Protección de Datos – Guía sobre los derechos de los pacientes: ¿puede acceder cualquier persona a mi historia clínica?
La Agencia Española de Protección de Datos (AEPD) ha editado una guía para aclarar cuáles son los derechos que tienen los usuarios de la sanidad en relación con la protección de sus datos personales, recogidos generalmente en las «historias clínicas». Lo hace porque los datos personales relacionados con la salud están considerados por la legislación como «datos sensibles especialmente protegidos» y porque los usuarios de la sanidad tienen muchas dudas sobre quién es el propietario de esa «historia» o su tratamiento. La información personal incluida en las bases de datos sanitarias es de dos tipos; por un lado la que identifica a la persona (nombre, DNI, teléfono o dirección) y por otro toda la información sobre su estado de salud (cirugías, medicamentos o antecedentes familiares). Para aclarar las dudas más frecuentes que los ciudadanos suelen tener sobre el uso de esos datos por parte de los centros o los profesionales sanitarios, la AEPD ha editado esta guía para los usuarios y un decálogo de medidas orientado al personal sanitario y administrativo. «¿Puede acceder cualquier persona a mi historia clínica?«: la respuesta es que no; y el responsable (normalmente el médico) o el encargado del tratamiento (como los que realizan análisis de sangre u otras pruebas diagnósticas) deben tomar medidas para que quienes acceden a esos datos sólo puedan tratarlos siguiendo sus instrucciones. Que un profesional sanitario o administrativo acceda a una historia clínica sólo por curiosidad, o para facilitar información de ese paciente a un conocido «no es lícito», advierte la guía. Contesta además esta publicación a muchas de las preguntas más frecuentes que se suelen hacer los usuarios y los pacientes, y entre éstas contesta que los datos de salud sí se pueden ceder a otras entidades diferentes de las que las han recogido y tratado, pero siempre que esa cesión sea «legítima». Y cita por ejemplo la posibilidad de ceder esos datos cuando un paciente ha acudido a un centro privado y el médico facilita a la compañía aseguradora la información para que ésta abone la prestación sanitaria. No se puede, por ejemplo, informar al «empleador» sobre los datos de salud de sus empleados cuando acuden a una revisión de prevención de riesgos laborales, y sólo es necesario informar si el trabajador es apto o no para el trabajo, pero no sobre los resultados de ninguna prueba médica. ¿Se puede facilitar información del estado de salud de un paciente telefónicamente? Una de las preguntas más frecuentes que se suelen hacer los usuarios de la sanidad es si se puede facilitar información telefónicamente sobre su estado de salud o sobre el resultado de unas pruebas que se han realizado; la respuesta es «depende» ya que sólo puede hacerse si se tiene la seguridad (con el DNI, con el número de teléfono, con el número de tarjeta sanitaria o algún otro dato) de que quien pide la información es el titular de la misma. Cámaras de video-vigilancia Puede haber cámaras de video-vigilancia en los hospitales y centros de salud para garantizar la seguridad de las instalaciones y de las personas, pero se debe informar de la presencia de esas cámaras, y normalmente estarán en lugares de acceso, pasillos o corredores, pero no en consultas. Informar sobre un ingreso La guía aclara también si un centro hospitalario puede informar sobre un ingreso, y determina que «no», que se debe pedir siempre consentimiento al paciente o a sus familiares -si no está capacitado- para dar esa información, e incide además en que es muy importante que esa información se facilite de una forma destacada para que el paciente comprenda las consecuencias prácticas «para evitar situaciones conflictivas». Copias de las historias clínicas Los pacientes pueden solicitar siempre una copia de sus historias clínicas; no tienen por qué pagar por ellas, salvo que pidan más de una o esa petición sea reiterada; y pueden solicitar la rectificación o supresión de datos en esas historias, aunque en este caso es el médico o la administración sanitaria quien toma la decisión final, ya que en algunos casos esos datos pueden ser útiles para estudios epidemiológicos, con fines científicos o con fines judiciales. Decálogo para profesionales El decálogo dirigido a los profesionales recopila los diez consejos esenciales que deben atender, entre ellos evitar dar explicaciones sobre sus pacientes a terceros; no tirar documentos a la papelera; no dejar historias clínicas a la vista y sin supervisión; y cerrar siempre la sesión en el ordenador al salir del despacho o la consulta. Fuente: https://www.20minutos.es/noticia/4055450/0/guia-derechos-pacientes-historia-clinica/
