridad Informática de ESET Latinoamérica.A continuación, desde ESET repasan el estado de la situación normativa en Perú, Argentina, Chile,Colombia, Ecuador y México: Perú El pasado mes de agosto, El Ministerio de Justicia y Derechos Humanos, a través de la AutoridadNacional de Protección de Datos Personales, dispuso la publicación del Proyecto de Reglamento de laLey N.º 29733, Ley de Protección de Datos Personales, para recibir aportes, comentarios y/o sugerenciaspor parte de la ciudadanía. Dado que el reglamento vigente es del año 2013, las autoridades han visto lanecesidad de realizar las modificaciones pertinentes para que el mismo esté actualizado frente alescenario tecnológico que se presenta hoy en día. Lea también: Protección de Datos: Panorama y tendencias legislativas en Latinoamérica La ley establece una serie de principios para el tratamiento de datos personales, entre los que seencuentran: Legalidad, el tratamiento de datos personales debe basarse en una ley o en un contrato;Finalidad, el tratamiento de datos personales debe ser lícito, leal y transparente; Exactitud, los datospersonales deben ser exactos y actualizados; Seguridad, los datos personales deben ser tratados demanera segura, y Consentimiento, el tratamiento de datos personales requiere el consentimiento de lapersona titular de los datos. Argentina La protección de datos personales se encuentra sujeta a la Ley 25326, sancionada ypromulgada en el 2000, que dio lineamientos generales respecto a la forma de almacenar y transferirdatos, y reconoció en forma explícita algunos derechos en favor de los titulares de datos, como lamodificación y extinción de los registros. El nuevo proyecto de Ley de Protección de Datos Personales, que se está tratando en el Congreso de laNación, pretende dar una nueva perspectiva a la cuestión, desde una mirada centrada en los avancestecnológicos. Entre los principales cambios que se proponen se destacan: la posibilidad de que los niñosa partir de los 13 años puedan prestar consentimiento para el tratamiento de sus datos (de acuerdo conciertas circunstancias), la aplicación de la Ley para habitantes de la Nación, sin importar dónde seencuentren almacenados los datos A, y la ampliación del concepto de dato sensible. México a Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente desdeel año 2010, es la norma que rige la temática a nivel país. También da lineamientos generales en cuantoa clasificación de datos, estableciendo algunos principios sobre el tratamiento de los mismos aplicableen públicas y privadas. El eje central de esta ley es la garantía a los particulares de los derechosARCO (aceptación, rectificación, cancelación y oposición). Sin embargo, la misma cuenta con más de diezaños y no abarca cuestiones actuales como la internet, la Inteligencia Artificial, entre otras. Chile Se encuentra en vigencia la Ley 19628, sobre “Protección de Datos de Carácter Personal” tambiéndenominada “Ley de Protección de la Vida Privada” que fue sancionada en 1999. En el año 2018 semodificó la Constitución de Chile y se consagró textualmente a la protección de datos como derechofundamental. Sin embargo, y en consonancia con lo que sucede en otros países, la actual regulación noes eficaz en su aplicabilidad a diferentes situaciones que plantea la digitalización y el uso de tecnologíasen constantes cambios, razón por la cual se encuentra en tratativas un nuevo proyecto de ley. Ecuador La Ley Orgánica de Protección de Datos Personales entró en plena vigtencia el 26 de mayo de2023, dado que al momento de su promulgación se otorgó un plazo de gracia a las empresas yorganizaciones que tratan información para reorganizar sus sistemas de acuerdo con la ley en cuestión.A partir de este año, se volvieron aplicables las multas previstas por incumplimiento de la ley, quepueden alcanzar hasta el 1% del capital de negocios de quien la infringe. Colombia La Ley 1581 del 2012, es la norma central de la regulación de las cuestiones atinentes a laprotección de datos personales, que está complementada por el derecho constitucional de habeas datay otras regulaciones. Esta ley desarrolla los derechos de los titulares de datos a conocer, actualizar yrectificar las informaciones que se hayan recolectado sobre ellos en bases de datos o archivos, siendouna norma similar a las leyes de protección de datos iniciales de Latinoamérica y que estableceprincipios generales. La ley no contempla supuestos actuales relacionados con el aumento desmedido del almacenamientode datos en medios digitales y el crecimiento de tecnologías de procesamiento de datos, lo cual generóuna necesidad casi inmediata de reforma. Esto, sumado a la influencia del RGDP europeo, fue elpuntapié para el planteo de un nuevo proyecto de Ley (066 del 2022) que tiene como objeto aumentarel resguardo de los datos personales frente al tráfico de mensajería a través de empresas que prestanesos servicios. “Del panorama legislativo existente y tendencias de reforma respecto a normativas de protección dedatos, se puede concluir que, si bien los estados cuentan con lineamientos de protección de datos, losmismos resultan insuficientes para gestionar las problemáticas actuales. Se podría recomendarfuertemente a los estados el establecimiento de un sistema que permita un constante análisis
