8 de cada 10 empresas han sido víctimas del robo de identidad empresarial: estas son sus consecuencias
Los ataques de robo de identidad empresarial aumentaron sustancialmente el último año. Las consecuencias son catastróficas. Conforme las compañías adoptas nuevas tecnologías, la industria se hace testigo del preocupante aumento de los ataques cibernéticos. Los cuales no solo afecta individuos, sino también a organizaciones, convirtiéndose en víctimas del robo de identidad empresarial. Y a su vez, poniendo en riesgos su operaciones internas, seguridad e integridad de datos confidenciales. Los piratas informáticos tienen una razón clara para tomar como objetivo a dichas empresas; obtener grandes beneficios e información valioso. Estos van desde datos personales de clientes, hasta secretos comerciales y propiedad intelectual. De manera que puedan usarlos para generar ganancias financieras ilícitas, extorsionando a la empresa o vendiendo la información a terceros. Fraude financiero o estafas De acuerdo con la encuesta de Global Know Your Business (KYB) de Trulioo. Un alarmante 79% de las empresas a nivel mundial son víctimas de robo de identidad empresarial. Esto conforme las organizaciones se adaptan a nuevos entornos digitales, brindándoles a los ciberdelincuentes la oportunidad de aprovechar brechas o medidas de seguridad mal implementadas. Estas van desde contraseñas débiles o fáciles de adivinar, software desactualizado, falta de departamentos de seguridad o acceso no controlado a datos confidenciales. Uno de los principales impactos de esto siendo el fraude financiero o estafas. Ya que utilizan la información robada para realizar transacciones fraudulentas, compras en línea o transferencias bancarias no autorizadas a nombre de la empresa. Extorsión a las víctimas del robo de identidad empresarial Un ejemplo destaca, sería la violación de seguridad de T-Mobile a finales del 2022, la cual le contó US$ 350 millones de dóalres. En la que los piratas informáticos obtuvieron acceso a la base de datos, incluyendo archivos personales y detalles de tarjetas de crédito. Posteriormente, afirmando que tenían “información completa de más de 100 millones de usuarios” de la compañía. Es así como los ciberdelincuentes extorsionaron a la empresa por más de 270 mil dólares. A cambio del subconjunto de datos que contenía más de 30 millones de números de seguridad social y licencias de conducir. Por su parte, la empresa enfrentó pérdidas financieras significativas y una disminución en la confianza de sus clientes. Un claro ejemplo del impacto del robo de identidad empresarial. Suplantación de identidad El robo de datos personales o empresarial también puede usarse para suplantar una identidad y realizar actividades fraudulentas. Ya que los estafadores pueden abrir cuentas bancarias, realizar transacciones comerciales o cometer actos delictivos bajo el nombre de la empresa afectada. Todo esto a través de la obtención de información confidencial. Lea también: ¿Hacia un ‘abismo cibernético’ de la seguridad en 2024? Un ejemplo de este tipo de ataques sería la violación de seguridad a 23andMe, donde robaron datos genéticos de personas pertenecientes al servicio. Desde nombres y apellidos, direcciones de corre electrónico y fechas de nacimiento, hasta información relacionada a la ascendencia y el historial genético de los usuarios. Básicamente, todo los elementos necesarios para suplantar la identidad de una persona. Espionaje industrial o filtración de propiedad intelectual En esta práctica, una empresa intentaría obtener información o datos confidenciales de su competencia. Esto a través de grupos de piratas informáticos, quienes violentarían las comunicaciones electrónicas y utilizarían técnicas de ingeniería social en los empleados del objetivo. Lo que puede tener un impacto masivo, resultando en pérdida de propiedad intelectual valiosa para la compañía. Por ejemplo, una empresa de tecnología líder que desarrolle un nuevo producto, invirtiendo mucho tiempo y recursos como resultado. Mientras que un hacker accede a sus sistemas y roba los datos relacionados con el mismo, los cuales se venden a un tercero interesado. En este sentido, un competidor desleal que pagaría una gran suma de dinero por la información. Pausa indefinida en las operaciones y daño de reputación comercial El robo de identidad empresarial es extremadamente peligro y tendría consecuencias devastadoras para empresas que no se preparan adecuadamente para responder a estos incidentes. Así pues, viéndose obligadas a pausar indefinidamente sus