Protección de Datos: Operaciones de libranza pueden realizarse mediante firma digital
La Superintendencia de Sociedades emitió un concepto sobre la posibilidad de firmar contratos de libranza de manera virtual y por medio de firma electrónica. Al respecto precisó que la Ley 1527 del 2012 establece como requisito para que el asalariado pueda solicitar un crédito para la adquisición de productos o servicios por el mecanismo de libranza la autorización expresa a la entidad. Como puede evidenciarse, la norma no contempla ninguna prohibición sobre el uso de mensajes de datos, como las firmas digitales en este tipo de operaciones crediticias. No obstante, el solicitante deberá cumplir con lo dispuesto en la Ley 527/99, en relación con la firma digital. Supersociedades, Concepto 220-016062, 05/03/19. Fuente: https://www.ambitojuridico.com/noticias/mercantil/financiero-cambiario-y-seguros/operaciones-de-libranza-pueden-realizarse
Protección de Datos: «La industria del eufemismo: quién tiene y cuánto cuestan tus datos»
Cientos de empresas desconocidas controlan desde la sombra uno de los grandes negocios de la era de internet McDonald’s acaba de comprar una desconocida empresa tecnológica israelí. Se llama Dynamic Yield y, según su web, hacen esto: «Potencia una personalización profunda con una segmentación ágil y un sistema de manejo de datos». Es incomprensible. Así lo explican a continuación: «Unifica los datos de clientes entre todos los contactos offline y online y úsalos para potenciar tu ecosistema de marketing». Son todo eufemismos, lenguaje en código. En la nota de prensa de la adquisición, McDonald’s habla de mejorar la «personalización» y la «tecnología de decisiones lógicas» en base a compras previas, la hora del día, el clima y otros detalles menores. Pero eso no cuesta 300 millones de dólares –que es la cifra que dan varios medios norteamericanos– y Dinamic Yield, en realidad, sabe hacer más cosas. Por ejemplo: «Desencadenar capas de comportamiento». La traducción sería algo así: «Mandar mensajes a tu móvil en un momento muy concreto para que te animen a hacer algo que no tenías previsto hacer». McDonald’s es un buen cliente: vende un producto tentador pero con mala fama. Es fácil imaginar a un consumidor deseando y a la vez no queriendo una hamburguesa. ¿Y si McDonald’s pudiera saber cuándo nos ocurre eso y, quizá, animarnos a que va, venga, por un día no pasa nada? Dynamic Yield igual puede ayudarles. Con todos sus eufemismos, incentivar el consumo a través del móvil en tiempo real por vías legítimas –el usuario da sin ser consciente su visto bueno al descargarse una app, comprar un jersey o visitar una web– es una vía comercial habitual hoy. Una mañana sale alguien de su casa y navega por internet mientras desayuna. Su patrón de webs visitadas varía respecto a otros días. Mira, por ejemplo, más webs del corazón, una pista que se asocia con tristeza. La tristeza es un factor que aumenta las ganas de comprar. En ese preciso momento, un email, pop-up o sms con una oferta de abrigo o viaje tiene más probabilidades de ser eficaz. El precio barato de tus datos En 2018 había en el mundo 33 zetabytes de datos. En 2025 habrá 175, según un estudio de la consultora International Data Corporation (IDC). Un zetabyte son 1021 bytes. Es la unidad que va después del gigabyte, terabyte, petabyte y exabyte. Todas las palabras que han sido dichas por la humanidad ocupan 5 exabytes, ni siquiera 1 zetabyte, según TechTarget. En 2010, apenas había un par de zetabytes en total. El crecimiento de los datos en la nube de empresas, humanos, coches e instituciones en la nube será sideral. Estamos solo en el primer capítulo de la era de los datos. Quizá entonces el valor de nuestros datos crezca, porque hoy nuestros datos son baratos: 1,42 euros al mes en Europa, 1,05 en el mundo, según los cálculos de la publicación Strategy+Business. No es mucho, pero es que de momento generan sobre todo anuncios. Los dominadores son Google y Facebook. El trabajo que harán empresas como Dynamic Yield está creciendo y convertirán a todas las empresas en tecnológicas. La