Protección de Datos: El ‘web scraping’ y la protección de datos
El uso de herramientas informáticas para rastrear Internet en busca de información de todo tipo para copiarla e incorporarla a una nueva base de datos (web scraping) plantea desafíos jurídicos de muy diferente índole. Dejando a un lado usos menos ortodoxos, por ejemplo, el rastreo de información en la deep web con el fin de detectar actividades fraudulentas (una derivada del llamado hackingético) sobre los que podría plantearse cierto debate, cuando el objetivo sea captar datos no personales (por ejemplo, a fin de generar una base de datos que nos permita comparar precios), la privacidad quedará en un segundo plano. Por el contrario, cuando de lo que se trate sea de recabar datos de carácter personal, por ejemplo, en el marco de proyectos de big data que incluyan técnicas de sentiment analytics que afecten a individuos concretos (a efectos de risk scoring o para otros fines), se convertirá en el elemento clave a tener en cuenta a la hora de emprender el proyecto. La cuestión central es si el tratamiento de datos personales recabados de este modo es lícito, si cumpliría los principios y requisitos de, inter alia, legitimidad, información al interesado o consentimiento, en su caso, recogidos en el Reglamento General de Protección de Datos (RGPD) y/o en la normativa local de aplicación en España (principalmente, la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos de Carácter Personal y Garantía de los Derechos Digitales). El hecho de que un dato personal sea público (en el caso que nos ocupa, que sea accesible a través del internet conocido e indexable) tiene escasa (si no nula) relevancia, a efectos de determinar si su tratamiento es legítimo o no. Para llevar a cabo cualquier tratamiento de datos personales sin excepción será necesario incardinarlo en, al menos, una de las bases legitimadoras consagradas en el artículo 6 del RGPD. No se debe confundir «publicidad» del dato con «habilitación» para su tratamiento. Así, a la hora de determinar la base o bases legitimadoras en las que pudiera ampararse el tratamiento de datos que se produce cuando se aplican técnicas de web scraping, nuestra capacidad de elección será limitada y se circunscribirá, a nuestro juicio, a: a) Si estamos ante un tratamiento necesario para el cumplimiento de una misión de interés público. b) Si cabe argumentar la existencia de un interés legítimo por parte del responsable del tratamiento o de un tercero. El resto de bases legitimadoras del tratamiento no serán de aplicación o no serán opciones viables en la práctica (como sucedería si tratásemos de ampararnos en el consentimiento de los interesados). En esta línea, para que un tratamiento sea «necesario» para dar cumplimiento a una misión de interés público debe, en primer lugar, ser de interés público establecida por ley (considerando 45 del RGPD). En el segundo supuesto será necesario que supere el test de necesidad y el ejercicio de ponderación de intereses del responsable del tratamiento frente a derechos y libertades de los interesados. Aunque se trata de un análisis que debe realizarse caso por caso parece claro que este tipo de tratamientos no va a encontrar fácil acomodo en ninguna base legitimadora incluida en el artículo 6 del RGPD. Inclusive si estuviéramos en una situación excepcional, en la que prevaleciera el interés legítimo del responsable del tratamiento (o de un tercero), el cumplimiento del resto de obligaciones y principios en materia de protección de datos (por ejemplo, el deber de informar) podría llegar a suponer un obstáculo insalvable a estos efectos. En definitiva, los supuestos en los que estaremos ante tratamientos de datos personales viables desde el punto de vista del cumplimiento de la normativa de protección de datos serán muy limitados, sin perjuicio de los retos que se plantean en otros ámbitos del derecho. Bartolomé Martín es responsable de nuevas tecnologías e IP de KMPG Abogados. Fuente: https://cincodias.elpais.com/cincodias/2019/06/17/legal/1560752178_395215.html
Protección de Datos: Gritar desde la terraza que una vecina es morosa no atenta contra su protección de datos
