Ciberseguridad financiera: La necesidad de regularla
La ciberseguridad financiera y el manejo de los riesgos tecnológicos se han convertido en una prioridad para el sector financiero. A pesar de que las entidades bancarias ya han realizado un importante esfuerzo, los reguladores quieren ir un paso más estableciendo normas comunes que sienten las bases de un entorno financiero virtual y, a la vez, seguro. El sector de la ciberseguridad financiera se ha convertido en objetivo de los hackers. De hecho, es el que más ciberataques recibe, con cerca del 21% del que se producen en el mundo. Las entidades financieras están entre las empresas que más invierten en ciberseguridad. En todo caso, los reguladores quieren fijar buenas prácticas en materia de ciberseguridad. El objetivo es establecer normativas que ayuden a contener el riesgo cibernético en el conjunto del sector financiero a escala internacional. Se espera que estas regulaciones tengan un impacto significativo en las empresas que brindan servicios financieros, afectando a la cultura de seguridad cibernética de las organizaciones cuando se adopten. Podría interesarle: Riesgos de ciberseguridad en las Fintech: 75% de las empresas no están preparadas Estados Unidos y la Unión Europea, enfocados en la ciberseguridad financiera En Estados Unidos, el organismo supervisor de los mercados de valores, la SEC (por sus siglas en ingles) ha formalizado una propuesta para exigir a las entidades total transparencia y responsabilidad en materia de seguridad cibernética. Las entidades tendrán que comunicar las políticas y prácticas para gestionar los riesgos tecnológicos y cibernéticos, así como la forma en que la dirección participa en su implementación. Por su parte, en Europa, en mayo de este año, el Consejo y el Parlamento Europeo llegaron a un acuerdo sobre un conjunto de medidas para garantizar un nivel común elevado de ciberseguridad en toda la Unión Europea. El objetivo es aprobar una nueva Directiva que sustituya a la actual sobre la seguridad de las redes y sistemas de información. Además, la agencia europea en el ámbito bancario, la Autoridad Bancaria Europea (EBA, por sus siglas en inglés), también viene publicando regularmente recomendaciones en materia de ciberseguridad. El objetivo es que las entidades financieras tengan directrices claras acerca de cómo deben gestionar los riesgos tecnológicos a los que están expuestos, que forman parte tanto de sus potenciales riesgos operativos como, en general, de medidas necesarias para preservar la estabilidad financiera. FUENTE: ODF, Funcas 59. »REGULAR LA CIBERSEGURIDAD EN EL ÁMBITO FINANCIERO´´ Funcas.es. 08/09/2022. (https://www.funcas.es/odf/regular-la-ciberseguridad-en-el-ambito-financiero/)
Superintendencia de Industria y Comercio ordena a concurso infantil proteger los datos de los participantes
La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de Datos Personales, ordenó a la responsable del tratamiento de los datos de los menores participantes del concurso Mini World Colombia eliminar la publicación de datos e imágenes personales de una menor de edad participante de dicho concurso por cuanto no contaba con la autorización de los representantes legales de dicha infante para tratar su información personal, incumpliendo el literal b) del artículo 17 de la Ley 1581 de 2012. Dichas publicaciones fueron realizadas en las cuenta de Facebook e Instagram relacionadas al concurso Mini World Colombia, por lo que la Autoridad ordenó a los responsables del tratamiento de los datos de los menores participantes en el concurso, abstenerse de publicar imágenes personales de menores de edad y de cualquier persona si no cuenta con la autorización para el tratamiento de datos personales, así como implementar una Política de Tratamiento de Información. Adicionalmente, se exhortó a MINI WORLD COLOMBIA que adopte medidas efectivas con el fin de atender los requerimientos de la ciudadanía y suministre la información solicitada por la Superintendecia de Industria y Comercio. Lea también: Abren investigación a importante empresa dueña de apps de crédito, por violaciones al régimen de Protección de Datos Personales Proteger los datos de los menores, una responsabilidad general de todos los responsables del tratamiento en el país Con la presente actuación administrativa, la Superintendencia de Industria y Comercio hace un llamado a la ciudadanía y a aquellas empresas que en sus páginas web, redes sociales o en su día a día tratan datos, especialmente de niños, niñas y adolescentes, la importancia y el deber de protección y amparo del derecho fundamental de Habeas Data. Guía práctica para poner en práctica el debido tratamiento de los datos