Conozca la única aplicación de mensajería en el mundo que evitaría el uso de sus Datos Personales
Al mercado global de mensajería instantánea, liderado por aplicaciones como WhatsApp y Telegram, se le suma la nueva aplicación XX Messenger, desarrollada por el criptógrafo norteamericano David Chaum. Según el artículo publicado por el portal Cointelegraph ‘’La aplicación promete ser resistente al quantum, lo que significa que protege de punta a punta los mensajes entre emisor y receptor y destruye sus datos de la nube, para que la información personal de los usuarios no sea utilizada ni recolectada por terceros.’’ Para entender mejor la importancia de la privacidad en estas aplicaciones, hay que tener en cuenta la enorme cantidad de datos personales que suelen recolectar. Por ejemplo, en 2019 la empresa Facebook recibió una multa por más de 5.000 millones de dólares por adquirir indebidamente datos privados de 87 millones de sus usuarios. Un año después, la misma compañía pagó más de 550 millones de dólares por acumular, de forma ilegal, datos personales de millones de usuarios. De acuerdo con la publicación del portal argentino El Clarín, XX Messenger permite conversaciones en tiempo real, transmisión de datos como fotos y videos y la creación de grupos de chat. La aplicación ya se encuentra disponible para descarga en la App Store de Apple y en la Play Store de Android y, bajo el lema ‘’Your data belongs to you and only you’’ (Tus datos te pertenecen a ti y solo a ti), promete ser una aplicación bandera para reforzar los derechos de privacidad en la web. FUENTE: (Newman, Brian. ‘’Una nueva aplicación de mensajería privada afirma ser descentralizada y resistente al quantum’’. Cointelegraph.com. 28/01/22. https://es.cointelegraph.com/news/new-private-messaging-app-claims-to-be-decentralized-and-quantum-resistant) (‘’XX Messenger una aplicación basada en blockchain’’. Elclarin.com. 05/02/22. https://www.clarin.com/tecnologia/xx-messenger-aplicacion-chat-basada-blockchain_3_Yw5gGLxpa.html)
Protección de Datos – 7 formas de proteger la privacidad de los menores en Instagram
Mientras que muchos adolescentes han sido cautivados recientemente por otras aplicaciones, sobre todo TikTok, Instagram sigue manteniendo su posición entre los jóvenes usuarios de Internet. De hecho, los niños de entre 13 y 17 años representan el 8% de todos los usuarios de Instagram. Sin embargo, al ser una red de interacción social, Instagram también puede constituir un peligro para los menores de edad, principalmente por aquellas amenazas asociadas a las redes sociales, incluyendo el ciberacoso, los pedófilos, las estafas y la exposición a contenidos altamente inapropiados. Para prevenir estas situaciones, desde ESET, compañía experta en ciberseguridad, ofrecen hasta siete maneras de proteger la privacidad de los hijos utilizando algunas de las funciones integradas en la plataforma. —El concepto más importante es la privacidad de la cuenta. Instagram ofrece dos opciones: cualquier cuenta puede ser pública o privada. De hecho, como parte de las recientes medidas dirigidas a los usuarios más jóvenes y a sus padres o tutores, esta red social pone por defecto a los usuarios menores de 16 años en cuentas privadas cuando deciden unirse a la aplicación, aunque todavía pueden optar de forma voluntaria por cambiar a una cuenta pública. Sin embargo, una cuenta privada suele ser la mejor opción, sobre todo porque requiere que su propietario apruebe quién puede seguirle y así, ver su contenido. —Como segundo consejo en torno a este asunto y si tu hijo tiene razones de peso para utilizar una cuenta pública, considera la posibilidad de ayudarle a que al menos parte de su contenido esté disponible sólo para su lista de amigos cercanos. También merece la pena hablar con tus hijos sobre los riesgos que conlleva tener un perfil público: no es aconsejable dejar que nadie vea todo lo que tienen en su feed, las historias que han compartido, etc., ya que esto puede proporcionar a los ciberdelincuentes el suficiente material para todo tipo de estratagemas nefastas, incluidas las que implican la clonación de las cuentas de las víctimas. —Es posible que hayas oído en decenas de ocasiones la expresión: “tengo un mensaje directo”. Los mensajes directos son una parte común de la cultura de Instagram. Los adolescentes no se limitan a dar “me gusta” y comentar las publicaciones de los demás, sino que a menudo se comunican a través de los mensajes directos. Dicho esto, es prudente tener cierto nivel de control sobre quién puede enviar mensajes a tus hijos. —Con esto en mente, Instagram ahora impide que los adultos envíen mensajes a los menores de 18 años a menos que sigan a esos adultos. Otra función de seguridad que la plataforma ha puesto en marcha recientemente para proteger a los usuarios jóvenes es la de compartir avisos o notificaciones de seguridad para fomentar la vigilancia de los adolescentes en las conversaciones con los adultos a los que ya siguen. —Los comentarios, las etiquetas y las menciones