Revelar desde la terraza la condición de morosa de una vecina no infringe la normativa de protección de datos. Así lo determina la Audiencia Nacional en una sentencia en la que avala la decisión de la Agencia Española de Protección de Datos (AEPD) de no iniciar un procedimiento de infracción contra la presidenta de una comunidad de propietarios que contó a su cónyuge desde el balcón que otra de las residentes debía cuatro años a la comunidad. A raíz de ello, la hija de la aludida sufrió una crisis de ansiedad y tuvo que recibir asistencia médica. En un principio, la AEPD rechazó investigar los hechos porque la documentación aportada y las circunstancias «no mostraban indicios racionales de infracción de la normativa de protección de datos». La denunciante recurrió dicha decisión ante la Audiencia Nacional (AN) alegando que había aportado todas las pruebas necesarias y que, además, los hechos constituían una infracción muy grave sobre su privacidad. Ahora, la AN rechaza los argumentos de la demandante y determina que para abrir una investigación por la revelar, utilizar o ceder datos personales de forma oral, «no basta con las declaraciones de la denunciante, de su esposo y de su hija». Asimismo, descarta que la denuncia ante la Guardia Civil por amenazas, partes médicos por ansiedad y otra certificación aportada por la demandante «puedan constituir prueba de cargo ni indicios de la comisión de una infracción de la normativa de protección de datos» que justifiquen abrir una investigación. Legitimidad La Sala recuerda que la denunciante solo puede pedir que se inicie una investigación para averiguar si efectivamente los hechos denunciados constituyen una infracción a la normativa de protección de datos. Pero en ningún caso tiene legitimidad para solicitar «que esa actividad necesariamente finalice en una resolución sancionadora». Así las cosas, los magistrados concluyen que «no existen indicios de infracción de la normativa de protección de datos» y proceden, en definitiva, la desestimación del recurso interpuesto. Fuente: https://cincodias.elpais.com/cincodias/2019/06/20/legal/1561035740_593605.html
Ciberseguridad: YouTube necesita proteger a los niños o sufrirá sanciones
El consumo de videos por parte de los niños en YouTube es uno de los debates más exigentes que enfrenta este popular servicio, de propiedad de Google y que sigue a ese motor como el segundo mayor buscador en internet en el mundo. Según reportes de prensa, YouTube estaría considerando medidas radicales como mover todos los videos infantiles hacia su aplicación YouTube Kids para así evitar que los más pequeños queden expuestos a contenido inapropiado y evitar sanciones. Esto implicaría que todos los contenidos protagonizados por menores o los videos que estén dirigidos a este público ya no estarían en el portal principal. La decisión es compleja teniendo en cuenta que dichos videos se encuentran entre los más populares y son atractivos para el modelo de publicidad de la firma. Por ejemplo, en 2018, el famoso canal Ryan Toys Reviews, protagonizado por un niño de 9 años, recibió 22 millones de dólares por publicidad en sus videos. Según los reportes, YouTube podría optar por medidas menos drásticas y suspender el sistema de recomendaciones automático en los videos infantiles. Ello responde a una encendida polémica que despertó el sistema de recomendaciones hace un par de semanas. Un reportaje de The New York Times denunció la existencia de ‘madrigueras de conejo’: al exponerse a contenidos nocivos, los usuarios resultan arrastrados a videos cada vez más controversiales, tóxicos y violentos, por ser los que mantienen a las audiencias conectadas la mayor cantidad de tiempo. Así mismo, meses atrás, un bloguero denunció la existencia de ‘agujeros de gusano’ en los que al visualizar contenidos de niñas, un par de clics después, gracias al algoritmo de recomendaciones, los usuarios solo visualizaban recomendaciones de videos de niñas. Aunque los contenidos eran inocentes (niñas practicando gimnasia o haciendo ballet), usuarios de la red social utilizaban los comentarios para etiquetar momentos específicos y hacer insinuaciones pedófilas. Los reclamos no son solo de los padres y de varias organizaciones sociales, sino también de marcas como Disney, Epic Games y McDonald’s que decidieron retirar sus anuncios en febrero pasado por las denuncias. Según agencias, la Comisión Federal de Comercio de EE. UU. está investigando las acusaciones de que YouTube ha infringido las reglas sobre la recopilación de datos y la publicidad para niños. Una ‘app’ infantil Según ha dicho la directora ejecutiva de YouTube, Susan Wojcicki, esta responsabilidad es su “prioridad numero uno”. Tras varios reclamos de la comunidad a finales de 2017, en 2018, YouTube dedicó recursos a la seguridad infantil y creó un consejo asesor externo. Solo en el primer trimestre de 2019, la compañía eliminó mas de 800.000 videos por violaciones a su política de seguridad infantil. También está trabajando en la inclusión de un ícono que le recuerde a los niños que deben ‘tomarse un descanso’ después de pasar mucho tiempo en la pantalla. YouTube Kids fue creada hace cuatro años con el objetivo de filtrar los videos del sitio principal y