Ciberseguridad en casa: consejos para crear una cultura de seguridad digital
La ciberseguridad en casa debe ser un tema más recurrente. Se deben compartir consejos para administrar y crear contraseñas seguras y cómo evitar estafas online. No cabe duda que en los tiempos que vivimos es mucho más sencilla la vida digital que la real. A través de tu aparato móvil, se pueden realizar diferentes acciones, como organizar y hacer las compras online, hacer transacciones con la banca online, compartir documentos, hacer presentaciones de trabajo o de la escuela y mucho más. Lea también: Protección de datos: 10 consejos para pymes Sin embargo, no por estar bajo cuatro paredes estamos del todo seguros. La seguridad online o ciberseguridad es algo que debemos aprender, difundir y discutir en familia. Solo así, se podrán evitar casos de estafas con enlaces fraudulentos, robo de datos, cuentas o caer en el clásico phishing, en donde secuestran tus datos y luego piden rescate. Consejos para una mejor cultura de ciberseguridad 1. Instale un antivirus de buena reputación: un buen software antivirus puede proteger su dispositivo de una amplia gama de amenazas, como malware, ransomware y phishing. 2. Actualice regularmente sus dispositivos y software: las actualizaciones a menudo incluyen parches de seguridad para nuevas vulnerabilidades. Mantenga sus dispositivos y aplicaciones actualizadas para aprovechar estos parches. 3. Use contraseñas fuertes y únicas: evite las contraseñas fáciles de adivinar y no use la misma contraseña para varias cuentas. Considere el uso de un administrador de contraseñas para ayudar a mantener sus cuentas seguras. 4. Habilitar autenticación de dos factores: donde sea posible, use la autenticación de dos factores. Esto añade una capa adicional de seguridad a sus cuentas. 5. Manténgase informado sobre las últimas amenazas: las tácticas de los ciberdelincuentes cambian constantemente. Manténgase al tanto de las últimas amenazas y esté atento a las estafas de phishing y otros intentos de engaño. Otras recomendaciones de expertos 6. Eduque a su familia: asegúrese de que todos en su hogar comprendan la importancia de la ciberseguridad. Hable sobre los riesgos y asegúrese de que los niños entiendan cómo mantenerse seguros en línea. 7. Proteja su red Wi-Fi: cambie la contraseña predeterminada de su red Wi-Fi y asegúrese de que está utilizando una encriptación fuerte. 8. Respalde sus datos regularmente: en caso de un incidente de seguridad, es importante tener una copia de seguridad actualizada de todos sus datos importantes. 9. Sea cauteloso con lo que comparte en línea: la información que comparte en línea puede ser utilizada contra usted. Piense dos veces antes de publicar detalles personales o fotos que revelen demasiada información. FUENTE: Depor.com. »Ciberseguridad en casa: consejos para crear una cultura de seguridad digital» Depor.com. 22/07/2023. (https://depor.com/depor-play/tecnologia/ciberseguridad-en-casa-consejos-para-crear-una-cultura-de-seguridad-digital-tecnologia-wifi-contrasenas-amenazas-noticia/).