son otras formas en las que los usuarios pueden interactuar entre sí y probablemente no faltarán menores que utilicen estas funciones a su antojo. En general, es conveniente asegurarse de que extraños al azar no puedan etiquetar o mencionar a tus hijos en sus publicaciones y frenar aún más lo que pueden ser interacciones inapropiadas con ellos. —También es posible que se produzcan discusiones acaloradas en torno a temas de actualidad e incluso trolls que las inciten u hostiguen. Si quieres ocultar los comentarios ofensivos tanto a los ojos de tus hijos como a los de sus seguidores, puedes activar el sistema de filtrado de comentarios de Instagram. El sistema ocultará los comentarios que contengan los términos marcados, con la misma opción disponible para los mensajes directos. Además, puedes configurar una lista de palabras personalizada, en la que puedes incluir los términos que consideres personalmente ofensivos. —Además, considera la posibilidad de animar a tus hijos a tomar medidas adicionales destinadas a promover un uso prudente de la aplicación. Por ejemplo, según su blog de diciembre de 2021, Instagram está empezando a animar a los menores a tomar descansos regulares de las pantallas. Además, les está ayudando a gestionar su huella digital facilitando la eliminación masiva de contenidos, likes y comentarios antiguos. En marzo de 2022, la plataforma lanzará su primer conjunto de controles parentales, dando a los padres la oportunidad de ver cuánto tiempo pasan los niños en la red social y establecer límites de tiempo de pantalla. Fuente: https://www.abc.es/familia/padres-hijos/abci-7-formas-proteger-privacidad-menores-instagram-202201090059_noticia.html
Protección de Datos – Google Analytics incumple la GDPR, según la agencia de protección de datos austriaca
El año apenas comienza y también los primeros problemas para Google: la Autoridad de Protección de Datos de Austria («Datenschutzbehörde» o «DSB») falló que el uso continuado de Google Analytics incumple la GDPR. Este es el primer fallo acerca de las 101 quejas que la ONG austriaca de protección de datos «Noyb» ha presentado en relación con la llamada «decisión Schrems II«, un caso en 2020 en el que el Tribunal de Justicia (TJUE) decidió que el uso de proveedores de Estados Unidos, como Google, incumple la GDPR debido a que las empresas estadounidenses están obligadas por ley a compartir sus contenidos con las autoridades de ese país, lo que permite el acceso a datos de los usuarios europeos. Por ahora no hay sanción específica para Google Por supuesto que esta decisión ha levantado alertas sobre el uso rutinario de las herramientas que requieren transferencia de datos personales de Europa hacia los Estados Unidos para su procesamiento. El organismo de control ha encontrado que la dirección IP así como los identificadores en los datos de las cookies incluyen datos de los visitantes del sitio web, lo que significa que estas transferencias están bajo el ámbito de la aplicación de la ley de protección de datos de la UE. Hablando del caso específico de Google Analytics, se destacó que una función de «anonimización» de la dirección IP no se había implementado de forma correcta en el sitio web, pero de forma independiente a este problema técnico, el regulador encontró que los datos de la dirección IP que se compartían a EE.UU incluían datos personales de los usuarios, por lo que era posible identificar a un visitante. «Los servicios de inteligencia de Estados Unidos usan ciertos identificadores online (como la dirección IP o números de identificación únicos) como punto de partida para la vigilancia de las personas», aseguró el regulador en su fallo. Si bien el fallo está dado, aún no hay una decisión sobre una posible sanción. Sin embargo el GDPR prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global en casos similares. Max Schrems, presidente honorario de Noyb.eu aseguró que «en lugar de adaptar sus servicios para que cumplan con la GDPR, las empresas estadounidenses simplemente han intentado agregar más texto a sus políticas de privacidad e ignoran al Tribunal de Justicia. Muchas empresas han seguido el ejemplo en lugar de cambiar a opciones legales». En este mismo sentido, Schrems agrega que «esta es una decisión muy detallada y sólida. La conclusión es que las empresas ya no pueden usar los servicios en la nube de Estados Unidos en Europa. Han pasado 1,5 años desde que el Tribunal de Justicia lo confirmó por segunda vez, por lo que es más que el tiempo justo para que se haga cumplir la ley». La respuesta de Google Google ha respondido con un comunicado oficial en el que se centra en seis aspectos que considera fundamentales para defender su actividad frente a esta resolución: Google Analytics es un servicio que utilizan las organizaciones para comprender cómo se utilizan sus sitios y aplicaciones, de modo que puedan hacer que funcionen mejor. No rastrea a las personas ni perfila a las personas a través de Internet. Las organizaciones controlan los datos que recopilan mediante