Expertos descubren 85 aplicaciones con 13 millones de descargas involucradas en esquema de fraude publicitario
Se han descubierto hasta 75 aplicaciones en Google Play y 10 en Apple App Store involucradas en fraude publicitario como parte de una campaña en curso que comenzó en 2019. La última iteración, denominada Scylla por la empresa de prevención de fraudes en línea HUMAN Security, sigue a oleadas de ataques similares en agosto de 2019 y finales de 2020 que se conocen con el nombre en clave Poseidón y Charybdis, respectivamente. Antes de su eliminación de las tiendas de aplicaciones, las aplicaciones se habían instalado colectivamente más de 13 millones de veces. La operación Poseidón original comprendía más de 40 aplicaciones de Android que fueron diseñadas para mostrar anuncios fuera de contexto u ocultos a la vista del usuario del dispositivo. Podría interesarle: Aplicaciones que roban datos bancarios desde su celular ¡Elimínelas o evite descargarlas! Fraude publicitario a través de aplicaciones con amplio desarrollo Charybdis, por otro lado, fue una mejora con respecto al primero al hacer uso de tácticas de ofuscación de código para orientar las plataformas publicitarias. Scylla presenta la última adaptación del esquema en el sentido de que se expande más allá de Android para hacer una incursión en el ecosistema de iOS por primera vez, además de depender de capas adicionales de código usando la herramienta Allatori . Estas aplicaciones, una vez instaladas, están diseñadas para cometer diferentes tipos de fraude publicitario, lo que marca un avance significativo en la sofisticación de las variantes anteriores. Estos incluyen la falsificación de aplicaciones populares como los servicios de transmisión para engañar a los SDK publicitarios para que coloquen anuncios, publiquen anuncios fuera de contexto y «ocultos» a través de WebViews fuera de la pantalla y generen clics de anuncios fraudulentos para sacar provecho de los anuncios. «En términos sencillos, los actores de amenazas codifican sus aplicaciones para que pretendan ser otras aplicaciones con fines publicitarios, a menudo porque la aplicación que pretenden ser vale más para un anunciante que la aplicación por sí sola», dijo la compañía . Como siempre, se recomienda a los usuarios que analicen las aplicaciones antes de descargarlas y que eviten las tiendas de aplicaciones de terceros en la web que podrían albergar aplicaciones maliciosas. FUENTE: Ehacking. »EXPERTOS DESCUBREN 85 APLICACIONES CON 13 MILLONES DE DESCARGAS INVOLUCRADAS EN ESQUEMA DE FRAUDE PUBLICITARIO» Blog.ehcgroup.io. 27/09/2022. (https://blog.ehcgroup.io/2022/09/27/15/26/15/13995/expertos-descubren-85-aplicaciones-con-13-millones-de-descargas-involucradas-en-esquema-de-fraude-publicitario/noticias-de-seguridad/ehacking/)
Demanda colectiva a Oracle le acusa de crear perfiles detallados de 5 mil millones de personas y lucrarse con ello
Una demanda colectiva a Oracle le acusa de llevar a cabo una vigilancia global, esencialmente tratando de crear perfiles detallados de compras y gastos de toda la población mundial. La demanda acusa a Oracle de crear perfiles para cinco mil millones de personas en todo el mundo, adjuntando cosas como registros de compras y ubicaciones de GPS a su nombre e información de contacto. Si bien las plataformas de redes sociales generalmente dominan la conversación sobre vigilancia global, Oracle Data Marketplace y el servicio BlueKai de la compañía se han convertido silenciosamente en una de las fuentes más grandes del mundo del tipo de información personal que los «intermediarios de datos» venden con fines publicitarios específicos. La demanda colectiva a Oracle alega detalles aterradoramente completos sobre las compras y los hábitos de los consumidores La denuncia apunta a los materiales de marketing de Oracle que afirman proporcionar expedientes sobre cinco mil millones de personas, generando unos $42.4 mil millones en ingresos anuales para la empresa. La demanda alega que estos perfiles vinculan nombres, domicilios, correos electrónicos con una cantidad preocupante de información: compras en línea y en el mundo real, movimientos físicos en el mundo real, ingresos, intereses y puntos de vista políticos, y cuentas detalladas de actividad en línea. Un detalle ilustrativo proporcionado es el perfil de un hombre en Alemania que tenía una apuesta de 10 € en un sitio de apuestas de deportes electrónicos conectado a su perfil. Lea también: Quién sabe más de mí, ¿Google o mi madre? La demanda colectiva se presentó en California y alega violaciones de la Ley Federal de Privacidad de las Comunicaciones Electrónicas, la Constitución del Estado de California, la Ley de Invasión de la Privacidad de California, la ley de competencia y el derecho consuetudinario. La demanda busca obligar a Oracle a dejar de recopilar estos datos y restituir a aquellos a quienes se les han creado perfiles, debido a que se crearon sin el conocimiento o consentimiento del sujeto. ¿Cómo Oracle lo hizo posible? Si las afirmaciones de la demanda colectiva a Oracle sobre la vigilancia global resultan ser precisas, la compañía habría elaborado un perfil de más de la mitad de la población total del mundo y de casi todos los adultos. BlueKai de Oracle es la fuente principal de estos datos. Utiliza cookies y «píxeles invisibles» para rastrear a los usuarios a través de los sitios web de la misma manera que lo hacen las plataformas publicitarias de Google y Facebook, pero incorpora una gama aún más amplia de datos externos. Oracle compra información de las empresas de informes de crédito y varias empresas de análisis y corredores de datos, pero también ha adquirido una gran cantidad de datos de una serie de adquisiciones de empresas relacionadas. Algunas de las firmas de «vigilancia global» más grandes permanecen invisibles para las personas que perfilan. La conciencia del consumidor sobre cómo los sitios web y las aplicaciones los rastrean ha aumentado considerablemente en los últimos años, particularmente en relación con los servicios «gratuitos» ofrecidos por las principales compañías de redes sociales. Pero uno de los componentes básicos de la demanda colectiva es la suposición de que los consumidores aún desconocen los intermediarios de datos que centralizan toda esta información. Por ejemplo, los consumidores saben que tiendas como Amazon pueden usar el historial de compras para anuncios dirigidos, pero no saben que estas tiendas también pueden empaquetar y vender esta información a equipos de «vigilancia global» que la combinan con datos similares de todo tipo de otras fuentes. La demanda colectiva sostiene que si las personas ni siquiera son conscientes de lo que están haciendo Oracle (y corredores similares), no tienen una relación material con estas empresas y no es posible que estén dando su consentimiento para que se desarrollen estos perfiles de marketing. La demanda también alega que el daño que ha causado Oracle ha ido más allá de la mera invasión de la privacidad personal. También genera temores sobre el uso potencial de estas bases de datos de marketing por parte de las organizaciones encargadas de hacer cumplir la ley a raíz de la derogación de Roe v. Wade, como un medio para vigilar a los visitantes de servicios como Planned Parenthood. Lea también: Se filtran datos de clientes de SAMSUNG en Estados Unidos El historial de Oracle Oracle ya ha enfrentado algunos desafíos legales que alegan prácticas de vigilancia global similares, pero nada se ha estancado hasta el momento. En 2020 se presentó en Holanda una demanda colectiva basada en violaciones del Reglamento General de Protección de Datos (GDPR), pero fue desestimada este año por falta de legitimación (aunque con posibilidad de apelación). BlueKai también sufrió una filtración de datos en junio de 2020 cuando se descubrió un servidor de Internet desprotegido que contenía miles de millones de registros, pero esto fue documentado por un investigador de seguridad y no está claro si los actores de amenazas llegaron primero. Sea cual sea el resultado de la demanda de la ICCL, el hecho de que esté ocurriendo es un acontecimiento importante para las empresas de todo el mundo, especialmente porque está ocurriendo en los EE. UU. y alega una violación de la ley de California. Si bien no todas las empresas recopilan directamente datos de sus usuarios de una manera que viole la legislación de privacidad de datos en Europa o América, la mayoría se asocia con proveedores digitales que lo hacen, ya sea a través de sus sitios web o plataformas móviles. Ahora más que nunca, las empresas deben comprometerse con la confianza digital y las protecciones de seguridad. FUENTE: Ikeda, Scott. »Demanda colectiva acusa a Oracle de “vigilancia global”, creando perfiles detallados de cinco mil millones de personas» Cpomagazine.com. 29/08/2022. (https://www.cpomagazine.com/data-privacy/class-action-lawsuit-accuses-oracle-of-global-surveillance-creating-detailed-profiles-of-five-billion-people/).
¿Qué es la ciberresiliencia y por qué representa una nueva etapa en ciberseguridad?
Los líderes y organizaciones deben estar preparados para enfrentar ataques y amenazas y contar con las herramientas tecnológicas con un enfoque integral en seguridad. Esto se traduce en un nuevo concepto: Ciberresiliencia. Con la acelerada transformación digital impulsada por la pandemia, y la rápida incorporación de nuevas soluciones tecnológicas como la nube, se ha ampliado también el espacio que puede ser aprovechado por los cibercriminales. De hecho, se estima que los ataques de ransomware incrementaron 150% en 2021 y que cada segundo se llevan a cabo 579 ataques a passwords, sin olvidar que cada vez estos son más sofisticados, lo que significa que, en la actualidad, la ciberseguridad es el riesgo y el rival número uno al que se enfrentan las organizaciones alrededor del mundo. Y es que, además de comprometer la viabilidad o continuidad de un negocio o una organización, los ciberataques también implican un alto costo económico, el cual se estima que incrementa 15% año con año, y que alcanzará los $10.5 trillones de dólares para el 2025. Esto ha ocasionado que el mundo pase de una postura de ciberseguridad a una de ciberresiliencia, entendida como la capacidad de anticiparse, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o compromisos en los sistemas que utiliza o son habilitados por los recursos tecnológicos, de acuerdo con el Laboratorio de Tecnologías de la Información del Centro de Recursos de Seguridad Informática. La transformación digital: principal impulsor de la ciberresiliencia Los hábitos de trabajo también cambiaron con la digitalización y han impulsando la necesidad de construir ciberresiliencia; las organizaciones necesitan adaptarse a un nuevo mundo reforzando sus políticas de seguridad, procesos y normas para responder mejor ante una nueva realidad. Se necesita dar prioridad a la ciberseguridad y también es importante que la alta dirección involucre posiciones clave que garanticen entornos digitales seguros, tales como el CISO (Chief Information Security Officer) y/o departamentos encargados de hacer frente a los ciberataques, así como fomentar una cultura organizacional que permita identificar las prácticas más comunes implementadas por cibercriminales. Al respecto, 2 de cada 3 líderes en seguridad opinan que el trabajo híbrido ha hecho a la organización menos segura, de acuerdo con el estudio de Ciber Resiliencia de Microsoft, 9 de cada 10 responsables de seguridad que declararon sentirse vulnerables a los