Mensajes de Whatsapp y protección de datos
La Agencia Española de Protección de Datos (AEPD) ya ha sancionado en varias ocasiones a empresas, particulares e incluso comunidades de propietarios por la difusión de imágenes, envío de datos personales sin consentimiento, entre otras, a través de WhatsApp. Son millones los mensajes enviados a través de esta aplicación y, como podemos observar, cada vez aumenta más la interacción entre los propios usuarios, e incluso las empresas con sus clientes. Se usa WhatsApp para establecer una conversación cotidiana con nuestros familiares y amigos y, actualmente, podemos hasta realizar trámites con nuestro banco, seguro, realizar pedidos a tiendas, pedir información, etc. Todo ello genera, consecuentemente, el envío y recepción de millones de datos que pueden ser considerados como datos de carácter personal. Por ello, no debemos olvidarnos y tener en cuenta el modo en el que usamos dicha aplicación y con qué finalidad tratamos los posibles datos que enviamos y/o recibimos. Y es que la Agencia Española de Protección de Datos (en adelante, AEPD) ya sancionó en varias ocasiones a empresas, particulares e incluso comunidades de propietarios por la difusión de imágenes, envío de datos personales sin consentimiento, entre otras, a través de esta aplicación. Caso: Comunidad de Propietarios y la difusión de imágenes del sistema de videovigilancia a través de WhatsApp Uno de los casos más recientes, es el caso en el que una Comunidad de propietarios sancionada debido a un acceso no autorizado a unas imágenes captadas por el sistema de videovigilancia y, posteriormente, su difusión, a través de un grupo de WhatsApp, de vecinos sin motivo aparente. La vulneración a la normativa de protección de datos la cometió por la Presidenta de la Comunidad, sin embargo, la AEPD establece en la Resolución del Proceso Sancionador (Expediente N.º: EXP202204461) que la responsabilidad recae en la comunidad en su conjunto al ser la misma responsable del tratamiento y, por otro lado, algunos de los miembros (participantes del chat) eran conocedores de tal situación. Por lo que comporta una negligencia grave en la conducta descrita imputable directamente a la propia Comunidad al no adoptar garantía alguna en la difusión a terceros, así como una insuficiente reacción desde el primer momento de tener conocimiento de los mismos. Lea también: El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE Por todo ello, la Agencia cuantificó la sanción en 2.000 € atendiendo no solo al acceso a las grabaciones, sino también a la difusión al resto de propietarios. Caso: Una abogada y una sentencia sin anonimizar enviada por WhatsApp Otro caso, es el de una abogada que fue sancionada, por la AEPD, debido a que envió una sentencia, a través de WhatsApp, donde figuraban datos personales, con la finalidad de poder promocionarse profesionalmente (Expediente nº: EXP202202963). En este caso, la AEPD sancionó a la letrada con dos multas de 2.000 € cada una (haciendo un total de 4.000 €) debido a la difusión, a través de WhatsApp, de los datos personales del afectado sin su consentimiento y, por consiguiente, vulnerando el principio de integridad y confidencialidad establecidos por ley. Caso: Compartir fotografías y pantallazos sin consentimiento del afectado Finalmente, está el caso en el que la AEPD sancionó a un hombre por difundir, en su estado de WhatsApp, fotografías íntimas y capturas de conversaciones de una mujer con su compañero de trabajo, y que fueron publicadas sin el conocimiento ni consentimiento de esta, tras haberle sido sustraídas de un pendrive que le ha desaparecido. Podría interesarle: Ya no pueden acceder a su información financiera sin orden judicial La AEPD impuso al hombre una multa de 10.000 € (Expediente nº: PS/00334/2019) por la difusión de las imágenes sin contar con el consentimiento de la afectada. Conclusiones En conclusión, WhatsApp tiene grandes beneficios, pero no debemos olvidar que, en ocasiones, al reenviar mensajes a otros usuarios, compartir capturas de conversaciones, difundir datos y/o imágenes, e incluso incorporar a gente a grupos de WhatsApp, podemos estar cometiendo una infracción de la normativa vigente. Por lo tanto, debemos siempre extremar las precauciones cuando tengamos en nuestros teléfonos información que se puede considerar personal y privada, evitando estas acciones y/o recabando previamente el consentimiento del interesado. FUENTE: Fernández, Rocío. »Mensajes de Whatsapp y protección de datos» Noticias.juridicas.com. 19/07/2023. (https://noticias.juridicas.com/actualidad/noticias/18195-mensajes-de-whatsapp-y-proteccion-de-datos/).