Google Analytics. Google Analytics ayuda a los clientes con el cumplimiento al proporcionarles una variedad de controles y recursos. Google Analytics ayuda a los usuarios a controlar sus datos. Google Analytics no se puede utilizar para mostrar anuncios a personas en función de información confidencial como salud, etnia, orientación sexual, etc. Los datos de Google Analytics de una organización solo se pueden transferir cuando se cumplen condiciones de privacidad específicas y rigurosas. Google Analytics opera centros de datos en todo el mundo, incluso en los Estados Unidos, para maximizar la velocidad y la confiabilidad del servicio. Antes de que los datos se transfieran a cualquier servidor en los Estados Unidos, se recopilan en servidores locales, donde las direcciones IP de los usuarios se anonimizan (cuando los clientes habilitan la función). El RGPD y el Tribunal de Justicia de la UE dicen que los datos pueden transferirse fuera de la Unión Europea solo por este tipo de motivos, siempre que se cumplan las condiciones. Una decisión muy relevante para las webs europeas Claro que esta es una decisión muy relevante para casi todos los sitios web en la UE: Google Analytics es la herramienta de analítica más utilizada: si bien hay muchas opciones alternativas, la inmensa mayoría de las webs confían en Google, y por lo tanto envían sus datos de usuario a la multinacional estadounidense. El hecho de que las autoridades de protección de datos ahora pueda declarar ilegales los servicios que envían datos a los Estados Unidos ejercerá una presión adicional sobre las empresas de la UE y por supuesto, a los proveedores de EE.UU. para buscar opciones más seguras y legales. «Hemos presentado 101 quejas en básicamente todos los estados miembros de la UE]», explicó Schrems a la revista Fortune. «Formaron un grupo de trabajo, por lo que esperamos que las otras autoridades de protección de datos ahora emitan decisiones similares. Pueden ser fichas de dominó cayendo país por país». A la larga parece haber dos posibles soluciones: o bien Estados Unidos adapta su base de protección de datos para extranjeros, o los proveedores estadounidenses tendrán que hospedar sus datos fuera de Estados Unidos, una opción que por el momento parece más viable ya que la ley de la UE dice que los niveles de protección europeos deben viajar con los datos: si bien la ley de EE.UU da un aviso a los usuarios sobre que sus datos serán utilizados, los usuarios no pueden hacer nada al respecto. Fuente: https://marketing4ecommerce.net/google-analytics-incumple-la-gdpr-segun-la-agencia-de-proteccion-de-datos-austriaca/
Protección de Datos – Superindustria ordena a concejal Edward Arias eliminar datos obtenidos ilegalmente y abstenerse de usarlos con fines publicitarios
Bogotá D.C., 17 de enero de 2022. La Superintendencia de Industria y Comercio, en su rol de autoridad Nacional de Protección de Datos Personales, ORDENÓ al concejal Edward Aníbal Arias Rubio lo siguiente: ELIMINAR los datos de las personas que no lo han autorizado de manera previa, expresa e informada para recolectar y usar su información. ABSTENERSE de enviar mensajes de texto de carácter publicitario o de propaganda a teléfonos móviles sin contar con autorización de las personas para esa específica finalidad. IMPLEMENTAR el principio de Responsabilidad Demostrada en el Tratamiento presente y futuro de los datos personales de los ciudadanos. La decisión, que se tomó a través de la Resolución 888 de enero de 2022, tuvo origen en varias quejas de ciudadanos que afirmaron que recibieron en sus teléfonos móviles el siguiente mensaje de texto del concejal Edward Aníbal Arias Rubio: “(Nombre de la persona destinataria del mensaje), TE DESEO UNA FELIZ NAVIDAD Y UN PROSPERO 2022, ESPERO PODER SERVIRTE COMO MEDICO Y CONCEJAL. EDWARD ARIAS PARTIDO VERDE”. Durante la investigación se determinó que el concejal Edward Aníbal Arias Rubio no tenía autorización previa, expresa e informada de los destinatarios de los mensajes de texto para que les enviara propaganda o publicidad. La Superindustria, entre otras, concluyó lo siguiente: El señor Edward Aníbal Arias Rubio, en su condición de concejal, realizó un tratamiento ilegal de los datos personales de varios ciudadanos. Los derechos de las personas deben ser respetados por los servidores públicos. Quien recolecta, usa o trata datos personales de terceros no se convierte en dueño de esa información y está obligado a cumplir las normas sobre protección de datos, las cuales, entre otras, prohíben “utilizar medios engañosos o fraudulentos para recolectar y realizar tratamientos de datos personales” . Adicionalmente, se remitió el expediente a la Procuraduría Delegada para la Defensa del Patrimonio Público, la Transparencia y la Integridad de la Procuraduría General de la Nación para que adelante la investigación respectiva de conformidad con lo ordenado por el parágrafo del artículo 23 de la Ley Estatutaria 1581 de 2012. Finalmente, la Superintendencia de Industria y Comercio en esta