ataques creen que la seguridad es un elemento que facilita el negocio. Cualquier empresa es vulnerable Todas las organizaciones son vulnerables a ciberataques, y requieren un enfoque preventivo y una defensa adecuada. Lo anterior quedó demostrado durante el evento Microsoft Cybersecurity Tabletop Excercise, en el que la empresa de tecnología invitó a sus clientes a formar parte de un ataque simulado, en el que los participantes comprendieron lo bien preparadas o no que están las organizaciones para resolver estas amenazas. La compañía de tecnología considera que en algún momento, cualquier organización se enfrentará a un ataque, ya que tan solo en Latinoamérica, los ciberataques incrementaron 38% durante 2021, por lo que es importante asegurarse de que se está preparado para responder a él. Además, se debe considerar que la ciberseguridad es una responsabilidad compartida entre muchas áreas y funciones de una empresa. En este sentido, Microsoft recomienda a los empresarios y líderes en seguridad informática de las empresas, adoptar la vulnerabilidad como hecho y pasar a la ciberresiliencia, implementando prácticas como: Utilizar software antimalware. Controlar el acceso a las plataformas de la empresa. Evitar el uso de credenciales robadas con el doble factor de autenticación. Mantener el software actualizado. Hacer uso de políticas de protección y pérdida de datos. Microsoft cuenta con un enfoque integral en seguridad para que personas y organizaciones puedan trabajar de forma segura. Y así, estén preparados en esta nueva etapa de ciberresiliencia. FUENTE: Branded Content. »¿Qué es la ciberresiliencia y por qué representa una nueva etapa en ciberseguridad?» Eleconomista.com.mx. 27/09/2022. (https://www.eleconomista.com.mx/empresas/Que-es-la-ciberresiliencia-y-por-que-representa-una-nueva-etapa-en-ciberseguridad-20220927-0069.html)
Abrir perfiles falsos en redes sociales o páginas de contacto ya tiene respuesta penal
Utilizar la imagen de otra persona para abrir perfiles falsos en redes sociales, páginas de contacto o para realizar anuncios, dando lugar a una situación de acoso, hostigamiento o humillación, se ha tipificado como delito con la pena de prisión de tres meses a un año o multa de seis a doce meses en España. Se trata de una de las novedades introducidas por la llamada ley del ‘solo sí es sí’ en el Código Penal de ese país, que entrará en vigor el próximo día 7 de octubre. De esta forma, el legislador ha modificado el artículo 172 ter del texto para “dar respuesta especialmente a las violencias sexuales cometidas en el ámbito digital”, según explica el preámbulo de la ley. Como aseguró el abogado José María de Pablo al portal web Cinco Días de El País sería el caso, por ejemplo, de quien “crea un perfil falso en una web de citas con la imagen de otra persona para humillarla”. Algo que algunas personas ya han puesto en conocimiento de la Policía tras recibir numerosas llamadas y mensajes de usuarios de páginas de encuentros al finalizar su relación sentimental. Aunque ya existe un delito de usurpación del estado civil o suplantación de la identidad, ubicado en el artículo 401 del Código Penal español, ambas figuras no son equiparables ya que el bien jurídico protegido es diferente. Este ilícito “no está enfocado a proteger a una persona que pudiera sufrir situaciones de acoso, sino que defiende el propio estado civil y el falseamiento de la realidad, requiriendo un ánimo de obtención de beneficio o causación de un perjuicio”, explica Jesús Moreno al mismo diario. Suplantación de identidad: El principal objetivo en la creación de perfiles falsos en redes sociales A modo ilustrativo, destaca una sentencia del Tribunal Supremo de España, que condenó por usurpación a un hombre que, para sustraerse de la acción de la justicia, se hizo pasar por su hermano fallecido. Al mismo tiempo, contrajo diferentes deudas en su nombre. En la misma línea, el alto tribunal juzgó otro caso de suplantación de la identidad de un hombre argentino, médico colegiado y en posesión del título homologado en España, por un compatriota para ejercer válidamente como especialista en Ginecología y Obstetricia. Como apunta José María de Pablo, el delito de usurpación no se refiere “específicamente a los perfiles en redes sociales” porque procede del Código Penal de 1870, mucho antes de la existencia de las aplicaciones informáticas, y se ha mantenido casi igual en los textos penales sucesivos. El nuevo precepto, sin embargo, “hace una referencia expresa a las mismas y concreta más en qué casos serán castigados los perfiles falsos. Ya no se trata de la obtención de un beneficio o un perjuicio genérico, sino de la creación de un perfil falso para acosar, hostigar o humillar a otro”. Podría interesarle: Evitar el robo de datos y qué hacer en caso de que se produzca De acuerdo con la jurisprudencia, se puede considerar que el hostigamiento implica “vigilancia, persecución, aproximación, establecimiento de contactos, incluso mediatos, uso de los datos o atendados directos o indirectos” contra la víctima. Situaciones que “han de provocar una alteración grave del desarrollo de su vida cotidiana”, explica la abogada Teresa Ruano al diario Cinco Días de El País. Subir imágenes de otro Así, para determinar si encaja en la nueva tipificación del Código Penal español una conducta relativamente frecuente, como subir a una aplicación para tener encuentros la fotografía de otra persona, sin su consentimiento, presentándose como tal ante el resto de usuarios, se tendrá que analizar si se cumplen los requisitos de acoso, hostigamiento o humillación. No obstante, “el uso de la imagen de una persona sin su autorización ya vulneraría el derecho fundamental a la propia imagen”, apunta la abogada. Además, se podrían infringir