Protección de Datos – Francia impone multas millonarias a Google y Facebook por su política de cookies
La Comisión Nacional de Informática y Libertades (CNIL) de Francia impuso multas de 150 y 60 millones de euros respectivamente a Google y Facebook por su política de cookies. Los gigantes de la tecnología tienen tres meses para rectificar su situación bajo pena de una multa de 100.000 euros por día de retraso. Después de haber recibido numerosas quejas de utilizadores, la CNIL lanzó una investigación sobre las políticas de cookies de Google, Facebook y YouTube, concluyendo que, en sus páginas, no permiten rechazar las cookies tan fácilmente como aceptarlas. De hecho, un solo clic es suficiente para permitir la utilización de cookies por la empresa, pero varios son necesarios para llegar a poder denegar todas las cookies. La entidad responsable por la protección de datos personales en Francia considera que esta práctica va en contra de la libertad de consentimiento que protege el artículo 82 de la ley francesa de protección de datos. Google tendrá que pagar dos multas para un total de 150 millones de euros mientras que Facebook deberá pagar 60 millones de euros. Las empresas tienen tres meses para que los utilizadores puedan rechazar o aceptar las cookies con la misma facilidad bajo pena de una multa de 100.000 euros por cada día de retraso. Las cookies, una fuente de ingreso considerable para las empresas Las cookies son un fichero de datos generados al consultar una página web y que permiten enviar publicidad personalizada al utilizador. La multa impuesta a Google es un récord para la CNIL, ya en diciembre de 2020 había obligado la empresa informática a pagar una multa de 100 millones de euros para su utilización de cookies. El importe de las multas se justifica por el hecho de que Google y Facebook generan considerables beneficios gracias a las publicidades generadas con los datos colectados por estas cookies. En un comunicado enviado a AFP, Google anunció que cambiará su política de cookies con respecto a la decisión de la CNIL: «Nos comprometemos a aplicar nuevos cambios, así como a trabajar activamente con la CNIL en respuesta a su decisión, de acuerdo con la directiva [europea] ePrivacy», publicó la empresa. Desde dos años, la CNIL lucha para que los actores que editan páginas de alto tráfico se conformen a las policías de utilización de las cookies. La Unión Europea adoptó un texto en 2018 que obliga a los sitios web a respetar reglas más estrictas para recoger el consentimiento de los utilizadores antes de colocar sus cookies. Fuente: https://www.france24.com/es/econom%C3%ADa-y-tecnolog%C3%ADa/20220106-google-facebook-multa-francia-cookies
Protección de Datos – Las multas por Protección de Datos aumentan un 521% durante 2021
El importe de las multas impuestas por las autoridades de control europeas derivadas del incumplimiento del Reglamento General de Protección de Datos, superó la barrera de los mil millones de Euros en 2021. Esta cantidad de sanciones supone un aumento del 521% en comparación con el volumen de sanciones impuesto en el año 2020. Este pasado año se ha impuesto un total de 412 sanciones, aunque las sanciones más altas han sido las que se impusieron de un lado, por parte de la autoridad luxemburguesa, a Amazon Europe Core, por importe de 746 millones de Euros; y, por otro lado, la que la autoridad irlandesa impuso a Whatsapp, que alcanzó los 225 millones de Euros. Al hacer un análisis comparativo de la intensidad sancionadora de los organismos de control, en el año 2020, el montante total de las multas superó los 171 millones de Euros, lo que supuso un incremento significativo en comparación con los 72 millones de Euros del año 2019. Lejos quedan los 436.000 euros en multas del año 2018, año en cuyo mes de mayo comenzó a aplicarse la citada normativa en todos los estados miembros. Estos datos, sin duda, consolidan al riesgo sancionador como una de las principales preocupaciones de las empresas y de sus órganos de administración, destaca Francisco Pérez Bes, Socio de Derecho Digital en Ecix Group y antiguo Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE), y requiere mantener, de manera constante, un alto nivel de cumplimiento especializado dentro de las organizaciones, añade. La exigencia de cumplimiento de una norma tan compleja y exigente como es el RGPD, sin duda ha aumentado el nivel de cumplimiento de las empresas, aunque, a la vista de los datos publicados, parece que las organizaciones todavía están lejos de alcanzar un nivel de cumplimiento adecuado. Ahora bien, no pueden negarse los esfuerzos de las empresas por cumplir con esta normativa, por lo menos en España. Sin embargo, España es uno de los países de la Unión Europea que acumula una mayor cantidad de multas en comparación con el resto de nuestros vecinos. En concreto, la Agencia Española de Protección de Datos ha impuesto, este pasado año, 352 multas, lo que se ha traducido en sanciones por valor de 36,7 millones de Euros. Esto supone una sanción media de 105.000. A la vista de los datos publicados, las violaciones más comunes pueden estructurarse en cinco grandes grupos. El mayor volumen se centra en incumplimientos de los principios generales de protección de datos, a lo que sigue la falta o insuficiente información facilitada a los titulares de los datos. En tercer lugar, destaca la insuficiente base legitimadora para el tratamiento de los datos personales. Finalmente, encontramos a las sanciones relacionadas