¿Cómo funciona el Hacking Ético y por qué es importante?
¿Qué es exactamente el Hacking Ético y por qué es una parte tan importante de la postura de seguridad de TI de una organización? Este artículo cubrirá todo lo que necesita saber sobre la piratería ética, incluido cómo convertirse en un hacker ético. Aunque pueda parecerlo al principio, la piratería ética no es una contradicción. Mientras que algunas personas usan su conocimiento de piratería para mal, otros lo usan para ayudar a las empresas a detectar fallas en su entorno de TI. (Piense en la diferencia entre un ladrón y un consultor de seguridad del hogar: ambos buscan vulnerabilidades, pero hacen cosas muy diferentes con esta información). Hacking Ético: ¿Qué son los hackers éticos y por qué son útiles? El término piratería ética, también llamado piratería de sombrero blanco, se refiere al uso de habilidades y técnicas de piratería con buenas intenciones y con el pleno consentimiento y aprobación del objetivo. Los piratas informáticos éticos utilizan sus herramientas y conocimientos para sondear un sistema de TI, una base de datos, una red o una aplicación en busca de vulnerabilidades de seguridad. Luego informan al objetivo de cualquier falla que encuentren y brindan recomendaciones para repararlas. Ambas partes de la definición anterior, las buenas intenciones y el consentimiento del objetivo, son necesarias para ser un hacker ético. Si falta una o ambas partes, el individuo se conoce como hacker de sombrero negro o sombrero gris, según la motivación: Los hackers de sombrero negro son maliciosos, carecen tanto de buenas intenciones como del consentimiento de sus objetivos. Estos individuos son lo que significa el término hacker en el imaginario popular. Entran en entornos de TI, roban datos confidenciales o instalan ransomware que cobra una tarifa a los usuarios para recuperar el acceso a sus computadoras. Estos individuos suelen tener motivaciones egoístas, como el dinero o la fama, y pueden trabajar para el activismo político o entidades gubernamentales como parte de un equipo de guerra cibernética. Los hackers de sombrero gris ocupan un área moralmente gris entre sombrero negro y sombrero blanco. Sus actividades son a menudo técnicamente ilegales, sondeando sistemas en busca de vulnerabilidades sin el consentimiento de sus objetivos. Sin embargo, los hackers de sombrero gris están motivados por la pasión o la curiosidad en lugar de la intención de explotar sus hallazgos para obtener ganancias financieras. Podría interesarle: ¿Cómo pueden las empresas gestionar los riesgos generales de ciberseguridad? Para que las personas sean piratas informáticos éticos o de sombrero blanco, deben obedecer algunos conceptos clave: Las actividades de los piratas informáticos éticos deben realizarse con pleno conocimiento y consentimiento del objetivo y permanecer siempre dentro de los límites legales. Deben trabajar con el objetivo para definir el alcance de sus actividades y no deben ir más allá de este alcance a menos que se acuerde lo contrario. Deben reportar todas las vulnerabilidades que descubran durante su trabajo y ofrecer sus mejores consejos para solucionarlas. Deben respetar la privacidad y la seguridad del objetivo, incluida cualquier información sensible o confidencial. Los hackers éticos son clave para las organizaciones del Siglo XXI Los hackers éticos son útiles porque ayudan a las organizaciones a identificar vulnerabilidades en sus entornos de TI antes de que los hackers de sombrero negro puedan explotarlas. Las empresas suelen emplear hackers éticos en equipos internos de TI o contratistas externos. La designación de un hacker ético generalmente no es un título de trabajo oficial; en cambio, los piratas informáticos éticos ocupan roles como analistas de seguridad, ingenieros de seguridad y probadores de penetración. ¿Cuáles son los usos del Hacking Ético? Los hackers éticos tienen muchos casos de uso dentro de