Privacidad de datos: un reto de las empresas
Para Colombia y para el mundo, la privacidad de datos representa un desafío por las expectativas de los consumidores sobre el registro y manejo de sus datos personales suministrados al usar un servicio o producto. En el país, la Superintendencia de Industria y Comercio (SIC) es la entidad del Gobierno Nacional que se encarga de vigilar el cumplimiento de los principios establecidos en la ley de protección de datos personales y de sancionar a quienes incumplan con la normativa establecida. En el último año, se presentaron más de treinta y tres mil quejas por violación de datos personales; en consecuencia, la entidad abrió más de cien investigaciones a empresas por incumplir con la disposición en la protección de datos. Otros artículos: Chatbots vs protección de datos personales Privacidad de datos en el panorama actual de Colombia Colombia está soportado en un ámbito legal que protege los datos personales de los ciudadanos: en desarrollo de los derechos constitucionales a la información, el buen nombre, la rectificación y la intimidad personal, entre otros. La ley 1581 de 2012 establece que todas las personas tienen el derecho a conocer, actualizar y rectificar la información que sea recopilada en bases de El Decreto 1377 de 2013 dentro del régimen general de tratamiento y protección de datos personales en Colombia reglamenta a profundidad la norma marco y establece las sanciones que se podrían llegar a atribuir en casos de incumplimiento. Es importante tener en cuenta que, sin perjuicio de lo anterior, Colombia no ha sido considerada por la unión europea como una jurisdicción con estándares de protección adecuada a la fecha por lo que debe revisarse muy bien si al interior de la compañía se da tratamiento a datos personales de titulares del espacio económico europeo. La digitalización de la banca aceleró la exposición de datos personales. En Colombia las operaciones bancarias a través de internet se han El 91% de colombianos en el centro-oriente tienen al menos un producto financiero de acuerdo con el último reporte de la Banca de las Oportunidades, por lo que se hace importante que en materia de regulación las organizaciones bancarias puedan contar con las garantías en el manejo de los datos. Habeas Data y Accountability El habeas data financiero de Colombia se consagra a través de la ley 1266 de 2008, que fuese modificada parcialmente por la ley 2157 de 2021 la cual se aplica para todos los datos personales financieros, crediticios, comerciales y de servicios y la proveniente de terceros países registrados en un banco de datos cuando su finalidad sea la de evaluar y mitigar riesgos. En Colombia y en diferentes lugares del mundo, existe el principio de Responsabilidad Demostrada o Accountability, según el cual los responsables y encargados deben demostrar que han implementado medidas apropiadas para cumplir con las obligaciones de esta norma y garantizar los derechos de los titulares de la información. El crecimiento de internet y sus implicaciones De otro lado, la tendencia indica que crecerá el consumo en internet, lo que quiere decir que seguirá evolucionando la exposición de datos personales en línea, aumentando así también las vulneraciones de privacidad y seguridad. DataReportal, la biblioteca de datos más grande en línea, en su último informe señala que había más de treinta y nueve millones de usuarios de internet en Colombia a principios de 2023, lo que significa una penetración de internet del 75.7%, un aumento significativo, reflejando el creciente interés de los colombianos en la adopción de las tecnologías. Para las empresas, como responsables de los datos es muy importante contar con el consentimiento informado o con el material que soporte el tratamiento de datos. Se debe informar a los titulares sobre el objetivo o finalidad que se tiene con la recolección de datos, garantizar la confidencialidad de la información, así como facilitar a los titulares la posibilidad de acceder, rectificar y actualizar la información de carácter personal objeto de tratamiento y revocar el consentimiento para ello. FUENTE: Technocio. »Privacidad de datos: un reto de las empresas» Technocio.com. 24/04/23. (https://technocio.com/privacidad-de-datos-un-reto-de-las-empresas/).
¿Qué es la gestión de riesgos de ciberseguridad?