con brechas de seguridad y, por consiguiente, con la ausencia de medidas técnicas u organizativas adecuadas en la organización afectada, son el grupo que mayor evolución está teniendo, especialmente a la vista del incremento -tanto en número como en complejidad- de ciberataques a empresas, en particular, ransomware. Y, por último, encontramos la deficiente gestión de los derechos ejercidos por los ciudadanos -comúnmente conocidos como derechos Arco+- en aquellas organizaciones que tratan datos personales de personas físicas. La gestión de los datos en las empresas es una tarea muy compleja. La información se ha convertido en un activo estratégico, cada vez mas valioso, a la par que la asunción de riesgo por su deficiente protección es cada vez mayor. Además, el riesgo regulatorio y sancionador para 2022 va a ser todavía mayor, año en el que se prevé una mayor intensidad en ciberataques y un mayor impacto reputacional de todo aquello relacionado con la ciberseguridad y la protección de los datos personales. Así las cosas, podemos afirmar que la exigencia del regulador para este año también va a ir en aumento, al igual que ocurrirá con las reclamaciones económicas de los afectados por brechas de datos y violaciones de seguridad y, previsiblemente, contra los órganos de administración de las empresas que hayan sufrido incidentes de seguridad, advierte Pérez Bes. La Comisión Europea actualizó el año pasado sus reglas para las transferencias internacionales de datos. Bruselas refuerza así su normativa, que ahora exige más control en el traslado de los datos y carga con nuevas obligaciones a las empresas que envíen fuera de la Unión Europea esta información. El Ejecutivo comunitario adoptó el pasado 4 de junio las nuevas cláusulas contractuales tipo. La Comisión Europea ha publicado una consulta pública sobre la próxima Ley europea de libertad de los medios de comunicación, una iniciativa anunciada por la presidenta von der Leyen para salvaguardar la integridad, el pluralismo y la independencia de los medios de comunicación en el mercado interior. La consulta abarca tres grandes ámbitos: transparencia e independencia; condiciones para su buen funcionamiento; y la asignación equitativa de recursos estatales. Bruselas presentará la propuesta en el segundo semestre de 2022. Fuente: https://www.eleconomista.es/legislacion/noticias/11559160/01/22/Las-multas-por-Proteccion-de-Datos-aumentan-un-521-durante-2021.html
Ciberseguridad – Ciberseguridad y 5G: una tecnología más segura en un entorno más complejo
El internet de las cosas, uno de los logros de la tecnología 5G, abre enormes posibilidades en sectores como la industria. Los procedimientos de ciberseguridad deben adaptarse a un nuevo entorno, más heterogéneo, para estar a la altura Imaginen una gran planta industrial, en la que las máquinas ajustan su labor en tiempo real, en función de los datos que se transmiten entre ellas. Por la instalación circulan flotas de vehículos autónomos, con fluidez y máxima eficiencia. Y todos los datos de la fábrica se transmiten a un centro de control, tal vez a miles de kilómetros, donde confluye toda la información y se toman decisiones. Esa escena, sin apenas intervención humana, ya se corresponde en algunos aspectos con la realidad, y será algo cotidiano cuando se generalice el despliegue de la red 5G. La industria será uno de los ámbitos más beneficiados por el desarrollo del internet de las cosas (IoT, por Internet of Things), es decir, la capacidad de todo tipo de robots, sensores, aparatos y dispositivos de comunicarse con una mínima latencia, a través del 5G, para actuar ante un entorno cambiante. Transformará la forma de trabajar en las fábricas, y también ámbitos como la medicina quirúrgica, la movilidad o la gestión energética. LA CIBERSEGURIDAD HA ESTADO DESDE EL MINUTO 1 EN EL CORAZÓN DEL DISEÑO DE LAS REDES DE 5G. EL DESARROLLO DE TECNOLOGÍAS MÁS SEGURAS ES MUCHO MÁS FACTIBLE CON EL 5G – FEDERICO RUIZ, DIRECTOR DEL OBSERVATORIO NACIONAL 5G Con el 5G, las posibilidades del internet de las cosas son enormes: se calcula que en 2025 habrá 25.000 millones de aparatos conectados, y gracias en gran parte a la inteligencia artificial (IA), estarán capacitados para compartir información y actuar eficientemente en función de esos datos. Pero en este desarrollo hay una curva potencialmente muy peligrosa, la ciberseguridad. El IoT es un nuevo paradigma industrial que exige, también, un nuevo enfoque de la ciberseguridad. Lo explica Beatriz Martínez Candano, Directora de Seguridad de Clientes para España y Latinoamérica de Ericsson: “Estamos pasando de un entorno homogéneo y fundamentalmente cerrado a otro heterogéneo, donde se multiplican el número de actores en aspectos como el uso de la nube y la virtualización. Todo esto supone un cambio exponencial: hay más requisitos y son más exigentes, y también cobra más importancia su orden, su trazabilidad”. El entorno es más complicado, y los ataques pueden dirigirse a la propia conectividad, a la identificación de las máquinas, buscando crear caos, o a la solidez y confidencialidad de los datos que se transmiten entre ellas, ampliando las posibilidades del ciberespionaje industrial. Pero la buena noticia es que la tecnología en sí, el 5G, es más segura. Federico Ruiz, responsable del Observatorio Nacional 5G, recurre a los ejemplos de las anteriores generaciones de telecomunicaciones para explicar el porqué: “Con el 2G y el 3G el foco estaba en la voz, y los ciberataques podían tener