una organización. Dependiendo de sus habilidades y especializaciones, los hackers éticos pueden trabajar en la detección de vulnerabilidades de una o más de las siguientes maneras: Ingeniería social: la ingeniería social se refiere a manipular objetivos a través de medios sociales o psicológicos en lugar de técnicos, engañándolos para que revelen información confidencial. Por ejemplo, se puede engañar a los empleados para que divulguen sus credenciales de inicio de sesión después de recibir un correo electrónico de phishing. Hackeo de aplicaciones web: muchas aplicaciones web tienen fallas de seguridad ocultas que los atacantes pueden explotar. Estas vulnerabilidades pueden incluir fallas al desinfectar la entrada del usuario (como inyección SQL y secuencias de comandos entre sitios) y problemas con la autenticación y las credenciales del usuario. Piratería de servidores web: los servidores y las bases de datos también están sujetos a varios problemas que los piratas informáticos éticos pueden detectar. Por ejemplo, un servidor podría exponer inadvertidamente información confidencial o ser vulnerable a ataques de denegación de servicio que buscan abrumarlo con demasiado tráfico. Piratería de redes inalámbricas: las redes también son susceptibles a la entrada no autorizada por parte de piratas informáticos de sombrero negro, y depende de sus homólogos de piratas informáticos éticos detenerlos. Las posibles vulnerabilidades de la red incluyen problemas de contraseña y cifrado, puntos de acceso no autorizados e incluso dispositivos de la empresa perdidos o robados. Hackeo del sistema: Por último, pero no menos importante, los atacantes pueden intentar explotar sistemas o máquinas individuales dentro de la red de una empresa e instalar virus, troyanos, ransomware, spyware, keyloggers y otro malware. Los piratas informáticos éticos buscan fallas en el sistema, como el descifrado de contraseñas y la escalada de privilegios. Ventajas del Hacking Ético Tanto el número como la intensidad de los ataques cibernéticos están aumentando rápidamente y no hay señales de que vayan a disminuir en el corto plazo. Según IBM, por ejemplo, el costo promedio de violación de datos para las empresas ahora es de $ 4,35 millones, la cifra más alta jamás registrada (IBM Security, 2022). Dado el tremendo riesgo comercial de sufrir un ataque cibernético, las organizaciones deben ser proactivas en la defensa contra los piratas informáticos de sombrero negro. Trabajar con hackers éticos es una excelente manera para que las empresas utilicen herramientas de sombrero negro contra ellos. Instituciones tan importantes como los bancos, las fuerzas armadas y los servicios de inteligencia nacionales confían en los piratas informáticos éticos como parte fundamental de sus estrategias de ciberseguridad. Al comenzar su trabajo, los hackers éticos realizan una
Los ethereum wallets ahora serán públicos a través de búsquedas de Google
La nueva función ahorra a los buscadores una visita a Etherscan, volviendo públicos los saldos de los ethereum wallets directamente en los resultados de búsqueda de Google. La función la hizo pública por primera vez el director de Google Ventures, Han Hua, en un post de Twitter del 11 de octubre. Esto implica que, a partir de ahora, Google proporcionará datos sobre las direcciones de Ethereum Wallets a través de su motor de búsqueda. El sitio web más grande del mundo ahora te dice la cantidad de ETH que tienen algunos monederos, cuando introduces una dirección de Ethereum en la barra de búsqueda. La nueva función estará disponible a través del explorador de Ether Etherscan, un sitio web que proporciona datos sobre la cadena de bloques de Ethereum. A pesar de el anuncio del director de Google Ventures, cuando Decrypt lo probó con varias direcciones, algunas funcionaron y otras no, lo que podría significar que Google está desplegando la función de forma gradual. Podría interesarle: Google mejora