de los menores La Superintendencia de Industria y Comercio emitió, de forma virtual y gratuita, la guía »Cuida tu identidad digital y protege tus datos personales: Riesgos sobre el tratamiento de datos personales de niños, niñas y adolescentes», la cual puede consultar y descargar haciendo clic en el siguiente enlace: Guías y Cartillas Contra el acto administrativo proceden los recursos de reposición y de apelación. Vea el documento emitido por la SIC, con la decisión, aquí: Resolución 21-349477 FUENTE: Superindustria. Superindustria ordena al concurso infantil Mini World Colombia proteger los datos de los menores participantes» Sic.gov.co. 16/09/2022. (https://www.sic.gov.co/slider/superindustria-ordena-al-concurso-infantil-mini-world-colombia-proteger-los-datos-de-los-menores-participantes)
Hackeo a Uber: Consiguen acceso a su red interna
Hackeo a Uber. Así lo han reconocido mediante un comunicado de prensa que ha sido compartido en sus redes sociales. La violación de seguridad ocurrió ayer, 15 de septiembre. En la cuenta oficial en Twitter de Uber Comms compartieron la siguiente publicación la noche de este jueves: “Actualmente estamos respondiendo a un incidente de ciberseguridad. Estamos en contacto con la Policía y publicaremos actualizaciones adicionales aquí a medida que estén disponibles”. Parece ser que el ciberdelincuente responsable de la brecha de seguridad obtuvo acceso a informes de vulnerabilidades y compartió capturas de pantalla de los sistemas internos de la compañía, tales como la consola de Amazon Web Services de la empresa, las máquinas virtuales VMware ESXi, el panel de administración de correo electrónico de Google Workspace y el servidor Slack, en el que el ciberdelincuente publicó mensajes. Lea también: Se filtran datos de clientes de SAMSUNG en Estados Unidos New york Times entrevistó al autor del Hackeo a Uber El New York Times, que fue el primero en informar sobre la brecha, dijo que había hablado con el actor de la amenaza, que dijo que había ejecutado un hackeo a Uber después de realizar un ataque de ingeniería social a un empleado y robar su contraseña. El actor de la amenaza accedió entonces a los sistemas internos de la empresa utilizando las credenciales robadas. “Anuncio que soy un hacker y Uber ha sufrido una violación de datos”, fue el mensaje que, según la información recopilada por el New York Times, dejaron los piratas informáticos en el slack de la compañía. “Hackeo a Uber hoy. Los empleados no pueden acceder a Slack y otras herramientas internas. El hacker también publicó una foto NSFW en una página de recursos para empleados”, informó Kevin Roose, columnista de tecnología del New York Times, en Twitter. FUENTE: Derechodelared. »Uber ha sido hackeado, consiguen acceso a su red interna.» Derechodelared.com. 16/09/2022. (https://derechodelared.com/uber-ha-sido-hackeado/amp/)
6 principales riesgos de seguridad de las API, objetivos favoritos de los ciberdelincuentes
Las amenazas de seguridad siempre son una preocupación cuando se trata de las API. La seguridad de las API se puede comparar con conducir un automóvil. Debe ser cauteloso y revisar todo de cerca antes de lanzarlo al mundo. Si no lo hace, se está poniendo en riesgo a sí mismo y a los demás. Los ataques dirigidos a las API son más peligrosos que otras infracciones. Facebook tenía una cuenta de usuario de 50 millones afectada por una violación de API, y una violación de datos de API en la cuenta de Hostinger expuso registros de clientes de 14 millones. Si un pirata informático ingresa a los puntos finales de su API, podría significar un desastre para su proyecto. Dependiendo de las industrias y geografías de las que esté hablando, las API inseguras podrían llevarlo a problemas. Especialmente en la UE, si presta servicios bancarios, podría enfrentar problemas legales y de cumplimiento masivos si se descubre que está utilizando API inseguras. Para mitigar estos riesgos, debe conocer los posibles riesgos de seguridad de las API que los ciberdelincuentes pueden explotar. Podría interesarle: Consejos para avanzar hacia una organización protegida 6 riesgos de seguridad de las API 1. Sin visibilidad de API y riesgo de medios de monitoreo Cuando amplía su uso de redes basadas en la nube, la cantidad de dispositivos y API en uso también aumenta. Desafortunadamente, este crecimiento también conduce a una menor visibilidad de las API que expone interna o externamente. Las API en la sombra, ocultas o obsoletas que quedan fuera de la visibilidad de su equipo de seguridad crean más oportunidades para ataques cibernéticos exitosos en API desconocidas, parámetros de API y lógica comercial. Las herramientas tradicionales como la puerta