habilitar los que fueran aptos para niños. Pero menos de dos meses después de su lanzamiento ya había recibido denuncias como la de la coalición Campaña por una Niñez libre de comerciales, que indicó ante la FTC haber hallado contenido “no solo perturbador, sino potencialmente dañino” en esa plataforma. Según Bloomberg, los niños que usan YouTube superan de lejos a los que se mantienen en YouTube Kids. Mientras que el sitio principal tiene más de 1.900 millones de usuarios únicos mensuales, la aplicación infantil es usada por apenas 80 millones cada mes. Según fuentes de la compañía, los niños que miran YouTube Kids tienden a cambiar al sitio principal de YouTube antes de cumplir los trece años. Otras versiones dan cuenta de que el ‘salto’ a la plataforma principal ocurre alrededor de los siete años. Pese a su menor uso, YouTube Kids ha tenido sus propios escándalos: De videos perturbadores de adultos que hacían bromas pesadas a niños hasta contenidos animados alterados que mostraban a personajes como los cachorros de Paw Patrol o a Peppa Pig con armas o incitando a la violencia. Un estudio de la firma Insight Strategy Group, que encuestó a cerca de 12.000 niños y padres estadounidenses sobre su comportamiento en línea este año, encontró que alrededor del 97 por ciento de los niños usan YouTube y YouTube Kids. Así mismo, asegura que los niños entre los cinco y los doce años informaron que pasan mas tiempo en YouTube que en cualquier otro lugar, incluyendo al popular juego Fortnite y a la red social Instagram. REDACCIÓN TECNÓSFERA@TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/youtube-tiene-que-frenar-el-contenido-peligroso-para-los-ninos-en-la-red-378550
Ciberseguridad: Una ciudad paga a unos ‘crackers’ un rescate de 600.000 dólares para recuperar sus datos
Las extorsiones modernas se refieren a la información. Los delincuentes del presente y el futuro más próximo saben lo que valen nuestros datos. Lo ha mostrado alguna película y lo muestra ya la misma realidad. Hace tres semanas, unos cibercriminales secuestraron el sistema informático de la ciudad de Riviera Beach, en Florida (Estados Unidos). Recuperar esos datos tenía un precio: 600.000 dólares. Y los administradores del municipio han aceptado pagar el rescate. Según relata The Palm Beach Post, hace tres semanas, un empleado del ayuntamiento de esta localidad de la Florida pinchó sobre un enlace en un correo electrónico que recibió. Ese link malicioso permitía la entrada de un ransomware. Este tipo de malware secuestra los datos. Luego, sus usuarios, piden un rescate para recuperarlos. Y no se trataba de una broma; la cosa iba en serio. El ransomware encriptó todos los datos informáticos de Riviera Beach. Las primeras consecuencias fueron que el sistema de correo electrónico quedó deshabilitado. Además, empleados municipales y proveedores no pudieron ser pagados con un depósito en sus cuentas sino a través de cheques. Otro de los trastornos afectó a todos los habitantes de la localidad, en la que residen actualmente 35.000 habitantes. Las llamadas de los servicios de emergencias no podían llegar a los ordenadores públicos. De modo que el ayuntamiento de esta localidad de la Florida pagará a los crackers el rescate que piden. Y lo harán en bitcoins. 600.000 dólares, unos 530.000 euros, son al cambio 65 bitcoins. El coste es aún mayor porque además del chantaje, al municipio le toca ahora comprar nuevos ordenadores. Gastarán un millón de dólares en ello. Más de 170 administraciones de EE UU atacadas desde 2013 El ayuntamiento de Riviera Beach decicidó pagar a los ciberdelicuentes en una reunión extraordinaria que se llevó a cabo este lunes. La portavoz del consistorio, Rose Anne Brown, ha explicado a los ciudadanos las razones que les han llevado a aceptar el chantaje de los ladrones informáticos. En declaraciones a los medios, Brown explicó que habían consultado a expertos de seguridad informáticos. El consejo que les dieron era que pagaran para recuperar los datos. No obstante, la portavoz reconoce que el desembolso no garantiza que se recuperen todos los datos. En todo caso, el pago estará cubierto por el seguro de la ciudad. El ataque a Rivier Beach es el más reciente de una larga serie. Según la empresa de ciberseguridad Recorded Future, al menos 170 sistemas de gobierno de algún condado, ciudad o estado de EE UU han sido atacados por crackers desde 2013. En 2019 ya han sido más de 20 ataques a administraciones públicas, desde Baltimore a Albany, pasando por San Diego, Sarasota o un hospital de Los Ángeles. Como recuerda la Fundeu (Fundación del Español Urgente), los términos hacker y cracker tienen significados diferentes: «Mientras que el primero alude a la persona capaz de introducirse en sistemas informáticos ajenos, el segundo se refiere a quien lo hace con fines ilícitos». Fuente: https://www.20minutos.es/noticia/3678698/0/ciudad-eeuu-paga-rescate-crackers-robaron-datos/