operaciones y solicitar una investigación exhaustiva,así como una revisión completa de sus procesos internos. Pero eso no es todo. Ya que aparte de las pérdidas económicas directas, el robo de identidad empresarial tiene un impacto negativo en la relación con los clientes finales. Si se produce un robo de identidad, se generará un profundo descontento que impulsará la desconfianza. Lo que a su vez dañaría su reputación como marca, afectando la retención de futuros clientes. FUENTE: Martorell Delgado, Sergio. »8 de cada 10 empresas han sido víctimas del robo de identidad empresarial: estas son sus consecuencias» Larazon.es. 22/10/2023. (https://www.larazon.es/emergente/8-cada-10-empresas-han-sido-victimas-robo-identidad-empresarial-estas-son-sus-consecuencias_2023102265323695a1cbe00001728d4b.html).
LA AEPD impone la primera sanción por la utilización de patrones oscuros en el diseño de la interfaz de usuario de una página web para configurar las opciones de privacidad
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 5.000 euros a una empresa por la utilización de patrones oscuros (dark patterns) de sobrecarga (overloading) y de ocultación (skipping), para la gestión de la política de privacidad de una página web de la que es titular. Es decir, estos patrones se refieren a aquellos interfaces o implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y en las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que dichas personas tomen decisiones potencialmente perjudiciales para la protección de sus datos personales. En concreto, se considera acreditado que estos patrones oscuros de sobrecarga (overloading) y de ocultación (skipping), se observan cuando se accede al apartado “Lista de proveedores” de la sección “Política de privacidad” de la página web de la que es titular la sancionada. Una vez allí, el interesado se encuentra con una lista de unas 130 empresas (proveedores), de las cuales, más de la mitad tienen marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”, lo que obliga, en el caso de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la lista, sin que exista la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga en el afectado. Los artículos infringidos, según la AEPD La Agencia considera que esta conducta constituye una infracción del artículo 5.1.a) del RGPD (LA LEY 6637/2016), tipificada en el artículo 83.5.a) del mismo Reglamento, y calificada como “muy grave” a efectos de prescripción en el artículo 72.1.a) de la LOPDGDD (LA LEY 19303/2018). Por ello, en virtud de las circunstancias concurrentes en el presente caso, en particular, en calidad de agravantes (artículo 76.2 de la LOPDGDD (LA LEY 19303/2018), la vinculación de la actividad del infractor con la realización de tratamientos de datos personales, y que en la actividad que se desarrolla se ven implicados los datos personales de los clientes de ésta, se considera procedente imponer una multa de 5.000 euros (cinco mil euros). Podría interesarle: Spam telefónico: Protección de Datos (España) ya permite grabar las llamadas comerciales para denunciarlas Además, se ordena a la empresa titular de la página web en cuestión, que en el plazo de un mes contado desde la notificación de la sanción, adopte las medidas necesarias para adecuar su actuación a la normativa de protección de datos personales y, en concreto a lo estipulado en el artículo 5.1.a) del RGPD (LA LEY 6637/2016). Concepto y clases de los patrones oscuros, para explicar el por qué de la multa de la AEPD Tal como explica la Agencia en la resolución del expediente N.º: EXP202211953 (PS/00080/2023), el término “patrones oscuros” hace referencia a los interfaces o implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y en las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales. En este sentido, en mayo de 2022 el Comité Europeo de Protección de Datos (EDPB) adoptó unas ‘Directrices sobre patrones oscuros (dark patterns) en interfaces de redes sociales, Cómo reconocerlos y evitarlos”. Estas directrices, al igual que los apartados VI y VIII de la “Guía de protección de datos por defecto” de la AEPD, toman como punto de partida el artículo 5.1.a del RGPD para evaluar cuando un patrón de diseño en una interfaz de usuario corresponde con un patrón oscuro. Dicho artículo recoge, entre los «Principios relativos al tratamiento», que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado «licitud, lealtad y transparencia». Y, en aplicación de ese principio de lealtad, “los responsables del tratamiento han de garantizar que no se emplean patrones oscuros, al