de enlace de API carecen de la capacidad de ofrecer un inventario completo de todas las API. La visibilidad de una API, incluye: Visibilidad centralizada, así como un inventario de todas las API Vista detallada de los tráficos de la API Visibilidad de las API que transmiten información confidencial Análisis automático de riesgos de API con criterios predefinidos 2. Incompetencia de la API Es importante prestar atención a las llamadas a la API para evitar pasar solicitudes duplicadas o repetidas a la API. Cuando dos API implementadas intentan usar la misma URL, puede causar problemas de uso de API repetitivos y redundantes. Esto se debe a que los extremos de ambas API utilizan la misma URL. Para evitar esto, cada API debe tener su propia URL única con optimización. 3. Amenazas a la disponibilidad del servicio Los ataques DDoS API dirigidos, con la ayuda de botnets, pueden sobrecargar los ciclos de CPU y la potencia del procesador del servidor API, enviando llamadas de servicio con solicitudes no válidas y haciendo que no esté disponible para el tráfico legítimo. Los ataques DDoS a la API se dirigen no solo a los servidores donde se ejecutan las API, sino también a cada punto final de la API. La limitación de velocidad le brinda la confianza para mantener sus aplicaciones en buen estado, pero un buen plan de respuesta viene con soluciones de seguridad de múltiples capas. La protección API precisa y completamente administrada monitorea continuamente el tráfico API y bloquea instantáneamente las solicitudes maliciosas antes de que lleguen a su servidor. Lea también: El 73% de las empresas en el mundo ha sufrido ciberataques 4. Dudar sobre la utilización de la API Como empresa B2B, a menudo necesita exponer sus números de utilización interna de API a equipos fuera de la organización. Esta puede ser una excelente manera de facilitar la colaboración y permitir que otros accedan a sus datos y servicios. Sin embargo, es fundamental considerar detenidamente a quién otorga acceso a su API y qué nivel de acceso necesitan. No desea abrir su API de manera demasiado amplia y crear riesgos de seguridad. Las llamadas a la API deben supervisarse de cerca cuando se comparten entre socios o clientes. Esto ayuda a garantizar que todos usen la API según lo previsto y no sobrecarguen el sistema. 5. Inyección API Inyección de API es un término utilizado para describir cuándo se inyecta código malicioso con la solicitud de API. El comando inyectado, cuando se ejecuta, puede incluso eliminar todo el sitio del usuario del servidor. La razón principal por la que las API son vulnerables a este riesgo es que el desarrollador de la API no desinfecta la entrada antes de que aparezca en el código de la API. Esta laguna de seguridad causa graves problemas a los usuarios, incluido el robo de identidad y las filtraciones de datos, por lo que es fundamental conocer el riesgo. Agregue validación de entrada en el lado del servidor para evitar ataques de inyección y evitar la ejecución de caracteres especiales. 6. Ataques contra dispositivos IoT a través de API La utilización efectiva de IoT depende del nivel de gestión de seguridad de la API; si eso no sucede, tendrá dificultades con su dispositivo IoT. A medida que pasa el tiempo y avanza la tecnología, los piratas informáticos siempre usarán nuevas formas de explotar las vulnerabilidades en los productos de IoT. Si bien las API permiten una potente extensibilidad, abren nuevas puertas para que los piratas informáticos accedan a datos confidenciales en sus dispositivos IoT. Para evitar muchas amenazas y desafíos que enfrentan los dispositivos IoT, las API deben ser más seguras. Por lo tanto, debe mantener sus dispositivos IoT actualizados con los parches de seguridad más recientes para garantizar que estén protegidos contra las amenazas más recientes. FUENTE: Ehacking. »¡LOS 6 PRINCIPALES RIESGOS DE SEGURIDAD DE LAS API! OBJETIVOS FAVORITOS DE LOS ATACANTES SI NO SE GESTIONAN» Blog.ehcgroup.io. 09/09/2022. (https://blog.ehcgroup.io/2022/09/09/09/43/35/13882/los-6-principales-riesgos-de-seguridad-de-las-api-objetivos-favoritos-de-los-atacantes-si-no-se-gestionan/noticias-de-seguridad/ehacking/)
Evitar el robo de datos y qué hacer en caso de que se produzca