Empresas de ciberseguridad duplican ingresos por aumento de 500% en ciberataques
En los últimos tres años, las empresas de ciberseguridad duplicaron sus ingresos año con año derivado del aumento de más de 500 por ciento en el número de intentos de ciberataques de los que fueron víctimas las empresas mexicanas. Previo a la pandemia de Covid-19, el número de delitos cibernéticos era de apenas 300.3 millones, sin embargo, para 2022, la cifra pasó hasta los 187 mil millones, que representó un incremento de más de 500 por ciento, lo que ha convertido a México en el país más atacado en toda América Latina. “La industria de ciberseguridad sigue apoyando para combatir los riesgos que representan el cibercriminal, esto ha permitido que las organizaciones de ciberseguridad estén duplicando, como mínimo, sus ingresos año contra año”, comentó Carlos Quijas, director de Servicios Avanzados de Onesec. Al respecto, Alberto Vargas, director ejecutivo de Onesec, afirmó que este crecimiento ha sido posible gracias a que cada vez más empresas son conscientes de que el riesgo de ser víctimas de un ciberataque es real, sobre todo porque muchos negocios se vieron obligados a digitalizar sus servicios, lo que los convirtió en potenciales blancos de ataque. “Cada año, vemos cómo las empresas aumentan entre 20 y 30 por ciento su presupuesto para defenderse de los intentos de ciberataques, lo que les permite estar protegidos ante los cibercriminales, quienes cada vez utilizan técnicas más sofisticadas como la Inteligencia Artificial”, aseguró Vargas. Sin embargo, señaló que el aumento de hasta 30 por ciento en los presupuestos de ciberseguridad se da en su mayoría en las grandes organizaciones, por lo que las Pymes aún tienen retos importantes en materia de ciberseguridad. Pymes deben invertir en ciberseguridad De acuerdo con datos de la firma de ciberseguridad Cisco, al menos un 76 por ciento de las Pymes mexicanas cree que puede sufrir un incidente de ciberseguridad en los próximos 12 a 24 meses, sin embargo, sólo 2 de cada 10 han tomado las previsiones necesarias. “Todavía hay muchas Pymes que no son conscientes de que el riesgo de ser víctimas de un ciberataque es real, lo que les ha impedido gestionar una estrategia de ciberseguridad que los proteja contra los ciberdelincuentes”, advirtió Carlos Quijas. Podría interesarle: EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables En este sentido, destacó que la ciberseguridad debe ser cada vez más un tema que preocupe a las empresas, pero también al sector público y a la sociedad en general porque deben tener protocolos de prevención y acción ante las amenazas cibernéticas que han venido creciendo a ritmos acelerados en los últimos 3 años. FUENTE: Calderón, Christopher. »México | Empresas de ciberseguridad duplica ingresos por aumento de 500% en ciberataques» Dplnews.com. 19/07/2023. (https://dplnews.com/mexico-empresas-de-ciberseguridad-duplica-ingresos-por-aumento-de-500-en-ciberataques/).
Ciberseguridad: aumentan ataques de bots maliciosos a las API de empresas por falta de protección
La rápida proliferación de las interfaces de programación de aplicaciones (API) está encabezando la transformación digital, ya que ayudan a los desarrolladores a unir aplicaciones de forma rápida y eficiente, al tiempo que proporcionan una mejor experiencia de usuario. En ese sentido, a medida que crece el volumen de estas aplicaciones, ampliando la vulneración de la ciberseguridad. Por lo tanto, cabe esperar que, en los próximos años, las API se conviertan en uno de los principales objetivos de los ciberdelincuentes. Además de ampliar la superficie de ataque al proporcionar más puntos de entrada a los cibercriminales, también son más susceptibles al abuso de la lógica empresarial y al fraude, lo que las convierte en un objetivo ideal para los ataques automatizados, por lo que estos están aumentando a un ritmo alarmante. Como se indica en el informe “Bad Bot Report 2023” compartido por Imperva, empresa enfocada en la ciberseguridad, el 17 % de todos los ataques dirigidos a API en 2022 procedían de bots, y el 21 % eran otros tipos de amenazas automatizadas. No debería sorprendernos que la falta de protección sea uno de los desafíos del 2023. Pero, ¿por qué las API son un vector cada vez más atacado? Se vulnera ciberseguridad por las API en las organizaciones Imperva indica que las organizaciones