industria de los datos es muy desconocida. «El propio ecosistema global permite que no todos tengan toda la información, pero puedan hablar entre sí. No tienen que dar explicaciones a nadie. Es un mercado que pasa por debajo del agua. Nada transparente. También porque escapa jurisdicciones. Es todo muy nuevo», dice Juan Tapiador, profesor de la Universidad Carlos III. Las empresas son esencialmente de dos tipos: unas rastrean datos y otras los ordenan. A veces hay empresas que hacen ambas cosas. Son inmensamente útiles: no es lo mismo tratar de convencer a 1 millón de personas con un anuncio en la tele que a 50.000 que les interesa tu producto y justo en este momento es más probable que vayan a comprarlo. Entre 2013 y 2018, Facebook tuvo un acuerdo con al menos cuatro grandes empresas de comercio de datos, Acxiom, Epsilon, Experian y Oracle Data Cloud: «Ese acuerdo con Facebook nos ha permitido por primera vez en la historia ver qué datos tienen las agencias de datos, pero no saber de dónde vienen», dice Oana Goga, investigadora del Centro Nacional de Investigación Científica en Grenoble (Francia). LA RIDICULEZ DEL CONSENTIMIENTO Todas estas empresas aprovechan la falta de interés hasta ahora por la privacidad y los términos de uso. En un nuevo artículo científico titulado sobre las «contradicciones en las políticas de privacidad de las apps», del ICSI (University de Berkeley), IMDEA Networks y la Universidad Carlos III de Madrid se analizan 68.051 apps de la Google Play Store. El 66,4% menciona una relación con comerciantes de datos, «lo que sugiere que el resto no transmite datos personales a dominios externos», escriben los autores. Pero no: un 10% del total sigue haciéndolo sin advertir. Además solo un 22% de todas nombran expresamente a sus socios de datos. Pero lo mejor es que esas menciones son eufemísticas. Son empresas que solo ayudan a otras empresas a vender más. Esas empresas tenían cientos de variables de información sobre más del 90% de usuarios de Facebook en Estados Unidos. Los investigadores miraron otros seis países y el volumen era menor. Esta información la hizo pública Facebook durante 5 años en su herramienta de audiencias. Las empresas de datos siguen haciendo su trabajo sin Facebook. Una prueba de las ganas que tiene este sector de permanecer en la sombra es cómo esconden su actividad. El dominio rlcdn.com habla con cientos de apps, entre ellas muchos medios, grandes servicios y hasta páginas porno. ¿Para qué quiere saber una empresa de perfilado que alguien ve porno? O, mejor aún, ¿cuánto porno ve? El registro del dominio está hecho en Panamá y varios proxies y nombres pantalla aspiran a ocultar quién está al final de la cadena. La atribución es uno de los retos de los académicos que estudian el sector. Los datos se transmiten vinculados a algún identificador personal. «Hay datos en nuestros dispositivos que son persistentes y permiten identificar a cada usuario y dispositivo de
Protección de Datos: Android estaría monitoreando a sus usuarios sin su consentimiento
Una investigación del Instituto IMDEA Networks y la Universidad Carlos III de Madrid halló que los móviles del sistema operativo Android, el más usado en el mundo, acceden a datos personales de sus usuarios «de forma masiva» mediante de aplicaciones que vienen instaladas por defecto en los dispositivos. El estudio, que fue difundido por la Agencia Española de Protección de Datos, incluyó más de 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos Android fabricados por 214 marcas. Luego de un riguroso seguimiento, se identificó que la mayoría presenta comportamientos «potencialmente maliciosos» o no deseados, incluyendo muestras de malware, troyanos genéricos o software preinstalado que, afirman los autores, facilitaría prácticas fraudulentas. Los investigadores advierten que prácticamente en todos los fabricantes se ha detectado algún tipo de software preinstalado que utiliza acceso privilegiado sin conocimiento del usuario al sistema para la obtención de datos personales. “La conclusión es que existe un complejo sistema de desarrolladores