No todo es color de rosa en el mundo de la IA: Microsoft alerta sobre la llegada de ciberataques más devastadores
Las cada vez más potentes herramientas de inteligencia artificial (IA) que van apareciendo por estos tiempos están transformando diversas industrias y, por consecuencia, la vida de muchas personas. No es ningún secreto que los algoritmos ya tienen un papel fundamental en la automoción, el comercio electrónico, los recursos humanos, la educación y la ciberseguridad, por mencionar sólo algunos ejemplos. El alcance de este fenómeno, como podemos ver, es enorme. Y esto planeta una gran cantidad de desafíos porque la IA está siento utilizada para fines lícitos, como para fines ilícitos. Así como los estudiantes han empezado a utilizar ChatGPT para hacer los deberes (y cada vez más profesores responden con la misma herramienta), los ciberdelincuentes recurren a la IA para mejorar sus ataques. La evolución de la IA y los problemas de ciberseguridad Microsoft tiene claro que el desarrollo de la IA llega acompañado de nuevos retos para el campo de la seguridad informática. En declaraciones a The Wall Street Journal, el líder de seguridad y confianza de la compañía de Redmond, Tom Burt, ha reconocido que los atacantes, tanto individuales como patrocinados por estados, han conseguido mejorar sus técnicas de intrusión gracias a la IA. Los ataques de ransomware se duplicaron entre noviembre de 2022 y junio de 2023, según los investigadores de Microsoft. Para llegar a esta conclusión, explican, hicieron un análisis basado en 123 millones de dispositivos y rastrearon más de 300 grupos de ciberdelincuentes. Profundicemos un poco más para saber qué está sucediendo. Podría interesarle: Las pérdidas globales por ciberataques representarían hasta US$24 billones en 2027 Así como ChatGPT o GitHub Copilot mejoran la productividad de los programadores y las compañías, estas herramientas también pueden estar siendo utilizadas por los ciberdelincuentes. En concreto, para mejorar el código de sus programas maliciosos (malware) e incluso para mejorar los mensajes que acompañan los ataques de phishing. Una combinación realmente peligrosa para la ciberseguridad. Cuando hablamos de phishing, recordemos, hacemos referencia a una técnica que tiene como finalidad hacer que las víctimas “piquen”. Esto se consigue gracias al envío de mensajes fraudulentos que suelen hacerse pasar por personas o empresas de nuestra confianza, por ejemplo, el caso de suplantación de identidad de Correos en España, algo que ha llevado a la organización a tomar acción. El papel de los usuarios dentro de los riesgos de ciberseguridad para la IA Desde nuestra posición, la de los usuarios, tendremos que estar preparados para ver llegar a nuestra bandeja de entrada correos electrónicos cada vez más sofisticados cuyo aspecto puede imitar casi a la perfección a uno auténtico de nuestro banco, compañías de mensajería, redes sociales, etc. No solo en el lenguaje utilizado para convencernos, si no también en la imagen de marca. La IA, según la compañía detrás de Windows, también puede revitalizar la economía de los grupos de ciberdelincuentes. En el mundo existen ciertos actores maliciosos que venden sus servicios. Lo hemos visto tanto en ataques de phishing como de ransomware. Los algoritmos estarían impulsando una nueva oferta de servicios ilegales para aquellos individuos interesados en utilizarlos. En el mundo del ransomware, como mencionamos arriba, los ataques aumentaron considerablemente. Además, la mecánica de ataque ha mejorado para evitar dejar rastros y dificultar cualquier intento de recuperación por los equipos de ciberseguridad. Los datos, en lugar de cifrarse en el entorno local de la víctima, ahora lo hacen de forma remota. La industria de la ciberseguridad, por su parte, lleva años utilizando esta tecnología para mejorar la detección de amenazas, el análisis de comportamiento de sistemas y la prevención de intrusiones. Sin embargo, en el mundo en el que vivimos, no pueden tomarse un respiro y deben seguir evolucionando a la par de las amenazas que van apareciendo en el horizonte. FUENTE: Márquez, Javier. »No todo es color de rosa en el mundo de la IA: Microsoft alerta sobre la llegada de ciberataques más devastadores» Xataka.com. 09/10/2023. (https://www.xataka.com/robotica-e-ia/no-todo-color-rosa-mundo-ia-microsoft-alerta-llegada-ciberataques-devastadores).