menos, con relación a las decisiones respecto del tratamiento de sus datos personales”. Los dark patterns pueden presentarse al usuario en operaciones de tratamiento de diversa índole, como durante el proceso de registro o alta en una red social, al iniciar sesión o también en otros escenarios como en la configuración de las opciones de privacidad, en los banners de cookies, durante el proceso de ejercicio de derechos, en el contenido de una comunicación informando sobre una brecha de datos personales o incluso al intentar darse de baja de la plataforma. De acuerdo con las Directrices del EDPB, los dark patterns pueden clasificarse en las siguientes categorías: – Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones. – Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide. – Emoción (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones. – Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones. – Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario. – Enturbiación (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua. Una práctica común De acuerdo a una nota remitida por el servicio de defensa de usuarios «Membrana de datos» de “Somos Conexión”, una
Google ofrece capacitación y herramientas para la ciberseguridad
Google lanzó recientemente un nuevo Certificado de Carrera en Ciberseguridad, disponible en Coursera, y comparte consejos para proteger la información en línea. Según el Índice Global de Ciberseguridad, publicado este año, América Latina es la región más vulnerable del mundo ante los ciberataques, que aumentaron un 38% en todo el mundo durante 2022. De ahí que tener herramientas para protegerse de estos atentados se vuelve cada vez más una necesidad tanto para personas como para empresas y/o gobiernos, ya que todas utilizan a diario algún sistema virtual, están conectadas, tienen una identidad digital y/o utilizan servicios en línea. Estas herramientas permiten mantener a las personas más protegidas en Internet, al verificar el estado de seguridad de la cuenta de Google, detectar y bloquear correos electrónicos falsos, agregar una capa extra de seguridad al iniciar sesión, denunciar contenidos dañinos y realizar pagos seguros. Con esto en mente, Google presentó nuevas capacitaciones en este ámbito para el desarrollo profesional y fomentar la empleabilidad de esta área en Hispanoamérica. Se trata del nuevo Certificado de Carrera en Ciberseguridad, disponible en la plataforma en línea Coursera, con el objetivo de desarrollar talento especializado para el mercado laboral latinoamericano en esta área. En el mismo se pueden aprender y adquirir habilidades demandadas que preparan para puestos de nivel inicial como analista de ciberseguridad, analista del centro de operaciones de seguridad (SOC), etc., de la mano de expertos en esta materia. No es necesario contar con un título universitario ni experiencia previa; además la capacitación es flexible, adaptable al horario de cada persona, y en español. ¿Qué se podrá aprender en el curso gratuito de Google? En el curso podrá aprender sobre fundamentos de la ciberseguridad, herramientas como Python, SQL, Linux, gestión de eventos e información de seguridad (SIEM), sistema de detección de intrusiones (IDS), comunicación y resolución de conflictos. Podría interesarle: Ciberseguridad en el mundo: Los países más vulnerables y las tendencias de ciberataques Los analistas de ciberseguridad son profesionales que trabajan para proteger a las organizaciones y a las personas de cualquier daño. Supervisan continuamente los sistemas y las redes, investigan amenazas potenciales y en curso, evalúan la situación para encontrar la mejor solución y protegen redes, dispositivos, personas y datos. Los analistas de ciberseguridad utilizan habilidades analíticas y técnicas para descifrar los enigmas de la ciberseguridad, pero también se basan en el pensamiento creativo para abordar nuevas amenazas de formas únicas. En el mes de la ciberseguridad, Google continúa promoviendo la seguridad en línea de todas las personas a través de sus servicios y productos. Algunas de las herramientas disponibles que cualquiera puede utilizar para tener una mejor experiencia en línea son: Revisión de seguridad, protecciones contra el phishing en Google Workspace, verificación en 2 pasos, Centro de Transparencia de Google y tarjetas virtuales. FUENTE: Forbes Staff. »Google ofrece capacitación y herramientas para la ciberseguridad» Forbes.co. 19/10/2023. (https://forbes.co/2023/10/19/tecnologia/google-ofrece-capacitacion-y-herramientas-para-la-ciberseguridad).