su seguridad de datos eliminando la lista de ‘permisos de aplicaciones’ El alcance de los Ethereum Wallets en el mercado Ethereum es la segunda criptomoneda por capitalización de mercado después de Bitcoin. Su cadena de bloques se utiliza para crear aplicaciones populares descentralizadas (conocidas como dapps). Acoge una actividad comercial de miles de millones de dólares en DeFi y NFT. Las direcciones de Ethereum son públicas y cualquiera puede averiguar, con las herramientas adecuadas, cuántos ETH tiene una cartera, qué transacciones ha realizado y con qué aplicaciones ha interactuado su propietario en la red. Es el tipo de datos que puede ser muy valioso para los operadores y analistas, y algunas empresas de gran envergadura, en EE.UU., han creado negocios en torno a la facilitación de estos datos. Google, cada vez más inmerso en el mundo Crypto Google se está centrando más en las criptomonedas: Según ha informado hoy la CNBC, por primera vez el gigante de Internet ha dicho que empezará a utilizar Coinbase para aceptar las criptomonedas Bitcoin, Ethereum y Dogecoin para realizar pagos por servicios en la nube a principios del próximo año. Así mismo, el jefe de estrategia de Web3 y Cloud de Google, Richard Widmann, dijo a Decrypt que la empresa estaba trabajando para aumentar sus funciones de Web3. Esto sugiere que Google, posiblemente una de las empresas tecnológicas más importantes del mundo, tiene sus ojos puestos en lo que se cree que será la próxima interacción de Internet, que se basa en gran medida en las cadenas de bloques para funcionar. FUENTE: Di Salvo, Mat. »You Can Now Google the Balances of Ethereum Addresses» Decrypt.co. 11/10/2022. (https://decrypt.co/111667/ethereum-addresses-now-searchable-on-google).
Derecho a la privacidad ¿Cuándo está una empresa tecnológica obligada a entregar datos que guarda sobre mí a un gobierno?
Derecho a la privacidad y cuándo puede un gobierno acceder a mis datos. Hay una cosa que ya tenemos muy clara, y es que todo lo que hacemos en Internet queda registrado en alguna parte. En la mayoría de los casos, en la nube de las grandes empresas tecnológicas que nos brindan los servicios que usamos en nuestro día a día: correo electrónico, espacios virtuales de trabajo (como Google Drive u Outlook), redes sociales, videollamadas, aplicaciones de mensajería etc. Cuando usamos estas funciones, generamos una serie de datos que se quedan las empresas, que dicen mucho de nosotros, y que pueden ser útiles para una investigación policial o judicial. Lo vemos con un ejemplo bastante reciente: La renovación de la sentencia Roe vs Wade que protegía el acceso al aborto en Estados Unidos. Este famoso caso tiene relación con nuestra vida en línea, especialmente a raíz de que se viralizase en redes sociales un llamamiento a eliminar las aplicaciones de control menstrual. Podría interesarle: ¿Cuáles son los objetivos de la nueva Ley de servicios digitales de la Unión Europea? Esto se debió al temor por que se pudiese usar la información registrada en ellas para conocer si una mujer había pasado por un aborto. A raíz del revuelo, varias grandes empresas tecnológicas, entre ellas las empresas tecnológicas más importantes del mundo, advirtieron de que no entregarían datos relacionados con este asunto de sus usuarias. Sin embargo, esto no es tan fácil de cumplir a rajatabla y de ahí surge una pregunta: ¿Cómo funcionan estas peticiones de datos por parte de jueces o autoridades policiales? ¿Están obligadas las empresas a entregarlos sí o sí a pesar del derecho a la privacidad? ¿Funciona igual en todo el mundo? Por norma general, los tribunales tienen que tener jurisdicción en el país en el que quieren solicitar la información los jueces y tribunales de cualquier estado pueden solicitar información mediante un requerimiento judicial, pero tanto el tipo de información, como la forma y los plazos dependerán de cada lugar. Esto, a su vez, es cambiante, ya que