Ciberseguridad – Los costos de no invertir en ciberseguridad
Las crisis en las compañías suelen asociarse a las ventas, la competencia, el endeudamiento o las políticas gubernamentales. Sin embargo, rara vez se lista al cibercrimen entre los enemigos que, aunque silenciosos, pueden acabar en cuestión de segundos con cualquier estructura organizacional, sin importar su tamaño ni prestigio. Aunque el Estado ha hecho un esfuerzo por regular las prácticas asociadas a la protección de datos, el desconocimiento de esta normativa (compliance) por parte de las organizaciones y la falta de un plan de ciberseguridad al interior de las mismas las ha hecho cada vez más vulnerables ante los ciberdelincuentes. Solo en el 2019 se han registrado cerca de 30 mil denuncias por delitos cibernéticos en Colombia, la mayoría de ellos logrados a través de ingeniería social. Juanita Rodríguez, vicerrectora de Innovación de la Universidad EAN, y el coronel (RA) Fredy Bautista, exdirector del Centro Cibernético de la Policía Nacional, hablan de por qué es imperdonable no invertir en ciberseguridad, no uno ni dos días, sino permanentemente. Se habla mucho de ciberseguridad últimamente, pero, ¿es un tema reciente? Juanita Rodríguez (JR) No, de hecho, es un tema que debería estar maduro en el país. Desde que nos empezamos a conectar a internet, debimos ser cuidadosos en el desarrollo de sistemas seguros. Coronel (RA) Fredy Bautista (CFB) No, esto surge desde el momento en que las compañías comenzaron a apropiar las tecnologías. Lo que sí ha cambiado son los métodos de ciberataque; hay una tendencia a monetizar el robo de datos. Las bases de datos, la propiedad intelectual y los secretos de las empresas se convirtieron en un objetivo para los cibercriminales. ¿Cómo está Colombia en esta materia? JR: Siempre ha estado a la vanguardia, muy jalonada por la OEA, que ha manejado este tema en Latinoamérica; muchas de las cosas que están pasando en ciberseguridad se probaron primero en nuestro país. Nosotros sacamos la primera estrategia nacional en el 2011, que fue ampliada en el 2016 por recomendaciones de la Ocde. CFB: Los estudios de ciberataques sitúan a Colombia en un tercer lugar, pero esta cifra obedece más al nivel de penetración de internet y al volumen de equipos conectados, pues en Latinoamérica nos supera Brasil y México, que tienen mayor infraestructura tecnológica, además de una población más numerosa. Pero, si hablamos de estrategia en ciberseguridad, desde el 2011 Colombia cuenta con una política de ciberdefensa, que luego fue de seguridad digital. ¿Las organizaciones son conscientes de la necesidad de la ciberseguridad? JR: El sector privado se ha quedado atrás en entender que este es un tema de múltiples partes y que todas tienen que poner su granito de arena. Hoy, la amenaza va más rápido que la capacidad de las empresas para responder a los ciberataques. CFB: No como uno quisiera. El nivel de conciencia suele ser proporcional al tamaño de la organización; grupos empresariales fuertes tienen departamentos con un nivel avanzado para gestionar un incidente, pero no ocurre lo mismo con empresas medianas y pequeñas, que piensan en ciberseguridad cuando el ciberataque está encima. ¿Cuáles son las consecuencias de ignorar este tema? JR: La afectación es de tipo económico, definitivamente. No atender al tema de la ciberseguridad es como dejar abierta la puerta de la bóveda del banco. CFB: Un ciberataque puede acabar con el buen nombre de una empresa y afectar el relacionamiento con sus clientes, proveedores y stakeholders. También puede frenar la cadena productiva y, legalmente, puede generar responsabilidades por los delitos que cometan las juntas directivas y empleados. ¿Cuáles son los errores más comunes? JR: El eslabón más débil siempre es el usuario final. Hay empresas en las que todos sus temas son confidenciales, pero sus empleados llegan al aeropuerto y se conectan desde su celular al wifi del lugar, poniendo en riesgo sus datos, los de la organización y los de sus clientes. Tampoco nos fijamos en lo que abrimos desde los computadores de nuestras organizaciones. Cuando bajamos una aplicación no solemos leer los términos y condiciones, solo le ponemos a todo ‘acepto’. CFB: Adquieren tecnologías sin saber sus riesgos y no generan procesos de formación para sus empleados. A veces, tampoco tienen políticas claras sobre la utilización de correos corporativos, ni sobre el uso de aplicaciones y servicios en los cuales se está exponiendo información que luego le permite al criminal ingresar a la organización. Entonces, se necesitan más profesionales en este campo… JR: Así es. Se dice que estas áreas tienen alta remuneración y 100 % de empleabilidad porque se necesita más gente especializada. CFB: ¡Totalmente! Hay estudios que señalan que para el 2021 el