España sufre una oleada de ciberataques con motivo de la cumbre de la UE en Granada
Diferentes servicios web y de información de organismos públicos y privados han recibido intentos de ciberataques DDoS (denegación de servicio). Afortunadamente, según el INCIBE, todos han sido bloqueados con éxito. La celebración de la cumbre informal del jefe de Estado y del Gobierno de la Unión Europea que se desarrolla estos días en Granada ha propiciado que múltiples servicios web y de información tanto de organismos públicos como privados hayan sido objeto de intentos de ciberataques. Estos incidentes, según explica el equipo de INCIBE-CERT, el Centro de Respuesta a Incidentes del Instituto Nacional de Ciberseguridad de España, son del tipo de denegación de servicio y su foco era lograr que los recursos y servicios afectados fueran inaccesibles para los usuarios. Lea también: El ‘ransomware’ a MGM tiene un coste para la empresa de 100 millones de dólares Tanto los CERT gubernamentales como los operadores españoles han logrado bloquear inmediatamente, según confirma el propio Instituto, los intentos de conexión masiva a los portales lanzados por diferentes organizaciones delictivas. “Todos los servicios afectados a lo largo de la mañana operan ya con normalidad, habiéndose ocasionado pequeños cortes de disponibilidad en portales web, y se ha garantizado el perfecto funcionamiento de todos los operadores esenciales”, reza un comunicado enviado por esta entidad. El escrito del CERT sobre la oleada de ciberataques a España Así mismo, el escrito subraya que todas las instituciones españolas han reforzado sus sistemas de vigilancia para intensificar las medidas de protección de toda la ciudadanía, las empresas y los operadores esenciales estos días. Además, recuerda que el centro cuenta con un servicio (017 Tu Ayuda en Ciberseguridad), que es nacional, gratuito y confidencial y que pueden utilizar todos usuarios de Internet y la tecnología para pedir ayuda si les surgen problemas de ciberseguridad. FUENTE: Redacción. »España sufre una oleada de ciberataques con motivo de la cumbre de la UE en Granada» Cso.computerworld.es. 06/10/2023. (https://cso.computerworld.es/cibercrimen/espana-sufre-una-oleada-de-ciberataques-con-motivo-de-la-cumbre-de-la-ue-en-granada).
El ‘ransomware’ a MGM tiene un coste para la empresa de 100 millones de dólares
El reciente ataque de ransomware a MGM Resort International le ha costado a la operadora de hoteles y casinos unos 100 millones de dólares por las interrupciones operativas, según su última presentación ante la Comisión de Bolsa y Valores de Estados Unidos. La compañía fue atacada por ALPHR (también conocido como BlackCat), un grupo que se cree que tiene vínculos con el Gobierno ruso. MGM se negó a pagar el rescate, confiando en un seguro de ciberseguridad para cubrir los costes del incidente, y rápidamente cerró los sistemas operativos, una medida criticada hasta por los propios ciberdelincuentes. Lea también: Las pérdidas globales por ciberataques representarían hasta US$24 billones en 2027 “Estimamos un impacto en septiembre de aproximadamente 100 millones de dólares en el EBITDAR ajustado de la propiedad para los resorts y operaciones regionales de Las Vegas Strip, colectivamente”, dijo la compañía en la presentación. Aunque el ataque fue contenido, y se asegura que no se perderán más datos, el impacto del incidente parece mucho mayor que el de la mayoría, si tenemos en cuenta que el coste medio global de una filtración de datos en 2023 es de 4,45 millones de dólares, lo que supone un aumento del 15% en tres años, según un informe de IBM. MGM es optimista a pesar de las pérdidas La firma ha señalado también que espera no tener ningún efecto material en su condición financiera y en los resultados anules. Además, confía en que su ‘ciberseguro’ será suficiente para cubrir el impacto monetario. Según la investigación en curso, se ha contenido la actividad de terceros dentro de sus sistemas, pero los atacantes obtuvieron información personal de varios clientes como datos de contacto, sexo, fecha de nacimiento y números de carnés de conducir. FUENTE: Redacción. »El ‘ransomware’ a MGM tiene un coste para la empresa de 100 millones de dólares» Cso.computerworld.es. 09/10/2023. (https://cso.computerworld.es/cibercrimen/el-ransomware-a-mgm-tiene-un-coste-para-la-empresa-de-100-millones-de-dolares).