solo un interés puntual en capturarla. Cuando empezamos a manejar datos, cambió todo y se empezaron a aplicar capas de seguridad, en gran parte de forma reactiva a los ataques que se iban produciendo. Sin embargo, la ciberseguridad ha estado desde el minuto 1 en el corazón del diseño de las redes de 5G”. La consecuencia, asegura, es que “con el 5G es mucho más factible el desarrollo de comunicaciones más seguras”. De los estándares a las mejores prácticas Partiendo de esa base sólida de la ciberseguridad en el 5G, ¿cómo ordenar el entorno más complejo para sacar todo el partido del IoT? “Si pensamos en las típicas ‘matrioskas’ rusas, la más pequeña, lo primero, es la estandarización”, explica Martínez Candano. Esa estandarización, labor de organizaciones internacionales de telecomunicaciones como 3GPP, es mucho más compleja ahora que no solo se trata de la ciberseguridad en móviles y ordenadores, sino también en sensores, televisiones, vehículos, máquinas industriales… y hasta neveras. Se multiplican el número de actores implicados, de ámbitos muy diversos. Y el reto es gestionar y orquestar componentes del IoT tanto horizontalmente (aparatos, servicios y usuarios) como verticalmente (del hardware a la aplicación). Con el 5G, las posibilidades del IoT son enormes: se calcula que en 2025 habrá 25.000 millones de aparatos conectados. Y, gracias IA, estarán capacitados para compartir información y actuar eficientemente en función de esos datos Tomando como base esos estándares destinados a proporcionar transparencia y a establecer el uso de algoritmos, protocolos y arquitecturas confiables, compañías como Ericsson crean en una siguiente fase soluciones de red con multitud de elementos que deben ser diseñados de principio a fin bajo rigurosos procesos de desarrollo seguro. En una tercera fase esas soluciones han de ser integradas y desplegadas en la red del operador, mediante configuraciones que endurezcan y refuercen su arquitectura. La cuarta fase consistiría en aplicar las mejores prácticas relacionadas con la ciberseguridad, como la monitorización constante de la red, la identificación y respuesta ante amenazas o la pronta y eficaz recuperación ante un ataque. La importancia del criterio humano Dada la importancia crítica de la ciberseguridad del IoT y la necesidad de monitorización constante, el uso de la Inteligencia Artificial es clave en esta fase. Sin embargo, desde Telefónica comentan cómo todavía el criterio humano tiene mucho que decir, al menos a corto y medio plazo. Uno de los motivos es que, con el drástico aumento de número de datos en la red, la cantidad de alertas automatizadas se va a disparar, y muchas de ellas pueden ser falsos positivos. Patricia Díez, responsable global de Seguridad de Red, Plataformas IT y dispositivos de cliente en Telefónica, explica este problema con un par de ejemplos: una campaña especial de descuentos, como el Black Friday, o la puesta a la venta de las entradas de un gran concierto. En esas situaciones, las técnicas de machine learning podrían confundir el extraordinario aumento del tráfico legítimo hacia un servidor con un ataque de Denegación Distribuida de Servicio (conocidos como DDoS) y reaccionar para acabar con un ataque en realidad inexistente. Este es un claro ejemplo del mundo IT, pero
Protección de Datos – ¿A ciegas sin las ‘cookies’? Las marcas se preparan para una nueva era en su relación con los clientes digitales
Quedan dos años, pero la desaparición de las ‘cookies’ de terceros tiene implicaciones de tanto calado que para muchas empresas van a resultar muy cortos. Las ‘cookies’ de terceros –esos archivos digitales que permiten a las empresas seguir a los usuarios en internet para ofrecerles publicidad personalizada, aunque no hayan visitado su propia web– tienen los días contados. Y con ellos, una forma de entender el marketing digital basada en el seguimiento. Ese mundo se empezó a desquebrajar en 2018, con la entrada en vigor del Reglamento General de Protección de Datos (GRPD, por sus siglas en inglés). Aquella norma puso en el centro de la regulación comunitaria el concepto de privacidad y fue como una bola de nieve ante la que han reaccionado los grandes gigantes de internet. Ya hace años que Safari, el navegador de Apple, y Firefox restringieron el uso de las ‘cookies’ de terceros, pero es Google, cuyo navegador, Chrome, tiene una cuota del mercado de 64%, quien marca el punto sin retorno en el uso de estas herramientas. Tras algunos retrasos, se prevé que a finales de 2023 elimine definitivamente las ‘cookies’ de terceros de su navegador. Para muchas empresas, ese momento puede ser algo así como el ‘gran apagón’: cegados de datos de sus usuarios, su inversión en marketing digital se retrotraería, de golpe, varios lustros. Esa es la mala noticia; la buena es que están a tiempo de construir otro tipo de estrategia de seducción para sus clientes digitales, más precisa y enriquecedora para ambas partes. ¿Serán capaces? Para los expertos convocados por Retina, en colaboración con Accenture, en el panel informativo ‘Negocio, Regulación y Tecnología: la necesidad de enfoque transversal ante el fin de las ‘cookies’, la situación exige de una sacudida. Con excepciones, no se están haciendo los deberes, y es en parte consecuencia de un enfoque incompleto, que pone demasiado el acento en el departamento de Marketing. “Hasta ahora, los usuarios de las ‘cookies’, los que las necesitaban, eran ellos”, explicaba durante dicho foro Sylvain Weill, Managing