si bien es necesario que el tribunal que realiza una solicitud en un país tenga jurisdicción en él, hay veces que se mandan igualmente solicitudes a empresas extranjeras -y estas tienen la opción de contestar o no- y otras en las que existen tratados especiales entre regiones que autorizan estos requerimientos . Es el caso de Estados Unidos y la Unión Europea, por ejemplo. En Europa, rige la Convención Europea de Derechos Humanos. El derecho a la privacidad es uno fundamental, por eso las solicitudes no siempre salen adelante En principio, nuestro derecho a la privacidad prevalece sobre una petición de datos, a menos que haya una justificación sólida de por qué se necesitan. “Dentro de nuestra normativa, vulnerar un derecho fundamental solo puede suceder cuando ‘choque’ con otro derecho fundamental, cuando haya otro bien mayor en juego que necesite protección”, añade una experta en una entrevista para el portal Maldita.es. De ahí que hablemos de que las empresas ‘batallan’ estos requerimientos cuando les llegan y que no se entreguen los datos en el cien por cien de los casos: “En derecho es indispensable calibrar la proporcionalidad de una medida o, dicho de otra manera, someterlo a ese juicio de ponderación tomando todos los intereses -y, sobre todo, todos los derechos, que entran en juego-. Por tanto, hemos de revisar, en primer lugar, que no haya medidas menos intrusivas para paliar o evitar el daño y, en segundo lugar, que la aportación de los datos sea la mínima imprescindible”, aclara la experta. Para contextualizar esto, existe un famoso caso de un activista francés que había sido detenido después de que su proveedor de correo electrónico tuviera que entregar su dirección IP a las autoridades suizas. Gracias a este dato, que da información sobre una ubicación de forma aproximada, pudieron localizarle. En el caso del aborto en Estados Unidos, también hablamos de cómo se incriminó a una mujer y a su hija después de que Facebook revelase una conversación que ambas mantuvieron por Facebook Messenger. Lea también: Quién sabe más de mí, ¿Google o mi madre? Las empresas pueden batallar los requerimientos, pero suelen ceder al menos parte de los datos Muchas grandes empresas tecnológicas (estadounidenses en su mayoría) tienen políticas respecto a este tipo de solicitudes. Algunas de ellas establecen que solamente responderán a solicitudes que cumplan todos los requisitos legales, y que recurrirán todas aquellas que no los cumplan. Algunas, además dan datos sobre las solicitudes que reciben, entre ellas Google o Apple, por ejemplo, proporcionan datos en el 80 u 84% de los casos. Recordemos una cosa, que es el tema de las diferencias entre países y jurisdicciones: en Estados Unidos su legislación permite de manera amplia que las autoridades obtengan información, una tradición que puede derivar de los atentados del 11S, sobre todo para poder acceder a comunicaciones o información de personas extranjeras que supongan un riesgo de seguridad nacional (a partir de la conocida Ley de Vigilancia de Inteligencia Extranjera, conocida como ley FISA por sus siglas en inglés). Por ejemplo, en EE.UU. no solo pueden solicitar datos jueces y tribunales, sino también autoridades policiales. De ahí que la solicitud de datos pueda ser mayor que en otros países. Una vez que la información ha sido solicitada, ¿Cómo puede reaccionar una empresa? Bien, si la solicitud es legal, no pueden negarse. La empresa podrá batallar (recurrir o impugnar, la terminología puede variar) cuando considere que las solicitudes no respetan estos requisitos legales, pero de no prosperar el recurso, tendrán que entregar la información. FUENTE: Tecnología, Maldita. »Cuándo está una empresa tecnológica obligada a entregar datos que guarda sobre mí a un gobierno» Maldita-es.cdn.ampproject.org. 10/10/2022. (https://maldita-es.cdn.ampproject.org/c/s/maldita.es/malditatecnologia/20221010/empresa-tecnologica-datos-gobierno/?amp).