Francia elabora una ley para la protección de los derechos de las personas en Internet
El pasado 5 de julio, el Senado francés aprobó por unanimidad el proyecto de ley de seguridad y regulación del entorno digital (Projet de loi visant à sécuriser et réguler l’espace numérique), por lo que el texto se encuentra ahora a la Asamblea Nacional. El objetivo del proyecto de ley es proteger a particulares y empresas de los riesgos asociados al uso cotidiano de Internet y armonizar las normas nacionales con las europeas, en el marco del proyecto de creación de un mercado único digital europeo. La futura norma incluye disposiciones en un amplio abanico de ámbitos: Protección en línea de los menores El proyecto de ley obligará a los sitios web a retirar los contenidos de pornografía infantil en un plazo de 24 horas, si así se lo ordena la autoridad administrativa. Protección de los ciudadanos en el entorno digital El proyecto de ley ampliaría los poderes de la ARCOM (autoridad francesa de la comunicación audivisual y lo digital), para aplicar medidas restrictivas europeas dirigidas a los medios de comunicación, en particular prohibiciones de difusión a nuevos operadores. Lea también: Análisis de la nueva ley de protección de datos de India: ¿Buena, mala u horrible? Además, se crearía un filtro nacional de ciberseguridad para alertar a los internautas cuando un sitio presente un riesgo probado de estafa o fraude, mostrando un mensaje de advertencia en su navegador. – Competencia en la economía de los datos: El proyecto de ley limitaría el periodo durante el cual los proveedores podrían ofrecer ventajas financieras sobre los activos de computación en nube. – Refuerzo de la regulación digital: El proyecto de ley generalizaría el sistema de centralización de los datos sobre alquileres de alojamientos turísticos amueblados que los operadores de plataformas digitales deben enviar a las autoridades locales, y permitiría a un tercero actuar como intermediario entre los operadores digitales y las autoridades locales para recopilar y desglosar esta información. Principales medidas del proyecto Filtros antiestafa 18 millones de franceses fueron víctimas de este ciberdelito el año pasado. Por lo tanto, el Ministro Digital, Jean-Noël Barrot, desea cumplir la promesa de campaña de Emmanuel Macron de poner en marcha un filtro antiestafa gratuito que envíe un mensaje de advertencia a todo aquel que esté a punto de dirigirse a un sitio identificado como malicioso. Además, este sistema puede dar lugar al bloqueo administrativo del sitio web. La medida implicará establecer una lista de estos sitios fraudulentos y acuerdos con «operadores de acceso a Internet y editores de navegadores web». Prohibición del ciberacoso El reglamento europeo sobre servicios digitales (DSA), transcrito en el proyecto de ley, ya incluye medidas destinadas a frenar el ciberacoso en las principales plataformas digitales, una figura de la que ya han sido víctimas el 20% de los jóvenes entre 10 y 18 años. El gobierno francés quiere ir más allá de la eliminación de las cuentas denunciadas y acompañar esta medida con una pena de prohibición (banissement). En concreto, el juez podrá pedir a una red social que impida durante un período de seis meses -un año en caso de reincidencia- la reinscripción de una persona ya condenada por ciberacoso. Los debates en comisión de la Asamblea permitieron también añadir una disposición tendiente a generalizar la atribución de una “identidad digital” a todos, con el objetivo asumido por parte de la mayoría de facilitar el levantamiento del anonimato en Internet. Los diputados también aprobaron el establecimienteo de una multa fija para los delitos de negación de crímenes contra la humanidad, difamación e insultos racistas o cometidos por razón de sexo u orientación sexual, en el espacio digital. – Bloqueo administrativo de sitios pornográficos. El gobierno confiará a la Autoridad Reguladora de la Comunicación Audiovisual y lo Digital (Arcom) la facultad de ordenar, sin autorización de un juez, el bloqueo por parte de los operadores de telecomunicaciones y la desreferenciación de sitios pornográficos que no impidan a menores acceder a sus contenidos. Los agentes de Arcom también tendrán compentencia para denunciar estas infracciones. Los sitios en cuestión tendrán 24 horas para eliminar el contenido de pornografía infantil denunciado. En caso de incumplimiento, se enfrentarán a multas de hasta 250.000 euros y un año de prisión para su representante legal. El año pasado se presentaron en Francia 74.000 solicitudes de este tipo. – Bloqueo de medios de propaganda prohibidos. El texto