Los datos personales, un activo que debe usar adecuadamente y proteger
Apreciados empresarios, dirigentes gremiales, instituciones educativas y amigos, PROTECDATA COLOMBIA S.A.S se ha fortalecido a través de estos años de experiencia por su máxima dedicación en la divulgación y asesoría e implementación de sistemas de gestión en materia de protección de datos personales. Este proceso ha sido construido de la mano de nuestros clientes (aproximadamente 1.300 compañías) a nivel nacional a quienes hemos apoyado en la adecuada aplicación de normas nacionales e internacionales, especialmente la regulación Europea y sus evoluciones, los impactos en el territorio nacional, así como, hemos creado canales de comunicación a través de los cuales mantenemos permanente contacto mediante comunicados donde realizamos análisis de los actos administrativos sancionatorios emitidos por la Delegatura de protección de datos e identificamos los riesgos de una inadecuada administración de los datos enmarcados en las normas legales vigentes. De otra parte, brindamos permanente apoyo a los Oficiales de Protección de Datos para la adecuada aplicación de normas, procedimientos y controles al interior de las compañías; realizamos conferencias dirigidas a distintos gremios y sectores económicos (salud, educación, financiero, fiscal y tributario, transporte, hotelero, centros comerciales, minero y energético, etc.) a nivel nacional divulgando la importancia de entender el contexto y la obligatoriedad de la aplicación de la Ley 1581 de 2012, norma estatutaria y la responsabilidad de los administradores o representantes legales en su cumplimiento. Asimismo, divulgamos a través de distintos canales las mejores prácticas, novedades y estándares relacionados con seguridad informática, hablamos de los beneficios de los avances tecnológicos al interior de las compañías en sus distintas actividades, pero también de los riesgos del uso inadecuado de estos. Hemos insistido en el alto valor de los datos, de cómo monetizarlos, cómo utilizarlos en beneficio de los intereses de su organización y claro está en el de sus titulares. Diariamente escribimos o publicamos novedades en nuestra página web y redes sociales con el fin de mantener informados a nuestros clientes sobre lo que ocurre el mundo con los datos personales. En el contexto de los más recientes escándalos, tales como: Cambridge Analityca, Facebook, campañas políticas, gobiernos, etc, nuestra labor se centra en advertir el uso de los datos personales en distintos escenarios donde son objeto de análisis y no puede percibirse fácilmente la violación o el uso inadecuado a los mismos, como en estos casos. La gran enseñanza, es que seguimos de espalda a este activo tan valioso y maravilloso como son los datos, sin una adecuada administración de estos, prueba de ello y como reflexión le invitamos a ver el documental lanzado por Netflix: Nada es privado. Finalmente, más allá de cumplir con una norma centramos nuestra atención en la concientización de la aplicación de una verdadera cultura para la administración adecuada y productiva de este valioso activo llamado DATOS. Marcela Rojas Bejarano Gerente Legal
Protección de Datos – Facebook pierde apelación en el uso de reconocimiento facial
Este jueves un tribunal federal de apelaciones de Estados Unidos rechazó el esfuerzo de Facebook para deshacer una demanda colectiva alegando que recopiló y almacenó ilegalmente datos biométricos de millones de usuarios sin su consentimiento. La decisión, que se produce en medio de amplias críticas de legisladores y reguladores hacia la red social sobre sus prácticas de privacidad, incluso, el mes pasado, Facebook acordó pagar una multa récord de 5 mil millones de dólares para resolver una investigación de privacidad de datos de la Comisión Federal de Comercio. Ahora, la compañía se expone a pagar miles de millones de dólares en daños potenciales a los usuarios de Illinois (EE. UU.) que presentaron el caso. «Estos datos biométricos son tan sensibles que si se ven comprometidos, simplemente no hay recurso», declaró el abogado de los demandantes Shawn Williams en una entrevista. “No es como una tarjeta de Seguro Social o un número de tarjeta de crédito donde puedes cambiar el número. No puedes cambiar tu cara», añadió. Por su parte, Facebook, que en un principio indicó que apelaría al fallo, afirmó lo siguiente: «Siempre hemos dado a conocerforever nuestro uso de la tecnología de reconocimiento facial y que las personas pueden activarla o desactivarla en cualquier momento». La demanda comenzó en 2015, cuando los usuarios de Illinois acusaron a Facebook de violar la Ley de privacidad de la información biométrica de ese estado al recopilar datos biométricos. Supuestamente, Facebook logró esto a través de su función «Sugerencias de etiquetas», que permitió a los usuarios reconocer a sus amigos de Facebook de las fotos cargadas previamente. Escribiendo para la corte de apelaciones, la jueza de circuito Sandra Ikuta dijo que los usuarios de Illinois podían demandar como grupo, rechazando el argumento de Facebook