Filtración de datos de Toyota
Filtración de datos de Toyota. Los usuarios de la aplicación para teléfonos inteligentes de Toyota (T-Connect) podrían haber visto filtrada su información personal, según informó la empresa el viernes en un comunicado. Alrededor de 296.000 datos de clientes del servicio T-Connect de Toyota, que conecta a los usuarios con sus coches, podrían haberse filtrado, informó la cadena Reuters. Toyota emitió un comunicado en el que advertía a sus clientes de que podían correr el riesgo de recibir spam, estafas de phishing o mensajes de correo electrónico no solicitados a sus direcciones de correo electrónico. Toyota T-Connect es la aplicación de conectividad oficial del fabricante de automóviles que permite a los propietarios de coches Toyota vincular su smartphone con el sistema de info-entretenimiento del vehículo para realizar llamadas telefónicas, música, navegación, integración de notificaciones, datos de conducción, estado del motor, consumo de combustible, etc. Podría interesarle: Los datos de 330.000 clientes de starbucks fueron vendidos a un increíble precio Filtración de datos de Toyota: Un error generó el incidente Toyota descubrió recientemente que una parte del código fuente de T-Connect se publicó por error en GitHub y contenía una clave de acceso al servidor de datos que almacenaba las direcciones de correo electrónico y los números de gestión de los clientes. Esto hizo posible que un tercero no autorizado accediera a los datos de 296.019 clientes entre diciembre de 2017 y el 15 de septiembre de 2022, cuando el acceso al repositorio de GitHub estaba restringido. El 17 de septiembre de 2022 se cambiaron las claves de la base de datos, purgando todo posible acceso de terceros no autorizados. El anuncio explica que los nombres de los clientes, los datos de las tarjetas de crédito y los números de teléfono no se han visto comprometidos, ya que no estaban almacenados en la base de datos expuesta. »Como resultado de una investigación llevada a cabo por expertos en seguridad, aunque no podemos confirmar el acceso por parte de un tercero basándonos en el historial de acceso al servidor de datos donde se almacenan la dirección de correo electrónico y el número de gestión del cliente, al mismo tiempo, no podemos negarlo por completo», – explica en un comunicado la compañía. FUENTE: derechodelared. »Toyota revela una filtración de datos después de que la clave de acceso de su aplicación fuera expuesta en GitHub» Derechodelared.com. 10/10/2022. (https://derechodelared.com/toyota-filtracion-de-datos-tconnect/)
Demanda a Meta por filtrar datos médicos de pacientes y ofrecerles anuncios relacionados con sus patologías
La demanda a Meta, empresa de Mark Zuckerberg, se ha dado por vulnerar la privacidad de pacientes y usuarios de tres de los hospitales más importantes de Estados Unidos. La compañía Meta, antigua Facebook, ha sido demandada dos veces por obtener datos médicos de pacientes para mostrarles publicidad relacionada con sus enfermedades. Este hecho violaría la ley estadounidense HIPAA, que defiende la portabilidad y responsabilidad del seguro médico y va contra la invasión de la privacidad. Podría ser de su interés: Brasil multa a Facebook por 1,3 millones de dólares Además, una de las demandas también ha acusado a dos hospitales famosos del país, en los que los pacientes confiaron su estado de salud y tratamientos. Todo se debe a la existencia y uso de Meta Pixel, una herramienta de la compañía de Zuckerberg que es utilizada, en principio, para el seguimiento analítico por hospitales estadounidenses. Sin embargo, la demanda a Meta acusan que Meta Pixel recopila datos de los pacientes sin su consentimiento, como el estado de salud, detalles de sus citas médicas y otros detalles como las enfermedades o alergias que padecen. Después, la compañía se los enviaría a Facebook para que mostrara a dichos pacientes anuncios relacionados con sus patologías. Estas acciones violarían la ley de privacidad médica HIPAA, debido a que la norma establece que las organizaciones médicas «necesitan el consentimiento del paciente para compartir información de salud de identificación personal con grupos externo.» Demanda a Meta: dos razones distintas, dos demandas distintas El estado de California ha registrado dos demandas contra la empresa de Mark Zuckerberg por violar la privacidad de sus pacientes y usuarios. En una de ellas, a la víctima le apareció publicidad relacionada con afecciones cardiacas y de rodilla, justo las que ella padecía. En esta denuncia también se ha acusado a los hospitales de a Universidad de California en San Francisco y Dignity Health, ambos usuarios de Meta Pixel. Lea también: Francia impone multas millonarias a Google y Facebook por su política de cookies En la segunda demanda por compartir información protegida con contraseña, se indica que la información de un paciente del Sistema de Salud MedStar de Maryland se ha compartido sin su permiso. Por último, la compañía de Mark Zuckerberg ya está inmersa en otras polémicas, como en Japón, donde una empresa de realidad virtual llamada Meta (también), pero más longeva que la del magnate, le ha acusado de robarle el nombre y el dominio de su página web. FUENTE: TecnoExplora. »Demandan a Meta por filtrar datos médicos de pacientes y ofrecerles anuncios relacionados con sus patologías» Amp-lasexta-com.cdn.ampproject.org. 04/10/2022. (https://amp-lasexta-com.cdn.ampproject.org/c/s/amp.lasexta.com/tecnologia-tecnoxplora/internet/demandan-meta-filtrar-datos-medicos-pacientes-ofrecerles-anuncios-relacionados-sus-patologias_2022080462eb92d8142d7b000180fb93.html).