Director de Accenture Interactive, “así que es normal que lleven el núcleo de la discusión”. Pero otros dos departamentos, Legal y Tecnología, también tienen mucho que decir. Los primeros, básicamente, para cumplir con la regulación; los segundos, para exprimir al máximo los datos que las marcas recopilan del tráfico digital. “El problema, probablemente, es que en muchas ocasiones Marketing trabaja con el resto como parte de un proceso, no de un modelo de colaboración”, afirma Weill. Se busca el visto bueno legal y tecnológico solo al final del camino, “sin una visión estratégica”, lamenta este experto. Dado que el beneplácito de Legal es imprescindible, en un contexto de una regulación cada vez más exigente, el resultado de esa forma de trabajar supone grandes ineficiencias y pérdidas de tiempo; como un portero que el último momento aborta una jugada cuando ya se cantaba gol, no son pocos los proyectos que, ya muy trabajados, son frenados por los abogados de la empresa. “Si quieres que estos procesos de captación y utilización del dato se desarrollen en los tiempos que deben, cuenta primero con Legal”, recomendaba Javier García Correas, director jurídico y ‘compliance officer’ en España del grupo farmacéutico Grünenthal. Este ejecutivo lamentaba cierta falta de generosidad con el papel de los abogados en la utilización del dato para mejorar el negocio: “En nuestro mundillo percibimos que otros departamentos han aprendido que tienen que llamar a nuestra puerta, pero no buscan nuestras aportaciones. Y aunque a algunos les parezca mentira, los abogados también tenemos bonus por resultados; también nos interesa el negocio de la empresa”. “Los departamentos de Legal ya están cambiando su perspectiva; estamos dejando de hablar en tercera persona para hablar también del negocio”, apuntó en la misma línea Daniel López Carballo, socio del área de IT, Privacidad y Protección de Datos de Ecija Abogados. Si hablamos de negocio, todos los departamentos, y no solo Legal y Marketing, deberían estar muy atentos a este proceso de final de las ‘cookies’ de terceros. Como detalló Beltrán García-Durán, Managing Director Costumer Strategy Lead de Accenture Iberia, distintos estudios señalan que el cambio de paradigma puede tener un impacto en las ventas de entre el 20% y el 40%, y los propios directores de Marketing pronostican que la inversión necesaria para llegar a los mismos impactos sin ‘cookies’ de tercera parte crecerá un 25%, mientras que los costes de conversión podrían llegar a aumentar un 150%. Frente a estos pronósticos, “el mercado se ha movido más a impulsos de departamento que con un plan claro”, lamenta el experto. La transversalidad entre los departamentos parece condición indispensable para acometer el proceso con éxito: “Por nuestra experiencia, los comercios puros digitales que mejor aprovechan sus datos trabajan internamente de forma colaborativa desde el primer momento, buscando objetivos de negocio, no de marketing”, apuntó Celia Villalobos, directora de Agencias y Acuerdos Estratégicos de Google para España y Portugal. Cambio de paradigma Todos los expertos del panel coincidieron en advertir de la importancia del fin de las ‘cookies’ de terceras partes, que va mucho más allá del ámbito de la publicidad digital. “Frente a un ecosistema digital en el que hay datos por todos lados, la consecución de los datos se va a convertir en un objetivo en sí”, señaló Weill. “Quién hoy resalte la cantidad da datos que tiene de sus clientes se ha quedado en una fase muy anterior”, añadió por su parte García Correas. En el nuevo paradigma los datos propios serán un activo mucho más valioso, y las empresas deberán buscar nuevas fórmulas para obtenerlos. “Tenemos que ser capaces de ofrecer a nuestros usuarios servicios, contenidos, experiencias… que les resulten lo suficientemente atractivos como para entregarnos sus datos”, señaló Carlos Pérez Beruete, director de ventas digitales y marketing de BBVA. “También debe haber cierta innovación jurídica desde el departamento de Legal”, aseguró López Carballo: “Nuestra labor debe tener un enfoque más cercano a la consultoría, dando un paso adelante, pasando del ‘no se puede’ al ‘sí, pero de esta manera’”. En el futuro cercano de la publicidad digital, pronostica
Ciberseguridad – Windows 11 sufre su primer ciberataque y pone en riesgo todas las versiones del sistema operativo
Debido al terrible ataque ‘Zero Day’ (de ‘día cero’, en español), todas las versiones de Windows están en peligro porque Microsoft no solucionó el fallo, pero, ¿qué significa el término que está entrecomillas? Se trata de un problema de seguridad descubierto por los hackers para atacar sistemas, además, ocurre cuando los ‘malos’ aprovechan el fallo antes de que los desarrolladores tengan la oportunidad de solucionarlo. El ‘exploit’ (ataque que aprovecha las vulnerabilidades de los sistemas operativos) consiste en una prueba de concepto, sin embargo, los investigadores creen que las pruebas y ajustes continuos podrían llevarse a cabo para realizar un ciberataque de mayor alcance. Nic Biasini, jefe de alcance de Cisco Talos, afirmó para BleepingComputer que “durante nuestra investigación, analizamos muestras recientes de malware y pudimos identificar a varios que ya estaban intentando aprovechar el exploit. Dado que el volumen es bajo, es probable que se trate de personas que trabajen con el código de prueba de concepto o que realicen pruebas para campañas futuras”. La vulnerabilidad se aprovecha de un error