Protección de Datos: Diez reglas para que las empresas eviten los riesgos legales de las redes sociales
Antes distinguíamos entre el mundo real y el digital, pero, a día de hoy, el mundo real es el digital». La sentencia, de la socia de Cuatrecasas (y exvicepresidenta del Gobierno) Soraya Sáenz de Santamaría, refleja cómo saber manejarse en la red ya no es opcional para nadie, tampoco para las empresas. El entorno digital, no obstante, no es una zona sin ley. Es cierto que no está completa y perfectamente regulado, pero eso no quiere decir que las compañías no deban adoptar una serie de pautas para minimizar los riesgos legales que conlleva interactuar en él. Cómo sumergirse en las redes sociales sin exponerse jurídicamente (o hacerlo lo menos posible) fue el tema central del coloquio que el pasado jueves se celebró en Cuatrecasas. Durante el encuentro, en el que intervinieron representantes de Banco Santander, Mapfre y Securitas Direct, se expusieron diez pautas para que las compañías eviten sustos. Conocer el canal La primera recomendación es conocer el canal. «WhatsApp, por ejemplo, no es una red de comunicación entre empresas. La información que allí se vuelca puede ser utilizada por la app», advirtió Carlos Relloso, head of digital comms & social media manager de Banco Santander. Muchas compañías, de hecho, redirigen comunicaciones que reciben a través de las redes sociales a sus call centers por seguridad. Protección de datos Un segundo factor a tener en cuenta es la normativa de protección de datos. Por un lado, los empleados que manejen las redes sociales deben ser muy cuidadosos con la información que suban a las mismas de sus clientes; de lo contrario, pueden verse expuestas a fuertes sanciones. Por otro, hay que advertir y educar a los clientes en no publicar información que pueda comprometerles. «A veces, los usuarios difunden datos que ponen en riesgo su propia seguridad», relató Laura Gonzalvo, dircom de Securitas Direct. Material audiovisual La compañía que publique fotos o vídeos que no sean de producción propia debe ser consciente de que es un material sujeto a derechos de autor, y que las autorizaciones tienen una limitación espacial y temporal. «Los derechos se ceden para un país y por un tiempo determinado», subrayó Jorge Monclús, asociado sénior de Cuatrecasas. Las reglas de la publicidad Monclús también recordó que la actividad publicitaria a través de las redes sociales está sujeta a la normativa que regula esta actividad. Así, la publicidad debe identificarse como tal, permitiendo conocer al anunciante. Unas reglas que, como incidió Albert Agustinoy, socio de Cuatrecasas, se endurecen si los destinatarios son menores. ‘Influencers’ Las compañías que empleen influencers deben ser conscientes de que la responsabilidad derivada de su mala actuación puede trasladarse a la organización. De hecho, existen precedentes de sanciones a compañías porque el influencer se ha saltado las reglas de la publicidad en sus publicaciones. Imágenes de empleados Otra de las iniciativas que puede volverse en contra de la compañía, a pesar de haberse tomado con la mejor intención, es la utilización de imágenes de los empleados para campañas de marketing. Si la empresa lo hace sin haber obtenido el consentimiento expreso del trabajador, podría estar vulnerando su derecho a la propia imagen y este podría actuar contra ella. Formación Al igual que los influencers, los empleados también pueden comprometer a la empresa con su actividad (tanto en las redes de la compañía como en sus propios canales privados). Por ello, resulta clave la formación previa y el establecimiento de protocolos de actuación. En el control laboral de la actuación de los trabajadores, no obstante, la organización debe respetar derechos como la libertad de expresión o la privacidad. Ataques externos En otras ocasiones, los riesgos son externos: que un tercero emplee de forma ilícita la propia marca, se suplante la identidad de la compañía o se difundan fake news sobre la misma. En estos casos, los expertos recomiendan monitorizar en tiempo real todo lo que sucede en la red para poder analizar cada caso y tomar la mejor decisión. Mismos protocolos Jaime Valverde, head of social media de Mapfre, apuntó que el 85% de las quejas que recibe su compañía a través de las redes son por sucesos sin cobertura. Sin embargo, los usuarios les amenazan con «hacer ruido» en internet para dañar su reputación. En este sentido, y al igual que Laura Gonzalvo, ambos