también otorga a Arcom el poder de detener la transmisión en Internet de medios prohibidos en la Unión Europea. La medida se dirige especialmente a los sitios de streaming no europeos como Odysee o Rumble, que habían retransmitido los canales prorrusos Russia Today y Sputnik a pesar de su prohibición en la UE como parte de las sanciones adoptadas tras la invasión de Ucrania. Igualmente, se han introducido dos enmiendas destinadas a luchar contra los «deepfakes», imágenes diseñadas por inteligencia artificial destinadas a falsificar de forma muy realista una foto o un vídeo de una personalidad. La primera exige mencionar que el contenido mostrado es falso y la segunda prohíbe la producción de deepfake pornográficos sin consentimiento. – Interoperabilidad en la nube El gobierno quiere permitir a las empresas «cambiar mucho más fácilmente» de proveedor de infraestructuras y servicios TI, es decir, servicios en la nube, en un sector está dominado por los actores estadounidenses Amazon Web Services, Microsoft Azure y Google Cloud. El texto prevé, en particular, permitir la portabilidad de los datos entre los servicios de estas diferentes empresas y limitar el uso de los «créditos en la nube», vales de compra gratuitos que hoy utilizan los jugadores para fidelizar a sus clientes. – Reglamento de juegos con objetos digitales monetizables El Senado añadió, durante el examen del texto, una enmienda relativa a la regulación de los juegos con objetos digitales monetizables (Jonum), eliminando la autorización para legislar reglamentariamente esta materia, como propuso inicialmente el gobierno. El texto ofrece una primera definición jurídica de sus especificidades, entre los juegos de dinero y de azar, por un lado, y los videojuegos, por otro. El Senado autorizó la creación
Análisis de la nueva ley de protección de datos de India: ¿Buena, mala u horrible?
El 11 de agosto de 2023, el presidente de India, Droupadi Murmuo, firmó la ley de Protección de Datos Digitales Personal (PDDP), que lleva varios años de desarrollo. Aunque el Ministerio de Información Tecnológica opinó que la ley es “un hito importante en el marco normativo mundial del ciberderecho“, y la jefa de Meta India la llamó “un gran paso hacia el equilibrio entre la protección al usuario y la innovación“, las organizaciones civiles no están tan contentas acerca del formato final del proyecto de ley. Para entender la polaridad de las opiniones, se necesita repasar las circunstancias que llevaron al proyecto tal como es ahora. Aadhaar, la chispa El diálogo acerca de la protección de los datos en India recién tomó impulso a mitad de la última década en el marco del Aadhaar, herramienta de identificación biométrica que desarrolló el Gobierno, que fue presentada en 2009. Aunque al inicio se declaró que Aadhaar sería para identificar de forma única a cada residente de India para poder acceder a programas de bienestar, se comenzó a requerir su uso en situaciones que van desde la admisión escolar hasta la declaración de impuestos. Esto suscitó temores de que el Gobierno estuviera estableciendo un sistema de vigilancia mayor que podría rastrear a cada habitante. Además, la expansión del uso del Aadhaar ocurrió antes de que se aplicara una ley que regulara el uso y que protegiera la información que se recopilaba. Incluso, luego de que se aprobó la ley de Aadhaar en 2016, que permitió su uso obligatorio, se presentaron diversas impugnaciones legales y constitucionales a la obligación de requerir el Aadhaar en las cortes de India. La base primordial para estas impugnaciones era que dicha ley violaba el derecho a la privacidad protegido por la Constitución, aunque el Gobierno sostenía que tal derecho no estaba garantizado constitucionalmente porno se lo menciona en el capítulo de los derechos fundamentales de la carta fundamental. Finalmente, en 2017, un jurado conformado por nueve miembros de la Corte Suprema pronunció que la Constitución sí garantizaba el derecho a la privacidad en una de sus facetas en las que versa sobre “la privacidad de la información”, lo que se podía reivindicar contra el Gobierno y entidades privadas. Un comité especial para redactar la ley En respuesta a la observación de la corte, el Gobierno estableció un comité en 2017 encabezado por B.N. Srikrishna, juez retirado de la Corte Suprema de India, para elaborar un proyecto de ley para proteger la información en el país. El informe del comité, entregado en 2018, incluía un proyecto de ley de protección de datos que describía el marco legal y regulatorio que gobernaría el resguardo de la información en India y la transferencia de datos fuera del