de Windows Installer registrado como ‘CVE-2021-41379’, aunque Microsoft pensó que lo había parcheado a principios de este mes. Por consiguiente, el fallo otorga a los creadores del malware que puedan hacerse cargo del sistema. Dicha debilidad podría poner en riesgo a millones de sistemas en el caso de que se siga propagando entre los usuarios. No se trata de un exploit remoto, por lo que se necesitaría un acceso físico a los dispositivos para realizar el ataque. Microsoft calificó a la vulnerabilidad de gravedad media, sin embargo, no han proporcionado un cronograma para saber cuándo lanzarán una solución. La compañía tecnología afirmó para BleepingComputer que “somos conscientes de la divulgación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos”. Fuentes: https://www.20minutos.es/tecnologia/ciberseguridad/windows-11-sufre-su-primer-ciberataque-y-pone-en-riesgo-todas-las-versiones-del-sistema-operativo-4904041/
Ciberseguridad – 10 costumbres a desechar en 2022 para mejorar la ciberseguridad
El ser humano es un animal de costumbres. Nos cuesta mucho alterar nuestra forma de actuar con según qué cosas, especialmente si llevamos haciéndolas desde hace infinidad de años. Hay un refrán que dice: «a un perro viejo no se le pueden enseñar trucos nuevos«. Bueno, esto es una falacia, sobre todo si esos trucos están relacionados con nuestra ciberseguridad. Este concepto, nuevo para muchos, se ha tornado de vital importancia en los últimos años y cada vez forma más parte intrínseca del vocabulario diario. ¿A qué se ha debido? Pues es muy sencillo: el aumento de la ciberdelincuencia. Tema ya manido hasta la saciedad, esta situación ha provocado un cambio de paradigma a nivel general, especialmente a la hora de llevar a cabo buenas prácticas en las redes. Por desgracia, seguimos cayendo en los mismos errores. 10 costumbres a desechar en 2022 para mejorar la ciberseguridad. Ahora bien, ¿Cómo podemos dejar atrás esas costumbres tan feas? Pues muy fácil, siguiendo una sencilla guía de cosas que no debemos hacer y que os vamos a dejar en las próximas líneas. Un decálogo que podéis imprimir y colgar en vuestra zona de trabajo/ocio particular. A fon de cuentas, la mejor forma de frenar a los ciberdelincuentes es llevar unos hábitos cibersaludables. Cuantas más puertas cerradas se encuentren, menos veces podrán entrar. Dicho esto, vamos a empezar por el primero de todos, y uno muy habitual. Utilizar software obsoleto Uno de los errores más comunes que cometemos es contar en nuestro sistema con software obsoleto. Bien porque han salido nuevos programas, o porque la versión del último producto no ha sido actualizada, solemos dejar estas cosas olvidadas. Luego vienen los problemas en forma de, por ejemplo, las vulnerabilidades. Todo software que se precie cuenta con fallos en su código que los ciberdelincuentes pueden explotar en cualquier momento. Las actualizaciones de firmware sirven para «tapar esos agujeros» lo mejor posible y evitar que puedan ser usados en perjuicio de sus usuarios. Así pues, nunca está de más comprobar si tenemos el último firmware instalado; en caso contrario, lo tenemos que actualizar en el acto, especialmente si aún contamos con la versión 1.0 y el producto va ya por la 10.0… Tener una mala higiene de contraseñas Otra mala costumbre muy común, y que sigue causando problemas año sí y año también, son las contraseñas débiles. No nos cansaremos jamás de repetirlo, pero 1234567890 no es una contraseña segura; nuestro nombre, el de nuestra pareja o el de nuestra mascota tampoco lo es. Tampoco es seguro estar con la misma contraseña durante años; a fin de cuentas, toda contraseña puede ser descubierta en cualquier momento. Su nivel de seguridad ha ido cayendo con el tiempo, sobre todo por nuestras malas prácticas. ¿Qué se recomienda entonces para solventar este problema? Pues muy sencillo. Cambiar de contraseña cada cierto tiempo (un mes, dos meses), hacer uso de contraseñas que incluyan letras, números y símbolos que no sean excesivamente largas. 10 costumbres a desechar en 2022 para mejorar la ciberseguridad. Conectarse a Wi-Fi público El Wi-Fi público, el cual podemos encontrar en centros comerciales y otras zonas, permite a los usuarios de smartphone no tener que usar los datos móviles. Pero claro, no todas las redes Wi-Fi públicas cuentan la seguridad que deberían. Los ciberdelincuentes, que se las saben todas, pueden andar cercar y crear una cuenta Wi-Fi alternativa con el mismo nombre para que los usuarios se conecten. ¿Qué pasaría si un usuario se conectara a una red Wi-Fi de dudosa procedencia? Uno de los problemas más repetidos es el hackeo del terminal para acceder a apps, datos del usuario, etc. ¿Se recomienda, por ende, no conectarse a este tipo de redes? No, lo que se recomienda es precaución, y si dudamos mejor hace uso de los datos móviles cuando sea necesario. No pensarlo dos veces antes de hacer clic Una de las prácticas preferidas de los ciberdelincuentes es el phishing y el smishing. El Phishing, como bien sabemos, es la práctica por la cual el ciberdelincuente intenta acceder a nuestro sistema a través de un e-mail con malware adjunto. En cuanto al Smishing, hablamos del envío de SMS con enlaces a páginas web fraudulentas. A pesar del uso abusivo que se hacen de estas ciberestafas, los usuarios sieguen cayendo en la trampa, sobre todo cuando se uso de cebo a bancos, empresas de mensajería, etc. El cliente, asustado ante el mensaje recibido o el paquete bloqueado, no duda en descargar