cibercrimen va a triplicar el número de plazas disponibles en materia de ciberseguridad. O sea, por cada persona encargada de la ciberseguridad habrá tres criminales. ¿Hay una oferta académica en el país para capacitar en este tema? JR: Sí, precisamente, en la Universidad EAN le apostamos a ser un referente en temas de ciberseguridad y queremos entregarle a la industria los perfiles que realmente se requieren para enfrentar las amenazas. CFB: ¡Claro! Colombia le apunta, como lo vienen haciendo Reino Unido, Francia, Singapur o Estados Unidos, a darle una mayor visibilidad a la ciberseguridad como una profesión y a fortalecer el talento humano. ¿Cuál es la importancia del Diplomado en Ciberseguridad y Compliance que empezará a ofrecer la Universidad EAN? JR: Este programa, que lanzaremos el próximo 5 de diciembre, es único en Latinoamérica; solo hay dos en el mundo que abordan estos dos importantes temas. Vamos a contar con los más ‘duros’: el Coronel Fredy Bautista, como líder de este diplomado; el español José Ramón Agustina, experto en ciberseguridad y compliance, y un equipo de técnicos muy capacitado. CFB: Este programa permitirá conocer las tipologías, técnicas y métodos que tienen los autores de un ciberataque, así como las amenazas que enfrentan las organizaciones en el entorno digital. Será una oportunidad para generar conciencia sobre la importancia de involucrar a las distintas áreas de las organizaciones en la responsabilidad de la gestión de los riesgos digitales. Fuente: https://www.portafolio.co/tendencias/los-costos-de-no-invertir-en-ciberseguridad-536182
Ciberseguridad – El cibercrimen no descansa, estas son las proyecciones para el 2020
Engaños por correo electrónico, descargas de software pirata y publicidad invasiva con códigos maliciosos son algunas de las principales modalidades de ataques cibernéticos que vivió América Latina en el 2019. Según un informe sobre las tendencias de ciberataques para la región, en el periodo entre noviembre de 2018 y hasta la fecha, se registraron 97 millones de ataques de phishing, una de las amenazas más conocidas que consiste en engañar visualmente (con premios, historias, regalos o citaciones importantes) a un usuario para que entregue sus credenciales de acceso a sus cuentas. Los atacantes no se sientan a generar ‘malware’ porque no tengan nada más que hacer, si no porque lo ven como un posible negocio Las cifras del reporte de la firma de ciberseguridad Kaspersky también revelan más de 1.300 millones de ataques de malware (software malicioso), que representan un aumento del 13 por ciento frente a la medición anterior. Según el analista Roberto Martínez, analista de ciberseguridad en Kaspersky, el motivo de estos ataques es la oportunidad del lucro. “Los atacantes no se sientan a generar malware porque no tengan nada más que hacer, si no porque lo ven como un posible negocio”. En ese sentido, cree que la falta de cultura de ciberseguridad en las poblaciones hace que aumenten los riesgos. Entre más personas caigan en el falso correo del banco que le pide sus credenciales, más ‘campañas’ se van a seguir presentando. Roberto Martínez, analista de ciberseguridad en Kaspersky, expuso en rueda de prensa las cifras del reciente estudio y pronósticos de seguridad digital de la firma Foto: Tecnosfera Martínez también aseguró que “Colombia es uno de los tres mercados latinoamericanos más atractivos para los cibercriminales”. Al día, se presentan unos 28.835 ataques de phishing en el país. Pero los ataques no son algo exclusivo de los computadores y los bancos. Ataques a proveedores de servicios, como aplicaciones para contaduría o para mantenimiento, y malware que ataque a los dispositivos móviles también son pan de cada día. En América Latina, según el reporte, ocurren unos 6,4 ataques de malware móvil por segundo. En el caso colombiano, diariamente se ven unos 566 ataques de esa modalidad. Según los expertos aumentar los conocimientos sobre buenas prácticas funciona como la primera línea de defensa. Pero costumbres como descargar la copia pirata (instalar un cracker) o no actualizar los sistemas son aún tema cultural en la región que no se supera. Manipulación vía redes sociales, ransomware, Sim swapping y robo de credenciales, las #predicciones2020 de @KasperskyLatino sobre la ciberseguridad en América Latina. Abrimos hilo: pic.twitter.com/wV72RzXvW2 — Tecnósfera (@TecnosferaET) November 19, 2019 Tendencias 2020 Pero los picos de ataques no solo coinciden con las fechas de alto comercio, como los mundiales, las vacaciones, las fiestas o las jornadas de descuentos, para 2020 Kaspersky espera que la llegada del 14 de enero y el fin del soporte a sistemas operativos Windows 7 deje a miles de usuarios vulnerables de la noche a la mañana. Aunque cada vez más personas y empresas