deben identificar y documentar todas sus API. Muchas existen y están expuestas públicamente, pero las instituciones no han hecho el inventario ni las conocen activamente. Son las denominadas “API en la sombra”. Los ejemplos incluyen: antiguos puntos finales de API que están obsoletos, pero nunca se eliminaron, nuevos puntos finales de API que no están documentados, o cuando un desarrollador realiza un cambio que expone puntos finales de API no públicos a Internet. Esto nos lleva a preguntare: ¿Cómo se puede proteger lo que no se sabe que está ahí? También está el reto de distinguir entre el tráfico humano y de bots, y también diferenciar los bots buenos y maliciosos. El problema radica en el hecho de que para una API todo parece un bot, ya que están diseñadas para clientes automatizados. Esto hace que sea difícil para las organizaciones proteger sus API contra los ataques de bots. Estas manejan grandes volúmenes de peticiones, pero carecen de mecanismos de defensa incorporados, lo que dificulta la detección y el bloqueo del tráfico de bots maliciosos, permitiendo a los atacantes utilizar la automatización sin riesgo de que salten las alarmas. Las API proporcionan acceso directo a datos sensibles Las API son una vía directa de acceso a datos confidenciales, funcionalidades empresariales, recursos y otra información sensible. Un análisis reciente descubrió que el 13 % de las API manejan información altamente sensible, como números de tarjetas de crédito, números de la seguridad social, direcciones de particulares, etc. Podría interesarle: ¿Qué es un exploit, cómo funciona y qué métodos existen para protegerse de él? Si un atacante consigue acceder a una API que maneja datos, podría obtener potencialmente esta información, lo que daría lugar a una violación de datos. La lógica empresarial suele pasarse por alto la ciberseguridad Según Postman, el 44 % de los desarrolladores de API tienen menos de 2 años de experiencia. Cuando se trata de protegerlas, los desarrolladores suelen aplicar un conjunto estándar de reglas. Incluso si los desarrolladores intentan mitigar el tráfico de bots, a menudo utilizan herramientas y técnicas de seguridad tradicionales. Entre ellas se encuentran la limitación de velocidad, la detección basada en firmas, los protocolos de bloqueo, etc. Estas técnicas suelen ser ineficaces contra los sofisticados ataques de bots que se dirigen a las API. En conclusión, las organizaciones dependen cada vez más de las API, lo que lleva a un rápido crecimiento en su adopción y uso. A su vez, la superficie de ataque que las empresas deben ser capaces de proteger hoy en día ha aumentado significativamente. Los bots, cada día más sofisticados, y la facilidad con la que pueden atacar la logística empresarial, suponen un riesgo significativo. FUENTE: Neira, Juan. »Ciberseguridad: aumentan ataques de bots maliciosos por falta de protección» Valoraanalitik.com. 18/07/2023. (https://www.valoraanalitik.com/2023/07/18/ciberseguridad-aumentan-ataques-de-bots-maliciosos-por-falta-de-proteccion/).
La ciberseguridad llega al podio de las prioridades de los CEO de América latina
Un nuevo estudio global de IBM Institute for Business Value, «Toma de decisiones del CEO en la era de la IA (inteligencia artificial), actúa con intención», mostró que casi la mitad de los directores generales ejecutivos en América latina (47%), identifican la modernización tecnológica como su principal prioridad de negocio, seguido de cerca por la ciberseguridad y la privacidad de los datos (46%), y la productividad (45%). Mientras tanto, el 41% de los encuestados sostiene que la sostenibilidad ambiental es su principal desafío para los próximos dos a tres años, por delante de la modernización tecnológica y la ciberseguridad. Más del 63% de los CEO latinoamericanos creen que la computación en la nube es la tecnología clave que les ayudará a entregar resultados en los próximos tres años, seguido de la analítica avanzada (54%) y la IA (50%), incluyendo la IA generativa. Sin embargo, enfrentan barreras clave mientras compiten por modernizar y adoptar nuevas tecnologías como la IA generativa. Prioridades tecnológicas de los CEO Los hallazgos clave del estudio, que IBM compartió con iProfesional incluyen los siguientes: Los factores tecnológicos son la principal fuerza externa que impacta a las organizaciones en América latina Los