país. Lea también: Las mejores leyes del mundo en ciberseguridad Aunque el Gobierno acepto la mayor parte de las recomendaciones del comité, en diciembre de 2019 presentó un proyecto que tenía diferencias en varios aspectos. Las más notables eran las excepciones que podría obtener el Gobierno. El anteproyecto de ley se presentó en la Comisión Parlamentaria Mixta, compuesta de miembros de ambas cámaras del Parlamento y cuya tarea era hacer un estudio más detallado del proyecto. Al cabo de varias rondas de discusión y debate, en 2021, se presentó otro proyecto de ley más con modificaciones para proteger la información. Este también recibió críticas de la sociedad civil al preocuparse poco por la privacidad y mucho por la habilitación de la vigilancia estatal y por las disposiciones que obligan a que los gigantes tecnológicos guarden los datos localmente. Sin embargo, en agosto de 2022, el Gobierno retiró abruptamente el proyecto del Parlamento, con la promesa de presentar uno nuevo en un mes. Esta nueva ley, la cuarta versión, es la que finalmente se aprobó como la ley de PDDP. Entonces, ¿India logró una buena ley de protección? Con una rápida lectura, parece que la ley PDDP tiene su mérito. Ordena que los “fiduciarios de los datos“ (quienes recolectan y procesan datos de las personas) deban obtener consentimiento previa notificación antes de utilizar la información digital personal del “titular de los datos” (persona cuyos datos se recaban) y requiere que tal consentimiento sea “libre, específico, informado, incondicional y preciso”. Enumera cuatro derechos de los titulares, entre los que se incluye el de concederles eliminar datos y reparar agravios, e impone obligaciones a los fiduciarios. Sin embargo, hasta aquí llegan las buenas noticias sobre el proyecto de ley. Hay dos grandes fallas en la ley PDDP: la falta de un agente regulador fuerte y las grandes facultades que otorga al Gobierno para eximirse de las disposiciones legales. Mientras la PDDP establece los derechos de los titulares de los datos y las obligaciones de los fiduciarios, pero su cumplimiento quedan en manos de la persona afectada. A diferencia de las versiones anteriores que concebían la existencia de un agente regulador (una Autoridad para la Protección de Datos de India), la actual dispone un organismo en gran medida ineficaz: el Comité de Protección de Datos (CPD). Este no tiene el poder de crear normas que regulen la recolección de información por parte de las grandes compañías o hacerles cumplir lo que la ley estipula. En el mejor de los casos, el CPD puede recibir las quejas de los titulares, pero poco puede hacer para aplicar sus propias disposiciones o directivas sobre un gigante tecnológico. A este tipo de compañías no les preocupan las acciones de un CPD débil y desprovisto de armas. El gran problema sobre la Ley de PDDP de la India Esto nos lleva al gran problema que tiene la ley: la incapacidad total de prestar algún control sobre la vigilancia de masas. Mientras las versiones anteriores de la ley recibieron críticas por no hacer lo necesario, la ley PDDP otorga al Estado la facultad de conceder excepciones generales a cualquier Gobierno, organismo gubernamental o instrumentos estatales (que incluyen empresas del sector público, organismos controlados por el Gobierno y entidades similares) en “beneficio de la soberanía e integridad de India, la seguridad del Estado, las relaciones amistosas con Estados extranjeros, mantener el orden público o impedir la incitación a cualquier delito cognoscible que se les relacionen”. Un poder
Cursos gratuitos de Microsoft y Cabify sobre ciberseguridad: ¿Cómo inscribirse?
Con el objetivo de empoderar de conocimiento a las mujeres, Microsoft y Cabify abrieron cursos gratuitos sobre ciberseguridad y tecnología enfocados en el público femenino, lo que les dará una oportunidad de ser aún más competitivas en este mercado. Con el objetivo de empoderar de conocimiento a las mujeres, Microsoft y Cabify abrieron cursos gratuitos sobre ciberseguridad y tecnología enfocados en el público femenino, lo que les dará una oportunidad de ser aún más competitivas en este mercado. ¿Cómo inscribirse al curso gratuito de Microsoft? En un estudio reciente, Cybersecurity Ventures reveló que en 2022, apenas el 25% de los puestos de trabajo en ciberseguridad en todo el mundo estaban ocupados por mujeres. No obstante, se proyecta que para el año 2031, las mujeres representarán el 35% de esta fuerza laboral. Lea también: El 91% de las empresas tuvo algún incidente de ciberseguridad en el último año, según Vodafone Para acelerar este cambio y contribuir a la equidad de género