apostaron por aplicar los mismos protocolos, ya sea una reclamación hecha en un canal público o privado. «Las reglas deben ser las mismas», afirmó Gonzalvo. Relación con la plataforma A pesar de demandar una mejor regulación y mayor implicación de las plataformas para luchar contra las malas prácticas, Gonzalvo también recomendó a los asistentes saber que pueden dirigirse a ellas para abordar los conflictos que surjan en la red. UN ENTORNO COMPLEJO Siete menciones al minuto. La labor de los encargados de las redes sociales no es en absoluto sencilla. Como relató Carlos Relloso, de Banco Santander, ellos reciben entre seis y siete menciones cada minuto. “Es bastante estresante”, remarcó, porque por cada una de ellas deben evaluar qué impacto tiene; aunque, como es lógico, no siempre se toma la decisión de intervenir. En el caso del banco, cuenta con 292 perfiles en redes sociales en todo el mundo. “Nos ha pasado que un compañero denuncie otro perfil pensando que es falso”, desveló. Asesoría legal preventiva. En el caso de Securitas Direct, el equipo que gestiona las redes sociales está compuesto por diversos perfiles: expertos en comunicación, en atención al cliente y abogados internos. El objetivo es “maximizar las oportunidades y minimizar los riesgos de forma preventiva”, explicó Laura Gonzalvo. Fuente: https://cincodias.elpais.com/cincodias/2019/06/24/legal/1561388901_330127.html
Protección de Datos: Google accedió a datos médicos de miles de pacientes sin permiso
Google y el Centro médico de la Universidad de Chicago deberán enfrentar una demanda colectiva en la que se acusa al instituto de salud de compartir de manera inapropiada con el gigante tecnológico los registros médicos confidenciales de miles de pacientes en Estados Unidos. Según un reporte de The New York Times, la institución médica y el gigante tecnológico hicieron una alianza en 2017 para compartir los registros de pacientes con el objetivo de mejorar el análisis predictivo de enfermedades con la ayuda de inteligencia artificial. La iniciativa consistía en crear una tecnología que pudiera leer los registros médicos electrónicos para identificar las afecciones médicas en un futuro, sin embargo, el compromiso contemplaba la no identificación de los pacientes ni la revelación de sus datos personales durante el proceso. De acuerdo con la demanda, que fue presentada en el Tribunal del Distrito de los Estados Unidos para el Distrito Norte de Illinois, la Universidad compartió cientos de miles de registros de pacientes con el gigante de la tecnología sin quitar las fechas, los datos de identificación, ni las notas de los médicos. El episodio pone a la compañía de nuevo en el ojo del huracán por las preocupaciones de privacidad al tener acceso más detallado sobre las vidas de los usuarios. Otras compañías como Microsoft y Apple también han sido cuestionados por sus planes de crear herramientas de diagnóstico usando los datos de pacientes. En el caso de Google, la demanda dice que la empresa recibió registros de cuándo los pacientes fueron admitidos y dados de alta del centro médico, lo que significa una violación potencial de la regulación federal de privacidad de datos de salud conocida como HIPAA. El documento resalta que lo grave es que esta información podría combinarse con los datos de localización recopilados por el sistema operativo móvil Android de Google para revelar las identidades de los pacientes, así como con otra información que el gigante tecnológico recopila por diferentes medios. Otros de los datos que se incluían fueron la estatura, el peso y los signos vitales de las personas; si sufren de enfermedades como el cáncer o el SIDA; y registros de procedimientos médicos recientes, incluyendo trasplantes y abortos. El Centro Médico de la Universidad de Chicago es acusado de no notificar a sus pacientes ni obtener su consentimiento expreso, antes de entregar sus registros médicos confidenciales a Google “para su propio beneficio comercial». Frente a esta situación, un portavoz de Google dijo a The New York Times: «Creemos que nuestra investigación sobre el cuidado de la salud podría ayudar a salvar vidas en el futuro, razón por la cual tomamos en serio la privacidad y seguimos todas las reglas y regulaciones relevantes en nuestro manejo de la salud». TECNÓSFERA Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/demanda-a-google-y-universidad-de-chicago-por-acceder-a-datos-medicos-de-pacientes-381320
Ciberseguridad: Cómo protegerse del robo de identidad móvil, una de las más peligrosas amenazas