los derechos que tiene el autor de la foto. De hecho, por la vía civil el Tribunal Supremo español ya ha dicho que “el solo hecho de haber subido una fotografía al perfil de Facebook no implica la existencia de autorización por el titular del derecho a la imagen para su uso por terceros”. Y el año pasado un juzgado de Tudela (Navarra) condenó por intromisión ilegítima en el honor a un hombre que difundió a través de Grindr y Wapo, aplicaciones para concertar encuentros entre hombres, el teléfono de otro. En Grindr dijo de él, además, que era “bipolar de los chungos”, llegando a facilitarle a un tercero una foto de la víctima con el mensaje “vigila con este”. Nuevos delitos sexuales contemplados Humillaciones: La ley del ‘solo sí es sí’ también ha modificado el artículo 173.1 del Código Penal. Así, desde el próximo día 7, se castigará a aquellas personas que, en el ámbito de cualquier relación laboral, y prevaliéndose de su situación de superioridad, realicen “de forma reiterada actos hostiles o humillantes” que supongan “grave acoso” a la víctima. La pena de prisión es de seis meses a dos años. Si resulta responsable la empresa, se le impondrá una multa de seis meses a dos años. Favores sexuales: La reforma también ha modificado el artículo 184.1. De esta forma, se va a castigar como responsable de acoso a quien solicite “favores de naturaleza sexual, para sí o para un tercero”, en el ámbito de una “relación laboral”, siempre que provoque una situación “gravemente intimidatoria, hostil o humillante”. La pena de cárcel es de seis a doce meses, pero pasa de uno a dos años si el culpable se hubiera prevalecido de su cargo. Y si la responsabilidad es de la empresa, se le impondrá una multa de seis meses a dos años. Sexting: La ley también modifica el artículo 197.7. Así, será castigado con la pena de prisión de tres meses a un año el que, sin autorización de la víctima, “difunda, revele o ceda a terceros imágenes o grabaciones” que hubiera obtenido con su consentimiento. La multa será de uno a tres meses para quien las recibe sin anuencia del afectado y después las
¿Cuáles son los objetivos de la nueva Ley de servicios digitales de la Unión Europea?
Las nuevas normas dentro de la Ley de servicios digitales son proporcionadas, favorecen la innovación, el crecimiento y la competitividad, y facilitan la expansión de las plataformas más pequeñas, las pymes y las empresas emergentes. Hay entre los usuarios, las plataformas y las administraciones públicas un equilibrio de responsabilidades que se basa en los valores europeos y pone en el centro a los ciudadanos. Las normas de la nueva Ley de servicios digitales buscan: Protegen mejor a los consumidores y sus derechos fundamentales online. Establecen un sólido marco de transparencia y rendición de cuentas para las plataformas online. Impulsan la innovación, el crecimiento y la competitividad en el mercado único. De cara a los ciudadanos Mejor protección de los derechos fundamentales. Más opciones, precios más bajos. Menor exposición a contenidos ilícitos. Respecto a los proveedores de servicios digitales Seguridad jurídica y armonización de las normas. Puesta en marcha y expansión más fáciles en Europa. Las empresas usuarias de servicios digitales Diversidad de opciones, precios más bajos. Acceso a los mercados de la UE a través de las plataformas. Igualdad de condiciones frente a los proveedores de contenidos ilícitos. Para la sociedad en general Mayor control democrático y supervisión de las plataformas sistémicas. Atenuación de riesgos sistémicos tales como la manipulación o la desinformación. Podría interesarle: Bruselas presenta la ley que impone estándares de ciberseguridad a todos los objetos conectados ¿Qué proveedores se contemplan? La Ley de servicios digitales consta de una serie de normas sobre los servicios de intermediación en línea, que millones de europeos utilizan cada día. Las obligaciones de los distintos agentes se corresponden con su respectivo papel, tamaño e impacto en el ecosistema online. Servicios de intermediación, que ofrecen infraestructuras de red; proveedores de acceso a internet, registradores de nombres de dominio, que a su vez incluyen: Servicios de alojamiento de datos tales como servicios en nube y de alojamiento web, que a su vez incluyen: Plataformas online que reúnen a vendedores y consumidores, tales como mercados online, tiendas de aplicaciones, plataformas de economía colaborativa y plataformas de redes sociales. Las plataformas online de muy gran tamaño plantean especiales riesgos en cuanto a difusión de contenidos ilícitos y nocivos para la sociedad. Se contemplan normas específicas para las plataformas que llegan al 10% de los 450 millones de usuarios europeos. Todos los intermediarios online que ofrecen sus servicios en el mercado único, tanto si están establecidos en la UE como fuera de ella, deberán cumplir las nuevas normas. Las microempresas y pequeñas empresas tendrán obligaciones en proporción con su capacidad y dimensiones, sin por ello olvidar su obligación de rendir cuentas. Además, aunque las microempresas y pequeñas empresas crezcan significativamente, se beneficiarán de una exención específica de un conjunto de obligaciones durante un período transitorio de 12 meses. Lea también: Estrategia Europea de Datos: Implicaciones prácticas en materia de protección de datos personales Nuevas obligaciones Servicios de intermediación(obligaciones acumulativas) Serviciosde alojamiento de datos(obligaciones acumulativas) Plataformasonline (obligaciones acumulativas) Plataformasde muy gran tamaño(obligaciones acumulativas) Informes de transparencia ● ● ● ● Requisitos sobre las condiciones de servicio, habida cuenta de los derechos fundamentales ● ● ● ● Cooperación con las administraciones nacionales