y acuerdos comerciales con aplicaciones preinstaladas que disponen de permisos que no se corresponden con los originarios de Android para dar acceso a sus servicios sin posibilidad de que un usuario medio pueda desinstalarlas” afirmó Narseo Vallina-Rodríguez, de IMDEA Networks. Una cuestión comercial Los beneficiados del acceso a los datos de los usuarios de Android, según los expertos, son multitud de compañías que van desde fabricantes, hasta operadores, redes sociales, empresas multimedia, de videojuegos, de antivirus, y un sinfín más, para actividades comerciales propias o vender la información. «(…) existe un complejo sistema con aplicaciones preinstaladas que disponen de permisos para dar acceso a sus servicios sin posibilidad de que un usuario pueda desinstalarlas» De hecho, el informe pretendía revelar acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en el rastreo de usuarios y en proporcionar publicidad en internet. De este tipo, el estudio identificó 1.200 compañías y más de 11.000 librerías (software incluido en las apps para proporcionar servicios añadidos) de las cuales muchas están relacionadas con actividades de publicidad y monitorización «on line» con fines comerciales. Android es un sistema operativo móvil desarrollado por Google, basado en el Kernel de Linux y otros software de código abierto. Se estima que lo usan entre un 37 y un 40 por ciento de los equipos móviles que acceden a la web. REDACCIÓN TECNÓSFERA* *Con Efe @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/android-filtra-la-informacion-de-los-usuarios-con-fines-comerciales-339034
Protección de Datos: Snapchat reconoce que su mínimo de edad no funciona
La red social de fotografías efímeras Snapchat estudia nuevas limitaciones para menores de edad en la plataforma. Así lo reveló un alto ejecutivo de la aplicación ante un panel de legisladores del Reino Unido, uno de los principales mercados para esa plataforma de mensajería juvenil. Stephen Collins, director senior de Política Pública Internacional en Snapchat, dijo a un comité de legisladores que la aplicación está trabajando en resolver el problema de que menores de 13 años se registren en la plataforma. Según Collins, un sistema de verificación central sería la «solución más sostenible». «Creo que es un intento serio de llegar a una conclusión adecuada y adecuada para este problema», dijo Collins. Aunque Snapchat tiene un requisito de edad mínima de 13 años y le pregunta a los usuarios su fecha de nacimiento al configurar una cuenta, no existe un sistema capaz de verificar la edad de los usuarios. Collins, junto con el director de estrategia creativa de Snapchat, Will Scougal, presentaba pruebas a un panel de legisladores británicos que examinaba el papel que tienen las «tecnologías de inmersión y adictivas» en la sociedad, y en particular en los niños pequeños. Ante las preguntas de los legisladores, los ejecutivos de la aplicación defendieron la función «Streaks» de Snapchat, que recompensa a los usuarios que envían mensajes a sus amigos al menos diariamente con insignias como un emoji especial dentro de la aplicación, lo que aumenta el tráfico en la plataforma. Para el legislador Damian Collins, quien encabezó una investigación anterior sobre noticias falsas, «Streaks» podría ser estresante y adictivo para los usuarios más jóvenes, mientras que Snapchat también sale beneficiado. «La evidencia que hemos recibido es que crea una presión de grupo para mantener a Streaks activa y no me queda claro cuál es el propósito», dijo el legislador Collins. «Podría crear una presión innecesaria sobre los jóvenes, ya que se considera un reflejo de su amistad». El creativo de Snapchat, Scougal, dijo que esa funcionalidad «no es una característica central de la aplicación en ningún sentido». Los ejecutivos dijeron que la compañía revisará el pensamiento detrás de Streaks. Los altos ejecutivos de la compañía dijeron que sentían que se necesitaba un plan respaldado por el gobierno para hacer cumplir adecuadamente los límites de edad en línea, que presentaron ante el comité de Digital, Cultura, Medios y Deportes el martes. REDACCIÓN TECNÓSFERA* *Con Bloomberg Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/snapchat-prepara-mayores-controles-para-evitar-adiccion-en-menores-de-edad-339872