el archivo adjunto o pinchar en el enlace. Una vez hemos caído en la trampa, los problemas sufridos pueden ser muy variados: hackeo del dispositivo infectado, robo de información, toma de control del sistema… No usar seguridad en todos los dispositivos Todo dispositivo que se precie, sobre todo si está conectado a internet, es susceptible de ser hackeado. Cuando decimos todos, es todos. Hace tiempo nos hablaron de un caso digno de estudio; una compañía fue ciberatacada a través de una pecera instalada en el hall. Esa pecera contaba con un sistema automatizado de limpieza y, lógicamente, estaba conectada a la red. Gracias a esto, los ciberdelincuentes pudieron entrar en el sistema de la compañía, vulnerar sus defensas y causar estragos. Parece una broma, pero no lo es. Esto pone de manifiesto la necesidad de proteger todos y cada uno de los dispositivos que usamos, especialmente: smartphones, PC’s, tablets, sistemas de domótica, etc. Cualquiera vale para que el ciberdelincuente pueda causar un daño irreparable. 10 costumbres a desechar en 2022 para mejorar la ciberseguridad Utilizar sitios web inseguros En internet hay cientos de millones de páginas web, y entre ellas un número enorme de páginas maliciosas que solo buscan causar problemas. Para que los usuarios piquen, esas páginas web suelen ofrecer premios por ser el usuario número X, descuentos en productos de alta gama, etc. Por desgracia, debido a la falta de información, son muchas las personas que caen en estas estafas solo por no pensárselo dos veces. Nadie da duros a pesetas, y menos si hablamos de dispositivos que valen cientos o unos pocos miles de euros. Por eso debemos pensar antes de entrar en una
Protección de Datos – Superintendente de Industria habla de su cruzada para poner en cintura a las plataformas digitales
El Superintendente de Industria y Comercio, Andrés Barreto, habló con el director de Noticias Caracol, Juan Roberto Vargas, sobre su cruzada para poner en cintura a las plataformas digitales que usan sin control alguno, y para todo tipo de fines, los datos personales de millones de colombianos. Juan Roberto Vargas: Hay un tema mundial, la gran tormenta que se está desatando con el tema de Google y el uso de los datos de todos para beneficio propio e incluso en detrimento de empresas que producen contenidos. En el tema de protección de datos personales, ¿qué acciones está asumiendo la Superintendencia de Industria? Andrés Barreto: Hemos empezado a entender los ciudadanos que el activo digital, la moneda en el mundo de la economía digital son los datos personales. Sea eso lo primero. Lo segundo, es un derecho fundamental que tenemos los ciudadanos colombianos de que esos datos sean protegidos. Tercero, de ahí el gran dinamismo que le hemos dado a la delegatura de protección de datos, que hoy en día es una de las que cuenta con la mayor capacidad de reacción. En el último año hemos puesto más de 100 sanciones por $11 mil millones, algo que nunca había pasado. En un solo año logramos poner lo que se había puesto en los años anteriores Generalmente les ha sucedido a las empresas de telecomunicaciones, que son las que más captación de gente tienen y más uso de datos; a las empresas del sector financiero también por temas como accesar a datos, reportar negativamente en entidades de valoración crediticia, en este tema de asedio telefónico y por correo, entre otros. La SIC es presidente de la red iberoamericana de protección de datos, es decir, somos presidentes de todas las autoridades del continente americano, incluida España, y recientemente le impusimos una orden a TikTok, que fue una plataforma que se empezó a utilizar en el marco de la pandemia, un poco para un tema de desestrés y es un poco más lúdico, pero hay acceso a las imágenes de los menores de edad. A Facebook, que ha venido cumpliendo, también se le impuso una orden por el uso de los datos de menores de edad y de colombianos. A Google recientemente se le ratificó una orden donde lo que estamos buscando es que adecúe sus términos y condiciones al estándar colombiano y sobre proteja los datos de los menores de edad y también hubo un caso frente a Uber por un tema de filtración de datos de tarjetas de crédito de ciudadanos colombianos. Juan Roberto Vargas: Viene un tema y es el pago por los derechos de esa información que esas grandes plataformas hacen a diario. Plataformas como Google y Facebook utilizan contenidos de los medios, pero a esos medios no les pagan por esos contenidos, ¿hay alguna acción que vaya a emprender la Superintendencia de Industria frente a ese sentido? Andrés Barreto: En Colombia por ahora no, pero es un tema que se está analizando en la OCD, tiene que ver con este tema de economía digital y en algunas autoridades, como la Unión Europea y algunas autoridades que reúnen a las de corte más anglosajón y europeo, sí ha habido esta discusión por el pago de derechos de retransmisión, el pago de los contenidos, y ha habido dos decisiones muy fuertes: uno de la autoridad francesa de competencia donde hubo una multa billonaria para Google, otro la discusión que hay sobre tasación digital, que es un tema de la UE, y tres el tema de la retransmisión de esos contenidos frente a otros actores. Juan Roberto Vargas: Pareciera por lógica y derecho que deberían pagar, porque ese es el gran debate mundial. Andrés Barreto: Es lo que está en boga y en la UE ha habido multas por eso, ha habido suspensión de acceso a ciertos contenidos y la pelea sigue. Fuente: https://noticias.caracoltv.com/economia/superintendente-de-industria-habla-de-su-cruzada-para-poner-en-cintura-a-las-plataformas-digitales