de que sus reclamos eran únicos y requerían demandas individuales. «Estos datos biométricos son tan sensibles (…) No es como una tarjeta de Seguro Social o un número de tarjeta de crédito donde puedes cambiar el número. No puedes cambiar tu cara» La jueza también dijo que la ley de Illinois de 2008 tenía la intención de proteger los «intereses concretos en la privacidad» de las personas, y que el presunto uso no autorizado de una plantilla de Facebook «invade los asuntos privados y los intereses concretos de una persona». El tribunal devolvió el caso al juez federal de distrito James Donato en San Francisco, quien había certificado una demanda colectiva en abril de 2018, para un posible juicio. La ley de privacidad biométrica de Illinois establece daños de 1.000 dólares por cada violación negligente y de 5.000 dólares por cada violación intencional o imprudente. La investigación de la FTC surgió del descubrimiento de que Facebook había permitido que la consultora británica Cambridge Analytica recolectara información personal de los usuarios. El pago de 5 mil millones de dólares de Facebook todavía requiere la aprobación del Departamento de Justicia de los Estados Unidos. REUTERS Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/facebook-pierde-apelacion-en-el-uso-de-reconocimiento-facial-398694
Ciberseguridad – Cómo saber cuándo una ‘app’ accede a la ubicación, la cámara o el micrófono del móvil
«Oye @Aeromexico ¿por qué están tratando de usar la cámara de mi celular?». Con este tuit, el periodista británico Duncan Tucker preguntaba hace unas semanas a la aerolínea porque había intentado acceder a la cámara del teléfono cuando, además, tenía el permiso pertinente desactivado. Prácticamente todas las aplicaciones en el mercado recopilan datos de los usuarios y tienen acceso a determinados permisos. Pero en muchas ocasiones al usuario se le escapa en qué momento las aplicaciones los utilizan y si lo hacen de forma lícita. ¿Es posible saber cuándo una aplicación accede a la cámara, las fotografías o el micrófono de un teléfono móvil? Javier Tallón, miembro del Grupo de Seguridad Informática y para la Defensa del Consejo de Colegios de Ingeniería Informática, explica en referencia al caso de Tucker que el acceso a la cámara por parte de la aerolínea mexicana podría ser lícito en algunas situaciones. Por ejemplo, en el caso de que se estuviese usando para la lectura de códigos de los billetes. Pero, a juzgar por el tuit del periodista, la aplicación intentó acceder a este permiso en un momento en el que no correspondía. Tucker descubrió las intenciones de la aerolínea mexicana porque tenía activado en su smartphone el “monitor de permisos de aplicaciones». Se trata de una función solo disponible para algunos terminales de Samsung que permite dar permisos a la carta a cada aplicación y saber cuándo hace uso de ellos. “Recibe notificaciones cuando las aplicaciones que se estén ejecutando en segundo plano utilicen los permisos que has seleccionado”, se informa al ir a activar la función en los ajustes del teléfono. Además, toda esta actividad queda registrada en un historial que el usuario puede revisar en cualquier momento. El monitor de permisos en este caso alerta de la intención y no tanto de la ejecución, según subraya Tallón, que también es cofundador y director técnico y de operaciones de jtsec Beyond IT Security: “Podemos pensar que, al tratar la aplicación de usar la cámara, el monitor de permisos detecta que hay un comportamiento sospechoso y lanza la alerta. Sin embargo, la aplicación nunca pudo llegar a acceder a la cámara del dispositivo al estar el permiso desactivado”. A qué información accede cada aplicación Normalmente, un usuario puede conocer el listado de permisos que necesita una app para funcionar en el momento de su instalación. Las apps suelen solicitar al usuario una media de entre tres y cuatro permisos, según afirma Tallón. Los permisos más solicitados, según sostiene, son el acceso a archivos del usuario, a la cámara del dispositivo y a los servicios de localización. Y las aplicaciones que tienden a solicitar la mayor cantidad de permisos son las relacionadas con redes sociales y compras online. “Una vez instalada la aplicación, podemos conocer la primera vez que hace uso de cada permiso, ya que solicitará su ejecución al usuario”, explica Ismael Morales, miembro del Grupo de Seguridad Informática y para la Defensa del CCII y technical cybersecurity manager en Wellness TechGroup. Después, las aplicaciones no necesitarán consentimiento del usuario cada vez que usen los permisos anteriormente aceptados: “A partir de este punto, el usuario ya no sabe cuándo las aplicaciones hacen uso de los permisos”. De hecho, la función del móvil de Tucker solo está disponible en algunos móviles de Samsung y no es común en el resto de terminales. “Es difícil para un usuario corriente saber a qué información tiene acceso una aplicación o el propio dispositivo más allá del control de permisos”, asegura Tallón. Para protegerse, los expertos consultados recomiendan instalar solo las apps que realmente