Eran las once y media de la noche del lunes y Matt Miller fue despertado súbitamente por su hija: “Papá, creo que te han hackeado Twitter”. Este susto fue el pistoletazo de salida y solo la punta del iceberg de una angustiosa situación que derivó con la cuenta de su banco bloqueada, un cargo de 25.000 dólares no reconocido y toda su vida virtual en manos ajenas. Este bloguero detalló punto por punto su drama en un artículo publicado en ZDNET y titulado Historia de horror SIM Swap: he perdido décadas de documentos y Google no mueve un dedo. Miller había sido víctima de un fenómeno cada más habitual y que ya ha traspasado nuestras fronteras: el SIM swapping. ¿En qué consiste exactamente? El peligro real de esta técnica reside en que explota un punto débil en un poderoso sistema de protección de identidad: la verificación en dos pasos. Y tiene lugar de esta manera: los hackers se hacen con el número de móvil de la víctima e identifican al operador que les da servicio; hecho esto, se ponen en contacto con este operador haciéndose pasar por el titular de la línea (en este punto, evidentemente conocen más datos del afectado, como su DNI, posiblemente cuenta bancaria, etcétera) y con esta información explican que han perdido su móvil y desean un duplicado de la SIM. Una vez en su poder, los hackers acceden a los principales servicios de la víctima pulsando sobre “he olvidado la contraseña” y recibiendo los códigos de verificación en la línea ‘robada’. A partir de ahí es una bola de nieve que no para de crecer y el tiempo de reacción de la víctima resulta determinante. También en España El SIM swapping deja en evidencia la fragilidad del que es, hoy por hoy, el sistema de seguridad más eficaz: la verificación en dos pasos, consistente en la utilización de un dispositivo adicional (por lo general, el móvil) en el que se recibe un código temporal (o token) que acredita la identidad del usuario. En España este fenómeno es menos habitual que en Estados Unidos, pero comienzan a darse casos, aunque todo parece indicar que son más aislados. Desde Vodafone explican a EL PAÍS que las posibilidades de que suceda en su red son, salvo algún error en la cadena, inexistentes: en el caso de solicitud de un duplicado de SIM “se remite al cliente siempre a canales presenciales (tienda) y tiene que ir el titular siempre con el nif/nie original y la tienda se quedará con una fotocopia del mismo”. «En el caso de que el cliente no quiera o pueda ir a tienda, se le solicita DNI o clave de 4 dígitos (que haya elegido con anterioridad previamente) y se comprueba que no haya ningún cambio de datos reciente”, añaden. El peligro real de esta técnica reside en que explota un punto débil en un poderoso sistema de protección de identidad: la verificación en dos pasos Si un bloguero experto en tecnología como es el caso de este columnista de ZDNET ha padecido en carne propia este robo de identidad, ¿cómo puede protegerse el común de los mortales? De este suceso cada vez más frecuente se confirma que la recepción de un SMS es un sistema cada vez menos fiable, y hay que activar, en aquellos servicios que lo soporten, la verificación en dos factores que evita el uso de mensajes de texto y en su lugar emplea otros dispositivos del usuario para generar códigos temporales. En el caso de Apple, si uno tiene un iPhone, podrá emplear el iPad como soporte para activar el primero y viceversa. Pero todavía puede incrementarse más la seguridad empleando dispositivos físicos para verificar la identidad del usuario, como es el caso de Yubikey y similares: para acceder a un servicio en un equipo no reconocido, será necesario introducir este pendrive e identificar al usuario de forma biométrica. Se trata, hoy por hoy, del mayor nivel de protección que puede alcanzarse. Fuente: https://elpais.com/tecnologia/2019/06/20/actualidad/1561027045_086219.html
Ciberseguridad: Shodan el buscador de cámaras de seguridad, televisiones e incluso equipos médicos
Hay un lugar en el que se puede encontrar información e incluso llegar a controlar cámaras de seguridad, taxímetros, coches y yates. También televisores inteligentes, semáforos, hornos y neveras. E incluso se pueden hallar datos sobre gasolineras, lectores de matrículas y dispositivos médicos. Ese lugar se llama Shodan y, a diferencia de Google y otros motores de búsqueda que indexan solo la web, cuenta con información de todo tipo de dispositivos conectados a Internet. “Si tenemos en cuenta que casi todo está conectado a Internet y no siempre con la seguridad más adecuada, podríamos decir que las posibilidades están limitadas solo por la imaginación de los atacantes”, explica en una entrevista telefónica Pilar Vila, miembro del Grupo de Seguridad Informática y para la Defensa del Consejo General de Colegios Profesionales de Ingeniería Informática(CCII). Shodan es un buscador creado por el