CEO latinoamericanos afirman que los factores tecnológicos y el riesgo cibernético (ambos 46%) son las principales fuerzas externas que impactarán en su organización en los próximos tres años. Podría interesarle: La demanda de los perfiles relacionados con la protección de datos se disparará en los próximos meses Esto coincide con los resultados globales, donde por cuarto año consecutivo, los CEO identificaron factores tecnológicos como la máxima fuerza externa que impacta a sus organizaciones. En América latina, los factores regulatorios y los factores de mercado (ambos 44%) también están clasificados como fuerzas externas importantes. Los CEO buscan cada vez más líderes de operaciones, finanzas y tecnología para decisiones estratégicas Cuando se les pregunta qué miembros de C-level tomarán las decisiones más cruciales en los próximos tres años, los CEO latinoamericanos identifican a los COO (directores de operaciones, 61%) y CFO (directores financieros 55%) en línea con sus contrapartes globales. La influencia de los líderes tecnológicos en la toma de decisiones está creciendo: 36% de los CEO latinoamericanos apuntan a los CIO (directores de informática, frente al 19% hace un año), seguido de Chief Technology o Chief Digital Officer (28%) como aquellos que toman las decisiones más cruciales en su organización. El estudio también incluyó una encuesta a 200 CEO estadounidenses de corporaciones multinacionales sobre IA generativa, y reveló que tres cuartas partes de los CEO encuestados creen que la ventaja competitiva dependerá de quién tenga la IA generativa más avanzada. La ciberseguridad está en el podio de las prioridades de los CEO. Sin embargo, los ejecutivos también evalúan riesgos potenciales o barreras tecnológicas como el sesgo, la ética y la seguridad. Más de la mitad (57%) de los CEO estadounidenses encuestados están preocupados por la seguridad de los datos y al 48% le preocupa el sesgo o la exactitud de los datos. Todavía hay una desconexión entre estos CEO y sus equipos cuando se trata de la preparación de la IA. La mitad (50%) de CEO informan que integran la IA generativa en productos y servicios, y el 43% de ellos declara que usa la IA generativa para informar decisiones estratégicas. Menos de un tercio de sus equipos ejecutivos están de acuerdo en que tienen la experiencia interna o la disposición organizativa para adoptar la IA generativa. Los CEO de EE. UU. Unidos están listos para adoptar la IA generativa La mitad de los CEO (50%) informan que integran la IA generativa en productos y servicios; y el 43% afirma que la utilizan para sustentar sus decisiones estratégicas, con 36% usando la tecnología para decisiones operativas. Mientras que el 69% de los CEO encuestados ven amplios beneficios de la IA generativa en toda su organización, solo el 29% de sus equipos ejecutivos coinciden en que tienen la experiencia interna para adoptar la IA generativa. Solo el 30% de los altos ejecutivos encuestados que no son CEO dicen que su organización está lista para adoptar la IA generativa de manera responsable. El 46% de los CEO encuestados contrataron a trabajadores adicionales debido a la IA generativa, con el 26% diciendo que tienen planes para más contrataciones por delante. Metodología del estudio El IBM Institute for Business Value, en colaboración con Oxford Economics, entrevistó a 3.000 Directores Generales de más de 30 países y 24 industrias como parte de la 28ª edición de la serie IBM C-Suite Study. Las entrevistas se centraron en las perspectivas de los ejecutivos sobre el liderazgo y los negocios; sus funciones y responsabilidades cambiantes; y la toma de decisiones de los CEO en la actualidad, incluidos los principales retos y oportunidades, su uso de la tecnología, los datos y las métricas, y sus visiones de futuro. También realizó una encuesta entre 200 CEO de los Estados Unidos sobre sus respuestas a la IA generativa. FUENTE: Dergarabedian, César. »La ciberseguridad llega al podio de las prioridades de los CEO de América latina» Es-us.noticias.yahoo.com. 11/07/2023. (https://es-us.noticias.yahoo.com/ciberseguridad-llega-podio-prioridades-ceo-115000219.html guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAHmPHiQbvwKBIahklrNwfcti3odieSUJrrJzewNAETyO7KS2vHOUu9yvTCSXGMpTmfC5OMEtx532L7SdC_72mTMzTuib32srufVBbl8Sw14CRcCrMpARn9qT2fGFDnCDTbsGXMyXMLXJh4dh9AYXMrjZmiSMtbvti4ejenz5AFEt).