Martín Sieburger, Socio Gerente de NetGuard SRL, reseller GOLD de WatchGuard en Argentina, habló con ITware sobre la situación actual de la ciberseguridad y cómo deben actuar las empresas para protegerse. ¿Qué es la gestión de riesgos de ciberseguridad? “Actualmente estamos en presencia de varios ataques, pero los más comunes que observamos son los de ransomware y los de suplantación de identidad”, comienza el directivo comentando a qué se enfrentan las empresas el día de hoy. Agrega que hay que separar a veces el tipo de ataque con la mecánica del mismo, y a que nos referimos con eso. “La mecánica del ataque es cómo se efectúa el mismo, y el tipo de ataque es el resultado que el hacker, desde ya hace varios años, realiza ataques muy direccionados para la obtención de un rédito directo”, sostiene el ejecutivo. Otras noticias: Los directivos siguen infravalorando el papel de la ciberseguridad en la empresa Señala que el ataque ransomware es aquel que logra acceder a los datos sensibles de la empresa dentro de su red y los encripta quitándole el acceso a los mismos a las empresas y solicitan un «rescate» por los datos. Mientras que la suplantación de identidad es aquel en el que el atacante se hace pasar por el usuario, utilizando sus claves y sistemas de validación para poder ingresar a sus portales de compra/venta, homebanking, tarjetas de crédito, y cualquier lugar donde pueda acceder a sus recursos financieros. La situación en Latinoamérica Para Sieburger la situación en Latinoamérica no dista mucho de la vivida en otras regiones, pero para poder entender la situación actual hay que hablar un poco de lo que ocurría anteriormente. Explica que uno de los puntos de entrada más efectivos para la realización de cualquier ataque son los correos falsos, que se hacen pasar por uno verídico, el cual solicita efectuar ciertas tareas de mantenimiento en su usuario, o les ofrecen un beneficio especial. “Hace varios meses, estos correos eran muy fácil de detectar, ya que los ataques estaban efectuados por personas que su lengua original no era el castellano, de esta forma se podía ver que estaba traducido por algún sistema y se podían detectar errores gramaticales, e incluso algunas veces eran enviados en un idioma distinto al que utilizan en el país de destino. Esto alertaba al usuario común para que descartara el correo inmediatamente”, detalla el directivo. ¿Qué es la gestión de riesgos de ciberseguridad? “La gestión de Riesgos de Ciberseguridad es un término que se está acuñando últimamente. Esto viene un poco de la mano de las compañías de seguros, las cuales están ofreciendo productos acorde a esta problemática. Las empresas pueden contratar un seguro contra ataques informáticos y aquí es donde la gestión entra en juego”, expone Sieburger. Las compañías de seguros, dependiendo del producto ofrecido, basan su prima en la gestión de riesgos de ciberseguridad que posea la empresa, agrega, y se pregunta: ¿y cómo se puede entender esto? “Si la empresa puede demostrar una correcta incorporación, implementación y gestión de sistemas de seguridad, tanto productos como procesos y capacitación a sus usuarios, estos costos pasan a ser menores, ya que los seguros pueden descansar un poco su riesgo en los sistemas y procesos implementados, los cuales disminuyen la posibilidad de recibir un ataque y, si en algún momento los atacan, gracias a estos sistemas la empresa posee una rápida recuperación de sus sistemas y operaciones”, declara el directivo. ¿Cómo hacer un análisis de riesgo de seguridad informática? Para efectuar un análisis de riesgo de seguridad informática, comparte el ejecutivo, es primordial entender que el mismo no es un análisis de gestión de los responsables, sino que simplemente es poder entender la situación actual de la compañía para poder tomar medidas acordes y fortalecer la seguridad. Así, es primordial poseer acceso a todo lo implementado, como así también a los procesos establecidos en materia de seguridad. Sumando el poder revisar que los mismos se estén efectuando y controlando, como así también la corroboración del resultado. Contenido de interés: Ciberseguridad: Computación cuántica bajo amenaza y por qué es hora de tomarlo en serio “Por ejemplo, es muy común que un proceso de backup, la única verificación que se lleve a cabo sea la revisión que se haya efectuado correctamente, pero nunca se verifica que los datos que se hayan respaldado sean los correctos”, alega Sieburger. Por otro lado, el directivo señala que en varios ataques de ransomware se ha detectado que los backups, todos se encontraban encriptados, porque este tipo de ataque hoy en día posee esa inteligencia que buscar cómo se efectúan los backups, y antes de guardarlos el ransomware los encripta. ¿Cuáles son las medidas básicas que debe de tomar una empresa para armar su infraestructura de ciberseguridad? La higiene cibernética y su implementación “Siempre me pareció muy simpático el término. La «Higiene Cibernética» son los pasos que los usuarios deben llevar a cabo al encontrarse online, para poder mejorar mediante su comportamiento la seguridad y mantener sistemas saludables”, comenta el directivo. También asegura que su implementación es un poco tediosa y complicada, ya que se debe hacer mediante implementación de sistemas de seguridad y asegurar el uso de los mismos, como así también reforzar los conocimientos de los usuarios mediante la capacitación constante de los usuarios, sumando sistemas o soporte a las consultas que surjan en el día a día de los usuarios. FUENTE: Rodríguez, Guillermo. »¿Qué es la gestión de riesgos de ciberseguridad?» America-retail.com. 21/04/23. (https://www.america-retail.com/ciberseguridad/que-es-la-gestion-de-riesgos-de-ciberseguridad/).