La Agencia Española de Protección de Datos multa a CaixaBank Payments & Consumer con tres millones
La Agencia Española de Protección de Datos (AEPD) ha sancionado a CaixaBank Payments & Consumer ECF con 3 millones de euros, según publica ese lunes el Boletín Oficial del Estado español (BOE). La resolución, con fecha de 20 de septiembre de 2022, señala que la entidad financiera cometió una infracción del artículo 6.1 de reglamento general de protección de datos, relativo a la licitud del tratamiento. Podría interesarle: Sanción a banco español, en Perú, por ofrecer producto a excliente sin su consentimiento Dicho artículo recoge que el tratamiento solo será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos o si es necesario para la ejecución de un contrato en el que el interesado es parte, para el cumplimiento de una obligación legal, para proteger sus intereses vitales, para el cumplimiento de una misión realizada en interés público o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. Lea también: España suma más de 20 millones de euros en multas por Protección de Datos durante 2022 La multa ha sido publicada en el BOE debido a que su importe supera el millón de euros y el infractor es una persona jurídica, como establece el artículo 76 de la ley orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales. FUENTE: CincoDías, El País. »La Agencia Española de Protección de Datos multa a CaixaBank Payments & Consumer con tres millones» Cincodias.elpais.com. 03/10/2022. (https://cincodias.elpais.com/cincodias/2022/10/03/companias/1664788482_256990.html).
Hackers difunden información sensible del hospital francés que quisieron extorsionar
El grupo de hackers informáticos que lanzó un ciberataque contra un hospital cerca de París empezó este viernes a difundir información sensible, después de que el centro se negara a pagar el dinero exigido, indicó este domingo el centro. Los piratas del llamado grupo Lockbit 3.0 fijaron un ultimátum al hospital, en la localidad de Corbeil-Essonnes, para que pagara hasta el 23 de septiembre. Una vez pasado el plazo, empezaron a difundir datos, indicó el hospital, confirmando una información de la web especializada Zataz. Podría interesarle: Importante cadena hotelera global, hackeada por usar ‘Qwerty1234’ como contraseña La información filtrada, indicó el centro, «parece tener que ver con nuestros usuarios, nuestro personal y nuestros socios», indicó el hospital en un comunicado enviado al portal informativo AFP. Entre los datos divulgados por los hackers figuran potencialmente «ciertos datos administrativos», como el número de la seguridad social, y algunas informaciones como exámenes de radiología o de laboratorios de análisis. El centro precisó que el ataque no afectó las bases de datos que contienen la información personalizada de los pacientes ni la información relativa a la gestión de recursos humanos. «Es una doble extorsión, consistente en filtrar una parte de los datos robados para presionar a las víctimas. Es un gran clásico», explicó a AFP un especialista informático. Los hechos relacionados al ataque y al chantaje de los hackers El hospital situado al sur de París, que asegura la cobertura sanitaria de cerca de 700.000 habitantes, sufrió un ciberataque el 21 de agosto, acompañado de un pedido de rescate de 10 millones de dólares. El rescate habría sido reducido luego a un millón de dólares, según varias fuentes coincidentes. Según Zataz, los hackers reclamaron al hospital 2 millones de dólares, de los cuales un millón para destruir los datos robados y otro millón para devolver el acceso a la información a través de un programa específico. El hospital presentó una denuncia por los hechos. La investigación, abierta por la fiscalía de París y confiada al Centro de Lucha contra la criminalidad digital (C3N), sigue su curso. Tras el ataque, el hospital, cuyas urgencias atienden habitualmente a unas 230 personas cada día, tuvo que activar un plan de emergencia para garantizar la continuidad de su servicio. FUENTE: París, AFP. »Hackers difunden información sensible del hospital francés que quisieron extorsionar» France24.com.
