Protección de Datos – Textos en latín y longitudes inasumibles: las revelaciones de un buscador de políticas de privacidad
Un equipo de investigadores de la Universidad Estatal de Pensilvania ha creado PrivaSeer, una herramienta para explorar qué hacen con nuestros datos más de un millón de empresas En el gremio del diseño gráfico, los textos pendientes escribir se completan con lo que se conoce como Lorem Ipsum, un galimatías en latín que procede de un texto de Cicerón al que se le han borrado sílabas y caracteres. Si introducimos estas dos palabras en PrivaSeer, un buscador de políticas de privacidad que han creado tres investigadores de la Universidad Estatal de Pensilvania, obtenemos más de dos mil resultados. Concretamente 2.462 páginas que deberían explicar el modo en que una empresa usa los datos de sus clientes, pero cuando fueron indexadas mostraban una retahíla sin sentido al menos en alguno de sus apartados. “Hay páginas ahí fuera que no han publicado aún su política de privacidad. Y en muchos casos es ilegal. Pero ocurre”, explica Shomir Wilson, profesor asistente en de la Universidad Estatal de Pensilvania, que ha desarrollado PrivaSeer en colaboración con Lee Giles, profesor de la misma institución, y Mukund Srinath, estudiante de doctorado. Según la estimación de Srinath, los textos falsos podrían ser más: “No tenemos estadísticas del porcentaje exacto, pero siendo conservador, te diría que un 0,5% de las páginas que tenían que ser políticas de privacidad tenían estos Lorem Ipsum”, razona. Esta aproximación equivaldría a unos 7.000 documentos de los 1,4 millones que indexa el motor de búsqueda. Los textos en latín son una revelación inesperada entre las que permite obtener este motor de búsqueda, pensado para dotar de mayor transparencia estos textos ya famosos por su difícil digestión. Otras ya las conocíamos: “El problema más significativo es el tiempo que se tarda en leer estas políticas y lo complicadas que son”, resume Srinath. Y otras tantas aún están por descubrir: “Hay una creciente comunidad de investigadores interesados en estudiar las políticas de privacidad de aplicaciones y páginas y la mayoría de las colecciones que ha habido hasta ahora eran relativamente pequeñas”, continúa Wilson. Por ahora, PrivaSeer tiene indexadas más de un millón de políticas de privacidad recopiladas a través de un rastreador web (en inglés, web crawler) capaz de identificar estos documentos en función de una serie de palabras claves. Una vez identificados los textos, un sistema de procesamiento del lenguaje natural extrae sus características de forma automatizada, de manera que cada búsqueda no solo muestra los textos que contienen unas palabras específicas, sino que permite recabar información adicional sobre esos resultados: a qué industrias corresponden esas políticas, qué tecnologías de rastreo se mencionan, qué regulaciones se tienen en cuenta… “Conforme los filtros se vuelvan más ricos e informativos, podremos mostrar más información”, promete Srinath. ¿Por qué necesitamos un buscador de este tipo? “Por una parte, somos cotillas”, resume Giles, que durante su carrera ha creado ya varios buscadores especializados que comparten el apellido “seer” (CiteSeer, ChemSeer, BotSeer…). “Además, el buscador nos permite ver a gran escala las tendencias en lo relativo a la privacidad de los consumidores, detalles que no siempre podemos detectar en las noticias. Y podemos ganar visibilidad en cuanto al modo en que la privacidad cambia con el tiempo”, continúa Wilson. Inesperada variedad Aunque inicialmente los investigadores esperaban encontrar bastantes similitudes entre los textos indexados, la realidad es que en el sector hay menos copia-pega de lo que cabría imaginar. “Muy pocas compañías usan generadores de políticas de privacidad. Y las que lo hacen, toman prestada la estructura original, pero aplican una cantidad considerable de cambios”, confirma Srinath. ¿Es bueno que haya tanta diversidad o sería mejor que las políticas de privacidad estuvieran más estandarizadas? “Creo que sería preocupante que las empresas estuvieran simplemente copiando y pegando sin articular qué significa cada parte para su negocio”, razona Wilson. Para el futuro próximo, los investigadores esperan desarrollar procesos automatizados que permitan indexar nuevas políticas de privacidad y actualizar las que ya tienen y aplicar métodos de análisis más sofisticados para extraer más información. ¿Veremos otros idiomas en PrivaSeer? El plan es que vayan llegando. “Al menos en la Unión Europea, lo más habitual es que la compañía publique sus políticas en un solo idioma, normalmente inglés, y si añaden un segundo, es el lenguaje dominante en el país donde se ubica el negocio”, comenta Wilson. “Una pregunta abierta en la que estoy trabajando con otro grupo de investigación es: ¿Con cuánta frecuencia se contradicen las políticas escritas en distintos idiomas? Todavía no lo sabemos, pero sí hemos encontrado casos en los que no tienen los mismos contenidos”. A largo plazo, los investigadores esperan que iniciativas como PrivaSeer permitan avanzar hacia una nueva configuración para estas políticas de privacidad: un formato que verdaderamente informe a la gente sobre lo que está ocurriendo con sus datos y le permita tomar decisiones efectivas al respecto. “Queremos revelar más sobre cómo funciona el paisaje de la privacidad de los consumidores en internet y esperamos que esa información sea utilizada por los reguladores para influir en lo que venga después”, concluye Wilson. El objetivo no es sencillo. Para hacer su trabajo estos investigadores necesitan, entre otras cosas, conseguir financiación que les permita estudiar detenidamente unos textos que el resto de la sociedad, como norma general, ignora. Sin embargo, Giles se muestra optimista. “Es más fácil encontrar financiación para las cosas que la gente conoce. Pero ahora la gente está empezando a preocuparse por la privacidad. Así que pienso que es un buen momento”. Fuente: https://elpais.com/tecnologia/2021-11-03/textos-en-latin-y-longitudes-inasumibles-las-revelaciones-de-un-buscador-de-politicas-de-privacidad.html