¿Qué significa la invalidación del Privacy Shield para las empresas que transfieren datos entre la UE y los EE.UU.?
En un mundo cada vez más globalizado, es común que las empresas transfieran datos de manera transfronteriza, ya sea para fines administrativos, subcontratación o computación en la nube, entre muchas más opciones. Sin embargo, la transferencia de datos se refiere al intercambio de información personal de un país a otro lo que nos lleva a la posibilidad de que genere riesgos para la privacidad y los derechos de los ciudadanos, por lo que es importante que las empresas cumplan con las normativas y leyes que regulan la transferencia internacional de información personal. Es ahí donde se comienzan a complicar las cosas, un claro ejemplo de esto es la UE y los EE.UU. Lea también: Bruselas espera aprobar en verano decisión para transferencia de datos a EE.UU. La relación entre la UE y los EE.UU. en materia de protección de datos ha sido un tema polémico durante algún tiempo. La UE tiene un enfoque basado en el principio de minimización de los datos, lo que significa que solo deben recogerse y tratarse los datos mínimos necesarios. En contraste, los EE.UU. tienen un enfoque más permisivo de la recopilación y el tratamiento de datos, con menos restricciones sobre el uso que se puede hacer de los datos personales. Formas alternativas de cumplimiento en la transferencia transatlántica de los datos Tras la invalidación del acuerdo Safe Harbor, la UE y Estados Unidos negociaron el Privacy Shield; como resultado, las empresas que transfirieran información personal entre la UE y los EE.UU. tendrían que encontrar formas alternativas de cumplir con el GDPR. Estas alternativas incluyen el uso de cláusulas contractuales tipo (SCC) o normas corporativas vinculantes (BCR). No obstante, una vez más la legislación americana se vería afectada con sentencia pues Mazimilian Schrems sometería otra denuncia (Schrems II) donde argumentaba que las SCC no protegían su información personal de la injerencia del Gobierno de EE.UU. Con dicha nueva denuncia, el TJUE también impuso una nueva sentencia con requisitos adicionales a las SCC, exigiendo a las empresas que realicen una evaluación exhaustiva de las leyes y prácticas de protección de datos del país receptor antes de confiar en ellas; sin embargo, el Privacy Shield fue decretado inválido. Con invalidación del Privacy Shield ha impulsado los esfuerzos para crear un nuevo acuerdo de transferencia entre la UE y Estados Unidos. Actualmente se está redactando y negociando un “Privacy Shield 2.0” y se espera que subsane las deficiencias del acuerdo anterior. Se prevé que el nuevo acuerdo incluya mecanismos de supervisión más sólidos, una mayor protección de los datos personales de los ciudadanos de la UE y requisitos más estrictos para las agencias de inteligencia estadounidenses que accedan a información personal. Con la Privacy Shield EE.UU. ha tenido que adoptar leyes de protección de datos más estrictas para alinearse con el RGPD. Durante los dos últimos años, la UE y EE.UU. han trabajado para establecer un nuevo marco para las transferencias entre la UE y EE.UU. FUENTE: Ojeda Anguiano, Samantha. »¿Qué significa la invalidación del Privacy Shield para las empresas que transfieren datos entre la UE y los EE.UU.?» Elderecho.com. 24/04/23. (https://elderecho.com/que-significa-la-invalidacion-del-privacy-shield-para-las-empresas-que-transfieren-datos-entre-la-ue-y-los-ee-uu).