se necesiten y fijarse antes de hacerlo en si los permisos solicitados pueden ser abusivos. Morales aconseja que en el caso de contar con varias alternativas al instalar una aplicación que ofrece la misma funcionalidad, es preferible instalar la que menos permisos que consideremos abusivos solicite. Herramientas El investigador del ICSI Serge Egelman explica que existen muchos sitios web y herramientas que muestran qué permisos son solicitados por una aplicación, pero no informan de si esos permisos se usan realmente en la práctica ni del momento preciso en el que se utilizan: “Saber que se solicita un permiso no es lo mismo que saber que realmente se usó”. Para detectar qué permisos usa una aplicación y en qué momento lo hace, según señala, debe de modificarse el sistema operativo. Él lo ha hecho con un grupo de investigadores y ha creado AppCensus, una compañía que se encarga de verificar el comportamiento de diferentes apps de Android. “Durante varios años, hemos estado construyendo nuestra propia versión personalizada de Android que incluye instrumentación para monitorear el acceso de las aplicaciones a los datos personales. Debido a que esto requiere modificaciones del sistema operativo, no se puede hacer en una aplicación que se instala desde Play Store”, afirma. AppCensus facilita en su web información sobre los comportamientos de diferentes apps en el mercado para que el usuario pueda saber a qué datos acceden y si son compartidos con terceros. Se trata, según Egelman, de una de las pocas formas de que los consumidores entiendan las implicaciones de privacidad de las aplicaciones que usan”. Subraya que antes solo había dos formas de saberlo: leer las políticas de privacidad y examinar el tráfico de la red. “Todos conocemos los problemas con las políticas de privacidad. Son ambiguas, requieren mucho tiempo y son difíciles de leer. En segundo lugar, esperar que el usuario promedio monitoree y analice el tráfico de la red es simplemente absurdo, además de que significa que para cuando detecta un mal comportamiento, este ya ha pasado”, añade. Joel Reardon, profesor asociado de la Universidad de Calgary y otro de los artífices de AppCensus, cuestiona la usabilidad de una herramienta que constantemente le informe al usuario de que una app va a utilizar su permiso. Para él, sería útil que el usuario pudiera, por ejemplo, negar el acceso a la ubicación, el micrófono o la cámara cuando la pantalla o el audio del terminal estuvieran apagados. Tanto Egelman como Reardon hacen hincapié en que algunas aplicaciones buscan la forma de acceder a determinada información aunque el usuario les haya denegado el permiso
Ciberseguridad: Desde I Love You hasta WannaCry: Los virus más peligrosos de la historia de internet
En los últimos 30 años, los usuarios han tenido que ir aprendiendo a protegerse de las amenazas que esconde la red «WannaCry», el virus que ha provocado un ciberataque global sin precedentes. en Videos Vídeo: WannaCry, el virus global sin precedentes que atacó en 2017 1. Gusano Morris (1988) Uno de las primeros y más peligrosos virus de la historia de informática, que llegó, además, cuando la ciberseguridad todavía se encontraba en pañales. En noviembre de 1988, momento de su activación, internet todavía estaba lejos de ser ese campo fértil y recurrente que es a día de hoy. Sin embargo, bastó para infectar cerca del 10% de los 60.000 ordenadores con conexión que existían. Incluso llegó a dar problemas al mismísimo Centro de Investigación de la Nasa y al Pentágono. El malware ralentizaba enormemente los equipos en los que se alojaba, además de crear procesos y archivos en carpetas temporales. Su creador, llamado Robert Tappan Morris, por entonces era un joven estudiante de la Universidad de Cornell. Fue condenado en 1990 a pagar más de 100.000 dólares y a realizar 400 horas de servicios comunitarios. Tras hacer fortuna en internet gracias a diversos proyectos, actualmente se dedica a la docencia como profesor asociado en el prestigioso Instituto Tecnológico de Massachusetts (MIT) 2. CIH/Chernobyl (1998) Si el Gusano Morris había logrado sacudir el incipiente internet de finales de los ochenta, Chernobyl supuso su perfecto relevo diez años después, cuando la red ya se encontraba en auge. Su nombre se debe al día en que fue activado: el 26 de abril, el mismo en que tuvo lugar la archiconocida hecatombe nuclear en Rusia. El CIH, programado por un estudiante de la Universidad de Taipéi llamado Chen Ing Hau, formateaba el disco duro de los equipos borrando toda la información almacenada. Al mismo tiempo, acababa con el contenido de la BIOS (lo que provocaba que el ordenador no pudiese arrancar) e infectaba los ficheros ejecutables en los sistemas con Windows 95 y Windows 98. El objetivo del creador, según precisó, era el de demostrar la vulnerabilidad de los antivirus de la época. Cosa que consiguió dañando 60.000 ordenadores en todo el mundo y provocando pérdidas millonarias. 