con arreglo a órdenes ● ● ● ● Puntos de contacto y, en su caso, representante legal ● ● ● ● Notificación y adopción de medidas y obligación de informar a los usuarios ● ● ● Denuncia de infracciones penales ● ● ● Mecanismos de reclamación y recurso y de resolución extrajudicial de litigios ● ● Alertadores fiables ● ● Medidas contra las notificaciones y contranotificaciones abusivas ● ● Obligaciones especiales para los mercados, por ejemplo, comprobación de las credenciales de terceros proveedores («KYBC»: principio de «conozca a su cliente empresarial»), cumplimiento desde el diseño, controles aleatorios ● ● Prohibición de los anuncios dirigidos específicamente a los niños y de los que se basan en las características especiales de los usuarios ● ● Transparencia de los sistemas de recomendación ● ● Transparencia de la publicidad online para los usuarios ● ● Obligaciones en materia de gestión de riesgos y respuesta a las crisis ● Auditoría externa e independiente, función de cumplimiento interna y rendición de cuentas pública ● Libertad de los usuarios para no recibir recomendaciones basadas en la elaboración de perfiles ● Intercambio de datos con administraciones e investigadores ● Códigos de conducta ● Cooperación en materia de respuesta a las crisis ● ¿Qué consecuencias tienen las nuevas obligaciones? La Ley de Servicios Digitales mejora significativamente los mecanismos de eliminación de contenidos ilícitos y protección efectiva de los derechos fundamentales de los usuarios, incluida la libertad de expresión. Además, la Ley introduce una mayor supervisión pública de las plataformas, en particular las que llegan a más del 10 % de la población de la UE. En concreto, esto implica: medidas para luchar contra los bienes, servicios o contenidos ilícitos online, tales como un mecanismo para que los usuarios denuncien este tipo de contenidos y para que las plataformas cooperen con «alertadores fiables» nuevas obligaciones sobre trazabilidad de las empresas usuarias en los mercados online, para ayudar a detectar a los vendedores de bienes ilícitos, o esfuerzos razonables por parte de los mercados online para comprobar aleatoriamente si los productos o servicios han sido identificados como ilegales en alguna base de datos oficial garantías eficaces para los usuarios, incluida la posibilidad de impugnar las decisiones de los moderadores de contenidos de las plataformas prohibición de determinado tipo de anuncios selectivos en las plataformas online (cuando van dirigidos a menores o cuando utilizan categorías especiales de datos personales, como la etnia, las opiniones políticas o la orientación sexual) medidas de transparencia para las plataformas online, inclusive sobre los algoritmos utilizados para las recomendaciones obligación para las plataformas online de muy gran tamaño y los motores de búsqueda de muy gran tamaño de evitar abusos de sus sistemas gracias a medidas basadas en el riesgo y auditorías independientes de su gestión de riesgos acceso de los investigadores a los datos clave
Los datos de 330.000 clientes de starbucks fueron vendidos a un increíble precio
Un trato reciente de Starbucks en Singapur llevó a que los datos de 330,000 usuarios se vendieran en línea por solo $ 3,500. Los clientes cuyos datos se vieron comprometidos recibieron un correo electrónico reciente de la empresa. Según la historia compartida por el portal South China Morning Post, pudieron encontrar que los datos que resultaron de la vulneración de seguridad se pusieron a la venta en un foro en línea. Según los informes, los datos estaban a la venta desde el 10 de septiembre. Un portavoz de Starbucks Singapur respondió a las consultas sobre cuándo se hackeo la base de datos y dijo que solo se dieron cuenta de la vulneración de datos el 13 de septiembre. Esto significa que la violación de datos pasó desapercibida durante al menos tres días, pero podría ser más. Lea también: Importante cadena hotelera global, hackeada por usar ‘Qwerty1234’ como contraseña Starbucks asegura que las tarjetas de crédito de sus clientes no se vieron comprometidas El portavoz de Starbucks de Singapur también señaló que los clientes afectados eran los que tenían cuentas y realizaban transacciones a través de su tienda o aplicación en línea. Como se ve en el correo electrónico, se informó a los clientes que los datos de su tarjeta de crédito no se habían visto comprometidos. El correo electrónico aseguró a los clientes que la información de su tarjeta de crédito no se vio comprometida debido a que la empresa no almacenó esa información en particular. La nota también aseguró que la información relacionada con el programa de fidelización de clientes también permaneciera intacta. Esto incluía información como valores almacenados, recompensas e incluso crédito que el cliente pudo acumular con el tiempo. El vocero señaló que de inmediato tomaron las medidas necesarias para poder proteger la información del cliente. El portavoz también anunció que están cooperando plenamente con las autoridades para investigar el problema. La lista se vendía solo por $3.500 en línea El portavoz anunció que están investigando el problema y ya se comunicaron con Starbucks para recopilar más información. Una copia de la base de datos, incluidos los datos de los usuarios, ya se vendió, al momento de la publicación, a un precio de lista de $ 3,500 y, según los informes, quedan cuatro copias en la lista. Podría interesarle: Hackeo a Uber: Consiguen acceso a su red interna FUENTE: Wagner, Jarvis. »LA FUGA DE DATOS DE STARBUCKS CONDUCE A INFORMACIÓN DE 330,000 CLIENTES VENDIDOS POR SOLO $ 3,500» Cibertip.com. 20/09/2022. (https://www.cibertip.com/hacking-incidentes/la-fuga-de-datos-de-starbucks-conduce-a-informacion-de-330000-clientes-vendidos-por-solo-3500/).