Los límites que ChatGTP tiene frente a la protección de datos y la propiedad intelectual de las personas
Bastante se ha comentado sobre las virtudes del afamado ChatGPT, que ha maravillado a la comunidad internacional con un prototipo de chatbot de inteligencia artificial. Al mismo tiempo, y mientras la tecnología avanza, algunos gobiernos han puesto en duda los límites que esta invención tiene frente a la protección de datos personales y a la propiedad intelectual de las personas, toda vez que el sistema se nutre y procesa datos que finalmente son otorgados por los mismos usuarios y que muchas veces son datos personales o información sujeta a derechos de propiedad intelectual. En este contexto, llama la atención el reciente pronunciamiento de la agencia italiana de protección de datos que decidió bloquear el chatbot de OpenAI, señalando que el sistema no cuenta con un fundamento legal adecuado para recopilar información personal sobre las personas que lo usan, en concreto: “Con una base jurídica que justifique la recogida y la conservación masiva de datos personales”. Otras noticias: El regulador europeo de privacidad crea un grupo de trabajo sobre ChatGPT Todo esto, debemos entenderlo en el contexto del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que posee los estándares más altos de protección. La falta de fundamento legal que puso en jaque a ChatGPT en Italia y Europa Así, la agencia italiana nos pone en alerta sobre el incumplimiento del chatbot al no contar con el fundamento legal adecuado (básicamente, el consentimiento del titular de los datos), no verificar la edad de sus usuarios y no implementar de manera adecuada reglas que prohíban a los menores de 13 años el acceso al mismo. En efecto, bajo la lógica del RGPD, los menores de edad podrían verse eventualmente afectados por respuestas poco adecuadas para su edad. Además, no resulta menor considerar que el pasado mes de marzo hubo una filtración de los financieros de sus usuarios, lo que puso en jaque el deber de resguardo y seguridad de los datos personales requerido por la autoridad, lo que evidenció que ChatGPT no cumple con el estándar de licitud. En efecto, durante unas horas fue posible ver los datos personales de usuarios registrados en ChatGPT. Lo anterior pone a la IA en un dilema: Si bien puede otorgarnos grandes beneficios y aumentar nuestra calidad de vida, debemos considerar que estos datos, que finalmente alimentan el algoritmo, pueden verse afectados por filtraciones que expondrán nuestros datos personales y nuestra vida privada. Otras noticias: Estas son las 5 condiciones que Italia pone a OpenAI para levantar el veto a ChatGPT FUENTE: Olmedo, Fernanda. »Los límites que ChatGTP tiene frente a la protección de datos y la propiedad intelectual de las personas» Lexlatin.com. 19/04/2023. (https://lexlatin.com/opinion/chatgtp-proteccion-de-datos-personales-propiedad-intelectual).
Microsoft amplía su iniciativa de formación y competencias en ciberseguridad impulsando un talento más diverso e inclusivo
Microsoft Corp. ha anunciado una ampliación de su Iniciativa de Competencias en Ciberseguridad, con un foco especial en la capacitación de las mujeres para reducir la importante brecha de género que existe en este sector. De esta forma, son ya 28 los países, incluida España, en los que Microsoft ha puesto en marcha programas para ayudar a la población a acceder a formación para adquirir competencias en ciberseguridad y mejorar su empleabilidad, cubriendo el déficit de talento en este sector tan crítico. En los últimos años, los ataques perpetrados por ciberdelincuentes a medios de comunicación, empresas y gobiernos se han multiplicado. Según el Informe de Defensa Digital de 2022 de Microsoft, el volumen de ataques con contraseña ha aumentado hasta registrarse cerca de 921 ataques cada segundo –un aumento del 74% sólo en un año-. Los ciberataques suelen tener repercusiones devastadoras: el coste medio de un ataque cibernético alcanza los 4,3 millones de dólares. Según un estudio que Microsoft ha llevado a cabo en colaboración con la Organización para la Cooperación y el Desarrollo Económico (OCDE), la demanda de profesionales de la ciberseguridad ha aumentado significativamente en la última década y, sólo en el último año, ha crecido una media del 35% en todo el mundo. En junio de 2022, hubo hasta 16 veces más ofertas de empleo en ciberseguridad que en 2012, lo que supuso casi el doble de la velocidad de expansión registrada para todos los nuevos anuncios de empleo en el mismo periodo. Y, sin