en la industria, Microsoft ha lanzado la tercera edición de Security Girls. Este programa está diseñado exclusivamente para mujeres y tiene como objetivo brindar fundamentos de ciberseguridad y preparación para la certificación SC-900. Las inscripciones para esta edición se encuentran abiertas desde el 2 hasta el 23 de octubre de 2023, las clases serán en vivo entre 23 al 27 de octubre y se llevarán a cabo a través de la plataforma Microsoft Reactor. ¿Qué ofrece el curso ‘Security Girls LATAM’? Durante estas sesiones, las participantes aprenderán sobre temas como computación en la nube, seguridad, cumplimiento e identidad, de la mano de expertos de Microsoft y colaboradores de la comunidad. Uno de los atractivos de este programa es que las participantes recibirán un certificado y tendrán la oportunidad de obtener un voucher gratuito para el examen de certificación SC-900 Security Fundamentals. Al finalizar las cinco clases en vivo, las participantes que obtengan un rendimiento del 75% o más en el examen final tendrán el aval para realizar el examen de certificación de forma gratuita. Aquellas que deseen profundizar en el tema también podrán participar en ejercicios prácticos a través de la plataforma Microsoft Learn y obtener un certificado a través de la plataforma MaisMulheres.tech. Inscríbete al curso, haciendo clic aquí: Security Girls LATAM La iniciativa de Cabify Mientras Microsoft se enfoca en impulsar la participación de las mujeres en la ciberseguridad, Cabify está abriendo opciones para que más mujeres se involucren en el mundo tecnológico en general. La plataforma anunció la segunda edición de Women Tech Dating, una iniciativa global que busca promover la igualdad de oportunidades en este sector. Este evento se llevará a cabo del 24 de octubre al 7 de noviembre de 2023 y está diseñado para conectar a mujeres interesadas en el sector tech. Esta segunda edición se caracteriza por ofrecer una semana de mentorías privadas en la que mujeres de todo el mundo podrán conectar con empleadas de la aplicación de movilidad. Además, el programa incluye tres masterclasses online de acceso gratuito sobre temas de interés tecnológico, como Product Management, Importancia del data drive en ingeniería e inteligencia artificial. Este evento también contará con un panel de expertas en el que se reflexionará sobre el futuro del papel de la mujer en la industria tecnológica. La colaboración con organizaciones como Female Startup Leaders en España y Laboratoria en América Latina ampliará aún más el alcance de Women Tech Dating para llegar a más mujeres interesadas en descubrir las posibilidades que la tecnología puede ofrecer en sus carreras. Inscríbete al curso, haciendo clic aquí: Women Tech Dating FUENTE: Ríos, Juan. »Cursos gratuitos de Microsoft sobre ciberseguridad: cómo inscribirse» Infobae.com. 05/10/2023. (https://www.infobae.com/tecno/2023/10/05/cursos-gratuitos-de-microsoft-sobre-ciberseguridad-como-inscribirse/).
Cambio en el uso de cookies: podrás rechazarlas al inicio y quizá te exijan un pago si no las aceptas
La Agencia Española de Protección de Datos (‘AEPD’) ha publicado una nueva actualización de su guía sobre el uso de cookies. Es la segunda actualización de la guía que realiza la AEPD en los últimos 3 años, síntoma de que el mundo digital y, en particular el sector de la publicidad online, sigue en constante evolución, y nos obliga a todos a estar siempre al día. La nueva actualización surge por la necesidad de adaptar dicha guía a las recientes Directrices 03/2022 sobre patrones oscuros del Comité Europeo de Protección de Datos (‘CEPD’ o ‘EDPB’, por sus siglas en inglés), con la finalidad de que la toma de decisiones del usuario de internet con respecto al tratamiento de sus datos mediante cookies no sea obstaculizada por patrones de diseño engañosos por parte de los editores de los sitios web o aplicaciones. Lea también: Meta cobrará a los usuarios europeos de Instagram y Facebook para sortear las normas de la UE Principalmente, esta nueva actualización trae consigo algunas novedades relevantes que las empresas deberán implementar, teniendo de plazo hasta el 11 de enero de 2024. En relación con el banner de cookies (o Consent Management Platform ‘CMP’): Las cookies de personalización decididas por el usuario, no requieren consentimiento: Las cookies de personalización son aquellas que permiten recordar las preferencias del usuario con la finalidad de que acceda al servicio con unas características predefinidas en función de esas preferencias (ejemplo de ello son el idioma, el aspecto o contenido del servicio en función del tipo de navegador o