3. Melissa (1999) Tan solo un año después de la aparición de Chernobyl, el mundo de la ciberseguridad tuvo que lidiar con una nueva amenaza: Melissa. Este virus empleaba técnicas de ingeniería social con el fin de engañar al usuario. Llegaba por correo electrónico, y en el asunto se podía leer «Aquí está el documento que me pediste… no se lo enseñes a nadie». Una vez se abría el mensaje, este se reenviaba a los 50 primeros contactos que encontrase en la cuenta del afectado. Melissa provocó enormes perdidas económicas, se calcula que se encuentran alrededor de los 80 millones. Su creador, David L. Smith, corrió menos suerte que los dos anteriores. A pesar de mostrar arrepentimiento, no consiguió eludir la pena de prisión. Tras pasar 20 meses entre rejas comenzó a colaborar con el FBI con el fin de encontrar al creador del virus Anna Kournikova. 4. ILove You (2000) Probablemente, el malware más conocido de toda la historia. A pesar de que el famoso «efecto 2000» se quedó en nada, internet, finalmente, sí que sufrió una sacudida con el cambio de milenio. Creado en Filipinas por el estudiante de informática Onel de Guzmán, ILove You se extendió rápidamente por los ordenadores de todo el mundo hasta infectar a 50 millones de dispositivos en una semana. Incluso llegó a dar problemas al Parlamento Británico y al Pentágono. Al igual que Melissa, ILove You empleaba la ingeniería social. El malware se presentaba como un mensaje de amor, llamado «Love letter for you», que llegaba a los afectados disfrazado de correo electrónico. Una vez activado, el virus sustituía los archivos del dispositivo por copias y trataba de descargar un troyano que robaba toda la información del usuario. Guzmán se salvó de la cárcel debido a que la justicia filipina no contaba por entonces con reglamentación referente a delitos informáticos. Poco después comenzó a trabajar para una empresa de ciberseguridad. 5. Mydoom (2004) Todavía a día de hoy no se sabe quién estuvo detrás de la creación del código de este malware, aunque se cree que su origen está en Rusia. Hablar de Mydoom es hacerlo sobre el virus que más rápido se ha extendido de toda la historia. Se calcula que llegó a reducir el tráfico en internet en un 10%. Llegaba a los ordenadores bajo un mensaje en el que se podían leer palabras como «Error» o «Prueba». Una vez se activaba, se abría el bloc de notas del equipo, en el que comenzaba a aparecer un texto ilegible. Tras esto, se reenviaba a todos los contactos del usuario. Además, contaba con puerta de atrás, por lo que permitía que otros usuarios pudiesen acceder a los equipos infectados. 6. Conficker (2008) Al igual que Mydoom, Conficker era capaz de replicarse a sí mismo; sin embargo, sus características resultaron mucho más dañinas que las de este. Una vez activado, el equipo infectado perdía varios servicios de Windows. Al mismo tiempo, trataba de descargar un troyano. Este malware trajo a Microsoft de cabeza. Tanto que la empresa llegó a ofrecer una recompensa de 250.000 dólares por el nombre de su creador. El virus llegó a afectar a un 6% de los ordenadores de todo el mundo. 7. WannaCry (2017) El último gran ataque masivo de la historia de la informática. Este virus, presuntamente de origen norcoreano, puso en jaque a empresas de todo el mundo, entre ellas Telefónica. La compañía española de comunicación se vio obligada a solicitar a sus empleados que apagasen sus ordenadores para evitar que el problema se propagase. WannaCry se dedicaba a encriptar los datos que encontraba en los sistemas que infectaba provocando que fuesen inaccesibles para el usuario. Más tarde, se solicitaba un rescate de 300 dólares a cambio de las claves necesarias para recuperar el control del ordenador. Causó unas pérdidas cercanas a los 200 millones de euros. Fuente: https://www.abc.es/tecnologia/informatica/software/abci-desde-ilove-hasta-wannacry-virus-mas-peligrosos-historia-internet-201907120123_noticia.html «WannaCry», el virus que ha provocado un ciberataque global sin precedentes. en Videos
Protección de Datos – “Cedemos los datos sin recibir nada a cambio. Debería haber un mercado”
La matemática presenta su método de preservación de la privacidad en la nube durante el congreso internacional cuatrienal de Matemáticas Aplicadas celebrado en Valencia Kristin Lauter es una estrella de la criptografía, la intimidad y la teoría de números. No en vano, esta matemática de 49 años es la investigadora principal de Microsoft en Criptografía e Investigación en la Intimidad. Cuestiones de gran actualidad. La seguridad y el uso de los datos personales en Internet y el espionaje a través de las nuevas tecnologías protagonizan el debate sobre los límites de la inteligencia artificial, de la sociedad digital interconectada y del poder de las empresas. Ella presentó su método de preservación de la privacidad manteniendo la posibilidad de subir los datos a la nube en el congreso internacional cuatrienal de Matemáticas Aplicadas, que congregó la pasada semana en Valencia a 4.000 científicos. Asegura que la comunidad científica es consciente del riesgo de lo que algunos llaman capitalismo de la vigilancia (surveillance capitalism), que guarda semejanzas con el Gran Hermano que imaginó George Orwell en su novela 1984.