embargo, hoy en día, las mujeres representan sólo el 25% de los profesionales en esta área, lo que pone de manifiesto la grave escasez de competencias en un campo de rápido crecimiento. Otras noticias: Ciberseguridad para padres: conoce una herramienta clave para una navegación segura Formación impartida por organizaciones locales, la apuesta de Microsoft Microsoft está trabajando y creando alianzas con instituciones educativas y organizaciones sin ánimo de lucro de todo el mundo para lograr un impacto aún mayor de esta iniciativa. Como muestra de ello, la compañía ha anunciado hoy también nuevos acuerdos de colaboración con organizaciones centradas específicamente en capacitar a mujeres en ciberseguridad. Abordar las lagunas de diversidad entre los profesionales de TI y campos como el de la ciberseguridad, requiere de programas, como en el que está trabajando Microsoft, junto a organizaciones educativas, sin ánimo de lucro, gubernamentales y empresariales para desarrollar un programa de competencias en ciberseguridad que se adapte a las necesidades específicas de cada mercado. FUENTE: Microsoft Prensa. »Microsoft amplía su iniciativa de formación y competencias en ciberseguridad impulsando un talento más diverso e inclusivo» News.microsoft.com. 20/04/2023. (https://news.microsoft.com/es-es/2023/04/20/microsoft-amplia-su-iniciativa-de-formacion-y-competencias-en-ciberseguridad-impulsando-un-talento-mas-diverso-e-inclusivo/).
Los directivos siguen infravalorando el papel de la ciberseguridad en la empresa
El papel de la ciberseguridad sigue siendo infravalorado por los directivos de las empresas, según un nuevo estudio publicado por Trend Micro. Y aunque es verdad que el estudio refleja cómo la mayoría de las organizaciones planean aumentar sus presupuestos de ciberseguridad en 2023, también lo es que el documento concluye que existe una visión aislada y a menudo contradictoria del valor que aporta la ciberseguridad al negocio. En este sentido, el estudio Risk & Rewards revela que los directivos empresariales deben replantear su visión de la ciberseguridad y pensar más ampliamente en cómo puede influir positivamente en la empresa ya que tal y como ha declarado Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro Iberia »La ciberseguridad se ha convertido en un componente crítico tanto para generar nuevo negocio, como para atraer al mejor talento.» Así, aunque el 71% de los directivos responsables de la toma de decisiones encuestados en España cree que hay una fuerte conexión entre ciberseguridad y los riesgos del negocio (en comparación con el 64% a escala global) la mitad de estos consideran que siendo un coste necesario, no contribuye a mejorar los ingresos. Además, un 56% de los directivos de nuestro país, sostiene que el valor de la ciberseguridad se limita a la prevención de ataques/amenazas. Podría interesarle: La pesadilla de la ciberseguridad en Japón es un problema que impacta a los demás Contradicciones de los directivos ¿Más contradicciones? Que pese a todo lo anterior, el 81% de los directivos españoles se muestran preocupados por el hecho de que su falta de credenciales en este terreno, pueda afectar a su capacidad de generar nuevo negocio. Tanto es así que tres cuartas partes de los BDM (Business Development Manager) afirman que ya se les pregunta sobre la postura de seguridad en las negociaciones con clientes potenciales y proveedores y un 75% asegura que estas solicitudes de información son cada vez más frecuentes. Otro de los desafíos de la ciberseguridad está vinculado con la innovación. Así, el 73% de los directivos españoles declara que su organización necesita innovar más rápido para ser más competitiva. Pero no llega a la mitad (42% España) los que ven una estrecha relación entre ciberseguridad e innovación. Y eso a pesar de que el 57% cree que estos proyectos de transformación digital podrían acelerarse aún más, apostando por una ciberseguridad mejorada. Finalmente, ese estudio concluye que el 57% de las organizaciones considera que sus políticas de ciberseguridad crean silos de información y un 53%, que el nivel de su riesgo cibernético actual es como mínimo alto. Y lo que es peor, un 12% de los encuestados indica que no es capaz de cuantificar su nivel de riesgo actual. FUENTE: de Juana, Rodolfo. »Los directivos siguen infravalorando el papel de la ciberseguridad en la empresa» Muycomputerpro.com. 19/04/23. (https://www.muycomputerpro.com/2023/04/19/los-directivos-siguen-infravalorando-el-papel-de-la-ciberseguridad-en-la-empresa).