actualizan su sistema a Windows 10, la firma de ciberseguridad calcula que cerca de un 28.5 por ciento de los usuarios en la región utilizan Windows 7 diariamente. En el caso colombiano, se estima que ese porcentaje es de 32,5 por ciento. Colombia es uno de los tres mercados latinoamericanos más atractivos para los cibercriminales Entre las 10 predicciones, la firma pronosticó, basada en los datos de este año, que para 2020 se verán más esfuerzos la manipulación de la opinión pública vía redes sociales para la propagación de campañas con fines de desinformación, que podrían derivar en prácticas de ciberseguridad poco adecuadas. Por otro lado, el robo de contraseñas y datos relacionados con plataformas de entretenimiento, como Netflix, Spotify, y ahora Disney+, irá en alza. Solo una semana después del lanzamiento, analistas reportaron la venta de accesos de cuentas de la plataforma de streaming de Disney a 1 dólar en la Dark web. Sobre la expansión del SIM swapping, el experto recordó que la clonación de líneas telefónicas permite realizar actividades ilícitas. Tras suplantar a la víctima ante el operador y bloquear la SIM original, el atacante busca tomar control de la línea y acceder a otras cuentas del usuario usando el doble factor de autenticación. REDACCIÓN TECNÓSFERA @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/dispositivos/cifras-de-ciberataques-de-2019-y-tendencias-para-el-2020-435508
Protección de Datos – ¡Tenga cuidado! Así podrían estar espiándolo a través de su Smart TV
El Federal Bureau of Investigation (FBI) publicó un informe que explica el peligro al que pueden estar expuestos todos los que posean en sus hogares un Smart TV. El escrito detalla cómo los hackers pueden acceder a su red doméstica y grabarlo utilizando los micrófonos y cámaras que su televisor trae incorporados. También, el hacker podría infiltrarse en su red local de internet y robar sus datos personales, cambiar sus contraseñas y hasta cambiar los canales de su televisor cuando los niños lo utilizan, resultando en que los menores de edad terminen consumiendo contenido para adultos. “Más allá del riesgo de que el fabricante de su televisor y los desarrolladores de aplicaciones puedan estar escuchándolo y mirándolo, ese dispositivo también puede ser una puerta de entrada para que los hackers ingresen a su hogar”, escribió un portavoz del FBI de Portland, Oregon, en el sitio web de la oficina. “Las Smart TV se llaman de esa forma porque se conectan a internet. Esto permite acceder a aplicaciones y servicios de streaming. También, muchas de ellas están equipadas con micrófono y cámaras”, detalla el informe. Pueden encender la cámara y el micrófono del televisor de su habitación y acosarlo en silencio Lejos de ser espiado para robo de datos por parte de los desarrollares de aplicaciones, uno de los peores riesgos a los que uno está expuesto es estar bajo la mira de cibercriminales. “Los hackers pueden tomar el control de tu TV sin seguridad. En el mejor de los casos, llegan a cambiar los canales, alterar el volumen o mostrar vídeos inapropiados a menores de edad; sin embargo, en el peor de los casos, pueden encender la cámara y el micrófono del televisor de su habitación y acosarlo en silencio”, advierte el texto. La agencia destacó que todos los usuarios de televisores inteligentes, en cualquier país del mundo, pueden ser víctimas de estos ataques cibernéticos. Por lo que el FBI instó a la población a extremar precauciones respecto a esta situación, e hizo algunas recomendaciones, tales como instalar actualizaciones de seguridad y personalizar las opciones de privacidad, así como cambiar las contraseñas frecuentemente. Tenga en cuenta las siguientes recomendaciones “Sepa exactamente qué características tiene su televisor y cómo controlarlas. Haga una búsqueda básica en Internet con su número de modelo y las palabras ‘micrófono’, ‘cámara’ y ‘privacidad’. No dependa de la configuración de seguridad predeterminada«, señala. Y continúa: «Cambie las contraseñas si puede, y sepa cómo apagar los micrófonos, las cámaras y la recopilación de información personal si es posible. Si no puede desactivarlos, considere si está dispuesto a correr el riesgo de comprar ese modelo o utilizar ese servicio. Si no puede apagar una cámara, pero desea hacerlo, un simple trozo de cinta negra sobre el ojo de la cámara es una opción de regreso a lo básico. Verifique la capacidad del fabricante para actualizar su dispositivo con parches de seguridad”, apunta como medidas de precaución el comunicado. EL NUEVO DÍA – (GDA) Fuente: https://www.eltiempo.com/tecnosfera/dispositivos/asi-lo-pueden-espiar-o-hackear-a-traves-de-su-televisor-inteligente-440780
Protección de Datos – Vender nuestros datos, ¿la solución al problema de la privacidad en Internet?