época electoral hace un llamado a los candidatos y las campañas para que respeten la regulación sobre recolección, uso y tratamiento de datos personales en las campañas políticas (Ley 1581 de 2012) que se desarrollarán durante la primera mitad del año y les recuerda que, con el fin de evitar vulneraciones al derecho fundamental de la protección de los datos personales, los partidos políticos y a sus candidatos deben: Solo contactar a personas respecto de las cuales tengan prueba de la autorización previa, expresa e informada que exige la Ley 1581 de 2012 para poder recolectar, usar o tratar sus datos personales –privados, semiprivados o sensibles- para fines de publicidad política. Respetar y garantizar el derecho de supresión de los datos personales de contacto cuando son utilizados para fines de marketing o publicidad política. Suspender el uso de datos de contacto –dirección electrónica, número telefónico- para fines publicitarios, cuando así lo requiera o solicite el titular de dichos datos personales. Impartir instrucciones a los candidatos y personas a cargo de la publicidad de las campañas políticas para que las actividades de marketing electoral se realicen cumpliendo todo lo que ordena la Ley 1581 de 2012, especialmente que se respeten los principios, derechos, garantías y procedimientos previstos en dicha ley estatutaria. Contra la decisión proceden los recursos de reposición y apelación. Documentos: Resolución 888 de 14 enero 2022 Fuente: https://www.sic.gov.co/slider/superindustria-ordena-concejal-edward-arias-eliminar-datos-obtenidos-ilegalmente-y-abstenerse-de-usarlos-con-fines-publicitarios
Protección de Datos – Europol deberá borrar los datos que almacena sobre ciudadanos que no han delinquido
El Supervisor Europeo de Protección de Datos concluye que el organismo policial solo podrá retener durante seis meses información de personas que no estén directamente vinculadas a un crimen Europol tiene una gran base de datos con información sobre centenares de miles de personas. Entre ellas se cuentan sospechosos de terrorismo y de delitos graves o ciudadanos que hayan podido mantener algún contacto con estos. El Supervisor Europeo de Protección de Datos (EDPS por sus siglas inglesas) lleva tiempo cuestionando la legalidad de mantener almacenada de forma indefinida información sensible sobre gente inocente, ya sea porque no se demuestre su culpabilidad o porque queden registrados en el archivo por haber coincidido con algún sospechoso. En 2019 inició una investigación cuya conclusión se acaba de dar a conocer: la orden del EDPS establece que el organismo europeo de cooperación policial no podrá mantener durante más de seis meses datos sobre individuos que no estén directamente vinculados a un crimen. La medida no afecta a la información almacenada sobre los ya condenados, investigados o testigos protegidos. El supervisor concede a Europol un año para limpiar sus bases de datos; transcurrido este plazo, tendrá que borrar todos los archivos relativos a quienes no estén implicados en actos delictivos. La decisión no ha sentado bien en Europol. “Afectará a la capacidad para analizar conjuntos de datos grandes y complejos a petición de las fuerzas del orden de la UE”, dijo la agencia en un comunicado, “en relación con las investigaciones apoyadas dentro de su mandato”, lo que incluye terrorismo, ciberdelincuencia, tráfico internacional de drogas y abuso infantil, entre otros. Para el supervisor, sin embargo, la política de alojar grandes cantidades de datos de ciudadanos europeos “pone en peligro los derechos fundamentales de los individuos”. Parece que el supervisor tenía motivos para preocuparse. O eso es al menos lo que se desprende de una investigación del consorcio de periodistas Lighthouse Reports publicada por The Guardian, que arroja serias dudas sobre el contenido del gran archivo de Europol y, sobre todo, sobre el uso que se le quería dar. La base de datos en cuestión, asegura el rotativo británico, contiene al menos cuatro petabytes de información (el equivalente a tres millones de CD-Roms) acumulados durante seis años a partir de informes policiales y del hackeo de servicios telefónicos encriptados o de solicitudes de asilo político de personas que nunca delinquieron. El tremendo volumen de información amasado por Europol se puede interpretar como un paso hacia la implantación de un sistema de vigilancia masiva equiparable al puesto en marcha por los servicios de inteligencia estadounidenses (NSA), cuyo sistema de espionaje clandestino masivo fue sacado a la luz por Edward Snowden. El propio Wojciech Wiewiórowski, quien dirige el EDPS, comparó en 2021 en un comité del Parlamento Europeo las prácticas de Europol con las de la NSA, en tanto que el organismo policial europeo usaba argumentos parecidos a los de la agencia estadounidense para defender la necesidad de acumular sin restricciones tantos datos. De acuerdo con una serie de documentos a los que ha tenido acceso The Guardian, Europol estaba desarrollando en 2020, cuando el