Jefe de ciberseguridad del gobierno británico alerta sobre la amenaza de China a Occidente
China representa un desafío «que define a una época» para los países de Occidente en el ciberespacio y usará su fortaleza tecnológica para lograr un papel dominante en asuntos globales, según alerta la responsable del Centro de Ciberseguridad Nacional del Reino Unido, Lindy Cameron. La responsable de la filial del GCHO -centro de escuchas del país- usará un discurso que dará en Belfast (Irlanda del Norte) esta semana para alertar al Reino Unido y sus aliados acerca del «dramático ascenso de China como superpotencia tecnológica». Lea también: Reino Unido multó a TikTok por infracciones a la ley de protección de datos Sus comentarios, que trasladará a la conferencia anual CyberUK, fueron publicados hoy por el periódico británico The Times en un momento en que Estados Unidos, Reino Unido y los países occidentales tratan de gestionar el creciente alcance económico y político de China ante las inquietudes sobre la amenaza que ese país representa a la seguridad. Las decisiones previas del gobierno británico dejan ver sus profundas reservas hacia China y las empresas de ese país Estos temores a China ya han provocado que el Gobierno británico prohibiera a sus ministros utilizar la aplicación TikTok -cuya propietaria es la compañía de internet china ByteDance- en sus teléfonos corporativos en el Parlamento de Westminster. «No podemos asegurar tecnología futura sin abordar el desafío que define a la época a la que nos enfrentamos: el ascenso dramático de China como superpotencia tecnológica», dijo Cameron, según el citado periódico. Según señaló esta responsable, China «ha identificado varias tecnologías existentes y emergentes como vitales para su seguridad nacional futura y tiene una aspiración de convertirse en líder mundial para fijar los estándares tecnológicos». «Debemos ser claros: China no solo está empujando por la paridad con los países occidentales, está aspirando a lograr la supremacía técnica. Usará su fortaleza tecnológica para lograr un papel dominante en asuntos globales», declaró en The Times. «¿Qué significa esto para la ciberseguridad? Que no podemos permitirnos no seguir el rito ya que, si no, nos arriesgamos a que China se convierta en el poder predominante en el ciberespacio», agregó Cameron. FUENTE: EFE. »Jefe de ciberseguridad británica alerta sobre la amenaza de China a Occidente» Swissinfo.ch. 18/04/23. (https://www.swissinfo.ch/spa/r-unido-china_jefe-de-ciberseguridad-brit%C3%A1nica-alerta-sobre-la-amenaza-de-china-a-occidente/48443216).
La pesadilla de la ciberseguridad en Japón es un problema que impacta a los demás
Kojima Industries Corp. es una empresa pequeña y poco conocida fuera de Japón, donde produce portavasos, tomas USB y bolsillos para puertas para el interior de los automóviles. Pero su modesto papel en la cadena de suministro automotriz es fundamental. Y cuando la empresa fue pirateada en febrero de 2022, detuvo toda la línea de producción de Toyota Motor Corp. El fabricante de automóviles más vendido del mundo tuvo que detener 14 fábricas a un costo de alrededor de $375 millones, según un cálculo aproximado de sus datos de ventas y producción. Incluso después de que terminó la crisis inicial, Kojima tardó meses en lograr que las operaciones se acercaran a sus viejas rutinas. La compañía es solo un nombre en la larga lista de víctimas cibernéticas recientes de Japón. Solo los ataques de ransomware se dispararon un 58 % el año pasado en comparación con el año anterior, según la Agencia Nacional de Policía, y los incidentes de piratería han expuesto deficiencias que van desde tiempos lentos de respuesta a incidentes hasta falta de transparencia. Japón y un contexto crítico en ciberseguridad Puede ser difícil encontrar datos comparativos sobre ciberataques. Pero Mihoko Matsubara, estratega jefe de seguridad cibernética de la empresa japonesa de telecomunicaciones NTT Corp., dice que la nación ha tenido momentos particularmente