El modelo de negocio de empresas como Facebook o Google se basa en tener la mayor cantidad de datos personales de los usuarios, para poder venderlos posteriormente. Nefasto para la privacidad, pero toda una realidad en la actualidad, ante la que se busca luchar. La última propuesta llega por parte de Andrew Yang, candidato del partido demócrata para las presidenciales. En un post en su blog ha desvelado sus planes sobre la industria de la tecnología. Entre sus propuestas, está que hagamos de nuestros datos nuestra propiedad, como forma de mejorar la privacidad. Un plan similar al que Merkel proponía recientemente. Sería un cambio notable respecto a la situación actual, donde son las empresas las dueñas de nuestros datos. Esto daría más control y poder a los propios usuarios y así decidir qué pasa con sus datos personales. Evitando situaciones como la que Amazon busca con Alexa. Ser dueños de nuestros datos Estos planes se revelaron en octubre, pero ahora se ha profundizado más en los mismos. Las empresas tienen una enorme cantidad de datos de los usuarios, cuyo valor es enorme. Nuestros datos valen más que el petróleo, dice Yang en su blog. Además, cada día se crean enormes cantidades de datos. Tomar medidas para mejorar la transparencia sobre la recolección de datos y el proceso de monetización es esencial. Las personas podrán de esta manera reclamar lo que es suyo y poder mejorar la privacidad, protegiendo los datos que son suyos. Según dice Yang, nuestros datos se han convertido en una industria, que solo en Estados Unidos tiene un valor de 198.000 millones de dólares. Este plan puede ser una revolución en este sentido, buscando proteger la privacidad de los usuarios, además de darles más poder sobre lo que ocurre con dichos datos personales. Poder elegir qué quieren vender o si no desean vender estos datos. ¿Es viable un plan así? El plan de Andrew Yang incluye otros puntos como una agencia que busque minimizar el impacto de tecnología en personas, especialmente niños. Regulaciones e impuestos para anuncios online, además de una regulación de los algoritmos que se encargan de expandir bulos o rumores. Se trata de un plan ambicioso, pero poco realista según las primeras críticas. Es cierto que son necesarios cambios en el mundo de la tecnología y nuevas regulaciones, sobre todo en el campo de la privacidad. La duda es si es algo que se va a alcanzar o no mediante planes como este. Estados Unidos lleva meses con debates sobre este tema, tras polémicas como la de Facebook, multada este mismo año. Un plan es necesario, puede que algunas de estas propuestas se acaben haciendo realidad. Fuente: https://www.elespanol.com/omicrono/tecnologia/20191115/vender-datos-solucion-problema-privacidad-internet/444705911_0.html
Ciberseguridad – Alerta por hackeo a entidades
En el sexto día de protestas sociales, las manifestaciones en contra de las políticas gubernamentales ha escalado al mundo de la web. Aunque a diferencia de protestas anteriores, está se ha caracterizado por la publicación y viralización de contenidos. En las recientes horas varias cuentas de entidades, incluso del Estado, han estado en el ojo de los hackers. Una de estas fue la cuenta oficial de la Corte Suprema de Justicia, desde la que se escribieron varios trinos en los que se atacó al presidente Iván Duque. Algunos de estos, amenzantes. Posteriormente, la cuenta oficial del Aeropuerto el Dorado que cuenta con más de 92.000 seguidores presentó un trino en el que supuestamente negaba el ingreso del mandatario a sus instalaciones por “corrupto”. El hackeo es una práctica de cibercrimen que se ejecuta por diferentes modalidades. Por ejemplo, Phishing, es decir un contenido falso al que un usuario da clic e inmediatamente se ejecuta un software dando acceso a toda la información del dispositivo. Por su parte, el Ministerio de las Telecomunicaciones (Mintic) prendió las alarmas y pidió a los funcionarios no abrir ningún tipo de enlace que pueda generar sospechas dando acceso a los ciberdelincuentes. FISCALÍA TRAS LOS HACKER DE ESTAS CUENTAS Fuentes de la Fiscalía indican que un equipo especializado contra delitos informáticos fue designado para investigar quiénes son los responsables del hackeo a las cunetas oficiales de Twitter del Consejo Superior de la Judicatura y el Aeropuerto El Dorado. En Las dos cuentas de redes sociales aparecieron mensajes con amenazas al presidente de la República Iván Duque. La autoridades solicitaron a las entidades del Estado reforzar la seguridad de sus cuentas oficiales porque información de inteligencia indica que podrían ser hackeadas en las próximas horas. Fuente: https://caracol.com.co/radio/2019/11/26/nacional/1574807370_011764.html