Las mujeres ganan terreno en la ciberseguridad: tres historias que reivindican la historia
Sheila Berta, Martina López y Carina Birarda son sólo tres ejemplos de mujeres que se dedican a la ciberseguridad, un ámbito predominantemente ocupado por varones aunque ellas advierten que no siempre fue así: de las primeras seis personas egresadas de la carrera Computador Científico cuatro fueron mujeres. Sin embargo, con el surgimiento de las grandes empresas y la incorporación de la computación a la Ingeniería, la informática se volvió un dominio mayoritariamente masculino. Al menos esa es una de las posibles explicaciones. Pero las mujeres no se resignaron y se hicieron un lugar en el campo de la computación, incluso en el área tan específica de la ciberseguridad. Sheila Berta Sheila Berta es, sino un paradigma, por lo menos un ejemplo de una generación que no tuvo prejuicios en meter las manos en los “fierros”. “A los 12 años empecé a programar en tecnologías web -cuenta Sheila a Télam-Confiar-, me cuestionaba si aquellos sitios web que creaba se podían ‘romper’ de alguna forma. Me adentré en el mundillo del ‘Web Hacking’, investigando siempre por mi propia cuenta, lo que me llevó a descubrir el fascinante universo de la ciberseguridad y sus diversas áreas. Siempre quise entender cómo funcionan las cosas y cómo se podrían romper, para luego poder mejorarlas”. Hoy en día existe lo que se llama “hacker ético” (ethical hacking), que es un hacker contratado por una empresa para que explore las vulnerabilidades y las ataque y luego haga recomendaciones para mejorar la seguridad. Participante activa de grandes eventos de ciberseguridad a nivel mundial Sheila es una asidua concurrente a los distintos eventos de ciberseguridad de Argentina (como Ekoparty) o del mundo (Black Hat Briefing). Actualmente, a los 27 años, está a cargo de un importante proyecto en el exterior: “Estoy muy feliz de trabajar en Suiza para una importante compañía que se dedica a la innovación en ciberseguridad, y considero que es el fruto de muchos años de esfuerzo y pasión por esta profesión». «En cuanto a las diferencias con mis colegas de origen suizo, no he tenido ninguna situación de sexismo; me siento cómoda y respetada en la empresa”, completa. Pero no siempre fue así. Cuando le preguntamos si tuvo algún problema por ser mujer en un ambiente predominantemente masculino, Sheila respondió: “Si, bastantes, de diverso nivel de gravedad. Especialmente al ganar una alta visibilidad tras brindar numerosas conferencias y participar en proyectos con cierto grado de reconocimiento público. Sin embargo, por cada situación difícil que me tocó pasar, también hubo una enorme parte de la comunidad brindándome su apoyo y eso me ayudó a seguir adelante. Estoy muy agradecida por todo ese respaldo, ya que de lo contrario hubiera sido muy difícil continuar en esta profesión.” Martina López, Investigadora de Ciberseguridad en ESET Latam Martina López es Investigadora de Seguridad Informática de ESET Latinoamérica. En su rol se ocupa del armado, divulgación y presentación de materiales relacionados a la concientización e investigación de seguridad informática, tanto técnicos como informativos. “Lo que me despertó la curiosidad por la ciberseguridad como rama de IT fue el querer comprender las fallas de la tecnología que, a priori, parece perfecta: Desde vulnerabilidades complejas a nivel técnico, pasando por los ataques de ingeniería social más sencillos, hasta los archivos maliciosos”, cuenta Martina. Y sigue: “Un día participé como asistente en la conferencia NotPinkCon, dedicada a las mujeres en ciberseguridad, que me llevó a ver referentes de carne y hueso en el campo que me atraía. Este punto fue muy importante para mí ya que, por más que no haya pasado por situaciones de discriminación activa, el no tener visibilidad de la existencia de estas referentes condicionaba mis creencias sin que yo me diera cuenta”. NotPinkCon es una conferencia de seguridad informática que comenzó a realizarse en 2018, cuyas charlas son impartidas por mujeres. Su objetivo principal es incentivar a más mujeres a participar como oradoras en eventos de seguridad informática. “Creemos que todas tienen investigaciones interesantes para contar y queremos romper las barreras que les impidan hacerlo” dicen en su sitio web. Subestimada por su género en un sector de la ciberseguridad completamente »masculinizado» Si bien Martina no sufrió agresiones directas por motivo de género, sí participó en episodios de “mansplaining”: “En reuniones con externos o conferencias con otros colegas, por asumir que me dedico