EDPS ya le investigaba, su propio programa de inteligencia artificial y aprendizaje automático para poder estructurar el torrente de datos que amasaba. Entre la información que se manejaba en esos programas se podía encontrar datos tan sensibles como historial médico, origen étnico, orientación sexual o tendencias políticas de las personas escrutadas. Según este medio, pese a no contar con la luz verde del EDPS, Europol decidió seguir adelante con el desarrollo de su herramienta. Quién vigila al vigilante La orden emitida por el supervisor es el resultado de un largo estira y afloja dentro de la propia UE. Al EDPS, entre cuyas atribuciones se cuenta velar por que las instituciones y organismos europeos respeten el derecho a la privacidad y la protección de datos, le chirriaba la idea de que Europol pudiera retener información privada de ciudadanos durante un periodo de tiempo indefinido. Tras iniciar una primera investigación al respecto en 2019, el EDPS amonestó a Europol en septiembre de 2020 por “acumular de forma continuada grandes cantidades de información sobre personas sin vínculo alguno demostrado con actividades criminales”. Si bien el regulador admite que el organismo policial ha puesto en marcha “algunas medidas” para mejorar el tratamiento de esos datos, ninguna de ellas limita el tiempo que puede retenerlos. Quienes aparecen en el fichero “corren el riesgo de ser relacionados erróneamente con una actividad criminal en la UE, con el potencial daño para su vida personal y familiar, para la libertad de movimiento y de trabajo que ello comporta”, advirtió el SEPD ya en 2020. “Un periodo de seis meses para el preanálisis y el filtrado de las grandes bases de datos debería permitir a Europol cumplir con las demandas operacionales de los Estados miembros (…) y al mismo tiempo minimizar los riesgos para los derechos y libertades de los individuos”, concluye Wiewiórowski en un comunicado. Fuente: https://elpais.com/tecnologia/2022-01-13/europol-debera-borrar-los-datos-que-almacena-sobre-ciudadanos-que-no-han-delinquido.html
Protección de Datos – Confirmada la sanción a una empresa que dio un microcrédito a una persona que suplantó una identidad
La empresa denunciada incurrió en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos. La sección tercera de la sala de lo contencioso del Tribunal Supremo ha confirmado una sanción de 80.000 euros que impuso la Agencia de Protección de Datos a una empresa que concedió un microcrédito ‘online’ a una persona que suplantó la identidad de otra. En concreto, la Agencia de Protección de Datos impuso la sanción a la empresa Dineo Crédito S.L. por vulnerar la Ley de Protección de datos, ya que la persona que solicitó el microcrédito aportó el Documento Nacional de Identidad (DNI) de otra persona. Finalmente, el dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lita de morosos. El hombre cuya identidad fue suplantada denunció la situación ante la Agencia de Protección de Datos, ya que entendía que Dineo trató sus datos personales sin su consentimiento. La Agencia de Protección de Datos concluyó que Dineo, la empresa denunciada, había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el nombre del denunciante figuraba en la lista de morosos asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito. Ahora, el Tribunal Supremo ha rechazado el recurso de casación de la empresa y ha confirmado la sentencia de la Audiencia Nacional que también confirmó, a su vez, la sanción de 80.000 euros impuesta por la Agencia de Protección de Datos. En su sentencia, el Supremo explica que comparte el criterio de la Audiencia Nacional sobre la insuficiencia de las medidas que aplicó Dineo en el procedimiento de contratación ‘online’ del microcrédito, en tanto que «se desentienden enteramente del objetivo de verificar la veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser». La sentencia de la Audiencia Nacional explicaba que, en el proceso de contratación la plataforma de la empresa, se exigía determinados datos, como el número del DNI, dos teléfonos y el correo electrónico. Unos datos que «se ignora si son del cliente que los facilita como suyos o si son de otras personas». En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida «únicamente demuestra» a la entidad que «alguien es titular de ese DNI, por cuanto le confirma que es un número de documento que existe». Asimismo, la sentencia del Supremo aprecia que de este modo, «en cualquier caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito ‘online’, siempre se consumaría el tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas enunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca». Por último, el TS señala que lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es el uso fraudulento de un DNI por parte de quien no es su titular. «Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal –tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos– la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado», concluye. Fuente: https://www.expansion.com/juridico/sentencias/2022/01/14/61e1a8a3e5fdea63598b463b.html