informático suizo John Matherly que puede ser utilizado con fines maléficos para hackear dispositivos o acceder a información sobre los mismos. Pero también puede ayudar a los defensores a encontrar las vulnerabilidades de sus propios equipos y corregirlas. La CNN lo describió como el motor de búsqueda más terrorífico de Internet. Para TechCrunch, es “una ventana al mundo de la absoluta inseguridad”. Pero, ¿es realmente el motor de búsqueda tan aterrador? EL PAÍS se ha reunido en Madrid con Fernando Gómez, también miembro del Grupo de Seguridad Informática y para la Defensa del CCII para saber cómo funciona este buscador. Gómez ha realizado previamente al encuentro una búsqueda para enseñar a este periódico qué se puede encontrar al navegar por él. Shodan incorpora distintos tipos de filtros. Se puede buscar por ciudad, país, fecha, sistema operativo o tipo de puerto. Gómez, que acude al encuentro con una hoja con varias IPs apuntadas, comienza buscando dispositivos conectados en Torrelodones (Madrid). Apenas tarda unos minutos en entrar dentro de una plataforma que le permite controlar la iluminación de un lugar determinado y distintas cámaras. En la página principal de la misma no se indica a qué corresponden los sistemas. No sabemos si se trata del control de dispositivos en una casa, un área específica o incluso el municipio entero. Mapa de los dispositivos conectados a Internet. SHODAN Pero una vez dentro del sistema, Gómez se niega a curiosear en el mismo: “No podemos pasar de aquí porque podríamos estar cometiendo un delito”. Entrar ha sido relativamente fácil. Al pinchar en el puerto, se ha abierto una pestaña en la que se solicitaba una contraseña. El usuario era “admin” y la clave, también. “Si tu usuario es ‘admin’ y la password también es ‘admin’ es como si estás diciendo que en tu casa la puerta está cerrada pero la llave está debajo del felpudo”, afirma el informático. Durante el encuentro, para averiguar otras claves de otros equipos, accede a una web en la que aparecen el usuario y la contraseña por defecto de múltiples dispositivos. Gasolineras, taxímetros y cámaras de seguridad Además de buscar por ubicación, también es posible hacerlo por tipo de dispositivo. Gómez introduce en el buscador “tank inventory”. Encuentra decenas de gasolineras de países de todo el mundo: desde Nueva Zelanda a Adeje, en Canarias, o Rota, en Cádiz. En un primer barrido por los primeros resultados, todas muestran la cantidad de los diferentes tipos de gasolina que tienen sus depósitos. Vila afirma que “dependiendo de lo que las gasolineras tengan abierto y sin protección, incluso se podría llegar a modificar sus precios”: “Por ejemplo, alterar las estaciones de autoservicio que cobran a través de tarjeta bancaria y hacer que cobren menos”. Lo mismo puede ocurrir con otros dispositivos conectados que aparecen en Shodan. Por ejemplo, el informático Chema Alonso explicó en su web en 2016 cómo era posible hackear taxímetros para, entre otras cosas, reiniciar el terminal justo antes de llegar al destino para que marque un precio menor. Durante el encuentro, Gómez consigue información de muchos otros dispositivos: desde impresoras a Play Stations, puntos de recarga e incluso barcos. Con solo introducir en el buscador VSAT, encuentra la ubicación de multitud de embarcaciones. Una de ellas navega cerca de Filipinas. Otra, de Turquía. También accede a las grabaciones de una cámara en tiempo real. En la pantalla de su ordenador, se muestra una calle de Estados Unidos. No se aprecian muy bien los detalles porque en ese momento allí es de noche, pero se ve una marquesina con un anuncio luminoso. “Podría hacer lo que quiera con esta cámara”, afirma el informático jubilado mientras señala las pestañas de administración y menú. Vila sostiene que en ocasiones envían a su fabricante las coordenadas de la casa que limpian: “El fabricante puede crear los planos correspondientes de la casa de ese cliente. Si un atacante es capaz de acceder a esta aspiradora o bien intercepta el envío de datos, podría tener toda esa información e incluso se podría plantear alterar el movimiento de la aspiradora si fuese posible por mala configuración” Los hospitales son infraestructuras críticas Hay infraestructuras críticas cuyo hackeo podría tener consecuencias devastadoras. Es el caso de los hospitales. Gómez, tras unos minutos de búsqueda a petición de este periódico, llega al servidor de correo de un hospital en Murcia: “No se puede hacer nada, pero lo ideal sería que ni apareciera”. También a la página de login del servidor de un centro en Granada. En ella, se le pide introducir un usuario y una contraseña: “En un hospital ni se me ocurre probar”. El informático