a sectores más ‘de mujer’ (como, por ejemplo, ventas) me han querido explicar conceptos básicos de la materia que cualquier experto sabe.” Lea también: La brecha de competencias en ciberseguridad pone en riesgo a las empresas Hay una parte de la industria de la tecnología informática especializada en ciberseguridad que no es sólo fierros y software. Hay resoluciones de distintos organismos, hay normas y procedimientos que las empresas deben seguir para asegurar sus datos y hay estándares que las compañías tienen que cumplimentar para ser homologadas, entre otros aspectos. Todo esto se conoce como “compliance” (una traducción aproximada sería ‘cumplimiento’) y también hay mujeres en ese campo. Birarda, consultora en ciberseguridad y continuidad de negocios Carina Birarda es Consultora en Ciberseguridad y Continuidad de Negocios, investigadora y oradora habitual en diversos eventos: “Comencé en sistemas y telecomunicaciones, de ahí empecé a conocer los parámetros de seguridad para las conexiones, me intrigó mucho y comencé a interiorizarme más al respecto, luego tomé capacitaciones sobre seguridad de la información y comencé a realizar consultorías allá por el 2006.” Tuvo la suerte de no ser maltratada personalmente, pero participó en episodios: “He presenciado maltratos hacia colegas y en ese momento lo he marcado, hablado y tratado de que no se vuelva a repetir”. El movimiento feminista en ciberseguridad, según la visión de las tres protagonistas Las tres coinciden que el movimiento feminista, especialmente en estos últimos cinco años, contribuyó a limar asperezas. Para Sheila, “contribuyó a generar conciencia en toda la sociedad; esto ayuda a dejar de naturalizar los comportamientos sexistas, acosos y demás; y en cambio tomar acciones para prevenir y mejorar las situaciones en todos los ámbitos”. Carina, por su parte, es más general. Para ella,
Cómo la IA potencia la ciberseguridad en redes blockchain
A medida que las blockchains se vuelven omnipresentes, la ciberseguridad se convierte en una preocupación crítica. Sin embargo, la integración de la inteligencia artificial (IA) en la tecnología blockchain se erige como una poderosa alianza en la lucha contra las amenazas y actividades sospechosas. En este artículo, exploraremos cómo la IA potencia la ciberseguridad en las redes blockchain, detectando comportamientos anómalos y fortaleciendo la confianza en la integridad de los registros. IA, Blockchain y Seguridad Una de las principales fortalezas de la IA en la seguridad de blockchain es su capacidad para analizar constantemente el comportamiento en la red. Los algoritmos de aprendizaje automático pueden identificar patrones inusuales o sospechosos, lo que resulta esencial para la detección de actividades maliciosas. Esto incluye la prevención de doble gasto, una amenaza común en las criptomonedas, y la transferencia de activos a carteras no autorizadas. Detección de comportamientos anómalos La IA también juega un papel crucial en la predicción de ataques potenciales. Al monitorear constantemente la red, la IA puede identificar vulnerabilidades y amenazas emergentes antes de que se materialicen. Esto brinda a los desarrolladores y administradores de la red la oportunidad de tomar medidas preventivas para asegurar la seguridad de la blockchain. Auditoría de Contratos Inteligentes Los contratos inteligentes son una parte integral de muchas aplicaciones blockchain. La IA se utiliza para auditar y verificar estos contratos en busca de vulnerabilidades y errores antes de su implementación en la red. Esto garantiza que los contratos funcionen sin problemas y sin errores, evitando posibles brechas de seguridad. El Futuro de la Ciberseguridad Blockchain A pesar de los avances, existen desafíos, como la privacidad de los datos y la escalabilidad, que deben abordarse. Además, los ciberdelincuentes también pueden emplear la IA para mejorar sus tácticas. Sin embargo, la colaboración en evolución entre la inteligencia artificial y blockchain está allanando el camino hacia redes más seguras y confiables en un mundo cada vez más digitalizado. Lea también: La UE propone mejorar la privacidad del euro digital La combinación de la inteligencia artificial y la tecnología blockchain representa un hito significativo en la seguridad de estas redes descentralizadas. La capacidad de la IA para detectar actividades sospechosas y amenazas aporta un nuevo nivel de confianza y seguridad en un mundo donde la integridad de los datos es fundamental. A medida que la tecnología continúa avanzando, la sinergia entre la IA y blockchain seguirá fortaleciendo la ciberseguridad y la confiabilidad de estas redes, allanando el camino hacia un futuro digital más seguro y protegido. FUENTE: González, Laia. »Cómo la IA potencia la ciberseguridad en redes blockchain» Observatorioblockchain.com. 25/10/2023. (https://observatorioblockchain.com/ia/como-la-ia-potencia-la-ciberseguridad-en-redes-blockchain/).