Spam telefónico: Protección de Datos (España) ya permite grabar las llamadas comerciales para denunciarlas
Las llamadas comerciales que se reciben en los teléfonos a diario se ha convertido en una de las peores experiencias en un smartphone. Tanto es así que ahora la Agencia Española de Protección de Datos (AEPD) ofrece una sencilla herramienta que permite denunciar este tipo de llamadas comerciales. Lea también: Spam telefónico: Protección de Datos (España) te explica cómo evitar las llamadas comerciales no solicitadas Y es que desde el verano pasado se ha prohibido que se puedan recibir llamadas comerciales sin la autorización expresa del usuario. La realidad sigue siendo otra, ya que estas llamadas spam siguen siendo recibidas e incluso con los filtros disponibles desde los móviles se hace bastante imposible luchar contra ellas, ya que vuelven a la carga con otro número de teléfono, por lo que al final se está frente a un ciclo casi infinito para el usuario. Denunciar llamadas comerciales como spam Con esta nueva herramienta disponible en la web de la AEPD, el usuario se puede convertir en el principal actor para descubrir aquellas empresas de telemarketing que siguen operando. Para poder denunciar la llamada, la sede electrónica de la Agencia Española de Protección de Datos deja bien claro los requisitos o información para el envío de una denuncia a través de su portal: Grabar llamada Spam Google limitó el uso de las grabaciones de llamadas en Android, pero hay apps de terceros que sí permiten esta función, aunque está delimitada por los fabricantes. Las más conocidas son Cube ACR y Talker ACR, aunque si se realiza una búsqueda en Google Play se pueden encontrar otras cuantas como Call Recorder o Grabador de llamadas. También hay distintas versiones que sí funcionan en los móviles de Samsung, como sucede con ACR Record. Si no funcionan estas aplicaciones siempre se puede recurrir a otro dispositivo utilizando la app grabadora y dejando la llamada en altavoz. Lo siguiente ya sería pasar por el formulario electrónico (también se puede hacer en soporte papel) en la sede electrónica con el uso del certificado digital (se puede solicitar ya desde el móvil). FUENTE: Rosa, Alberto. »Spam telefónico: Protección de Datos ya permite grabar las llamadas comerciales para denunciarlas» Consumidorglobal.com. 18/10/2023. (https://www.consumidorglobal.com/noticias/derechos/spam-telefonico-proteccion-datos-grabar-llamadas-comerciales-denunciarlas_7689_102.html).