Ciberseguridad – Un peligroso troyano suplanta las ‘apps’ de siete bancos españoles en Android
Un usuario de Android abre su aplicación del banco. Si el malware Ginp se ha colado en su móvil, detectará ese movimiento y sobrepondrá una pantalla calcada a la del banco por encima de la app legítima, pero obviamente con una finalidad distinta. Primero pedirá las credenciales para acceder y después la tarjeta, con su fecha de caducidad y el número CVV. El usuario creerá que está usando la app del banco, pero estará dando sus datos a los ladrones. El ataque es sorprendentemente sofisticado para lo que es habitual en bancos españoles. «La página falsa del phishing es prácticamente idéntica a la original. Alguien se ha tomado su tiempo en copiarla tal cual», explica Santiago Palomares, analista de malware en Threatfabric, start-up holandesa especializada en troyanos bancarios que ha analizado el código de Ginp. Dos ejemplos de pantallas falsas de Ginp que calcan la app del Santander. THREATFABRIC Tanto esmero en la copia de la página es raro en móviles Android y excepcional en malware dirigido a bancos españoles: «Ningún otro malware para empresas españolas se parecía tanto al banco legítimo. Lo más habitual era crear una página estándar y cambiar solo logo y color. Pero Ginp no: emula incluso una página de carga específica que tiene por ejemplo Bankia, incluso con los tiempos de carga de esas aplicaciones», añade Palomares. Los siete bancos afectados son Caixabank, Bankinter, Bankia, BBVA, EVO Banco, Kutxabank y Santander. Los actores maliciosos tienen dos vías para robar: uno, usar la tarjeta. Dos, hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. «Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio», dice Palomares. ¿Cómo detectar que un móvil está infectado? Cuando se lanza la app del banco, el efecto de la aparición de la pantalla maliciosa es similar a cuando se pasa de una aplicación a otra en móviles Android. «Si miras entonces en la lista de apps que tienes abiertas ves una sin nombre como la más reciente, abierta después de la del banco», explica Palomares. Este tipo de ataque se llama overlay. Consiste en ponerse encima de la app bancaria mediante un permiso de Android. Google ha hecho que cada vez sea más difícil de lograr, pero sigue ocurriendo. New #Ginp Android banking Trojan distribution SMS: "The new Android 10: hxxps://bit.ly/#######". The downloaded Trojan has application name "Android 10 Updater".IoC: 0xEFA2911CD1BD8ECE8320D9FAE9F98C26 pic.twitter.com/xVx3rdMBbm — Tatyana Shishkova (@sh1shk0va) October 23, 2019 La otra gran pregunta es cómo se ha colado ese código malicioso en el teléfono del usuario. Hay dos caminos básicos. Primero, a través de un link. En el caso de Ginp, la oleada principal ha sido a través de spam con un enlace por SMS. El troyano secuestra luego la lista de contactos y reenvía el enlace a otros usuarios. Una investigadora de Kaspersky, que fue la primera que publicó la existencia de Ginp, puso un ejemplo de uno de esos SMS, con una supuesta actualización de Android 10. Otro modo en que este troyano se distribuye es con anuncios en web en los que salta un pop up que pide instalar «Adobe Flash Player» en el móvil. Hace años que Flash no se usa en móviles, pero es un reducto de la web que se ha quedado en nuestra memoria y es eficaz como anzuelo. Y obviamente en lugar del Flash hay código malicioso. Otro peligro habitual que no parece haberse dado en este caso es mediante una aplicación troyanizada en Google Play. Pueden ser linternas, horóscopos, utilidades de batería o de limpieza de teléfono. Una vez está dentro, la app tiene instrucciones de borrar su icono, de esconderse y no aparecer con un logo. Pero sigue ejecutándose a la espera de que el usuario inicie