Protección de Datos: Ataque a restaurante en EE. UU. expone datos de millones de tarjetas
La cadena de restaurantes de Estados Unidos Earl Enterprise, dueña de establecimientos nacionales tan populares como Buca di Beppo, Earl of Sandwich y Planet Hollywood, confirmó que los datos de las tarjetas de crédito de dos millones de personas fueron vendidos en internet luego de que la compañía sufrió una brecha de seguridad. Según la firma KrebsOnSecurity, cibercriminales instalaron malware en los sistemas de puntos de venta para lograr robar los datos. De acuerdo con el reporte, el pasado 20 de febrero de 2019 la información fue publicada en un popular foro de venta de tarjetas de crédito. El fallo se presentó en los sistemas de pago de docenas de restaurantes durante 10 meses, entre el 23 de mayo de 2018 y el 18 de marzo de 2019, según informó la firma. Earl Enterprises no especificó cuántos clientes en total pudieron haberse visto afectados por el robo pero habilitó un sitio web para verificar los restaurantes filtrados por locaciones: http://www.earlenterprise.com/incident/ La compañía señaló que una vez se enteraron del incidente, “comenzaron rápidamente una investigación interna y contrataron a dos de las principales empresas de ciberseguridad” para tomar las medidas necesarias. El software malicioso fue diseñado para capturar datos de tarjetas, que podrían haber incluido números de tarjetas de crédito y débito, fechas de vencimiento y, en algunos casos, nombres de titulares de tarjetas. La compañía señaló que el incidente ya fue solucionado y que se continúan realizando monitoreos en los sistemas para prevenir que incidentes similares vuelvan a suceder en el futuro. Earl Enterprises recomendó a los clientes revisar cuidadosamente los estados de cuenta de las tarjetas de crédito y débito tan pronto como sea posible para detectar cargos sospechosos o actividades que no reconoce. “Lo invitamos a que permanezca alerta y continúe monitoreando para detectar actividades inusuales en el futuro. Si ve algo que no reconoce, debe notificar inmediatamente al emisor de la tarjeta de crédito o débito”, señaló la empresa. Los pedidos en línea pagados a través de aplicaciones o plataformas de terceros no se vieron afectados por este incidente ni tampoco los establecimientos por fuera de Estados Unidos. TECNÓSFERA Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/ataque-a-earl-enterprises-en-ee-uu-expone-datos-de-millones-de-tarjetas-344358
Protección de Datos: Informático despedido elimina 23 servidores AWS de su antigua empresa
Un informático ha sido encarcelado después de que fuera despedido por haber tenido un rendimiento muy bajo en las últimas cuatro semanas. El motivo de su encarcelamiento fue apropiarse de las credenciales de un antiguo compañero, con las que se conectó a las cuentas Amazon Web Services (AWS) de su antigua empresa y eliminó 23 servidores. La policía británica del Valle de Támesis anunció el lunes que Steffan Needham, de Bury, Greater Manchester, de 36 años de edad, fue sentenciado a dos años de cárcel tras un juicio de nueve días. Needham se declaró no culpable de dos cargos contra la Ley del Uso Indebido de Ordenadores, un cargo por acceso no autorizado a datos informáticos y otro por modificación de datos informáticos, pero fue condenado en enero. Como el Mirror informó durante el juicio de Needham en enero, el informático fue despedido después que realizara un pésimo trabajo durante un mes en una empresa de marketing digital llamada Voova en 2016. En los días siguientes a ser despedido, Needham estuvo ocupado: utilizó unas credenciales robadas para colarse en la cuenta de un antiguo colega (Andy “Speedy” Gonzalez) y comenzó a manipular la configuración de la cuenta. Lo siguiente fue borrar los servidores AWS de Voova. El resultado para la empresa supuso pérdidas de grandes contratos con empresas del transporte. La