La razón por la que el Gobierno de Estados Unidos usa Windows XP según un informe de ciberseguridad
Que las administraciones públicas no siempre están actualizadas a los sistemas más modernos es un hecho cotidiano. Las universidades, las bibliotecas, los ordenadores de los funcionarios… Windows XP sigue presente en el día a día de muchos trabajadores, pero ¿también del Gobierno de Estados Unidos? Aunque sea sorprendente, un informe de la Oficina de la Contabilidad del Congreso revela varios puntos que necesitan mejorar, entre los que se encuentra un sistema operativo que se lanzó “hace más de 13 años”… y sí, todo parece indicar que se trata del vetusto Windows XP. El documento señala que el departamento de ciberseguridad ha llegado a la conclusión que el uso de Windows XP “cumple con los requisitos federales”, ya que han desarrollado una estrategia de riesgo. Sin embargo, también advierten de que el programa no se ha implementado completamente y de que es necesario actualizar todos estos sistemas. Lea también: Ciberseguridad en el mundo: Los países más vulnerables y las tendencias de ciberataques El informe recoge dos puntos positivos y varios negativos: destacan como positivo que se hayan identificado los roles de gestión y de responsabilidades, así como el desarrollo de una estrategia para prevenir problemas de ciberseguridad. En la vertiente negativa, aseguran que no se han mitigado los riesgos en el departamento ni se ha realizado una monitorización continua, entre otros problemas. Sistemas desactualizados en el Gobierno de los Estados Unidos Llama la atención que una de las vulnerabilidades sea el uso de hardware y de software anticuado: “Escasa actualización y reemplazo de hardware y software que ya ha alcanzado el final de su ciclo vital”, se lee en el informe. “El Estado no ha asegurado adecuadamente su infraestructura IT para apoyar su programa de respuesta ante incidentes. Esto incluye el reemplazo de 23.689 sistema de hardware”, así como de los “sistemas operativos que ya han alcanzado el final de sus ciclos vitales. Algunos se lanzaron “hace 13 años”. Windows XP dejó de recibir actualizaciones de seguridad en 2014. Desde entonces, Microsoft ha lanzado Windows Vista, Windows 7, Windows 8, Windows 10 y Windows 11. La compañía prepara su próximo sistema operativo, que todavía no tiene fecha de lanzamiento. FUENTE: Ruete, Borja. »La razón por la que el Gobierno de Estados Unidos usa Windows XP según un informe de ciberseguridad» As.com. 16/10/2023. (https://as.com/meristation/betech/la-razon-por-la-que-el-gobierno-de-estados-unidos-usa-windows-xp-segun-un-informe-de-ciberseguridad-n/).
Los gigantes de Internet aseguran que han resistido el mayor ataque DDoS de la historia
Google, Amazon y Cloudflare han revelado que, recientemente, han conseguido frenar el mayor ataque DDoS (denegación de servicio), conocido hasta la fecha en Internet. Como ya hemos comentado en alguna ocasión, en este tipo de ataques los ciberdelincuentes saturan los servidores con un ‘chorro’ de solicitudes de datos y un tráfico excesivo. Además, los gigantes tecnológicos están alertando sobre una nueva técnica que se está usando y podría llevar fácilmente a una interrupción generalizada. Hace unos días la compañía de Mountain View publicaba un post en su blog contando que sus servicios en la nube habían parado una avalancha de tráfico que equivaldría a más de siete veces el tamaño de último ataque récord que frustró el año pasado. Cloudflare también ha dado detalles sobre el incidente, aunque en su caso señala que fue «tres veces mayor que cualquier ataque anterior que hayamos observado». Amazon Web Services también habría notado este tsunami de tráfico, confirmando la existencia de «un nuevo tipo de evento de denegación de servicio distribuido». Comenzó en verano Aunque el incidente se ha dado a conocer ahora, parece que comenzó a producirse a finales de agosto y aun seguiría en curso. Según recoge Reuters, los recientes ataques monitorizados por Google, Cloudflare y Amazon fueron capaces de generar cientos de millones de solicitudes por segundo. La empresa dela gran G comentaba en su blog que solo 2 minutos de uno de esos ataques «generaron más solicitudes que el número total de vistas de artículos reportadas por Wikipedia durante todo el mes de septiembre de 2023». FUENTE: Payo, Alberto. »Los gigantes de Internet aseguran que han resistido el mayor ataque DDoS de la historia» Escudodigital.com. 15/10/2023. (https://www.escudodigital.com/ciberseguridad/google-amazon-clodflare-resistido-mayor-ataque-ddos-historia_56866_102.html).