difíciles. “Junto con el creciente número de ataques de ransomware, Japón se vio afectado por los ataques de Emotet más que cualquier otro país en el primer trimestre del año pasado”, dijo, refiriéndose a un tipo de malware que a menudo se propaga a través de correos electrónicos de phishing. “Japón tuvo un año difícil para lidiar con más ataques cibernéticos en la industria, el gobierno y el sector de la salud”. Lea también: Principales predicciones de ciberseguridad para 2023-2024, según Gartner Pero mientras Japón tiene sus propios problemas particulares con los piratas informáticos, muchas de sus vulnerabilidades son compartidas por los EE. UU. y otras naciones tecnológicamente fuertes. Desde el ataque al oleoducto colonial en los EE. UU. hasta el hackeo de telecomunicaciones de Australia que expuso los datos personales de 10 millones de usuarios, los países ricos han sido sorprendidos repetidamente subestimando las duras realidades del ciberdelito. El ataque a Kojima, un ataque a toda la cadena de suministro El ataque a Kojima del 26 de febrero de 2022 fue lo que se conoce como un ataque a la cadena de suministro: los piratas informáticos penetraron en los sistemas de un socio comercial externo y los usaron para acceder a los servidores de archivos de Kojima. A las 9 p. m., cifraron los datos en algunos servidores y terminales de computadora, según un portavoz de Kojima. La brecha se detectó alrededor de las 11 p. m. Los piratas informáticos habían enviado una solicitud de rescate, pero los ingenieros de Kojima nunca respondieron a ningún tipo de comunicación con los piratas informáticos, dijo el vocero. Antes del amanecer, Kojima cerró los sistemas que utiliza para comunicarse con proveedores externos y al día siguiente, Toyota anunció que suspendería las operaciones en todas sus plantas nacionales. La infracción significó que subsidiarias como Daihatsu Motor Co. e Hino Motors Ltd. también tuvieron que detener la producción. Potencia de gama alta Los ataques a la cadena de suministro tienen un enorme potencial para perturbar la economía. Si bien gran parte de la fabricación y el ensamblaje ocurren en mercados de bajo costo, Japón es una potencia en la producción de un grupo selecto de productos de alta gama. Los productos como teléfonos, computadoras y cepillos de dientes eléctricos a menudo contienen partes japonesas. El país produce alrededor del 80 % de los productos químicos finos para la electrónica y domina el suministro mundial de fotorresistencia, un material sensible a la luz que se usa para fabricar chips semiconductores, según Ulrike Schaede, profesora de Negocios Japoneses en la Escuela de Política y Estrategia Globales de la Universidad de California, San Diego. Hacer que esas industrias sean vulnerables a los ataques cibernéticos tendría un impacto incalculable. Otras noticias: La brecha de competencias en ciberseguridad pone en riesgo a las empresas El año pasado, los fabricantes Fujimi, Denso, Nichirin y TB Kawashima experimentaron ataques cibernéticos en subsidiarias en el extranjero que poseen propiedad intelectual japonesa. Los fabricantes de ropa japoneses, los fabricantes de muebles, las compañías de tarjetas de crédito, las bibliotecas y un operador de servicios de redes sociales también se encontraban entre los objetivos de los piratas informáticos. Y en septiembre, el grupo de piratas informáticos prorruso Killnet derribó 20 sitios web del gobierno japonés en un ataque distribuido de denegación de servicio o DDoS. En respuesta, el gobierno japonés dijo que introduciría nuevas leyes para participar en operaciones cibernéticas ofensivas para “comenzar a monitorear a los atacantes potenciales y piratear sus sistemas tan pronto como se establezcan signos de un riesgo potencial”. FUENTE: Bloomber. »La pesadilla de la ciberseguridad en Japón es un problema que impacta a los demás» Larepublica.co. 17/04/23. (https://www.larepublica.co/globoeconomia/la-pesadilla-de-la-ciberseguridad-en-japon-es-un-problema-que-impacta-a-los-demas-3594705).