“No puedo hablar por todos, claro, pero el público en general, los científicos y la gente de la industria son muy conscientes de estos problemas. El CEO (director general) de Microsoft, Satya Nadella, dice que la privacidad debe ser como derecho humano. La compañía ha gastado mucho para proteger la privacidad de sus usuarios”, afirma a EL PAÍS esta experta en critografía de curvas elípticas. “Sueño con un mundo en el que cada uno tenga sus datos encriptados antes de subirlos a la red. Ahora mismo, la situación es que todo el mundo da sus datos sin recibir nada a cambio. Y los damos para todo. Le preguntamos a Siri por la recomendación de un restaurante para comer, para cualquier cosa. Creo que debería haber, y Microsoft lo ha planteado en ocasiones, un mercado de datos que la gente pudiera decidir si quiere dar sus datos y a cambio pudiera recibir un tipo de compensación”, explica. “Ahora en la inteligencia artificial se utilizan muchos algoritmos con múltiples propósitos, como el reconocimiento de caras, recomendaciones de libros, imágenes médicas y tratamientos… Pero hay un problema de privacidad porque si subes todos tus datos biológicos a la nube no sabes quién y cómo puede utilizarlos”, agrega. Profesora en la Universidad de Washington, lleva décadas dedicada “a crear y atacar problemas muy difíciles para resolverlos y que sean la base de algoritmos criptográficos”. “La factorización de números enteros muy grandes es el ejemplo prototípico de un problema muy difícil que se ha utilizado en criptografía en los últimos años”, apunta esta científica risueña, nacida en Wisconsin, que se arranca a hablar en castellano para pasarse al inglés en cuanto detalla algunas de sus complejas investigaciones. “Hace 20 años, cuando entré a trabajar en Microsoft, empecé a investigar en criptografía de curvas elípticas y ahora trabajo en nuevos problemas como los campos supersingulares exógenos. Mucha gente trabaja y escribe sobre eso”, comenta. Ella se aficionó a las matemáticas de niña, cuando se padre, aficionado, le planteaba problemas durante los viajes en coche. Luego tuvo “mucha suerte” porque fue a la Universidad de Chicago que tenía un programa de matemáticas muy bueno. “Me encantó la belleza de las matemáticas abstractas”, exclama. A ella le ayudan a “pensar de manera clara, e incluso a escribir correctamente, con un argumento lógico, convincente y conciso”. En su cuenta de twitter, Lauter felicitó a la selección femenina de EE UU de fútbol por ganar el campeonato del mundo y reclamó la equiparación salarial con los hombres. En las matemáticas siempre ha sido una activista de la igualdad. Fue fundadora de Women in Numbers, un exitoso colectivo para trabajar en red que se ha extendido a otros campos como el de las biomatemáticas, Lauter sostiene que la sociedad debería apoyar más a las mujeres. “¿Discriminación? Claro que la hay. La capacidad de los hombres y mujeres es la miSma, pero la mayor parte de los científicos son hombres. Es difícil tener las mismas oportunidades. En EE UU, hay un grupo con las 40 universidades más prestigiosas, solo el 5% de los profesores permanentes son mujeres. Se ha mejorado, pero falta mucho”. Fuente: https://elpais.com/tecnologia/2019/07/24/actualidad/1563979384_129217.html
Protección de Datos: Los riesgos de FaceApp, la aplicación de moda
La inteligencia artificial ha convertido la práctica habitual y antigua de retocar las imágenes en un peligroso juego. La dificultad de distinguir entre una manipulación inocente para diversión o para mostrar una parodia de la realidad y una imagen que parece absolutamente real lleva esta práctica al límite de lo admisible. La moda de la aplicación FaceApp, un programa que puede, entre otras habilidades, envejecer intencionadamente la fotografía de cualquier persona, ha vuelto a poner en entredicho esta práctica, en especial, cuando al descargarla en el móvil se advierte de que los datos pueden ser cedidos a terceros y perder el control de la propia imagen. No cabe duda de que FaceApp, número uno en las principales tiendas de aplicaciones del mundo, incluyendo la App Store española, y una difusión en redes sociales que alcanza la calificación de viral, está siendo el éxito del momento. Si todavía no conoce esta celebérrima app es posible que no frecuente mucho Twitter y demás redes sociales, puesto que su presencia en las mismas es, en estos momentos, masiva. ¿En qué consiste exactamente FaceApp y por qué están saltando las primeras alarmas entre los expertos en seguridad? Esta aplicación emplea un sistema neuronal basado en inteligencia artificial que analiza la fotografía que se sube de forma automática a sus servidores para lograr los efectos ansiados, envejecer o rejuvenecer, al protagonista de la foto con un realismo sorprendente. Hasta aquí, nada nuevo que no suceda a diario con centenares de aplicaciones en todo el mundo, pero en el caso de FaceApp coinciden dos realidades que han hecho disparar las alarmas: los servidores se encuentran en Rusia, por un lado, y por otro, la política de