Policía dijo que el suceso causó unas pérdidas estimadas de 580.000€. La empresa dijo que nunca fue capaz de recuperar los datos borrados. Tardaron meses en descubrir la implicación de Needham, quien fue arrestado en marzo de 2017, cuando estaba trabajando para otra empresa en Manchester. Voova, como todas las empresas, debería hacer unas cuantas cosas para protegerse contra este tipo de pesadilla. Los expertos en seguridad estaban de acuerdo, como el fiscal Richard Moss señaló durante el juicio, que Voova pudo realizar un mejor trabajo en seguridad. El CEO de Voova, Mark Bond, admitió en el juzgado que la empresa pudo haber implementado la autenticación de doble factor (2FA), lo que haría mucho más difícil que Needham se hiciera pasar por su antiguo compañero “Speedy” y dañar los servidores. Por supuesto, también pudieron eliminar las cuentas una vez que sus empleados dejan de trabajar en la empresa. Es muy importante destacar la necesidad de disponer de un plan para cuando los empleados terminan su relación con la empresa que incluya desde el acceso físico a las instalaciones, a hardware como portátiles, teléfonos y acceso remoto a correo, desvió de llamadas o acceso al software y servicios de la empresa. Fuente: https://news.sophos.com/es-es/2019/03/25/informatico-despedido-elimina-23-servidores-aws-de-su-antigua-empresa/
Protección de Datos: ¿Qué tan juiciosos fueron los ministerios con el Registro Nacional de Bases de Datos?
El pasado 31 de enero venció el plazo fijado por la Superintendencia de Industria y Comercio (SIC) para que todas las entidades públicas de Colombia reportaran sus bases de datos con datos personales de ciudadanos a través del Registro Nacional de Bases de Datos (RNBD). Este registro es muy importante, ya que le permite a la Superintendencia verificar el uso que le están dando tanto las entidades públicas y privadas a nuestros datos personales y que se estén cumpliendo con condiciones mínimas de seguridad y privacidad de la información. El 15 de enero de 2019 la Presidencia de la República emitió una Circular Presidencial 01 de 2019 dirigida a todas las entidades de la Rama Ejecutiva del Orden Nacional informando el vencimiento del plazo fijado en el Decreto 1074 de 2015. Adicionalmente antes de la fecha límite, pude ver como el superintendente Andrés Barreto visitó varios medios de comunicación donde instó a las entidades públicas a cumplir con este compromiso. Sin embargo, según cifras dadas por el mismo superintendente en entrevista cona Juan Lozano en el programa Al Punto del Canal Red+ el 29 de enero de 2019, solo el 10% de las entidades públicas había cumplido con el requisito. Entidades públicas es hora de dar ejemplo y mejorar las cifras. HOY vence el plazo para el Registro Nacional de Bases de Datos y evitar sanciones: https://t.co/lZYwZw8w2a @ALPuntoJL @andresbarretog pic.twitter.com/i951V3O5sH — Superintendencia de Industria y Comercio 🇨🇴 (@sicsuper) January 31, 2019 Ante este preocupante panorama, consulté el sitio público dispuesto por la SIC para conocer cuántas bases de datos reportaron cada uno de los 16 ministerios de Colombia en el RNBD. Encontré los siguientes resultados: El que más bases de datos reportó fue el Ministerio de Cultura con 213. Sin embargo, hay que aclarar que cantidad no significa calidad. Si tomamos estos datos como linea base podríamos afirmar que: Todos los ministerios cumplieron con el reporte en RNBD, aunque queda la duda de por qué algunos ministerios reportaron menos bases de datos que otros. ¿Estamos cumpliendo solo por cumplir y evitar sanciones disciplinarias de la Procuraduría General de la Nación? En promedio cada ministerio posee 49 bases de datos con datos personales. En total todos los ministerios reportaron 784 bases de datos. Si este solo es el 10% de las bases de datos calculadas por la SIC, ¿entonces estaríamos hablando que todos los ministerios podrían tener un total de 7840 bases de datos? Desde mi perspectiva el panorama es preocupante, ya que se podría afirmar que 10 de los 16 ministerios que reportaron menos de 49 bases de datos incumplieron con