Protección de Datos – Gaia-X, el macropoyecto europeo para reunir los datos de los ciudadanos y compartirlos con seguridad entre las diferentes industrias
Habitualmente escuchamos decir que los datos son el nuevo petróleo, que las organizaciones basadas en datos son las que están llamadas a ‘dominar’ el panorama social y económico. Sin embargo, crear y mantener un espacio en el que compartir de manera segura y fiable esa ingente cantidad de información no es algo sencillo. Ahí es donde radica el principal problema -y de ahí es de donde se parte para la solución con la que se ha dado en Europa-. Europa quiere crear una normativa común capaz de encontrar la manera en la que los diferentes sectores industriales y socioeconómicos puedan compartir los datos de sus usuarios. En 2019 Francia y Alemania se aliaron para liderar la iniciativa europea Gaia-X. Pretende ofrecer una alternativa al oligopolio de la nube americana -Amazon, Microsoft y Google- y el imparable avance de China -Alibaba-. El proyecto permitiría garantizar la portabilidad de los datos entre las diferentes plataformas del proyecto. España, claro, no se va a quedar atrás en una iniciativa de semejante importancia, por ello el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), presentó la creación de un hub nacional de Gaia-X, “una asociación empresarial sin ánimo de lucro cuyo objetivo es acelerar la capacidad europea en materia de compartición de datos y soberanía digital”. Por otro lado, también es un paso esencial para el despliegue de la gobernanza de datos, canalizando e implementando las arquitecturas de referencia en los sectores. El resultado debería ser un “ecosistema global federado e interoperable en el que los participantes puedan utilizar datos y servicios de forma soberana en espacios de datos específicos del sector”, según ECO, la Asociación de la Industria de Internet, la organización con sede en Alemania encargada de gestionar el proyecto Gaia-X. ¿Quién está involucrado en la iniciativa y qué sectores podrían beneficiarse? A través de este proyecto, tanto organizaciones públicas como organizaciones privadas podrán crear espacios para compartir datos -de manera controlada y supervisada- por lo que se ha dado en llamar ‘verticales’, es decir, sectores de actividad específicos como pueden ser el turismo, la salud, la movilidad, lo agroalimentario o el comercio electrónico, entre otros. De todos ellos, es posible que los sectores que más se beneficiarán de esta iniciativa de espacios de datos compartidos en nuestro país sean el turismo, la salud, el alimentario -cuya digitalización aún tiene bastante recorrido por delante-, el comercio -ya que sus empresas tienen mucho interés en la transformación tecnológica-, la industria y el transporte. Para el despliegue de esta iniciativa en España, dirigida a impulsar la economía del dato en nuestro país, se hizo un llamamiento para identificar a interesados en participar de la industria, asociaciones, centros tecnológicos y demás grupos de interés. El objetivo es desplegar un ecosistema sólido en el ámbito de la compartición de datos, principalmente industriales. Un ejemplo práctico: compartir datos en el sector de la salud “Sabemos que existiría un gran beneficio si los datos sanitarios de las personas pudieran compartirse entre distintas administraciones de salud u hospitales, sin embargo, al ser información tan sensible está muy protegida y es muy complicado encontrar una normativa que permita crear un espacio para hacer esto”, señala Mariano Minoli, Data & Analytics Co-Director en Hiberus, una de las empresas que forma parte del grupo promotor de la futura Asociación Gaia-X España. Precisamente lo que se quiere lograr con Gaia-X es superar esas barreras y encontrar una vía en la que, con el consentimiento de los usuarios, se pueda aprovechar la información disponible para el beneficio de ellos mismos. Crear este marco y este espacio comunes “va a permitir el aprovechamiento de los datos, de manera transparente, confiable y bajo consentimiento”, subraya Minoli. Se trata pues de un ‘espacio de datos industriales (Industrial Data Space)’, el cual es entendido como un espacio de datos virtual que utiliza estándares y modelos de gobernanza comunes para facilitar el intercambio seguro y la vinculación sencilla de datos en los ecosistemas empresariales. “Hiberus participa en la iniciativa Gaia-X en nuestro país, a través de la constitución del hub español. En ese ámbito, también apoyamos el establecimiento de un hub específico de datos en los sectores de salud y turismo, impulsando además su adopción en instituciones gubernamentales de España. De manera esencial, propone un marco de referencia para aquellas instituciones que deben compartir información de manera controlada y gobernada. Estos espacios de datos no siempre pueden ser totalmente abiertos, como en una iniciativa de Open Data tradicional, pero sí impulsan el dato como producto”, concluye Minoli. Un beneficio común con la seguridad y la confianza de la ciudadanía por delante Desde el Ministerio de Asuntos Económicos y Transformación Digital destacan: “Con la incorporación a Gaia-X, España contribuye a generar una infraestructura común europea de datos con un componente cloud que suponga una alternativa segura en el mercado y otorgue capacidad de control de acceso y reutilización para aquellos que producen los