Sanción a banco español, en Perú, por ofrecer producto a excliente sin su consentimiento
La Autoridad Nacional de Protección de Datos Personales del Perú impuso una sanción a banco español, de S/ 66,400, por incumplir disposiciones de la Ley de Protección de Datos Personales. La Autoridad Nacional de Protección de Datos Personales del Perú (ANPD), del Ministerio de Justicia y Derechos Humanos (Minjusdh), impuso una multa ascendente a 16 UIT (S/ 66,400) a importante banco español con sede en ese país, por incumplir disposiciones de la Ley de Protección de Datos Personales (LPDP) y su reglamento. Lo que determinó la autoridad peruana para ratificar la sanción a banco español La entidad determinó que la entidad financiera realizó tratamiento de datos personales mediante la presencia física de su personal en el domicilio de un ciudadano a fin de ofrecer sus servicios financieros, sin haber obtenido válidamente su consentimiento. “Esta conducta califica como una infracción grave tipificada en la norma reglamentaria. En ese marco, la ANPD concluyó que utilizar datos personales de bancos o bases de datos de exclientes para ofrecer dichos servicios financieros no puede calificar como un “primer contacto”, si es que antes no medió el consentimiento previo”, señaló. Además, se estableció, como medida correctiva, que el banco no contacte al titular del dato personal para ofrecimientos de bienes o servicios sin haber obtenido previamente su consentimiento, el cual debe cumplir con las características establecidas en la normativa en materia de protección de datos personales. Podría interesarle: Demanda colectiva a Oracle le acusa de crear perfiles detallados de 5 mil millones de personas y lucrarse con ello La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en su calidad de órgano de segunda instancia, confirmó la resolución de la sanción a banco español, emitida por la Dirección de Protección de Datos Personales, agotándose con ello la vía administrativa. La normativa general de protección de datos del Perú, se encuentra disponible para consulta aquí: Ley N° 29733 de 2011 ¿Cómo realizar una denuncia por violaciones al régimen de protección de datos, si usted reside en Perú? Las denuncias sobre este indebido tratamiento de datos pueden realizarse a través de la mesa de partes virtual del Minjusdh en el enlace https://sgd.minjus.gob.pe/sgdvirtual/public/ciudadano/ciudadanoMain.xhtml. Además, los ciudadanos que consideren que sus datos personales no son tratados de manera correcta pueden presentar una denuncia ante la Dirección de Fiscalización e Instrucción de la ANPD, así como realizar consultas al teléfono 204-8020 anexo 1030. FUENTE: »Sancionan a banco por ofrecer producto a excliente en su casa sin haber obtenido el consentimiento» Ojo.pe. 03/10/2022. (https://ojo.pe/actualidad/ley-de-proteccion-de-datos-personales-multan-a-banco-por-ofrecer-producto-a-excliente-en-su-casa-sin-haber-obtenido-su-consentimiento-autoridad-nacional-de-proteccion-de-datos-personales-minjusdh-rmmn-noticia/?ref=ojr)
¿Cómo pueden las empresas gestionar los riesgos generales de ciberseguridad?