Ciberseguridad, historia y futuro
La historia de la ciberseguridad comienza cuando surge la necesidad de conectar equipamiento informático, en conjunto con el desarrollo de redes computacionales y módems, teniendo esto lugar entre las décadas de 1950 y 1960. Es una historia que tiene dos grandes partes, siendo estas separadas por uno de los grandes hitos tecnológicos de nuestra era moderna: la entrada en operación de Internet, lo cual gesta el ciberespacio y, a su vez, a los ciberdelincuentes. Ya con personas y empresas utilizando Internet en grandes volúmenes y de manera constante, el control del acceso a la información o datos en los sistemas, es un aspecto que toma cada vez mayor relevancia. Proteger esos datos es una preocupación creciente. Una de las primeras medidas para proteger la data fue el procesamiento por períodos, que consistía en separar por parte las actividades y los usuarios sólo podían gestionar información en un tiempo acotado y establecido por los encargados de Ciberseguridad. Iniciada la década del 70, se desarrollan programas informáticos que generan la capacidad para movilizarse a través de la red y, a su vez, surge el ANTIVIRUS, sistema que con rapidez evoluciona frente al desafío constante que los ciberdelincuentes plantean día a día. Es por ese reto que, desde el 2000 en adelante, se observan señales claras de organización ciber criminal que respalda y está detrás de grandes ataques en el ciberespacio, siendo estos ejecutados por ciberdelincuentes muy preparados en conocimiento, hoy conocidos popularmente como HACKERS. Es en este momento cuando, a nivel público y privado, se comienza a tomar conciencia y se desarrollan las primeras medidas más robustas contra la ciberdelincuencia. Industria en crecimiento En los últimos 15 años, la industria tecnológica ha reaccionado fuertemente y grandes organizaciones, en todo el mundo, hacen frente a la ciberdelincuencia, invirtiendo millones de dólares en investigación, desarrollo de hardware, software y preparación de profesionales expertos. Hoy contamos, a nivel mundial, con acceso a programas de concientización, tecnología, procesos, grandes empresas y personas dedicadas 100% a proteger la integridad, confidencialidad y disponibilidad de la información que se maneja en el ciberespacio. Así, podemos ver avanzadas soluciones de ciberseguridad con capacidad de proteger, entre otros, información en la nube, el perímetro virtual de una empresa con los renombrados firewalls y otras soluciones especializadas en cuidar el último punto de contacto, como lo pueden ser incluso nuestros computadores personales. La ciberseguridad abarca un amplio espectro y en el presente vemos como la industria se ha especializado en los múltiples campos que esta tiene. Desde 2021, la industria de la Ciberseguridad crece a una tasa y velocidad exponencial. Se proyecta que el tamaño mundial del mercado alcanzará los 345 mil millones de dólares en el 2026, lo que conlleva también importantes y grandes desafíos. Los desafíos en ciberseguridad también aumentan Hoy tenemos desafíos complejos que están siendo abordados, pero que requieren de mucha especialización. Así, el primer desafío es el déficit de profesionales. En Chile, por ejemplo, faltan más de 25 mil profesionales y esa cifra va en aumento. Otro desafío es el de crear más organizaciones y agencias nacionales de Ciberseguridad, con énfasis en la protección de los datos personales. Además, a nivel gubernamental, debe finalizarse y poner en ejecución la legislación que regule nuestro ciberespacio, incluyendo en esto la asignación de mayores presupuestos. Podría interesarle: Así serán las ciberamenazas que más guerra darán en 2024 También debemos superar la falta de conciencia por parte del mundo empresarial en la simple evaluación de notar que es incomparable el impacto operacional y económico de una inversión adecuada en ciberseguridad versus la catástrofe que significa el ser ya una víctima consumada de ciberdelincuentes. Para el presente y futuro de la ciberseguridad el llamado es a informarse acerca de lo que está ocurriendo en el ciberespacio, de las técnicas usadas, de los impactos negativos generados a las víctimas. Sin duda, hay mayor conciencia y se destinan cada vez más recursos y capacidades para combatir el cibercrimen. No se puede decaer en dichos esfuerzos, todo lo contrario. FUENTE: Revista Economía. »Ciberseguridad, historia y futuro» Revistaeconomia.com. 24/10/2023. (https://www.revistaeconomia.com/ciberseguridad-historia-y-futuro/).