Derechos Humanos en el ciberespacio: Reflexiones a partir del tratamiento de datos personales
Aproximadamente, el 70 % de la población mundial tiene acceso a internet y una sola red social digital realiza tratamiento de datos personales del 40 % de los cibernautas de todas partes del mundo. El contexto tecnológico mundial ha cambiado colosalmente desde el momento en el que comenzó a gestarse la necesidad de proteger los derechos de las personas frente al indebido tratamiento de sus datos personales. Internet ha “empoderado” a los ciudadanos, a las empresas y a los gobiernos del mundo, en la medida en que, a través del mismo, entre otras cosas, pueden recolectar y tratar datos personales de sujetos de cualquier nacionalidad y cuyo domicilio está en prácticamente cualquier parte del planeta. También ha desatado una eclosión de desafíos para el Derecho, como, por ejemplo, la protección efectiva de los derechos humanos (DD HH) en el ciberespacio. La academia, los jueces, las autoridades, los líderes, los políticos, los ciudadanos y todos en general tenemos el deber de pensar y repensar cuál es la estrategia más práctica y efectiva para proteger los DD HH. Como es sabido, internet cambió el mundo, pero debemos preguntarnos: ¿el mundo cambió frente a internet?, ¿seguimos haciendo más de lo mismo?, ¿las respuestas del Derecho y las regulaciones son sensatas frente a la realidad sociotecnológica del siglo XXI? Datos y ciberespacio Revisemos algunas cosas sobre el tratamiento de datos personales en el ciberespacio. Las herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en cualquier país sin hacer presencia física en su territorio. Estas empresas suelen argumentar que, por no tener sede física en un país, no se les aplica la ley de datos del mismo y sus autoridades locales carecen de competencia para investigarlas, darles instrucciones o sancionarlas, según sea el caso. No obstante, esas organizaciones realizan “presencia tecnológica” en los territorios, mediante el uso de las citadas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc.) ubicados en el territorio de cualquier país. Podría interesarle: Inteligencia Artificial y el tratamiento de datos personales Tratamiento de datos personales entre países Para recolectar y realizar tratamiento de datos personales en un país, no es necesario estar domiciliado en su territorio. Internet y la extraterritorialidad no pueden ser sinónimos de impunidad ni factores para desconocer los DD HH, las regulaciones locales y las decisiones de las autoridades de protección de datos personales. Lo que pasa en internet en una parte del mundo puede afectar a millones de personas de otras partes del mundo o en todo el mundo. Por eso, es necesario que las autoridades fortalezcan sus estrategias para trabajar en equipo y reaccionar de oficio frente a casos de impacto masivo. En este sentido, en el plan estratégico de la Red Iberoamericana de Protección de Datos se estableció la siguiente estrategia: “4. Hacia la iniciación de investigaciones frente a casos que impactan a titulares de datos de países de la red. 4.1. Identificar casos reales que afecten a ciudadanos de varios países de la red con miras a que todas las autoridades de la red o la mayoría de ellas actúen de oficio y desde sus países frente a dichas situaciones y dentro del marco de sus competencias legales”. Las sanciones impuestas Frente a esa situación, autoridades de protección de datos han iniciado actuaciones administrativas en contra de Google, WhatsApp, Uber, Facebook, TikTok y Zoom, entre otros. Particularmente, la autoridad colombiana (Delegatura para la Protección de Datos de la Superintendencia de Industria y Comercio) ha desplegado una serie de acciones para proteger a los niños y a los adultos cuyos datos son recolectados y usados por estas organizaciones. Lea también: Superintendencia de Industria y Comercio ordena a concurso infantil proteger los datos de los participantes Contenido relacionado: Millonaria multa a Instagram por violar la privacidad de los niños En la siguiente gráfica se resumen los casos y se recuerdan los millones de personas de los cuales dichas organizaciones poseen datos a la fecha de la toma de decisiones: Algunas conclusiones En dichas decisiones se puso de presente, entre otras cosas, lo siguiente: La Ley 1581 del 2012 es neutral tecnológicamente, en la medida en que no distingue si el tratamiento se debe hacer de determinada manera ni excluye ninguna forma, herramienta, tecnología o proceso para recolectar o tratar datos personales. Por eso, si se adelanta recolección o tratamiento de datos en el territorio colombiano, aplica la ley colombiana. Igualmente, la ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, diseñan o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre tratamiento de datos personales. Autoridades de protección de datos de varios países –Uruguay, España, Irlanda, Reino Unido, Italia y EE UU– y el Tribunal de Justicia de la Unión Europea se han referido a la definición de “cookies” y su función. De las mismas, se concluye lo siguiente: (i) Las cookies se instalan en los equipos de las personas (teléfonos celulares, tabletas, computadoras o cualquier otro dispositivo que almacene información). (ii) La finalidad de las cookies es recolectar o almacenar datos personales (nombre de usuario, un identificador único, dirección de correo electrónico, las búsquedas que realiza de cada usuario y sus hábitos de navegación en internet, sitios que una persona visita en internet) y otros tipos de información. (iii) Las cookies son un mecanismo de rastreo o de seguimiento de las personas. Por ejemplo, permiten realizar trazabilidad detallada de las búsquedas de un usuario en internet o de sus hábitos de navegación. (iv) La recolección o almacenamiento de información mediante las cookies constituye un tratamiento de datos personales. Territorialidad Por otra parte, algunas empresas también emplean otras tecnologías para recolectar datos personales en el territorio colombiano, entre las que se incluyen las web cookies y la instalación de aplicativos en millones de equipos de ciudadanos domiciliados en el país. Como es de público conocimiento, muchas aplicaciones son instaladas en millones de equipos de ciudadanos domiciliados en nuestro territorio y, mediante dichos aplicativos, se recolectan datos en Colombia durante la instalación o posterior a esta. La notoriedad de