una aplicación del banco. El motivo de la elección de España como foco no está claro. La penetración de apps bancarias en España es alta y cada vez los bancos animan a sus clientes a emplearlas. «Es cierto que quizá hay más mercado», dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica Digital. «Porque no depende de lo bien o lo mal que lo hagan los bancos en ciberseguridad», añade. El objetivo español no conlleva que los creadores del troyano sean también españoles o conozcan la lengua. Hay de hecho algunas erratas en las capturas de pantalla que proporciona Threatfabric. «Tiene pinta de que no son españoles. Hay cosas en su servidor que están en ruso. No suelen ser aislados», dice Palomares. Ginp ha tenido cinco versiones en los últimos cinco meses. Esta nueva versión fue creada en junio de 2019 y ha ido evolucionando. Primero trataba de robar tarjetas sobreponiéndose a aplicaciones más habituales: Facebook, WhatsApp, Chrome, Skype y otras. En su tercera actualización pasó a centrarse en bancos españoles. También ha reutilizado elementos de Anubis, un célebre troyano bancario cuyo código fue filtrado este mismo año. «El malware bancario para Android más popular de los últimos tres años es Anubis, y fue recientemente filtrado después de que arrestaran a su creador. Es unos de los más sofisticados y Ginp ha cogido algunas de sus funciones y las ha introducido en su código. No ha incluido todas, y se espera que poco a poco introduzcan más», explica Palomares. Es probable, por tanto, que Ginp siga evolucionando. Fuente: https://elpais.com/tecnologia/2019/11/22/actualidad/1574435744_271497.html
Protección de Datos – Cuando la contraseña eres tú
CaixaBank apuesta por el reconocimiento facial de sus clientes para sacar dinero en los cajeros. Un sistema pionero en el mundo que demuestra las posibilidades que ofrece la biometría Los límites de la digitalización parecen infinitos. La biometría es un ejemplo: esta tecnología consiste en la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos de una persona para verificar su identidad. De esta manera, se garantizan unos niveles de autenticación inexpugnables y su fiabilidad es muy superior a los sistemas tradicionales, porque las características biométricas de una persona son intransferibles y únicas. Aunque suene a ciencia ficción y a un futuro todavía lejano, el uso de la biometría ya es una realidad. Las previsiones apuntan a que, en los próximos cinco años, este sistema de reconocimiento crecerá un 2500% gracias, entre otras cosas, a las decenas de apps que se desarrollarán en los smartphones. De hecho, el 80% de estos dispositivos permitirán un acceso biométrico, lo que demuestra hasta qué punto esta tecnología estará presente en nuestras vidas a medio plazo. Además de en el ámbito tecnológico, la biometría se puede aplicar en multitud de sectores: salud, automoción, aeropuertos, diseños de interiores… En cualquier lugar donde hasta ahora se podía utilizar una tarjeta, una llave, una contraseña, un PIN… ahí entra en escena la biometría. Porque para poder acceder al coche o entrar en una vivienda, ya no será necesario tener la llave a mano. Será la misma persona la que se convierta en su propia llave. Bastará con estar ahí para activar el servicio. De alguna manera, gracias a la biometría, ahora la llave eres tú. La banca y las finanzas tampoco son ajenas a esta revolución. Un ejemplo es CaixaBank, el primer banco del mundo que utiliza el reconocimiento facial en sus cajeros para sacar dinero. Un estudio realizado con clientes de la entidad demuestra una alta aceptación de la seguridad, rapidez y comodidad del reconocimiento facial: el 70% de los usuarios estarían dispuestos a utilizarla como sustituto de su PIN. La necesidad de recordar este código numérico en los cajeros es uno de los puntos de mejora que los clientes suelen señalar al referirse a las principales dificultades que tienen al usar la banca digital. De ahí que CaixaBank haya apostado por la tecnología biométrica como una alternativa cómoda y segura al PIN. La combinación entre una cámara de alta definición con algoritmos sofisticados que reconocen el rostro del cliente y la prueba de vida a través del movimiento dan un nivel de seguridad suficiente