datos. El objetivo es asegurar la disponibilidad de datos, la interoperabilidad, la portabilidad y que las empresas cumplan con los estándares europeos y valores europeos”. Así pues, la meta de esta iniciativa es desarrollar una gran plataforma de cloud europeo que ponga a Europa y a las empresas del continente al mismo nivel que las grandes potencias mundiales en materia de innovación y competitividad en el sector de los datos. “Gaia-X intenta gobernar de forma segura para los usuarios la forma en que empresa y Estado comparten información en distintos sectores, como el turismo, la salud o la movilidad”, insiste Minoli. Desarrollar un mercado único de datos, que permita su acceso y reutilización con privacidad y seguridad en la Unión Europea, es una de las prioridades contenidas tanto en la Comunicación sobre la Década Digital como en la Estrategia Europea del Dato. La creación de este mercado pasa por el despliegue de espacios europeos de datos en los diferentes sectores de manera que sean interoperables y eviten silos, pero que garanticen el control de los datos, la privacidad y la seguridad. Según datos de European Data Market Study, en 2019 la economía del dato española tenía un valor de 29.700 millones de euros y representaba el 2,5% del PIB. Se calcula que para
Ciberseguridad – Detectan campaña de troyanos bancarios con más de 300.000 instalaciones en Google Play
La compañía Threat Fabric, especializada en seguridad cibernética, ha compartido los resultados de una investigación sobre una serie de troyanos bancarios que han estado disponibles en Google Play Store, la tienda de aplicaciones de dispositivos Android. Los troyanos han sido instalados más de 300.000 veces en más de 15 países. La investigación ha desvelado una campaña de ‘droppers’, un tipo de aplicación diseñada para instalar un ‘malware’ en un equipo infectado, en este caso, un troyano bancario. El informe de Threat Fabric señala cuatro familias de malware: Anatsa, con más de 200.000 instalaciones; Alien, con más de 95.000 instalaciones; Hydra y Ermac, con más de 15.000 instalaciones. Según explican los expertos de la compañía, los droopers son difíciles de detectar por los sistemas automáticos porque tienen una “huella maliciosa muy pequeña” y porque la instalación manual del troyano solo se realizaba en caso de que los ciberdelincuentes detrás de la app quisieran llegar a más víctimas en una región determinada. Los droppers se hacían pasar por aplicaciones como lectores de códigos QR o de documentos PDF, o incluso de aplicaciones de actividad física. Estas falsas apps estaban disponibles en la tienda Google Play Store, donde han pasado desapercibidas en parte por los cambios introducidos en la propia plataforma. Dichos cambios se refieren a la limitación de los permisos, lo que ha llevado a los cibercriminales a evitar la instalación automática sin el consentimiento del usuario. Ahora las campañas se han vuelto más sofisticadas y han tenido que reducir la huella maliciosa desde el código para fundirse aún más entre el resto de aplicaciones legítimas. La compañía Threat Fabric reveló la lista de más de 15 países, entre ellos Colombia, en los que han sido instalados miles de veces este tipo de ciberataques bancarios, a partir de cada una de las cuatro familias de malware identificadas por los expertos. Anatsa: Reino Unido, Estados Unidos, Rusia, Australia, Dinamarca, Austria, Eslovaquia, Suiza y Emiratos Árabes. Alien: Portugal y España. Hydra y Ermac: Estados Unidos, Alemania, Portugal, Polonia, Reino Unido, Turquía, Malasia, Perú, España, República Checa y Colombia. Alertan por virus ‘Joker’ en Android Joker es una amenaza malware que lleva varios años escondiéndose en aplicaciones de Android para defraudar a través de SMS y de pagos por WAP. La última vez que había sido descubierto fue entre agosto y septiembre de este año en 16 aplicaciones, que tuvieron que ser retiradas de Google Play, la tienda de apps de Google. Los creadores de este malware “usan clics inyectados, analizadores HTML personalizados y receptores de SMS para automatizar el proceso de pago sin requerir ninguna interacción del usuario”, advirtió en ese momento Google. No obstante, los delincuentes cibernéticos no parecen darse por vencidos y han vuelto a atacar, por lo que se recomienda que los cibernautas estén atentos a no descargar este tipo de apps o eliminarlas en caso de haberlo hecho. Una investigadora de Kaspersky, compañía especializada en seguridad cibernética, alertó el pasado 15 de noviembre sobre el resurgimiento del virus Joker en una serie de publicaciones en Twitter que promueven el acceso a trece aplicaciones. Classic Emoji Keyboard Battery Charging Animations Battery Wallpaper Battery Charging Animations Bubble Effects EmojiOne Keyboard Easy PDF Scanner Flashlight Flash Alert On Call Halloween Coloring Now QRcode Scan Dazzling Keyboard Smart TV remote Volume Booster Louder Sound Equalizer Volume Booster Hearing Aid Super Hero-Effect Cabe resaltar que Google ya tomó cartas en el asunto y eliminó estas aplicaciones de su tienda Google Play con el objetivo de que ningún usuario pueda descargarlas. Ahora bien, la experta en ciberseguridad de Kasperty, Tatyana Shishkova, recomienda que aquellas personas que ya hubieran descargado alguna de estas ‘apps’, las eliminen de inmediato. *Con información de Europa Press. Fuente: https://www.semana.com/tecnologia/articulo/detectan-campana-de-troyanos-bancarios-con-mas-de-300000-instalaciones-en-google-play/202150/