Resulta indudable que la información es uno de los activos más valorados por los ciberdelincuentes y que todos podemos ser víctimas de un robo de datos. La transformación digital ha propiciado que los ataques, que pueden afectar tanto a particulares como a empresas, sean cada vez más numerosos y sofisticados. A continuación se indican algunas de las medidas que el equipo de ciberseguridad de BBVA recomienda para evitar un robo de datos o para minimizar su impacto en caso de que se produzca. Los ciberdelincuentes pueden acceder a nuestros datos de múltiples formas. Una de las vías más comunes son los ataques de ingeniería social, entre los que podríamos destacar los ataques de ‘phishing’ y de ‘smishing’. Los ataques de phishing consisten en el envío de correos electrónicos fraudulentos que dirigen a la víctima a páginas web falsas donde se solicita información personal o bancaria o bien que redirigen a links o incluyen archivos adjuntos que permiten la instalación de software malicioso en los dispositivos de la víctima (PCs, portátiles, smartphones u otros). Los ataques de smishing, por otra parte, son ataques de ingeniería social que se realizan a través de mensajes SMS. En estos casos se suplanta la identidad de las empresas a través de mensajes de texto, con el mismo objetivo que los ataques de ‘phishing’. Además de los ataques de ‘phishing’ o ‘smishing’ existen otro tipo de situaciones en las que, sin ser conscientes, estamos regalando nuestros datos a los ciberdelincuentes. Podemos encontrar un claro ejemplo de ello en las redes sociales. Lea también: Consejos para avanzar hacia una organización protegida Redes sociales, un área apetecible para el robo de datos por parte de ciberdelincuentes Cuando utilizamos redes sociales, debemos ser conscientes de que todo lo que se publica en ellas permanece. Por eso es importante ser muy cautos con la información que publicamos. Personas que han publicado fotos con entradas de cine, de conciertos u otra clase de eventos, por ejemplo, se han llevado la desagradable sorpresa de que alguien había copiado los datos y había clonado sus entradas, dejando a la víctima a las puertas del evento. Así que antes de pensar en comprobar si nos han robado los datos, hemos de ser conscientes de que no tenemos que regalarlos. Debemos aplicar el sentido común y no compartir nunca: Fotos de nuestros documentos de identidad o de nuestras tarjetas de crédito. Nuestra dirección, ya sea física o de correo electrónico, o nuestra ubicación en un momento concreto (por ejemplo, publicando fotografías cuando nos vamos de vacaciones), que pueden mostrar que no nos encontramos en nuestro domicilio. Imágenes de documentos oficiales, como notificaciones, citaciones o recibos. Fotografías en las que se puedan ver notas con contraseñas, números de teléfono, direcciones o notas adhesivas con recordatorios. Nuestro número de teléfono. La matrícula de nuestro vehículo o una foto donde aparezca. Fotos o datos de personas menores de edad. Todos estos datos que facilitamos de forma proactiva pueden ser empleados por los ciberdelincuentes para realizar una investigación exhaustiva y acceder a mucha más información sobre nosotros, potenciales víctimas, permitiéndoles personalizar sus ciberataques, suplantar nuestra identidad o bien vender nuestra información al mejor postor. Debemos ser también muy cautelosos con la información que intercambiamos a través de redes WIFI públicas, evitando realizar pagos o introducir credenciales de acceso a servicios web o entornos profesionales. En la mayoría de las ocasiones estas redes son inseguras y pueden propiciar el acceso no autorizado a la información. Podría interesarle: 6 medidas de ciberseguridad para empresas en la vuelta a la rutina ¿Para qué se utilizan los datos robados? La información a la que los ciberdelincuentes acceden mediante este tipo de ataques puede ser empleada para diferentes fines, como los que se indican a continuación: Venta de la información a terceros. Suplantación de identidad, con objeto de obtener un beneficio, normalmente económico (como en el caso de la comisión de fraude). Realización de ataques de ingeniería social, incluso personalizados, utilizando datos robados. Creación de perfiles falsos en internet o redes sociales para realizar actos ilícitos (estafa, acoso, robo de datos, espionaje, entre otros). ¿Qué precauciones debemos adoptar para evitar un robo de datos? Para evitar este tipo de ataques es fundamental que adoptemos una serie de medidas preventivas, tanto para proteger nuestros dispositivos como para evitar accesos no autorizados a nuestra información. Entre ellas, podríamos destacar las siguientes: Garantizar que el sistema operativo de nuestros dispositivos y las aplicaciones que utilizamos se encuentran debidamente actualizados, con todos los parches de seguridad disponibles instalados. Utilizar siempre un software antivirus y mantenerlo actualizado. Comprobar la configuración de nuestros dispositivos y aplicaciones, seleccionando siempre las máximas medidas de seguridad disponibles. Configurar de forma adecuada los ajustes de seguridad y privacidad de las aplicaciones y servicios que utilicemos. Revisar el navegador y la dirección URL de las páginas que visitamos, comprobando que empiecen por ‘https’ y que muestran el icono de un candado. Desconfiar siempre de correos electrónicos inesperados o de remitentes no habituales, así como de solicitudes de información urgentes. No usar redes WIFI públicas para realizar compras por Internet, tratar datos personales o descargar aplicaciones. ¿Cómo puedo saber si han robado mis datos? Es importante comprobar de manera activa, de forma periódica, si nuestros datos han podido ser robados. Existen páginas en las que se puede realizar esta comprobación, como la página web ‘Have I been pwned?’ En esta página, con solo introducir nuestro correo electrónico o número de teléfono, podemos saber si nuestros datos aparecen en alguna de las grandes filtraciones que circulan por los entornos criminales. Y lo que es más importante: también podemos saber, exactamente, qué datos han sido robados. Esto nos permitirá delimitar la gravedad y el alcance de la filtración y, en base a ello, las acciones que debemos adoptar para minimizar su impacto. No es lo mismo que se filtre nuestro correo electrónico, hecho que supondría un incómodo aumento del correo no deseado o de los intentos de ‘phishing’, a que se filtren contraseñas o datos de nuestras tarjetas de crédito, en cuyo caso deberíamos cambiar las contraseñas o bloquear las tarjetas de forma inmediata. FUENTE: Gil Laredo, Vanessa. »Cómo evitar el robo de datos (phishing, smishing, uso
Guerra Rusia vs Ucrania: Rusia perdió el 95% de sus especialistas en ciberseguridad
Guerra Rusia vs Ucrania: Rusia enfrenta una situación crítica en materia de ciberseguridad. Según reportes, actualmente existe un número muy limitado de especialistas capaces de defenderse de los posibles riesgos en esta materia. El Sberbank, mayor banco de Rusia, anunció recientemente que estiman que solo quedan unos 5.000 profesionales de ciberseguridad en el país. Mientras tanto, según las mismas fuentes, Rusia necesita 100.000 expertos en este campo para garantizar el normal funcionamiento de todos los sistemas informáticos y en línea. Rusia vs Ucrania: Crisis de ciberseguridad en Rusia, otra consecuencia de la guerra El vicepresidente de la junta directiva del banco ruso Sberbank, Stanislav Kuznetsov, anunció esta información durante un evento público, en el Foro Económico del Este, plataforma internacional clave para establecer y fortalecer los lazos dentro de las comunidades de inversión rusas y globales. También, resaltó que el país debe tomar las iniciativas necesarias para rectificar la situación. Si estas estimaciones son correctas, es prácticamente imposible aumentar el número de profesionales de ciberseguridad en el corto plazo simplemente con personal “operativo”. “Los centros de ciberprotección son los baluartes contra los ataques de los ciberdelincuentes y, ante todo, deben funcionar con software fabricado en Rusia. Sber ha establecido un centro de ciberprotección con un 90 % de soluciones desarrolladas por Sber. Sin embargo, en todo el país estos centros son escasos: solo contamos cinco. Me gustaría ver muchos más”, dijo Kuznetsov. Podría interesarle: El 73% de las empresas en el mundo ha sufrido ciberataques El alto ejecutivo del banco ruso, enfatizó que las instalaciones de infraestructura crítica rusas deben usar únicamente soluciones fabricadas en Rusia de aquí a 2025, incluidos los sistemas de seguridad cibernética. Aunque ya hay avances en la materia, existen dos áreas: la protección de la nube y la protección de sistemas de alta carga, que requieren un enfoque especial y la participación de las instituciones gubernamentales, ya que todavía no existen en Rusia soluciones corporativas disponibles a un nivel competitivo. Fuga de especialistas, una consecuencia directa de la guerra Una fuente anterior, citando al presidente de la Asociación Rusa de Comunicaciones Electrónicas (RAEC), informó que entre febrero y marzo, entre 50.000 y 70.000 trabajadores de TI abandonaron Rusia. La RAEC también estima que para la primavera de 2022, el número total de trabajadores de TI que abandonen el país podría aumentar en otros 100.000. Mientras tanto, Mikhail Mishustin, el primer ministro de Rusia, dijo que más del 80% de los profesionales de TI habían retornado a su país en mayo. Rusia está intentando varios medios para persuadir para que regresen aquellos que abandonaron el país, debido a la guerra. FUENTE: Hatsnew. »RUSIA PERDIÓ EL 95% DE SUS ESPECIALISTAS EN CIBERSEGURIDAD TRAS LA INVASIÓN A UCRANIA» Hatsnew.com. 07/09/2022. (https://wwwhatsnew.com/2022/09/07/rusia-perdio-el-95-de-sus-especialistas-en-ciberseguridad-tras-la-invasion-a-ucrania/).