para evitar errores. Una fórmula que ayuda a garantizar la seguridad financiera de los clientes. Este sistema adoptado por la entidad financiera en los cajeros de algunas de sus oficinas Store de Barcelona y Valencia es totalmente pionero a nivel mundial. El usuario puede sacar dinero del cajero simplemente a través de la imagen de su cara que capta la cámara del terminal. Este dispone del hardware y el software necesario para validar hasta 16.000 puntos de la figura del rostro del cliente, lo que garantiza una identificación totalmente segura. En cualquier caso, el usuario podrá elegir cómo operar en el cajero, ya que la identificación mediante reconocimiento facial coexistirá con el acceso con PIN. No es la primera vez que CaixaBank apuesta por la biometría. Ya en 2017, se convirtió en el primer banco de España en incorporar la identificación por Face ID en el iPhone X, entonces recién llegado al mercado. Este servicio permite a los clientes acceder a sus cuentas mediante reconocimiento facial a través de su terminal móvil y sin introducir otros datos de acceso, como el DNI, número de identificación de usuario y contraseña. Asimismo, CaixaBank también está trabajando en la aplicación del reconocimiento facial para pagos en establecimientos comerciales. Por ejemplo, en colaboración con Nestlé Market y el equipo de I+D del Payment Innovation Hub, ha sido la primera entidad financiera en España en experimentar cómo adaptar este sistema a una tienda de alimentación, de forma que los clientes pagan simplemente con una fotografía suya tomada en la caja en el momento del pago. No es necesario introducir PIN, ni tampoco sacar la cartera, buscar las tarjetas o usar el móvil. Basta un selfie para pagar la compra. Fuente: https://elpais.com/tecnologia/2019/11/18/actualidad/1574082376_720913.html
Protección de Datos – Un nuevo fallo deja al descubierto datos de centenares de usuarios de Facebook y Twitter
Un error de código permitió a desarrolladores de aplicaciones descargadas a través de la tienda virtual Google Play acceder a los datos personales de centenares de usuarios de Facebook y Twitter, según han informado este lunes las compañías. El error se hallaba en el paquete para desarrolladores de software One Audience y permitía a quienes creasen aplicaciones acceder a información de los usuarios como direcciones de correo electrónico, nombres de usuario y contenidos compartidos. Datos expuestos Facebook y Twitter han informado del hallazgo en sendos comunicados y han asegurado que tienen constancia de que hay «centenares de afectados», con quienes las empresas contactarán para comunicarles que sus datos podrían haber sido expuestos sin su consentimiento explícito. Pese a que la información que quedó expuesta era la contenida en las redes sociales, el error en este caso no habría sido culpa de Facebook y Twitter, sino de One Audience y sus herramientas para el desarrollo de software. «Aunque no tenemos pruebas que sugieran que este error fue usado para tomar el control de alguna cuenta de Twitter, es posible que eso pueda haber ocurrido», han indicado desde la empresa que dirige Jack Dorsey. Registro a través de Twitter o Facebook Los datos de los usuarios podrían haber quedado expuestos después de que un usuario utilizase su cuenta de Facebook o Twitter para registrarse en alguna de las aplicaciones descargadas a través de Google Play y creadas mediante One Audience. En ese caso, serían los desarrolladores de estas aplicaciones -y no Facebook, Twitter o One Audience- quienes habrían podido acceder a los datos personales de los internautas. Dos de los afectados podrían ser Giant Square y Photofy Aunque las empresas propietarias de las redes sociales evitaron mencionar aplicaciones específicas, medios estadounidenses apuntaron a que por lo menos dos de los afectados podrían ser los programas de edición de fotografía Giant Square y Photofy. «Tras la investigación, hemos eliminado las aplicaciones de nuestra plataforma por violar las políticas de uso y hemos emitido órdenes para finalización de la actividad a One Audience y Mobiburn», apuntaron desde Facebook. Fuente: https://www.elperiodico.com/es/tecnologia/20191126/descubierto-datos-usuarios-facebook-twitter-7751064