la región desde la que accede el usuario, etcétera). Ya la anterior versión de la guía aclaraba que, cuando es el propio usuario quien decide sobre el uso de estas cookies, por ejemplo, seleccionando el idioma del sitio web al clicar en la opción correspondiente o la moneda que desea utilizar en las transacciones, no es necesario obtener el consentimiento, siempre y cuando esos datos no se utilicen para otras finalidades. No obstante, la AEPD desarrolla lo anterior, añadiendo en la nueva versión de la guía que “estas cookies de preferencias que afectan a la interfaz de usuario no necesariamente tendrán que ser de sesión”, ya que podría resultar molesto tener que personalizar sus preferencias cada vez que visita el sitio web o accede a una aplicación. También vuelve a hacer hincapié en que si se desean utilizar estas cookies para otros fines (como por ejemplo para la personalización de contenidos publicitarios o para elaborar un perfil del usuario) sí se requerirá su consentimiento. Posibilidad de exigir un pago en caso de no aceptar las cookies: La versión anterior de la guía ya recogía la posibilidad de que la no aceptación de las cookies podía impedir el acceso al sitio web o aplicación o la utilización total o parcial del servicio, siempre que se informase adecuadamente al respecto al usuario y se le ofreciese una alternativa sin necesidad de aceptar las cookies. En el marco de lo anterior, esta nueva versión de la guía añade que dicha alternativa no tiene que ser “necesariamente gratuita”. De esta manera, la AEPD abre (ligeramente) la puerta a los posibles muros de pago (Paywalls en inglés). Es decir, si el usuario no acepta el uso de las cookies, como alternativa, se le podría exigir al usuario un pago para que pueda acceder al sitio web o aplicación o utilizar el servicio. No obstante, a pesar de que la AEPD no especifica condiciones adicionales a la hora de implementar este nuevo sistema, siguiendo los criterios de otras autoridades de protección de datos europeas (como en Austria o Francia), es recomendable que el importe exigido sea moderado y no gravoso, para que no se pueda considerar que coarta la libertad de elección del usuario. En definitiva, de nuevo, es necesario que las entidades titulares de sitios web y aplicaciones se adapten a las novedades presentadas por la AEPD en relación con el uso de cookies, teniendo de plazo hasta el 11 de enero de 2024 para ello. Igualmente, se deberá atender a los intereses y modelo de negocio de cada entidad para buscar siempre la solución que mejor se adapte a cada caso. FUENTE: Moon, Pedro. »Cambio en el uso de cookies: podrás rechazarlas al inicio y quizá te exijan un pago si no las aceptas» Legaltoday.com. 05/10/2023. (https://www.legaltoday.com/practica-juridica/derecho-publico/proteccion-datos/cambio-en-el-uso-de-cookies-podras-rechazarlas-al-inicio-y-quiza-te-exijan-un-pago-si-no-las-aceptas-2023-10-05/).
Curso de ciberseguridad gratis para mujeres: ¿cómo inscribirse en Security Girls LATAM?
El 23 de octubre dará comienzo una nueva edición de Security Girls, un programa de mentoría para mujeres en el área de fundamentos de seguridad cibernética. Si deseas inscribirte, aquí te ofrecemos todos los detalles. Microsoft, Techie Women Community y WoMakersCode han puesto en marcha una nueva edición de Security Girls LATAM. Se trata de un curso de ciberseguridad gratis cuyo propósito es capacitar a las mujeres de América Latina en los fundamentos de la seguridad cibernética. Curso de ciberseguridad gratis para mujeres: ¿Cómo inscribirse y qué temáticas se tratarán? Las clases darán comienzo el lunes 23 de octubre. Y las mujeres interesadas en participar en este curso de ciberseguridad gratis deben formalizar su registro a través del formulario habilitado para tal fin. En cuanto a la agenda académica de la formación, se articulará en torno a cinco temáticas: Una iniciativa para expandir los conocimientos en ciberseguridad a nivel global Todas las clases del curso de ciberseguridad gratis se impartirán en línea a partir de las 12:30 horas (ET). Y en las mismas se escucharán testimonios y consejos de mujeres que trabajan en el sector de la ciberseguridad. De igual manera, al finalizar la formación se podrá participar en el curso de WOMCY para obtener la certificación Security Fundamentals SC-900. Y quienes destaquen serán obsequiados con un voucher gratis para realizar el examen. FUENTE: Redacción. »Curso de ciberseguridad gratis para mujeres: ¿cómo inscribirse en Security Girls LATAM?» Segurilatam.com. 05/10/2023. (https://www.segurilatam.com/actualidad/curso-de-ciberseguridad-gratis-para-mujeres_20231005.html).