Bruselas presenta la ley que impone estándares de ciberseguridad a todos los objetos conectados
Televisores, juguetes, smartphones, coches, cámaras, frigoríficos, software, etc. Todos los productos diseñados con un componente digital se verán afectados por la Ley de Ciberresiliencia presentada el pasado 15 de septiembre, por el comisario de Mercado Interior Europeo, Thierry Breton. La nueva norma exigirá que las empresas cumplan con nuevos estándares de ciberseguridad o si no se enfrentarán a importantes multas. El objetivo de la ley, según han precisado desde la Comisión, es regular la comercialización de los objetos conectados, que hasta ahora no están sujetos a ninguna obligación en este ámbito y cuya seguridad generalmente no es la prioridad de sus diseñadores. En definitiva, buscan reducir los ciberataques que estos bienes pueden sufrir a lo largo de su vida útil. Se trata de la primera legislación de este tipo a escala de la UE y permitirá a los consumidores (tanto particulares como empresas) disponer de información suficiente sobre la ciberseguridad de los productos que compren y utilicen. Los fabricantes, los distribuidores y los importadores deberán comprobar que durante el diseño, el desarrollo y la producción se garantiza la ciberseguridad de los productos y cuando los hayan vendido, deberán garantizarla durante toda su vida útil. Estándares de ciberseguridad nunca vistos para fabricantes en la UE El Ejecutivo comunitario diferencia entre dos tipos de productos, a los que se exigirá diferentes grados de supervisión. Para los programas de edición fotográfica, los editores de texto, los auriculares o los videojuegos, será suficiente con que sean los propios productores y distribuidores quienes evalúen las vulnerabilidades. En cambio, sistemas operativos, firewalls, microprocesadores de uso general o módems, entre otros, tendrán que evaluarla también organismos independientes. Los productos podrán adquirir el sello ‘CE’ si se demuestran que son seguros. «Merecemos sentirnos seguros con los productos que compramos en el mercado único. Así como podemos confiar en un juguete o un refrigerador con el sello ‘CE’, la Ley de Resiliencia Cibernética garantizará que los objetos conectados y el software que compramos cumplan con fuertes medidas de seguridad cibernética» dijo la vicepresidenta de la Comisión Europea para la Era Digital, Margrethe Vestager. Podría interesarle: Estrategia Europea de Datos: Implicaciones prácticas en materia de protección de datos personales Breton resaltó que cada uno de los cientos de millones de productos conectados que se comercializan «son un potencial punto de entrada para un ciberataque», y defendió que la Ley de Resiliencia Cibernética «ayudará a proteger la economía de Europa y nuestra seguridad colectiva». El comisario añadió que «cuando se trata de ciberseguridad, Europa es tan fuerte como su eslabón más débil; ya sea un Estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro. La Comisión recordó, en este sentido, que los ataques de ransomware afectan a una organización cada 11 segundos en todo el mundo y que el coste anual mundial estimado de la ciberdelincuencia ocasionaron el año pasado un coste de 5,5 billones de euros. Las autoridades nacionales, encargadas de dar cumplimiento a la nueva regulación En el pasado, los ataques de Wannacry o Kaseya VSA han demostrado la rapidez con la que un ciberataque puede propagarse por toda una organización o toda una cadena de suministro. Y con 75.000 millones de objetos conectados esperados en el mundo para 2025, el asunto se complica no tener estándares de ciberseguridad adecuados. Las autoridades nacionales serán quienes deban garantizar el cumplimiento de la normativa. En caso de incumplirse, podrán obligar a retirar del mercado los productos vulnerables y, en último término, imponer multas de hasta 15 millones de euros o un 2,5 % de los beneficios mundiales que obtenga la empresa responsable. Los fabricantes de los productos tendrán que informar de las vulnerabilidades e incidentes. Lea también: Europa aprueba dos leyes que van a cambiar internet por completo La propuesta de la Comisión tendrán que negociarla ahora tanto el Parlamento Europeo como el Consejo de la UE (la institución que representa a los países) antes de que pueda entrar en vigor. Si finalmente es aprobada, las empresas y los Estados miembros tendrán dos años para adaptarse a los nuevos requisitos, con la excepción de la obligación de los fabricantes de informar sobre las vulnerabilidades, que se aplicaría un año después. El reglamento propuesto se aplicará a todos los productos que estén conectados directa o indirectamente a otro dispositivo o red, aunque hay algunas excepciones para los productos cuyos requisitos de ciberseguridad ya están establecidos en las normas vigentes de la UE, por ejemplo, los dispositivos médicos, de aviación o ciertos productos del sector de la automoción. VEA EL DOCUMENTO OFICIAL HACIENDO CLIC EN EL BOTÓN »CIBERSEGURIDAD»: Normativa Internacional – Ciberseguridad FUENTE: Jiménez, Marimar. »Bruselas presenta la ley que impone estándares de ciberseguridad a todos los objetos conectados» Cincodias.elpais.com. 15/09/2022. (https://cincodias.elpais.com/cincodias/2022/09/15/companias/1663236364_939136.html).