Actualización de la Guía sobre el uso de cookies de la AEPD
La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD). La nueva versión de la Guía realizada por la Agencia ha contado, tal y como ocurrió con versiones anteriores, con la participación de los sectores afectados (las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain). Podría interesarle: El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE El Comité Europeo de Protección de Datos publicó en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales. La Agencia incorpora a la nueva versión de la Guía el criterio del Comité Europeo, que recoge que las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen. En paralelo a esa incorporación, se han realizado una serie de modificaciones: En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades. Sin embargo, cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades. Por otro lado, en cuanto a los muros de cookies, la Guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Por tanto, podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. La nueva versión de la Guía aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita. Los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies. Descargue la guía, aquí: Guía sobre uso de Cookies – AEPD FUENTE: »Actualización de la Guía sobre el uso de cookies de la AEPD» Elderecho.com. 11/07/2023. (https://elderecho.com/actualizacion-de-la-guia-sobre-el-uso-de-cookies-de-la-aepd).
¿Qué es un exploit, cómo funciona y qué métodos existen para protegerse de él?
El exploit es una herramienta utilizada por los ciberdelincuentes para aprovechar vulnerabilidades en sistemas informáticos y obtener acceso no autorizado o control sobre ellos. Es hora de ver en qué consiste. Los usuarios a menudo ignoran las advertencias de seguridad de sus sistemas operativos con el pretexto de que no tienen tiempo ni paciencia para actualizar el software. Esto los expone a más ciberataques, algunos más sofisticados que otros. Esto le da al ciberdelincuente acceso total a los datos y el software instalado en tu dispositivo. En un mundo perfecto, las aplicaciones, sistemas y programas funcionarían sin fallos y sin bloqueos repentinos en medio de una tarea. Sin embargo, en la vida real, la complejidad del software a menudo deja espacio para buscar errores, encontrarlos y usarlos en contra del usuario. Les lleva meses o incluso años investigar el funcionamiento interno de las aplicaciones de software más populares y encontrar formas de obligarlas a comportarse de forma inesperada.Para que te hagas una idea, los expertos en ciberseguridad siempre son cautelosos cuando escuchan la palabra «exploit«, y por una buena razón. ¿Qué es un ‘exploit’? Un exploit es una pieza de software, un fragmento de datos o una secuencia de comandos que aprovecha un error o una vulnerabilidad en una aplicación o un sistema para provocar que ocurra un comportamiento no deseado o imprevisto. El nombre proviene del verbo inglés to exploit, que significa «usar algo para beneficio propio». Básicamente, esto significa que el objetivo del ataque tiene un fallo de diseño que permite a los piratas informáticos crear los medios para acceder a él y utilizarlo en su interés. El período de tiempo entre el primer uso del exploit y el lanzamiento de un parche para solucionarlo se denomina «ventana de vulnerabilidad» y representa el período durante el cual el usuario puede ser atacado sin poder corregir la falla explotada. En los foros clandestinos, los exploits de día cero se venden entre 10.000 y 500.000 dólares, según la plataforma afectada y su popularidad en el mercado. ¿Cómo funcionan estos ataques? Al igual que con la mayoría de los ataques, los exploits a menudo se producen a través de ataques de malware. Estos incluyen correos electrónicos de phishing, ataques de phishing por SMS —smishing—, phishing selectivo y otros. Después de interactuar en un intento de phishing, como hacer clic en un enlace malicioso o descargar un archivo adjunto infectado, el código o programa de explotación ingresa a tu ordenador y lo escanea en busca de vulnerabilidades. Lea también: Consejos de ciberseguridad para trabajadores independientes: así puede estar protegido sin un equipo de IT Si se encuentran lagunas, el programa puede aprovecharlas y enviar malware. Por lo tanto, las brechas de seguridad juegan un papel clave en el éxito de este tipo de ataque. Dos tipos, conocidos y desconocidos o de día cero Los exploits informáticos se clasifican en una de 2 categorías: conocidos y desconocidos o de día cero y su explicación es realmente muy sencilla. En el primer caso y como sugiere el nombre, los expertos en ciberseguridad conocen los exploits existentes. Ya se han identificado las lagunas de seguridad de la red, ordenador o el afectados y los desarrolladores han publicado las correcciones y parches pertinentes.software A pesar de todo esto, los exploits conocidos pueden continuar persistiendo en el dispositivo o la red afectados. Esto se debe a que los propietarios y usuarios de los ordenadores no siempre actualizan el software con la regularidad que deberían, lo que genera más vulnerabilidades. Por el contrario, los desconocidos son exploits que los expertos