Ciberseguridad – ¿Un futuro sin contraseñas? Las principales predicciones de ciberseguridad para 2022
Un informe explica cómo los ‘hackers’ podrían dirigirse al espacio, cómo explotarán las amenazas a dispositivos móviles y qué pasará con las contraseñas en el futuro. ¿Desaparecerán? Un reciente informe elaborado por la compañía WatchGuard Threat Lab presentó un análisis relacionado con los principales titulares sobre seguridad cibernética que deberán tener en cuenta las personas a partir del próximo año, especialmente cuando se trata del uso de dispositivos móviles como los celulares. El documento explica cómo los hackers podrían dirigirse al espacio, cómo explotarán las amenazas a dispositivos móviles y qué pasará con los ciberseguros o la arquitectura denominada Zero Trust. El malware para los teléfonos móviles, sobre todo para los que usan el sistema operativo Android, no ha alcanzado la misma magnitud que el malware tradicional para ordenadores de escritorio, en parte gracias a mecanismos como el arranque seguro, que dificulta la creación de amenazas que no requieran la interacción de la víctima (zero touch). Sin embargo, los dispositivos móviles representan un objetivo muy atractivo para los equipos de ciberseguridad de los estados, tanto por las capacidades de los dispositivos como por la información que contienen, como han señalado desde WatchGuard. La empresa de ciberseguridad recoge en sus predicciones para el año 2022 un aumento de los ataques móviles sofisticados por parte de los ciberdelincuentes. También cree que se conocerá el próximo año un hackeo en el espacio, como consecuencia del creciente interés de los gobiernos y del sector privado en la carrera espacial y la reciente investigación sobre ciberseguridad en las vulnerabilidades de los satélites. Ahora bien, una de las principales tendencias en materia de ciberseguridad tiene que ver con la desaparición de las contraseñas. La tendencia en la validación digital lleva a la eliminación de las contraseñas, como ya ocurre en Windows. Sin embargo, para WatchGuard el enfoque actual basado en un solo factor para los inicios de sesión del sistema operativo “simplemente repite los errores del pasado”. En este contexto, la compañía de ciberseguridad cree que la única solución robusta para la validación de la identidad digital es la autenticación multifactor. Predicen que la autenticación sin contraseña de Windows despegará en 2022, pero con la amenaza de que los ‘hackers’ y los investigadores encuentren formas de eludirla, lo que demostraría “que no hemos aprendido de las lecciones del pasado”. Seguridad cibernética en Colombia Según los más recientes resultados del Índice de Seguridad de Unisys 2021, los colombianos se encuentran entre los más preocupados del mundo por la seguridad en internet. La encuesta encontró que Colombia tiene el segundo nivel más alto de preocupación de los 11 países encuestados, con un puntaje de 215 de 300, solo detrás de México (217). Sin embargo, el nivel general de preocupación se redujo en comparación con 2020, uno de los tres únicos países que experimentó una disminución. El informe explica que el 63 % de los colombianos desconfían de hacer clic en enlaces sospechosos, pero solo el 20 % está al tanto de estafas sofisticadas como el robo de SIM. Casi dos tercios (66 %) de los cibernautas colombianos dicen que no están familiarizados con la amenaza del phishing por SMS (también conocido como ‘SMiShing’), mientras que apenas más de una cuarta parte (26 %) conoce las organizaciones adecuadas para denunciar estas estafas si son víctimas. Este estudio se lleva a cabo desde hace 15 años sobre las preocupaciones de seguridad del consumidor a nivel mundial. Las entrevistas se realizaron en cada uno de los 11 países encuestados: Australia, Bélgica, Brasil, Colombia, Francia, Alemania, México, Países Bajos, Nueva Zelanda, Reino Unido y Estados Unidos. *Con información de Europa Press. Fuente: https://www.semana.com/tecnologia/articulo/un-futuro-sin-contrasenas-las-principales-predicciones-de-ciberseguridad-para-2022/202154/
Protección de Datos – ¡Cuidado con los datos!: peligros de exponer en redes su información
En Brasil se descubrió en 2021 la mayor filtración de datos personales de la historia que afectó a más de 223 millones brasileños, incluidas personas fallecidas, que eran vendidos por terceros, en paquetes que costaban desde 500 dólares, pagos en Bitcoin. El valor aumentaba de acuerdo con el número de datos solicitados. Se sabe que “las bases de datos disponibles, gratuitas o en venta, incluyeron nombres, identificadores fiscales, imágenes faciales, direcciones, números de teléfono, estado civil, financiero, la lista de todos los familiares de primer grado (padres, hijos, hermanos), correos electrónicos, puntuación de crédito, salarios y más”, según denunció el portal tecnológico brasileño Tecnoblog. La denuncia puso sobre el tapete la necesidad de regular más y vigilar mejor el uso de los