asegura que esa página no debería aparecer en Shodan, ya que se podría hacer un ataque y acabar averiguando la contraseña. “Imagínate que un político importante va a un mitin en Andalucía, tiene un accidente de coche y le internan en este hospital. Una persona con malas intenciones podría entrar en el sistema y cambiar los medicamentos que se le deben administrar”, afirma. De hecho, los investigadores Scott Erven y Mark Collao demostraron en 2015 en una conferencia cómo pudieron acceder a decenas de dispositivos médicos de distintos hospitales utilizando Shodan, según informó la BBC. Por ejemplo, a equipos de resonancia magnética y desfibriladores conectados. Ambos aseguraron que los atacantes podrían incluso obtener datos
Ciberseguridad: Cibercrimen le cuesta a Colombia 190.000 millones de pesos al año
Distintos ataques como la suplantación de tarjetas SIM, vishing (mediante llamada telefónica), fraude enviados por WhatsApp, fraude de criptomonedas, ransomware, afectación de correos corporativos y muchos más, le costaron a empresas y agencias gubernamentales colombianas más de 190 mil millones de pesos en 2017, según el último reporte publicado por el Centro Cibernético de la Policía Nacional. Fenómenos como la globalización desarrollaron dinámicas corporativas y apalancaron el crecimiento exponencial de los mercados, trayendo consigo tecnologías inteligentes y simultáneamente amenazas virtuales que circundaron los entornos corporativos con el objetivo de atacar a sus víctimas en el momento exacto. Las empresas que exponen más información a sus clientes o proveedores, al igual que las que usan las tecnologías informáticas para optimizar procesos, se exponen más a los ciberataques. Por ende, deben implementar soluciones mas sofisticadas para su protección. Jay García, arquitecto de soluciones de ciberseguridad de la compañía Controles Empresariales explicó en un comunicado que a pesar de los casos registrados de ciberataques y sus consecuencias en el mundo corporativo, alrededor del 80 por ciento de las juntas directivas no hacen de la ciberseguridad un tema estratégico para sus compañías. «El 87 por ciento de las organizaciones todavía operan con niveles limitados de ciberseguridad y resiliencia, mientras que el 77 por ciento trabaja con medidas de protección básicas en materia de ciberseguridad. Esta falsa percepción de seguridad hace más fácil la labor de un ciberatacante”, afirmó. El estudio que cita García, fue una encuesta realizada por la Consultora EY a 1400 organizaciones. El documento expone que entre las principales preocupaciones de las organizaciones está que los empleados representan la mayor debilidad (34 por ciento), por la baja conciencia de los riesgos a los que se está expuesto y la poca cultura de seguridad, aclarando que las organizaciones han hecho muy poco para cambiar esta situación. En segundo término, señala que la mayoría de las organizaciones podrían no identificar todas las violaciones e incidentes de las que son víctimas (82 por ciento) lo cual impide una adecuada y oportuna reacción. Las pequeñas y medianas empresas también resultan atractivas para quienes están detrás de estas ciberamenazas. Un reporte de Data Breach Investigations arrojó que el 73 por ciento de las pymes y el 56 por ciento de las microempresas utilizan al menos un software como servicio. En otras palabras, si una ciberamenaza está en capacidad de neutralizar, paralizar o destruir los procesos de una organización grande, las pymes enfrentan un nivel de vulnerabilidad mayor en la medida en que no cuentan con lineamientos de protección adecuados. El 87% de las organizaciones todavía operan con niveles limitados de ciberseguridad y resiliencia, mientras que el 77% trabaja con medidas de protección básicas en materia de ciberseguridad. En el ámbito local, según la plataforma especializada en el análisis de servicios tecnológicos Comparitech, Colombia ocupa el puesto 39 en términos de vulnerabilidad en el marco de las ciberamenazas: En computadores las infecciones afectan el 16.4% de los sistemas, mientras que el 12.52% de los dispositivos móviles están infectados con algún tipo de malware que tiene como objetivo ingresar de manera fraudulenta en el sistema de los usuarios. Por último, García añade que el cibercrimen en Colombia tiene una tasa de crecimiento del 28,3 por ciento año tras año según reporte del Centro Cibernético Policial, donde aparecieron nuevas amenazas para la seguridad cibernética que atacan el bolsillo además de un bien invaluable: la privacidad de los ciudadanos. REDACCIÓN TECNÓSFERA @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/cibercrimen-le-cuesta-a-colombia-190-000-millones-de-pesos-al-ano-380830