privacidad es lo suficientemente vaga como para que uno se lo piense dos veces antes de aceptar sus términos. El hecho de que la base central esté fuera de la Unión Europea dificulta la aplicación de la legislación comunitaria sobre protección de datos, la más exigente de las existentes en los países desarrollados. Por otra parte, cuando se aceptan las condiciones de uso de la aplicación, se especifica en la petición de autorización que los datos pueden ser cedidos a terceros, pero no los usos que estas compañías podrían hacer de la información. Además, no suele ser un elemento en el que los usuarios reparen cuando continúan con la instalación. Las primeras alarmas acerca de los riesgos que el usuario corre al descargar y utilizar esta aplicación no han tardado en llegar: ¿sabemos exactamente qué sucede con las fotografías una vez son transformadas y devueltas al usuario? Los términos de privacidad son lo suficientemente vagos como para despertar sospechas y, por si esto fuera poco, los creadores de la app avanzan en el contrato que acepta el usuario que sus datos pueden ser cedidos a terceras partes. “Se trata de algo muy preocupante”, explica a EL PAÍS Borja Adsuara, abogado experto en comunicación digital, que eleva la acusación a las tiendas digitales por no adoptar medidas de forma cautelar. Adsuara reclama medidas de protección para el usuario semejantes a las existentes en la alimentación, “si uno no puede comprar un alimento en mal estado en una tienda ¿por qué se le permite descargar apps con código malicioso?”, se pregunta en relación a los programas que pueden vulnerar la privacidad. Este experto recomienda que sea el usuario quien valore si le compensa “vender su alma” a cambio de una foto retocada. Dani Creus, analista de seguridad de Kaspersky también advierte de los riesgos de compartir fotos con terceros: “Debemos asumir que al subir algo a la nube, perdemos su control”, explica a este diario. Este experto nuevamente incide en el que es, hoy por hoy, el mejor aliado del usuario en Internet: “el sentido común”. FaceApp no solo puede alterar la imagen del usuario sino también la de cualquier persona que él suba a la nube. Y su realismo puede afectar a la imagen de esa persona. Respuesta del creador de la aplicación Yaroslav Goncharov, creador de FaceApp, confirmó a EL PAÍS que la aplicación desempeña el grueso del trabajo en la nube y que “únicamente se sube la foto seleccionada” para la edición. Goncharov aseguró que se encuentran “desbordados” ante la demanda por parte de los usuarios de eliminar las fotos subidas a sus servidores, una tarea que, para ellos “es una prioridad”. Contrariamente a lo que establece la propia política de privacidad de la aplicación [en su apartado 3] y que el usuario se ve obligado a aceptar, Goncharov sostiene: “ No vendemos ni compartimos datos con terceros”. FaceApp es una herramienta más que puede ser utilizada en la práctica conocida como Deepfakes, el término anglosajón para las imágenes falsas, estáticas o de vídeo generadas por inteligencia artificial. Su uso masivo ha llevado a Estados y redes sociales a vetarlas o incluso penarlas. En España se lucha contra ellas con las leyes de protección de datos y el derecho al honor, a la intimidad y a la propia imagen. El pasado mes, una aplicación machista (DeepNude) que utilizaba algoritmos para recrear desnudos falsos de cualquier mujer fotografiada vestida, solo resistió un día al aluvión de críticas generadas y fue retirada. Algunas plataformas han comenzado a poner coto, aunque otras siguen alimentando foros de intercambio de imágenes falsas y tutoriales de cómo elaborarlas. Fuente: https://elpais.com/tecnologia/2019/07/17/actualidad/1563358803_598879.html
Ciberseguridad – Millonarios virtuales por el error informático de un banco alemán
Puede uno imaginar la sorpresa: Docenas de clientes de Comdirect, filial de la entidad financiera alemana Commerzbank, se convirtieron por momentos -y solo en teoría- en millonarios por un error informático, relatan este viernes medios locales. Pero no para todos fue una buena sorpresa. Así como el fallo, que se produjo a la primera hora del jueves, hizo millonarios a unos, dejó a otros enfrentados a gigantescas deudas que no tenían idea de cómo habían contraído. Los ‘afortunados’ que vieron crecer sus saldos, salieron a las redes sociales a celebrar cómo, de la noche a la mañana, se habían convertido en millonarios. Al actualizar en internet el estado de sus cuentas y depósitos de acciones habían visto saldos de dos, tres y hasta cuatro millones de euros. «¡Gracias, querido @comdirect, por estos ingresos sorpresa! En el Monopoli sería: error bancario a su favor», escribía un usuario. Otro colgaba un extracto de su cuenta con 1,4 millones de euros y decía: «cuando era millonario… @comdirect #error». Als ich Millionär war .. @comdirect #Bug pic.twitter.com/o7eBEQ3i3e — Matthias ☠️ (@42blue) July 25, 2019 También acudieron a las redes los que hayaron ‘agujeros’ de un volumen similar. Un tuitero, en tono serio, preguntaba en Twitter si la aplicación funcionaba correctamente