Casio emite una disculpa y un aviso sobre la filtración de información personaldebido al acceso no autorizado al servidor
Casio Computer Co., Ltd. reveló hoy que un tercero obtuvo acceso no autorizado al servidor de la aplicación web educativa de la compañía “ClassPad.net”, lo que resultó en la filtración de información personal de algunos clientes registrados dentro y fuera de Japón . La empresa se disculpa sinceramente por las molestias y la preocupación que este incidente causa a los clientes y a todos los involucrados. 1. Información general Se llevó a cabo un ciberataque externo contra una base de datos en el entorno de desarrollo de “ClassPad.net”, una aplicación web administrada y operada por Casio. Como resultado, se accedió y se filtró la información personal de algunos clientes dentro y fuera de Japón, almacenada en la base de datos. Casio ha confirmado que no hay evidencia de ninguna intrusión no autorizada en activos distintos de la base de datos en el entorno de desarrollo. 2. Fondo En la noche del miércoles 11 de octubre, cuando el responsable intentó trabajar en el entorno de desarrollo, se descubrió que había ocurrido una falla en la base de datos y la empresa evaluó la situación. Mientras la empresa continuaba analizando la situación, se confirmó además que, en la noche del jueves 12 de octubre, se accedió a la información personal de algunos residentes de países distintos de Japón. 3. Causa En este momento, se ha confirmado que algunas de las configuraciones de seguridad de la red en el entorno de desarrollo fueron deshabilitadas debido a un error operativo del sistema por parte del departamento a cargo y una gestión operativa insuficiente. Casio cree que estas fueron las causas de la situación que permitió que un tercero obtuviera acceso no autorizado. 4. Respuesta en marcha Actualmente, todas las bases de datos en el entorno de desarrollo objetivo del ataque son inaccesibles para quienes están fuera del entorno de desarrollo. Lea también: El ataque a Air Europa, bajo la mirada de los expertos en ciberseguridad La organización informó el incidente a la Comisión de Protección de Información Personal de Japón y a JUAS (la organización de certificación «PrivacyMark») el lunes 16 de octubre. Casio continuará consultando e involucrando a una organización externa especializada en seguridad para realizar más investigaciones internas y analizar las causas fundamentales. y diseñar contramedidas apropiadas en respuesta a este incidente. Casio también contratará a una firma de abogados externa para considerar posibles medidas legales, incluida la interacción con las autoridades. Además, Casio también está consultando con la policía y cooperará con la investigación. 5. Información personal accedida (1) nombre del cliente; (2) dirección de correo electrónico del cliente; (3) país/región de residencia; (4) información de compra (detalles del pedido, método de pago, código de licencia, etc.); *1 (5) información de uso del servicio (datos de registro, apodos, etc.). 6. Número de artículos accedidos Clientes en Japón91.921 artículos pertenecientes a clientes, incluidos individuos y 1.108 clientes de instituciones educativas. Clientes fuera de Japón35.049 artículos pertenecientes a clientes de 148 países y regiones. FUENTE: Casio. »Casio emite una disculpa y un aviso sobre la filtración de información personal debido al acceso no autorizado al servidor» World.casio.com. 18/10/2023. (https://world.casio.com/information/1018-incident/).