Ley Google: Protección de Datos Personales en Argentina
La Ley Google tiene como prioridad la Protección de Datos Personales en Argentina. El gobierno de ese país ha anunciado cambios y renovaciones para hacer de esta ley más robusta y brindar más garantías a su ciudadanía. El gobierno de ese país impulsa una nueva nueva ley de protección sobre la actividad online en la que establece que son «datos personales» la información sobre las personas en motores de búsqueda con algoritmos, como Google o YouTube. Por otro lado, esta propuesta de «Ley Google» prevé la inclusión de notificación de incidentes de seguridad con la obligación de hacerlo dentro de las 48 horas de haber tomado conocimiento. Beatriz de Anchorena, titular de la Agencia de Acceso a la Información Pública (AAIP), es quien impulsa el proyecto para aggiornar la Ley de Protección de Datos Personales que tiene 22 años. «Impulsar la actualización normativa de la Ley de Protección de Datos Personales fue el compromiso que asumí en la Audiencia Pública el pasado 25 de febrero, durante el proceso de postulación como titular de la Agencia», dice De Anchorena. Y remarca: «Este fue uno de los ejes estratégicos del plan de trabajo que presenté en aquella ocasión. Hoy, luego de cinco meses de asumir la gestión en la Agencia, ese compromiso se hace realidad». En los próximos días y durante todo este mes, el proyecto estará disponible a la consulta pública para que sea tratado en el Congreso en octubre. Lea también: Nueva ley de protección de datos en Suiza ¿Qué cambios afectan a los buscadores como Google de cara a la Protección de Datos Personales en Argentina? La nueva ley prevé los derechos de «rectificación» y «supresión» que se debatieron recientemente en una causa contra Google en la Corte Suprema de Justicia de ese país. Los portales de búsquedas -como Google, YouTube, entre otros- que utilizan algoritmos para brindar información, se verán afectados por un artículo que hace referencia a las «decisiones automatizadas». «Se trata del derecho a oponerse a ser objeto de una decisión automatizada o semiautomatizada de datos», explican algunos expertos en seguridad y privacidad de la información. «Otorga el derecho a obtener intervención humana del responsable del tratamiento y requerir la exhibición de los patrones de programación del algoritmo por que se llegó a esa decisión», indican. Dentro de las obligaciones del responsable también aparece en el proyecto: designar a un delegado de protección de datos e incluir un representante en el país. ¿Qué otros aspectos se prevén en la «Ley Google»? Algunos expertos enumeran las siguientes características del proyecto de Anchorena, que se suman a los anteriores: Se amplía la definición de datos sensibles con la incorporación de datos genéticos y biométricos En cuanto al consentimiento, debe ser previo, libre, específico, informado e inequívoco Se incluye un artículo específico para los derechos de niñas, niños y adolescentes con el consentimiento lícito desde los 13 años Posee un sistema de transferencias internacionales que incluye países con legislación y garantías adecuadas, y excepciones específicas Dentro de los derechos de los titulares, se incluyen acceso, oposición, portabilidad, rectificación, supresión y control sobre las inferencias Al respecto, Beatriz Busaniche, directora de la fundación Vía Libre, indica que «inferencia es cuando se realiza análisis de datos y se infieren cosas en función de esos datos, como la pertenencia a determinados grupos por ciertas compras, gustos o likes, por ejemplo». «El proyecto pretende regular esos datos. No es una prohibición de hacer inferencias, sino otorgarles entidad de datos personales y darles derechos a las personas sobre datos inferidos», puntualiza. Podría interesarle: ¿Qué trae la nueva Ley de Protección de Datos Personales de Cuba? FUENTE: Oliveira, Dolores. »El Gobierno impulsa la «Ley Google»: cómo es el proyecto que protege los datos personales y controla algoritmos» Iproup.com. 07/09/2022. (https://www.iproup.com/innovacion/34125-ley-google-en-argentina-que-es-y-que-multas-aplicara)
¡Tenga cuidado! Si recibe este mensaje podrían robarle su cuenta de WhatsApp