y reportaba un saldo negativo de 4,5 millones de euros. Hey @comdirect , alles gut bei euch? Ich habe den Eindruck eure App ist gerade krank 🤒 pic.twitter.com/mx4J6JX7RT — Ingo Bente (@ingobente) July 25, 2019 El banco logró subsanar el fallo rápidamente y para las nueve de la mañana las cuentas ya reflejaban su estado real en internet. Comdirect explicó al «Süddeutsche Zeitung» que el fallo informático no se produjo en su sistema, sino en el de un proveedor, y que sólo afectó a cómo se mostraba el estado de la cuenta en la página web y en la aplicación, pero no a su registro contable. «El estado real de los depósitos y con él el límite de crédito no han estado ni están afectados», explicó el banco al diario económico «Handelsblatt». Este incidente es el último de una larga serie de problemas informáticos en entidades financieras alemanas. Algunos son anecdóticos; otros, más graves, como el que hace unas semanas llegó a bloquear tarjetas y retiradas de efectivo en cajeros del Commerzbank. Algunos expertos han advertido que parte de estos fallos se deben a los sistemas informáticos obsoletos que emplean algunos bancos alemanes. Efe Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/error-informatico-crea-millonarios-virtuales-en-banco-aleman-393412
Protección de Datos: YouTube retira ocho listas de reproducción que sexualizaban vídeos inocentes de menores
La plataforma de intercambio de vídeos YouTube ha retirado, a petición del Consell Audiovisual de Cataluña (CAC), ocho listas de reproducción que habían agregado 275 vídeos de niñas menores de edad bailando, jugando en la piscina o practicando yoga, bajo títulos como «Hot teens», «Culitos» o «All size tits». El presidente del CAC, Roger Loppacher, ha agradecido la celeridad de la plataforma al retirar las listas y le ha instado a adoptar medidas para evitar que la situación se pueda repetir. El CAC pidió a la plataforma la retirada de las listas dado que estas, con títulos como «Hot teens» (Adolescentes calientes), «All sizes tits» (Pechos de todos los tamaños), «Culitos» o «Sexy», incluían 275 vídeos que muestran a niñas haciendo actividades de carácter inocente como bailar, practicar algún tipo de actividad física o jugar en la piscina. Loppacher ha recomendado a los usuarios que extremen la prudencia con los vídeos protagonizados por menores. «Conviene subrayar el hecho de que en el mismo momento en que se sube un contenido personal o familiar en una plataforma se pierde el control, y la imagen de nuestros hijos o hijas puede terminar, sin saberlo, en una lista de tipo sexual», ha advertido. Un informe del CAC identificó ocho listas de reproducción que combinaban vídeos protagonizados por menores con vídeos eróticos protagonizados por adultos, por lo que se modifica el sentido y la finalidad inicial de los contenidos. En concreto, las ocho listas incluían 415 vídeos, de los que 275 están protagonizados por menores. En conjunto, los vídeos que han sido objeto del análisis del CAC, sin tener en cuenta videoclips musicales profesionales, suponen 488 millones de visualizaciones. Un ejemplo era la lista «Hot teens», que hacía una recopilación de vídeos protagonizados por niñas y adolescentes que bailan en parejas, acompañados de otros con contenido sexual de carácter lésbico. Igualmente, la lista «‘Culitos» yuxtaponía contenidos de niñas que aparecen en traje de baño, con otros de carácter erótico protagonizados por mujeres adultas. El CAC consideró que la práctica de incluir un vídeo grabado en un entorno personal o familiar en una lista de carácter sexual dirigida a un público adulto «supone un cambio de contexto que incumple las condiciones de uso de la plataforma en su apartado ‘La importancia del contexto’». Además, en el epígrafe ‘Seguridad infantil en YouTube’ la plataforma explicita que no está permitido el contenido con participación de personas menores de edad de carácter inocente cuando se difunde con la intención de proporcionar placer sexual. Según el CAC, con la retirada de estas listas son ya 108 los contenidos perjudiciales de internet que las plataformas han retirado a instancias del Consell Audiovisual de Catalunya en ámbitos como la pornografía infantil, la anorexia y la bulimia, la violencia machista, la incitación al suicidio, la pedofilia o la homofobia. Fuente: https://www.20minutos.es/noticia/3706315/0/youtube-retira-ocho-listas-reproduccion-sexualizaban-videos-menores/
Ciberseguridad – Descubierto un fallo en WhatsApp: así pueden manipular tus fotos antes de que lleguen