La creciente amenaza del hackeo a ChatGPT
La inteligencia artificial (IA) ha ido adquiriendo cada vez más protagonismo en el mundo digital, y con ello también han surgido nuevos riesgos. Uno de los ejemplos más recientes es el caso del hackeo a ChatGPT, un asistente virtual desarrollado por OpenAI. En el artículo «The Hacking of ChatGPT Is Just Getting Started«, se expone cómo este tipo de ataques podrían estar en sus primeras etapas, poniendo en evidencia la necesidad de reforzar la ciberseguridad en torno a estos sistemas. Crecimiento de los ataques cibernéticos Los sistemas de IA como ChatGPT, debido a su creciente importancia y funcionalidad, se han convertido en blancos cada vez más atractivos para los ciberdelincuentes. Estos atacantes han ido perfeccionando sus técnicas, aprovechando las vulnerabilidades inherentes en el diseño y la arquitectura de estas tecnologías para infiltrarse y causar daños. El incremento en la frecuencia y sofisticación de estos ataques genera preocupación en torno a la seguridad y confiabilidad de los sistemas de IA. Esto podría traducirse en una menor adopción de estas tecnologías por parte de empresas y usuarios, quienes temen por la protección de su información y la integridad de sus sistemas. Lea también: España ya se plantea prohibir ChatGPT por su impacto en la privacidad: Europa sigue el camino de Italia Alex Polyakov, un investigador de ciberseguridad, logró engañar al modelo ChatGPT para que generara contenido falso y desinformación. Este logro puso de manifiesto las posibles vulnerabilidades y riesgos que presenta ChatGPT en términos de seguridad y la propagación de información incorrecta o malintencionada (consiguió que emitiera declaraciones homofóbicas, creara correos electrónicos de phishing y apoyara la violencia). La hazaña de Polyakov fue un llamado de atención para la comunidad de inteligencia artificial, destacando la necesidad de abordar y mejorar la seguridad y la ética en el diseño y uso de estos sistemas avanzados. OpenAI ha actualizado sus sistemas para protegerse contra este tipo de jailbreak; por lo general, cuando se encuentra un jailbreak, generalmente solo funciona durante un breve período de tiempo hasta que se bloquea. Jailbreaking LLM y el ejemplo del hackeo a ChatGPT El término «jailbreaking» aplicado a los Modelos de Lenguaje de Aprendizaje Profundo (LLM) se refiere al proceso de manipular o alterar el funcionamiento de estos modelos de inteligencia artificial, generalmente para obtener resultados no deseados o no previstos por sus creadores. En el caso del artículo, se mencionan ejemplos de «jailbreaking» que incluyen la generación de contenido falso, desinformación y la revelación de información confidencial a través de ChatGPT. Desafíos en la ciberseguridad de la IA La protección de los sistemas de IA es un desafío en constante evolución, ya que los atacantes continuamente buscan nuevas formas de explotar las debilidades de estos sistemas. Esto requiere un enfoque proactivo y una inversión constante en investigación y desarrollo de soluciones de seguridad. Otras noticias: Estados Unidos y China regularán el uso de ChatGPT Para enfrentar estos desafíos, es esencial establecer una colaboración estrecha entre los desarrolladores de sistemas de IA y los expertos en ciberseguridad. De esta forma, se podrán identificar y abordar las vulnerabilidades desde las primeras etapas del diseño, reduciendo así los riesgos asociados a los ataques. El futuro de ChatGPT y la inteligencia artificial El hackeo de ChatGPT es un llamado de atención para la comunidad de IA y ciberseguridad. A medida que estos sistemas se vuelven más avanzados y su adopción se expande, también aumenta la necesidad de desarrollar soluciones de seguridad innovadoras y efectivas para protegerlos. El crecimiento de los ataques a sistemas de IA como ChatGPT obliga a reflexionar sobre la ética y la responsabilidad en el desarrollo y uso de estas tecnologías. Es fundamental que tanto los creadores como los usuarios de la IA sean conscientes de los riesgos y se comprometan a tomar medidas para garantizar la protección y el uso ético de estos sistemas. FUENTE: Polo, Juan Diego. »LA CRECIENTE AMENAZA DEL HACKEO A CHATGPT» Whatsnew.com. 17/04/2023. (https://wwwhatsnew.com/2023/04/17/la-creciente-amenaza-del-hackeo-a-chatgpt/).