Los estafadores buscan presionar a la víctima para que, sin darse cuenta, les dé acceso a su cuenta de WhatsApp, suplantar su identidad y pedirle dinero a los contactos. Cada vez es más recurrente que usuarios de WhatsApp alerten de mensajes sospechosos que les llegan a sus cuenta. En los que, supuestamente, les escribe el soporte técnico de la aplicación. Pero en verdad es una persona malintencionada. El mensaje dice: “El soporte técnico de WhatsApp informa: su cuenta de WhatsApp ha sido solicitada en un nuevo dispositivo móvil, para confirmar que fue usted quien realizó la operación, diga SI si su respuesta es negativa debe ser NO, si no recibe una pronta respuesta, su cuenta de WhatsApp se eliminará por su seguridad y la de otros usuarios. Para más información contáctenos» Para darle credibilidad, los estafadores ponen de foto de perfil el logo de la red social, el enlace y hasta una información en el perfil que sería acorde a esto. Con el mensaje que le envían a los chats de las personas los estafadores buscan que las personas respondan en el chat. Una vez lo hacen, le piden a la víctima que les dé un código que le llega a su teléfono a través de un mensaje de texto.} Podría interesarle: Redes sociales para empresa: ¿Cómo preparar una política de ciberseguridad? En el momento en que la persona entrega el código, se materializa la estafa. La víctima pierde el control de su cuenta de inmediato y es el estafador quien queda con el acceso. Posteriormente, el estafador usa la cuenta de la víctima para suplantarlo y pedirle a sus contactos que lo ayuden a hacer una transacción bancaria porque se le había bloqueado su cuenta y que después le devolvía el dinero. También le solicitaba el comprobante de que la transacción fuera exitosa. ¿Cómo identificar que es una estafa de WhatsApp? Hay varias señales que le pueden indicar que el mensaje que le llegó es fraudulento y quieren robarle su cuenta. Estas son las principales: La verificación de las cuentas, para ingresar a WhatsApp, se realizan mediante mensajes de texto. Esto quiere decir que si alguien intenta ingresar a su cuenta le va a llegar un código por medio del mensaje de texto. Por ningún motivo se lo comparta a un desconocido. Las cuentas desde las que escriben no están validadas, no cuentan con el chulito verde que proporciona la red social a sus propias cuentas. Además, suelen tener información actualizada recientemente en sus perfiles. Los mensajes suelen tener errores ortográficos, ya sean espacios de más, falta de signos de interrogación o exclamación y ausencia de algunas tildes. Si encuentra alguna falla en la escritura, desconfíe. ¿Cómo puede evitar caer en estafas como esta? El periódico El Espectador le pidió algunas recomendaciones a Maximiliano Cantis, experto en ciberseguridad, para que los usuarios de redes sociales no caigan en este tipo de robos de cuenta y estafas. WhatsApp no acostumbra a comunicarse con los usuarios mediante mensajes de texto al chat, esa es una alerta. La empresa suele dejarle notificaciones en la misma aplicación, no mensajes personales iguales a los que le llegan por parte de otros usuarios. “Estos engaños generan la sensación de que algo malo puede pasar si no se hace tal cosa. Eso genera pánico y hace que la gente tome una decisión sin pensar tanto. Esta es otra característica importante”, afirma Cantis. Hacer clic en los enlaces que se envían mor mensaje o correo “redireccionan a servidores del atacante que usan para robar información posterior”. Por eso es mejor abstenerse de hacerlo. Lea también: Alguien podría estar accediendo a su correo sin contraseña ¿Qué hacer si recibe un mensaje fraudulento desde WhatsApp? Tan pronto reciba el mensaje del supuesto “soporte técnico de WhatsApp” tómese su tiempo. No responda nada, por más tentado que se vea a hacerlo. Busque las fallas que le mencionamos anteriormente y desconfíe. Proceda a bloquear y reportar al contacto con WhatsApp. Para esto hay una opción de tres puntos verticales en la esquina superior derecha, haga clic ahí, luego en “Más” y después en “Bloquear”. Le saldrá un recuadro blanco con una casilla para reportar el contacto y enviar al verdadero soporte de WhatsApp los últimos 5 mensajes que le envió el estafador. Seleccione dicha opción y presione el botón “Bloquear”. No se deje presionar por la amenaza de bloqueo o cancelación de su cuenta, no importa cuántas veces se lo repita el estafador. Ellos no tienen cómo cumplir con su amenaza. Por último, alerte a sus contactos y conocidos para evitar que ellos caigan en este robo de cuenta.