datos personales que nos dejan en manos de desconocidos y nos enfrentan a un peligroso abanico riesgos. En Brasil, como en el resto de países de América Latina de renta baja, incluida Colombia, se crean bases de datos personales gigantescas y se le presta muy poca atención a la seguridad cibernética y a la protección de los mismos, pese a que existen leyes al respecto. “Lo primero que aconsejo a mis alumnos en los talleres de seguridad cibernética que imparto es que no ingresen datos personales en las redes”, dice a Portafolio el coaching tecnológico colombiano, David. “Esos datos son utilizados por hackers que realizan un perfilamiento de la persona y, por medio de la ingeniería social, sacan el resto de información para hacerse con nuestras claves y, a partir de ahí, no solo aniquilarnos digitalmente sino generar pérdidas económicas”, denuncia. Por eso, urge que empresas y ciudadanos seamos conscientes del riesgo digital que corremos al exponer nuestros datos personales y los de otros en las redes sociales y que exijamos, además de la responsabilidad personal del usuario, la vigilancia y el estricto cumplimiento de las leyes, incluso, más allá de lo fijado por la norma. “Todos los días aparecen nuevas amenazas; todos los días tenemos nuevas aplicaciones, nuevos programas, software y hardware que generan mayores riesgos”, alerta a Portafolio, Oscar Puccinelli, Doctor en Derecho Constitucional de la Universidad de Buenos Aires. Profesor de Derecho Constitucional y Derechos Humanos y Juez de la Cámara de Apelación en lo Civil y Comercial. “En ese contexto es muy importante no solo la actividad que puedan desplegar los reguladores y las empresas que ponen a disposición esas aplicaciones, los software o hardware, sino también la responsabilidad personal de aquellos que estamos aportando información a la red”, añade. El concepto de aniquilación digital, según algunos expertos, no solo se emplea para la censura pública aplicada en las redes contra personajes populares por comentarios o posiciones que son condenados por la mayoría (como racismo, machismo, discursos de odio, etc.) o por la cancelación de espacios por las redes como le sucedió al expresidente, Donald Trump, con Facebook y Twitter, por ejemplo, sino también se aplica por la indefensión en que nos deja la manipulación y oscura utilización de nuestros datos personales por parte de terceros, entre otras cosas. “La red 3.0 con tránsito a la 4.0 nos están llevando a una web simbiótica donde con todas las implicaciones que tenemos, con el internet de las cosas (o la interconexión digital de objetos cotidianos con la internet), con censores y con dispositivos en nuestros cuerpos, darán demasiada información nuestra, incluso la que no queremos dar”, afirma. En Brasil, como en Colombia, existen leyes de protección de datos pero eso no fue suficiente para frenar y reglamentar el comercio y tráfico de los datos personales. “Hay que ir más allá”, dice Puccinelli y es preciso encontrar el mecanismo apropiado para hacerlo, en su opinión. Puccinelli vino a Colombia en noviembre pasado, invitado por la Asociación Colombiana de Compliance y la firma Moncada Abogados, organizadores del Foro global sobre los riesgos digitales, realizado en Medellín. CULTURA DE PROTECCIÓN “La cultura de la protección de datos tiene que fomentarse desde la niñez, desde la temprana edad hasta, por lo menos, la etapa universitaria para que todos los que nos formemos o se formen hasta la edad adulta tengamos la posibilidad de proteger nuestros datos para evitar riesgos que lamentaremos”, afirma. Lo que deben hacer ciudadanos y empresas, en su opinión, es trabajar en equipo, con objetivos claros y posibles que conduzcan a la protección de los datos personales y que prevengan el abanico de riesgos que supone el no hacerlo. No sólo hay que crear normas de protección sino vigilar que se cumplan, siempre con una perspectiva de futuro. La reciente filtración de datos en Brasil dejó claro, que “ya no se puede posponer la preocupación por la protección de datos. Para abordarla con seriedad, se necesita una estrategia nacional de protección de datos, que partan de iniciativas de capacitación bien diseñadas y dirigidas a toda la población. Es la única manera de crear una cultura de protección de datos, en la que tanto las personas como las organizaciones comprendan su gran valor”, afirma el portal Open Democracy. Para Puccinelli “el principal actor en la protección de datos es uno mismo” y la protección empieza en la casa, aunque también está la responsabilidad de los bancos de datos, que piden el consentimiento de una persona para manejar nuestros datos y cuyas actividades se deben vigilar para el estricto cumplimiento de la ley. Personalmente, “somos muy irresponsables con nosotros y los otros. Muchas veces subimos a las redes fotos de otros, sin su consentimiento”, señala Puccinelli y ese hecho podría afectar también sus vidas en un futuro. En la actualidad el manejo de datos personales tiende a convertirse en un problema de seguridad para las naciones pues, con los esperados desarrollos de la computación cuántica, por ejemplo, el almacenamiento y la información será mucho más amplia, detallada, veloz y precisa y los expertos admiten que eso podría poner en riesgo a países y regiones enteras. Por eso, otros expertos insisten que la digitalización sostenible no será posible sin una protección sólida. GLORIA HELENA REY Fuente: https://www.portafolio.co/innovacion/peligros-de-exponer-en-redes-sociales-la-informacion-personal-559543