La Agencia de Protección de Datos multa a BBVA con 1,18 millones de euros por varias infracciones
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1,18 millones de euros a BBVA por la infracción de varios artículos del Reglamento General de Protección de Datos, según publica este jueves el Boletín Oficial del Estado (BOE), donde el organismo debe publicar todas las multas superiores al millón de euros cuando el infractor sea una persona jurídica. En concreto, según la resolución del organismo recogida en el BOE, el banco BBVA vulneró los artículos 25, 32 y 6.1 del Reglamento General de Protección de Datos, razón por la que ha sido multado con 1.184.000 euros. ¿Qué dicen los articulos infringidos por BBVA, según la AEPD? El primero de estos artículos, el 25, establece que los principios, derechos y obligaciones relativos a la protección de datos han de tenerse en cuenta «desde el diseño y por defecto». El artículo 32, por su lado, impone a los responsables del tratamiento de datos personales la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. Podría interesarle: Multan a TikTok por revelar datos de menores El artículo 83.4 establece multas administrativas de hasta 10 millones de euros o una cuantía equivalente de hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior si el infractor es una empresa. El artículo 83.5, por su lado, fija sanciones administrativas de hasta 20 millones de euros o, en el caso de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Desde BBVA, aseguran a Europa Press, su intención de recurrir la sanción por vía judicial. FUENTE: EP. »La Agencia de Protección de Datos multa a BBVA con 1,18 millones de euros por varias infracciones» Abc.es. 19/10/2023. (https://www.abc.es/economia/agencia-proteccion-datos-multa-bbva-118-millones-20231019114822-nt.html?ref=https%3A%2F%2Fwww.google.com%2F).
México propone modificar Ley de Telecomunicaciones para reforzar protección de datos
La Cámara de Diputados de México informó que se han presentado reformas a la Ley Federal de Telecomunicaciones y Radiodifusión para incluir a los prestadores de servicios de internet entre los individuos obligados a obedecer mandatos administrativos o judiciales. Esto se lograría mediante la modificación de los artículos 189 y 190. Esta reforma plantea que ahora el artículo 189, diga que “los concesionarios de telecomunicaciones y, en su caso, los autorizados y proveedores de servicios de aplicaciones, contenidos y prestadores de servicios de Internet, están obligados a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente en los términos que establezcan las leyes”. Dichas reformas fueron propuestas por el diputado Javier López Casarín, presidente de la Comisión de Ciencia, Tecnología e Innovación, quien también propuso obligar, mediante modificación del artículo 190, a los proveedores de servicios de Internet a conservar un registro y control de las comunicaciones que se realicen a través de estos por al menos un año, en sistemas que permitan su consulta en tiempo real, por parte de las autoridades competentes. Podría interesarle: Protección de Datos: Panorama y tendencias legislativas en Latinoamérica Cumplir a cabalidad con la Ley Federal de Protección de Datos Personales en Posesión de Particulares es otra de las exigencias que se le hará a estos entes que, además, deben garantizar la conservación, cuidado e integridad de los datos contra la manipulación y acceso ilícito que registren. La propuesta de actualización se hizo porque, explicó, la Ley Federal de Telecomunicaciones y Radiodifusión contiene diversos preceptos prescriptivos en materia de seguridad y justicia, sin que se contemple entre los sujetos obligados a los prestadores de servicios de acceso a internet. Casarín, en abril de este año, encabezó la comisión que presentó ante el Comité contra Drogas y Delincuencia, de la Organización de Naciones Unidas (ONU), el borrador de la primera Ley de Ciberseguridad mexicana, con cuatro líneas de acción: crear un marco legal que permita sancionar o tipificar los ciberataques; crear una Agencia Nacional de Ciberseguridad controlada por el Poder Ejecutivo; garantizar la seguridad nacional mediante la defensa del espacio digital, y realizar pruebas de penetración a las instituciones públicas y privadas para determinar violaciones a la seguridad. México aún no tiene una ley de ciberseguridad, por ahora atiende delitos de esta naturaleza, a través de la normativa establecida en su Constitución, la Ley Federal de Telecomunicaciones y Radiodifusión, la Norma Federal de Transparencia y Acceso a la Información Pública, la Ley Federal del Derecho de Autor, la Ley Federal de Protección de Datos Personales, el Código Penal Federal y la Ley General de Títulos y Operaciones de Crédito. FUENTE: Ramos, Rosa. »México propone modificar Ley de Telecomunicaciones para reforzar protección de datos» Lexlatin.com. 11/10/2023. (https://lexlatin.com/noticias/mexico-modificar-ley-de-telecomunicaciones-proteccion-de-datos).