6 medidas de ciberseguridad para empresas en la vuelta a la rutina
Los datos hablan por sí solos. Según datos de Telefónica Cyber Security Tech, 6 de cada 10 pymes que son víctimas de un ciberataque desaparecen en menos de seis meses tras dicho incidente. Y cada uno de estos ataques tiene un coste medio de 35.000 euros. ¿Cuáles son los más comunes? El phishing, el ransomware, el envío de spam, la distribución de malware o el ataque mediante escritorio remoto. Si acabas de encender los sistemas informáticos de tu empresa con la vuelta a la oficina tras las vacaciones de verano, no descuides la seguridad, con con estas medidas de ciberseguridad claves para protegerte. Códigos de autorización Los códigos de autorización son una forma de, valga la redundancia, autorizar a los usuarios que necesitan acceso a partes o características concretas de la web o la aplicación de tu empresa. Normalmente se usan junto con contraseñas y otros ID de usuario. En el proceso de creación de un código de autorización, lo primero es crear una contraseña que se utiliza para verificar la identidad del usuario. A continuación, se generar un código de autorización, o lo que es lo mismo, un número de ocho dígitos que identifica de forma única al usuario que lo creó. Protecciones de pantalla Los protectores, o salvaguardas de pantallas, protegen a los diferentes dispositivos del acceso de usuarios no autorizados. Algunas de estas herramientas incluyen administradores de contraseñas y herramientas de cifrado, ayudando así a mantenerlos a salvo de accesos no autorizados. También colaboran en la protección de la información en caso de una violación de datos como una de las medidas de ciberseguridad más importantes. Otra forma de proteger las pantallas es instalar una ventana a prueba de manipulaciones. Con esto se contribuye a evitar que personas sin autorización vean o manipulen documentos comerciales importantes. Le podría interesar: Consejos para avanzar hacia una organización protegida Múltiples cuentas para una mejor ciberseguridad Apuesta por una mayor ciberseguridad en tu entorno de trabajo mediante la creación de varias cuentas. Esto ayuda a que si una cuenta se ve comprometida, el daño sea más limitado, ya que el hacker en cuestión no podrá acceder a todas con la misma facilidad. También puedes usar múltiples plataformas, como por ejemplo un sitio web seguro y una cuenta de correo electrónico segura, para almacenar información confidencial. Otra forma de hacerlo es emplear diferentes contraseñas para cada cuenta y no compartirlas nunca con nadie. Seguro de Responsabilidad Civil ¿Dispones de un seguro de responsabilidad civil en tu empresa? Este tipo de seguro te cubre a ti y a tus empleados en el caso de que alguien presente una demanda. Además, el seguro de responsabilidad civil también ayuda si ocurren otros incidentes en el lugar de trabajo. De esta manera se puede proporcionar apoyo financiero a las víctimas de este tipo de delitos. Externalización de sus medidas de ciberseguridad Externalizar el conocido cono monitoreo de seguridad puede ser un paso fundamental para garantizar la ciberseguridad en tu empresa. Estas empresas vigilarán tus instalaciones y dispositivos y te envían alertas si identifican actividades sospechosas Otra opción es externalizar todo el proceso que implica la instalación de medidas y seguimiento de protección. Este suele implicar la compra o el arrendamiento de productos y servicios para proteger tu empresa. Esto suele incluir sistemas que detectan intrusiones y envían notificaciones a tu empresa. Servicios de protección contra el fraude Otro tipo de medida de seguridad que las empresas pueden adoptar en la vuelta a la rutina, son los servicios de protección contra el fraude. Estos servicios ayudan a proteger cualquier empresa contra el robo de identidad y el fraude, identificar y prevenir delitos financieros, la apertura de nuevas cuentas de manera fraudulenta o las compras no autorizadas. Ten en cuenta que la protección contra el robo de identidad es especialmente importante para las empresas cuyos empleados tienen acceso a información confidencial, como nombres y direcciones de clientes. Al proteger tu identidad, puedes reducir las posibilidades de que alguien la robe y cometa un delito contra tu empresa. En definitiva, contar con medidas de ciberseguridad integrales, ayudarán a tu empresa a iniciar el nuevo curso de forma más segura y protegida. FUENTE: Delgado, Sergio. »6 medidas de ciberseguridad clave para empresas en la vuelta a la rutina» Muycomputerpor.com. 01/09/2022. (https://www.muycomputerpro.com/2022/09/01/medidas-ciberseguridad-empresas)