en ciberseguridad aún no han descubierto. Estos tipos de exploits también se conocen como ataques de día cero o exploits de día cero debido a la rapidez con la que se llevan a cabo. Los ciberdelincuentes atacan a las víctimas el mismo día que descubren una vulnerabilidad. Por lo general, se mueven demasiado rápido para los expertos en seguridad, que deben trabajar día y noche para identificar y reportarlos. Mejor prevenir que curar: métodos a seguir Los exploits a los que hoy se enfrenta la sociedad son más agresivos y se propagan por todo el sistema en cuestión de minutos, en comparación con los de principios de los 90, que eran más lentos y pasivos debido a la falta de conectividad a Internet. Ahora los kits de explotación están ampliamente disponibles para su compra en la Dark Web convirtiendo a cualquier novato en un verdadero ciberdelincuente. El problema con los exploits es que son parte de un ataque más complejo, lo que los convierte en una molestia: nunca vienen solos y siempre infectan el dispositivo con algún tipo de código malicioso. Podría interesarle: El virus troyano que desvela a especialistas en ciberseguridad y que ataca a cualquier teléfono Aunque los especialistas en seguridad y los proveedores trabajan juntos para detectar vulnerabilidades lo más rápido posible y emitir parches para corregirlas, no siempre pueden proteger a los usuarios de las vulnerabilidades de día cero. Peor aún, no pueden proteger a los usuarios contra su propia negligencia. Puedes tomar cartas en el asunto y siempre hacer una copia de seguridad de tus datos, evitar contraseñas débiles y actualizar constantemente todo el software. Nunca ejecutes versiones vulnerables de los complementos, navegadores o reproductores multimedia. Recuerda que cualquier minuto que «desperdicies» actualizando tu sistema operativo le ahorrarás horas de mantenimiento del ordenador cuando ocurra el desastre. FUENTE: Valenzuela González, Valentina. »¿Qué es un exploit, cómo funciona y qué métodos existen para protegerse de él?» Computerhoy.com. 09/07/2023. (https://computerhoy.com/ciberseguridad/exploit-como-funciona-metodos-existen-protegerse-1260582).
El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE
Una sentencia del Tribunal de Justicia de la Unión Europea, TJUE, reafirmó la orden de la autoridad de competencia de Alemania para obligar a Meta ─empresa matriz de Facebook─ a cambiar sus prácticas de recolección de datos, informó The Record. La decisión del Tribunal pondrá límites para la forma en que Meta recaba datos en su ecosistema de aplicaciones, incluyendo la transferencia de datos hacia y desde Instagram y WhatsApp. En su comunicado de prensa, el TJUE explica que Meta recaba datos sobre la actividad de las personas usuarias en Facebook, dentro y fuera de la plataforma, y los vincula con sus cuentas. Estos datos externos incluyen información sobre los sitios web de terceros visitados, así como el uso de otros servicios en línea propiedad de Meta, con la finalidad de crear mensajes publicitarios personalizados. Al respecto, la autoridad de competencia alemana prohibió en 2019 a Facebook procesar los datos de actividad fuera de la plataforma de las personas usuarias de su país, ya que consideró que el manejo de estos datos es contrario a la Regulación General de Protección de Datos de la Unión Europea (GDPR) y representa un abuso de la posición dominante de Meta en el mercado de las redes sociales. Debido a una apelación a dicha decisión, la Corte Regional de Düsseldorf solicitó la postura del Tribunal Europeo. El TJUE señaló que la autoridad de competencia de un Estado miembro puede estar facultada a examinar si la conducta analizada cumple con otras normativas relativas a las leyes de competencia, como pueden ser las reglas de protección de datos. Según el TJUE, el tratamiento de datos de Meta vulnera la categoría de datos sensibles o especiales de la Unión Así mismo, el Tribunal consideró que los datos tratados por Meta parecen afectar también categorías especiales de datos sensibles, tales como el origen étnico o racial, la orientación sexual, e incluso la creencia religiosa o las tendencias políticas. Además, el TJUE clarificó que el mero hecho de que una persona usuaria visite un sitio web o use una aplicación no significa, de ninguna manera, que haya hecho públicos sus datos personales de forma manifiesta. Podría interesarle: La Comisión Europea se propone acabar con los cuellos de botella que sufre el Reglamento General de Protección de Datos con una nueva regulación “El hecho de que el gestor de una red social ─en este caso, Meta─ ocupe, como responsable del tratamiento de datos, una posición dominante en el mercado de las redes sociales no impide, como tal, que las personas usuarias de su plataforma den válidamente su consentimiento, dentro del alcance del RGPD, al tratamiento de sus datos personales por dicho gestor”, señala el comunicado. FUENTE: »EL MANEJO DE DATOS DE FACEBOOK ES CONTRARIO AL REGLAMENTO DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA, CONFIRMA EL TJEU» R3d.mx. 05/07/2023. (https://r3d.mx/2023/07/05/el-manejo-de-datos-de-facebook-es-contrario-al-reglamento-de-proteccion-de-datos-de-la-union-europea-confirma-el-tjeu/).