la tarea al situarse por debajo del promedio. Si bien no es una excusa, cabe mencionar que a mi parecer la fecha del 31 de enero de 2019 no fue la mejor, considerando que es una época donde la mayoría de las entidades públicas adolecen de falta de personal que se vincula mediante la figura de prestación de servicios y se debe cumplir con otras obligaciones como la publicación del Plan de Acción y otros planes definidos en el Decreto 612 de 2018. Para mejorar este tema propongo que el Departamento Administrativo de la Función Pública y la Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de los Datos Personales, unir esfuerzos y realizar las siguientes acciones de manera conjunta y coordinada: Adjuntar la política de protección de datos personales de la SIC como la política número 18 dentro del Modelo Integrado de Planeación y Gestión. Crear el cargo del Oficial de Protección de Datos Personales (como se hizo en su momento con los CIOs a través del Decreto 415 de 2016) dentro de las entidades públicas y no delegar esta responsabilidad en las Oficinas de TI o las Oficinas de Planeación las cuales tienen otras responsabilidades. Unificar o cruzar el Registro Nacional de Bases de Datos (RNDB) con el Formulario Único de Registro de Avance de la Gestión (FURAG), de esta forma no serían 2 reportes totalmente separados si no por el contrario complementados. Acelerar la integración de las políticas de explotación de datos – Big Data (CONPES 3920 de 2017) con la política de protección de datos personales. Fuente: https://www.las2orillas.co/que-tan-juiciosos-fueron-los-ministerios-con-el-registro-nacional-de-bases-de-datos/
Ciberseguridad: Colombia y Chile firman memorando de cooperación en ciberseguridad
En el marco de la visita oficial del presidente Iván Duque a Chile, los ministros de Relaciones Exteriores de ambos países suscribieron este jueves un Memorando de Entendimiento en materia de ciberseguridad, ciberdefensa y cibercriminalidad. El documento busca promover la cooperación recíproca en estas áreas, así como la coordinación entre ambos países. Desde la Consejería Presidencial para la Innovación y Transformación Digital, los ministerios de las TIC; Defensa; Justicia, y Relaciones Exteriores, así como la Fiscalía se espera realizar diferentes iniciativas para fortalecer las relaciones con el Gobierno chileno y el desarrollo legislativo y de protocolos en materia cibernética. Así mismo, el Memorando contempla la posibilidad de invitar a representantes del sector privado, equipos de respuesta a incidentes cibernéticos sectoriales, sociedad civil, y academia, para que participen en actividades de cooperación. TECNÓSFERA @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/colombia-y-chile-firman-memorando-de-cooperacion-en-ciberseguridad-340812
Ciberseguridad: Miles de ordenadores Asus fueron contaminados con un programa maligno
Asus, uno de los principales fabricantes de ordenadores del mundo, contaminó sin saberlo miles de sus productos con un programa maligno (‘malware’) después de que piratearan uno de sus servidores, confirmó este martes la firma de seguridad rusa Kaspersky Lab. Más de 57.000 personas instalaron sin saberlo el ‘malware’ a través del programa de actualización de software de Asus, al que accedieron los piratas. «La utilidad pirateada estaba firmada con un certificado legítimo y hospedado en el servidor oficial de Asus para las actualizaciones, lo que le permitió permanecer sin ser detectado durante mucho tiempo», indicó Kaspersky. El incidente, llamado «ShadowHammer», pone de relieve la amenaza que suponen este nuevo tipo de ataques que instalan programas malignos directamente en los sistemas del fabricante del material. Asus, que fabrica ordenadores personales, portátiles, teléfonos y otros productos electrónicos, indicó en un comunicado que actualizará su software para «prevenir cualquier manipulación malintencionada en forma de actualizaciones de software o por otros medios». Fuente: https://www.elespectador.com/tecnologia/miles-de-ordenadores-asus-fueron-contaminados-con-un-programa-maligno-articulo-846871