Ciberseguridad – Diez recomendaciones básicas para evitar robos en internet durante Navidad
El IBM Institute for Business Value, una organización de investigación sobre problemas económicos que enfrentan las empresas y los gobiernos a nivel global, publicó un informe en el que reveló que el 87 % de los consumidores encuestados dijo que realizará compras en esta temporada de fin de año, mientras que el 43 % afirmó que planea realizar dichas compras a través de internet. Ahora bien, es importante tener en cuenta que, aunque el ecosistema digital puede resultar muy provechoso a la hora de comprar, también puede generar riesgos en materia de ciberseguridad si no se tienen claros los cuidados básicos. Los cibercriminales aprovechan esta temporada del año para robar información personal, difundir malware (programas maliciosos) y aprovecharse de la abundancia de datos que se comparten durante la agitada época navideña. De acuerdo con el Índice de Seguridad de la compañía tecnológica Unisys, el riesgo de fraudes con tarjetas bancarias es una de las preocupaciones con un mayor porcentaje en su más reciente estudio. El informe encontró que la preocupación de los ciudadanos por la seguridad digital en Colombia es alta. Estos son algunos consejos recopilados por IBM para hacer compras online de forma segura: No guardar información. Se recomienda no almacenar la información de la tarjeta de crédito en sitios web de compras y ni en los navegadores web, especialmente aquellos que no se frecuentan. Tener cuidado con los e-mails de seguimiento de paquetes inesperados. Es común que los ciberdelincuentes usen correos electrónicos de seguimiento de paquetes para instalar malware. Utilizar siempre la tarjeta de crédito si no se siente seguridad. Las tarjetas de crédito están más protegidas y, si se encuentra comprometida, no habrá un impacto en la cuenta bancaria principal. No hacer clic en los links si no se está absolutamente seguro. Se recomienda ingresar a la cuenta del comercio y comprobar la autenticidad del contenido directamente. Utilizar una dirección de correo electrónico diferente para compras. Es aconsejable tener una dirección de correo electrónico separada de la dirección personal para comprar o tratar con sitios web de comercio. Ser precavido con los cupones o códigos de descuento. Si se trata de un e-mail, no es recomendable hacer clic en ningún enlace o botón. Mejor es escribir los códigos directamente en el sitio web del comercio para validarlos. Usar contraseñas únicas para cada tienda en línea. Nunca reutilizar las mismas credenciales en varios sitios web. Puede usar un administrador de contraseñas para no tener que memorizarlas. Examinar los URL o links de los comercios. ¿Se ve una “L” en lugar de una “i”? Hay que mirar de cerca los URL y, si no se está seguro, no hacer clic. Las marcas de renombre tienen sitios web simples y claros. Usar Autenticación Multifactor (MFA). Incluso si alguien tiene acceso a la contraseña, el uso de MFA es la última línea de defensa pues agrega una capa adicional en la que el usuario mantiene el control. Ser creativo con las respuestas de recuperación de contraseña. Jamás optar por preguntas cuyas respuestas podrían estar en redes como “el nombre de la calle en que creció”. En su lugar, seleccionar una pregunta de opinión como: “¿cuál es su película favorita de todos los tiempos?”. Otras prácticas indebidas comunes entre los delincuentes son estafas por compra o venta de productos, suplantación de identidad, vishing, malware y hasta amenazas a través de redes sociales. Dayana Baracaldo, proyect manager de Vision, compañía especializada en transformación tecnológica, explicó que durante estos meses las marcas ponen en marcha estrategias de marketing que activan el mundo digital y es cuando los ciberdelincuentes capitalizan la oportunidad para cometer toda clase de fraudes. “Siempre hay que tener cuidado de hacer clic en enlaces o mails difundidos por redes sociales; es pertinente hacer una simple inspección al mensaje, corroborar el dominio del emisor y hasta revisar la gramática del contenido, lo cual puede evitar un fraude”, expresó Baracaldo. Otra de las recomendaciones de Dayana Baracaldo es hacer una configuración de alertas bancarias, ya que todos los bancos ofrecen el servicio de alarma por transacciones sospechosas, modalidad que se complementa con el factor de autenticación. Fuente: https://www.semana.com/tecnologia/articulo/diez-recomendaciones-basicas-para-evitar-robos-en-internet-durante-navidad/202115/