¿Alguna vez te has preguntado qué ocurriría si un ciberdelincuente tuviera acceso a la documentación de tu empresa y con esto se generara una serie de riesgos generales de ciberseguridad? ¿Sabes cuáles son las mayores ciberamenazas para tu negocio? Independientemente del tamaño del negocio, en la mayoría de casos estos manejan una gran cantidad de datos valiosos. Por este motivo, las empresas deben protegerse para evitar que los ciberdelincuentes adquieran esta información valiosa de manera no autorizada. Las ciberamenazas que se muestran a continuación pueden afectar a cualquier compañía la cual no ha tomado o utilizado las medidas y herramientas de ciberseguridad necesarias. Ingeniería social: Este tipo de ataque se basa en el engaño a un usuario o administrador del sistema, para poder acceder a la información privilegiada. Phishing: El cibercriminal trata de engañar al usuario dirigiéndose a un supuesto administrador del sistema, el cual, está solicitando su contraseña para varios propósitos legítimos. Normalmente se solicitan contraseñas o información sobre tarjetas de crédito, con el motivo de “crear nuevas cuentas” o “reactivar una cuenta antigua”. Fugas de información: Se entiende como fuga de información a la pérdida de confidencialidad de los datos, fruto de un problema de ciberseguridad. Se habla de fuga de datos cuando una información considerada como confidencial se pierde, si bien necesariamente no queda expuesta. Fraude del CEO: Estafa en la que los ciberdelincuentes falsifican cuentas de correo de la empresa, haciéndose pasar por altos ejecutivos para engañar a un empleado de la empresa y lograr ejecutar operaciones bancarias no autorizadas o envío de información confidencial. Aunque los ataques de los ciberdelincuentes son cada vez más sofisticados, los errores humanos son los que están detrás de la mayoría de incidencias de ciberseguridad. Según el portal Europa Press “Los errores humanos estuvieron detrás de los ciberataques sufridos por más de 300.000 pymes en 2021”. Podría interesarle: ¿Qué es la ciberresiliencia y por qué representa una nueva etapa en ciberseguridad? Teniendo en cuenta estos datos, la mejor opción tanto para usuarios como para empresas es prevenir y seguir una serie de sencillas recomendaciones. 5 consejos para gestionar riesgos de ciberseguridad Una vez sean conocidos los principales riesgos de ciberseguridad del negocio, es momento de tomar medidas, así como de implementar las mejoras necesarias. A continuación se proponen algunas recomendaciones que permitirán reducir este tipo riesgos: Formar y concienciar a los empleados en ciberseguridad: Para proteger a la organización, la ciberseguridad debe formar parte de la cultura organizativa. Para ello, todos los trabajadores deben estar sensibilizados sobre su relevancia y ser educados para que puedan reconocer los ataques y saber cómo evitarlos. Establecer procedimientos de backup: Ninguna estrategia de ciberseguridad va a funcionar si no se tiene un plan de continuidad de negocio y recuperación frente a un desastre. Ante una incidencia de ciberseguridad grave, las soluciones de backup van a permitir que la compañía recupere la actividad. Monitoriza el tráfico de red para detectar actividades sospechosas: La anticipación ante comportamientos anómalos puede ayudar a detectar ataques en curso o amenazas potenciales. Implementar un plan de respuestas ante incidentes: La aplicación de este plan permitirá al personal de IT detectar, responder y recuperarse de incidentes de seguridad. Este tipo de planes permiten abordar problemas como las ciberamenazas o las pérdidas de datos. Mantente actualizado de las últimas amenazas: Para evitar vulnerabilidades en la empresa, es fundamental mantenerse informado de las últimas tendencias de ciberseguridad a través de organismos acreditados como el Instituto Nacional de Ciberseguridad de España (INCIBE) o el Centro Criptológico Nacional (CCN). La mayoría de las empresas piensan erróneamente que no están expuestas a amenazas de ciberseguridad, o que su información no es interesante a los ciberdelincuentes. Sin embargo, la ciberseguridad nos afecta a todos, ya que los riesgos e incidentes de ciberseguridad siempre existen, aunque se dispongan de controles que mitiguen y minimicen las incidencias. FUENTE: Ramírez, Fran. »¿Cómo pueden las empresas gestionar los riesgos generales de ciberseguridad?» Derechodelared.com. 03/10/2022. (https://derechodelared.com/empresas-riesgos-generales-ciberseguridad/)