Multan a TikTok por revelar datos de menores
TikTok infringió el principio de equidad al procesar datos personales de niños de entre 13 y 17 años, al diseñar mensajes emergentes de registro y publicación de videos que no presentaban alternativas objetivas y neutrales al usuario, resolvió la Autoridad Irlandesa de Protección de Datos de Irlanda y la sancionó con una multa de 345 millones de euros. La Comisión de Protección de Datos irlandesa realizó una investigación voluntaria examinando en qué medida, durante el período comprendido entre el 31 de julio y el 31 de diciembre de 2020, TikTok Technology Limited cumplió con sus obligaciones exigidas en el Reglamento General de Protección de Datos europeo (GDPR) en relación con su procesamiento de datos personales relacionados con usuarios infantiles; particularmente analizó las configuraciones de la plataforma TikTok, tanto las públicas predeterminadas como las asociadas con la función «Emparejamiento familiar»; el proceso de verificación de edad al momento del registro; más la información proporcionada a los usuarios infantiles respecto a la configuración predeterminada. Podría interesarle: Todo lo que sabe TikTok sobre ti cuando compartes un vídeo (y la info que envía sin que lo sepas) Presentada la resolución a las demás Comisiones Europeas hubo disidencias en los incumplimientos por lo que se derivó al Comité Europeo de Protección de Datos (CEPD), el que analizó las prácticas de diseño implementadas por TikTok en el contexto de dos notificaciones emergentes que se mostraron a niños de entre 13 y 17 años: la ventana emergente de registro y la ventana emergente de publicación de videos. El análisis encontró que ambas ventanas emergentes no presentaban opciones al usuario de manera objetiva y neutral. Las razones que llevaron a la Autoridad Irlandesa de Protección de Datos a multar a TikTok En la ventana emergente de registro, se instaba a los niños a optar por una cuenta pública eligiendo el botón del lado derecho denominado «Omitir», lo que luego tendría un efecto en cascada en la privacidad del niño en la plataforma, por ejemplo, permitiendo que se hicieran comentarios libremente a los videos creados por los niños. En la ventana emergente de publicación de videos, se instó a los niños a hacer clic en «Publicar ahora», presentado en un texto en negrita y más oscuro ubicado en el lado derecho, en lugar del botón más claro para «cancelar». Los usuarios que deseaban que su publicación fuera privada primero debía seleccionar «cancelar» y luego buscar la configuración de privacidad para cambiar a una «cuenta privada». Por lo tanto, TikTok alentó a los usuarios a optar por configuraciones públicas por defecto, y les dificultó tomar decisiones que favorecieran la protección de sus datos personales, sin que estuvieran claras las consecuencias de las diferentes opciones, especialmente para los niños usuarios. El CEPD confirmó que los responsables del tratamiento no deberían dificultar a los interesados ajustar su configuración de privacidad y limitar el tratamiento. Asimismo, el CEPD evaluó si las medidas de verificación de edad implementadas por TikTok cumplían con los requisitos de protección de datos desde el diseño (Art. 25 (1) GDPR), concluyendo que tales medidas de verificación le generaban serias dudas respecto a su eficacia, particularmente teniendo en cuenta la gravedad de los riesgos por el elevado número de niños afectados, destacando que el mecanismo para evitar que menores de 13 años accedan a la plataforma podía eludirse fácilmente y que las medidas aplicadas después de que los usuarios obtuvieron acceso a TikTok no se aplicaban de manera sistemática. La responsabilidad de las redes sociales con los niños y menores Anu Talus, presidente del comité, sostuvo que las empresas de redes sociales tienen la responsabilidad de evitar presentar opciones a los usuarios, especialmente a los niños, de manera injusta, especialmente si esa presentación puede llevar a las personas a tomar decisiones que violen sus intereses de privacidad. Las opciones relacionadas con la privacidad deben proporcionarse de forma objetiva y neutral, evitando cualquier tipo de lenguaje o diseño engañoso o manipulador. Los actores digitales deben tener mucho cuidado y tomar todas las medidas necesarias para salvaguardar los derechos de protección de datos de los niños. Lea también: TikTok, multada con la histórica cantidad de 345 millones € en la UE por violar la protección de datos de los menores de edad En línea con la columna anterior, es indispensable un Estado presente en estas cuestiones que la acción individual no modifica conductas empresarias, por lo que se añora que nuestros organismos protectorios asuman un rol similar al irlandés, protegiendo activa y proactivamente a nuestros niños. FUENTE: Altamira, Matías. »Multan a Tik Tok por revelar datos de menores» Comercioyjusticia.info. 06/10/2023. (https://comercioyjusticia.info/opinion/multan-a-tik-tok-por-revelar-datos-de-menores/).