WhatsApp es, con diferencia, una de las aplicaciones más empleadas por los usuarios en todo el mundo. Son más de 1.500 millones de perfiles registrados y la herramienta indispensable en las comunicaciones digitales. Por eso no deja de ser preocupante los momentos en los que producen desconexiones y, por supuesto, fallos técnicos. La «app» implementó hace dos años, y después de otros tantos de críticas, un sistema de seguridad de extremo a extremo que promete una gran seguridad de las conversaciones. Pero los ciberdelincuentes son hábiles. Encuentran siempre alguna manera de penetrar a los sistemas. Una investigación de la firma de seguridad Symantec ha descubierto pruebas de una importante vulnerabilidad que permite a una persona malintencionada pueda manipular las imágenes y vídeos enviados antes de que llegue a su destinatario. Este fallo de seguridad, denominado «Media File Jacking», afecta a WhatsApp para Android de forma predeterminada y a Telegram para Android si ciertas funciones están habilitadas. También permite también modificar los archivos de audio. Este problema afecta únicamente a las versiones de dispositivos móviles Android, el sistema operativo más extendido del mundo. Se trata de un ataque de tipo secuestro de imágenes y se produce, según los investigadores, por el sistema implementado por este servicio digital a la hora de almacenar los archivos. Ambas aplicaciones guardan las imágenes recibidas por los usuarios sin una cadena de identificación que informe si han sido alteradas por una aplicación de terceros. Es una oportunidad que, bien explotada, puede sembrar la confusión entre los usuarios. Los investigadores explican que el fallo se debe al tiempo que transcurre entre el momento en que los archivos se reciben y cuando se cargan en la interfaz de chat de las aplicaciones para que los usuarios las consuman. Es decir, el momento en el que los usuarios solicitamos la orden de descargar la imagen para verla se puede interceptar y, por tanto, puede correr en riesgo la privacidad de las personas. «Este lapso de tiempo crítico presenta una oportunidad para que ciberdelincuentes intervengan y manipulen los archivos multimedia sin el conocimiento del usuario. Si se explota el fallo de seguridad, un atacante podría manipular información confidencial, como fotos y videos personales, documentos corporativos, facturas y notas de voz», aseguran Yair Amit y Alon Gat, autores de la investigación, en un comunicado. Los expertos creen que aunque el cifrado de extremo a extremo es un mecanismo eficaz para garantizar la seguridad de las comunicaciones, no es suficiente este sistema si existen vulnerabilidades en el código de programación. «Lo que descubrimos en la investigación es que los atacantes pueden manipular con éxito archivos multimedia aprovechando los fallos lógicas de las aplicaciones, que se producen antes o después de que el contenido se haya cifrado», añaden los investigadores. De forma predeterminada, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo en la siguiente ruta: / storage / emulated / 0 / WhatsApp / Media. En Telegram, si un usuario habilita la función «Guardar en la galería», asumiendo que es seguro y sin comprender sus ramificaciones indirectas, la «app» almacenará el contenido de los archivos de manera similar en: / storage / emulated / 0 / Telegram /. El problema, subrayan los investigadores, es que ambos son directorios públicos: «las aplicaciones cargan los archivos recibidos de los directorios públicos para que los usuarios los vean en la interfaz de chat cuando ingresan al chat correspondiente», apuntan. Por tanto, el hecho de que los archivos se almacenan y se cargan desde el almacenamiento externo sin los mecanismos de seguridad adecuados se pueden poner en riesgo la integridad de los archivos multimedia. Si el atacante accede primero a los archivos (esto puede suceder en tiempo real si un «malware» monitoriza los directorios públicos para detectar cambios), los destinatarios verán los archivos manipulados antes de ver los originales. Además, la miniatura que aparece en la notificación que ven los usuarios también mostrará la imagen o el archivo manipulados, por lo que los destinatarios no tendrán ninguna indicación de que se hayan cambiado los archivos. Los expertos creen que, para evitar este posible problema, es más conveniente guardar las imágenes en algún servicio de almacenamiento en la «nube» o en el propio dispositivo. Otros expertos creen que el fallo no es demasiado grave pero que, una vez más, demuestra el impacto de los permisos de usuarios en las aplicaciones más populares. «El funcionamiento del fallo se basa en permisos de usuario. Cada app tiene acceso solamente a sus ficheros. Lo que pasa es que si tú uno de esos ficheros -una foto que te llega de otro contracto– si la dejas en el carrete de fotos, todas las app que tengan acceso al carrete tendrán acceso a las fotos. El «bug» demuestra, claramante, por qué es necesario acotar el acceso a según qué permisos de aplicaciones», apunta a este diario Lorenzo Martínez, experto en seguridad de Securízame. Cómo desactivar el almacenamiento de fotos Deshabilitar el almacenamiento de archivos multimedia en almacenamiento externo puede hacer que los usuarios de la aplicación de mensajería instantánea mitiguen el riesgo de los archivos. Para ello, hay que seguir estos pasos: entrar en WhatsApp, acceder a «Configuración» en entrar en el apartado «Chats». Ahí habrá que desactivar «Guardar en fotos». Fuente: https://www.abc.es/tecnologia/moviles/aplicaciones/abci-whatsapp-descubierto-fallo-whatsapp-pueden-manipular-fotos-antes-lleguen-201907161029_noticia.html