La demanda de los perfiles relacionados con la protección de datos se disparará en los próximos meses
Randstad, la empresa de recursos humanos número 1 en España y en el mundo, pronostica que los perfiles relacionados con la protección de datos, en concreto el de Data Protection Officer (DPO) será uno de los más demandados en los próximos meses, dada tanto su obligatoriedad como el incremento de las reclamaciones. Desde 2018, cuando entró en vigor el Reglamento General de Protección de Datos (RGPD), todas las empresas públicas, hospitales, bancos y grandes corporaciones, entre otras organizaciones, están obligadas a contar con la figura del DPO, un perfil que precisa de un alto conocimiento sobre protección de datos y seguridad. Además de esta exigencia, las reclamaciones sobre protección de datos se están incrementando en los últimos años. El comercio electrónico y la transición digital no solo genera oportunidades, sino también riesgos que preocupan a las compañías. De hecho, y según Sage, el 61% de las empresas españolas temen ser sancionadas por la falta de cumplimiento de la normativa, unas multas que pueden suponer buena parte de la facturación de una compañía. Reclamaciones en aumento, la mayor necesidad a cubrir para los profesionales en protección de datos La última memoria anual de la Agencia Española de Protección de Datos (AEPD) indica que, durante 2022, se registraron 15.128 reclamaciones, un 9% más que el año anterior y un 47% superior a 2020. Según el organismo, las reclamaciones más frecuentes son servicios de Internet (15%), videovigilancia (15%), recepción de publicidad -excepto spam- (13%), inserción indebida en ficheros de morosidad (8%) y reclamación de deudas (6%). Podría interesarle: Inteligencia artificial, ciberseguridad, robótica y transformación digital entre los empleos del futuro Por otro lado, y en cuanto a áreas con mayor importe de sanciones, se encuentran servicios de Internet (11,5 millones de euros), publicidad -excepto spam- (2,3 millones), asuntos laborales (2,2 millones), brechas de datos personales (821.800 euros), contratación fraudulenta (706.800 euros) y telecomunicaciones (632.000 euros). Una combinación de tecnológica y conocimiento legal El perfil de DPO se encarga de la supervisión y monitorización del cumplimiento de la normativa sobre protección de datos personales, de una manera independiente y confidencial. Se caracteriza por combinar formación tecnológica con un profundo conocimiento legal, además de dominar las características del sector donde lleva a cabo su actividad. Se le exigirá tener un conocimiento continuamente actualizado sobre las nuevas herramientas y tecnologías digitales, y sus derivadas legales. Además, son recomendables habilidades como la proactividad, el trabajo bajo presión o la empatía. Aunque su sueldo dependerá mucho del sector y de la ciudad donde desempeñe su actividad, es de esperar que estos perfiles se encuentren con una remuneración media de 50.000 euros anuales. FUENTE: »La demanda de los perfiles relacionados con la protección de datos se disparará en los próximos meses» Equiposytalento.com. 06/07/2023. (https://www.equiposytalento.com/noticias/2023/07/06/la-demanda-de-los-perfiles-relacionados-con-la-proteccion-de-datos-se-disparara-en-los-proximos-meses).