BeReal: los problemas que puede generar la red social más descargada que Facebook en la actualidad
Cuando lees «¡Hora de hacer tu BeReal!» en el teléfono, empieza la cuenta regresiva. Abres la aplicación, tomas una foto de ti mismo y de lo que sea que esté frente a ti y la tienes que publicar en menos de dos minutos. La idea de esta nueva red social, BeReal, es evitar las publicaciones prefabricadas o editadas que se comparten en sitios como Facebook, Instagram o TikTok. Que lo que publiques, dicen, «sea real». Puede ser la comida que acabas de cocinar, el programa de televisión que estás viendo o lo que estés haciendo en el trabajo. La aplicación fue lanzada en 2020 y despegó recién a mediados de 2022, con más de 27 millones de descargasen todo el mundo según los últimos reportes. Ha sido más descargada que las apps de Meta, como Facebook, en algunos países. Pero a medida que crece en popularidad, también están apareciendo problemas para algunos usuarios que, urgidos por la app para mostrar lo que hay a sus alrededores, publicaron cosas indebidas. Lea también: Aplicaciones que roban datos bancarios desde su celular ¡Elimínelas o evite descargarlas! «No seas tan real» Si no está familiarizado con BeReal, debes saber que es una nueva plataforma de redes sociales que lanza una notificación a todos los usuarios al mismo tiempo y en un momento aleatorio del día. Les da solo dos minutos para tomar una foto de su entorno. La idea es que te tome con la guardia baja y te obligue a ser más «real» de lo que podrías ser cuando seleccionas, por ejemplo, una foto de entre decenas de tomas para una historia de Instagram. Una vez que hayas publicado, puedes desplazarse por todas las publicaciones de tus amigos y ver qué están haciendo. La mayoría de los usuarios admitirán que han disfrutado la experiencia de mirar la vida cotidiana de sus amigos, aunque solo sea para ver qué había en el escritorio de su trabajo o qué tarea estaban haciendo. Pero esto ha generado cuestionamientos sobre si es una forma de violar la privacidad, tanto de otros que aparecen en las fotos, como, por ejemplo, del lugar donde trabajas. Lea también: ¡Tenga cuidado! Si recibe este mensaje podrían robarle su cuenta de WhatsApp «Definitivamente es una mala idea» tomar un BeReal de la pantalla de tu computadora de trabajo, dice Emma Green, experta en protección de datos en Cyber Data Law Solicitors. «No seas tan real», recomienda. Un usuario de Twitter escribió: «Yo tratando de leer los correos electrónicos de trabajo de todos los que están en su BeReal». Algo que si bien fue publicado en tono de broma, muestra que es algo posible. BeReal va contra las leyes La experta explicó al diario BBC, que hay una serie de factores a considerar en casos en donde hay personas o cosas fuera de tu propiedad, como la información de una computadora. «Lo más probable es que infrinja las leyes de protección de datos si hay información personal en esas pantallas», como cualquier información vinculada a una persona que la hace identificable, explica Green. Entonces, sí, incluso incluir la dirección de correo electrónico de alguien en la foto técnicamente sería una violación de la ley en muchas legislaciones del mundo. Green enfatiza que tomar cualquier foto de la pantalla de tu lugar de trabajo es muy probable que infrinja las reglas de la empresa. «Probablemente en tu contrato habrá un deber de confidencialidad como empleado de no divulgar información confidencial», señala. Información sensible que nunca será privada Aunque puedes elegir con quién ser amigo en BeReal, Green dice que una vez que se publica algo, nunca puedes estar seguro de quién lo verá. Se pueden tomar capturas de pantalla o lo puede ver alguien con acceso al teléfono de un amigo. «Podría dar lugar a medidas disciplinarias, por lo que podrías tener muchos problemas con tu jefe», añade la experta. Al tener experiencia en otras redes sociales, es posible que pienses que este consejo es dramático y te sientas tentado a tomar una foto indiscreta la próxima vez que suene la alerta de BeReal. Pero el consejo clave de Green es que la publicación no vale la pena ante el problema que podría causarte. Incluso si pretendías publicar una imagen inocente, compartida entre amigos, podrías meterte en problemas. «‘No sabía’ o ‘No me di cuenta’ no es una defensa, desafortunadamente», advierte. FUENTE: Grant, Kirsty. »BeReal: los problemas que puede generar la red social más descargada que Facebook en la actualidad» Bbc.com. 26/09/2022. (https://www.bbc.com/mundo/noticias-63016067)