Protección de Datos – Oenegés denuncian una propuesta europea para espiar a migrantes y refugiados
La Unión Europea (UE) podría endurecer la recopilación de datos para espiar a personas migrantes y refugiadas. Hasta 31 organizaciones humanitarias entre las que figura Amnistía Internacional han denunciado en una carta abierta que la propuesta, defendida por Vox, supondría una “poderosa herramienta de vigilancia masiva” que supondría una “violación de los derechos”. El proyecto denunciado es una reforma del Eurodac, la base de datos europea con el que la UE recoge las huellas dactilares de personas migrantes desde el año 2000 con el objetivo de evitar que se presenten peticiones de asilo en distintos países, pues la ley europea fija que solo pueden hacerlo en el primer territorio que pisan, lo que lleva a los países del sur del continente a asumir una mayor responsabilidad. Thank you for watching Ese sistema, que forma parte del Reglamento Obligatorio, está pendiente de reformarse. El año 2018, un acuerdo entre europarlamentarios y ministros del Interior de distintas naciones llevó a la Comisión Europea (CE) a pedir la ampliación esa base de datos para pasar a recopilar datos como imágenes faciales y detalles de los pasaportes, además de las huellas dactilares. El pacto también busca extender ese registro hasta niños y niñas de seis años —actualmente la edad mínima legal son los 14— y que los datos recabados de inmigrantes sin documentos pasen de conservarse de 18 meses a cinco años. Europa, a la derecha Ese acuerdo político está integrado en las negociaciones para reformar la ley europea de asilo y quedó paralizado por la falta de acuerdo en el Parlamento Europeo. El grupo de Conservadores y Reformistas Europeos presionó para que fuese Jorge Buxadé, vicepresidente primero de acción política de la formación ultraderechista española, quien asumiese el redactado de esa polémica reforma para ampliar la recopilación de datos. Así, el responsable de Vox ha añadido la obligación de someter a niños y niñas a tests biométricos para ceder sus datos y ha planteado recopilar incluso el ADN de personas migrantes para tenerlas bajo control. Sin embargo, la propuesta de reforma parte de la misma Comisión Europea. «Lo más grave es que en materia migratoria la CE no tiene posturas muy alejadas de la extrema derecha gobierna, que marca esas líneas a través del centro liberal», denuncia Miguel Urbán, eurodiputado de Podemos. Además del grupo de Vox, la reforma está apoyada por el grupo del Partido Popular Europeo, donde figura el PP o la CDU alemana, y el grupo Identidad y Democracia, compuesto por partidos ultraderechistas como los de Marine Le Pen en Francia o Matteo Salvini en Italia. El bloqueo político a este grupo ultra llevó a otras fuerzas reaccionarias a unirse, como Vox, al grupo de Conservadores y Reformistas Europeos, donde tienen mayor margen para tomar medidas en Europa. Aprovechando ese caramelo político, Buxadé ha sacado pecho y defendido la propuesta. “El parlamento no planea aplicar ningún retraso adicional y seguiremos negociando para su adopción”, ha replicado. Sin embargo, las oenegés han denunciado el impacto que puede tener sobre las libertades civiles en la UE. “Es desproporcionado e invasivo con la privacidad”, reza su carta abierta. “La gente que migra merece el mismo nivel de protección que cualquier otro y la UE no debería aprovecharse de su vulnerabilidad para atarlos a una vigilancia masiva y a un trato indigno”. Ante el revuelo causado por el giro reaccionario migratorio de la CE apoyado por la extrema derecha, las formaciones de izquierda de la Eurocámara han solicitado una evaluación de servicios jurídicos por si esa reforma atenta contra las leyes básicas. «Entendemos que vulnera derechos de la infancia y de las migrantes y refuerza su estigmatización y xenofobia política de la Europa fortaleza», señala Urbán. Izquierda, verdes, liberales y socialdemócratas plantean presentar enmiendas para limitar la adopción de esa ampliación de la recolección de datos sobre la población migrante. Fuente: https://www.elperiodico.com/es/internacional/20210910/vox-encabeza-propuesta-europea-espiar-12065282
Protección de Datos – WhatsApp ya permite cifrar con contraseña las copias de seguridad de los chats
Luego de varios meses en desarrollo, la plataforma de mensajería instantánea empezó a implementar una de las funciones de privacidad más esperadas. Esta se trata del cifrado de extremo a extremo para las copias de seguridad que se almacenan en los dispositivos. La compañía tecnológica, que pertenece a Facebook, lleva meses trabajando en proteger las copias de seguridad que se guardan en Google Drive, con un proceso de encriptado basado en una contraseña o en una clave de 64 dígitos, que debe introducirse en el momento de restaurarla. La protección también llegará a las copias que se guardan en el teléfono móvil, conocidas como copias locales, como ha informado el portal WABetainfo. Se prevé que esta encriptación de extremo a extremo estará disponible en una futura actualización del servicio. Por ello en la última versión beta de la plataforma la compañía por fin comenzó a incorporar dichas copias de seguridad encriptadas. De esta forma se espera que pronto empiece a sumarse la actualización para los demás dispositivos. Cuando esto haya sucedido para incorporar esta herramienta se deben seguir los siguientes pasos: – Ingresa a la aplicación de WhatsApp – Ir a configuraciones, en los tres puntos del menú principal – Pulsar ‘Configuración’ – Seleccionar Copia de seguridad cifrada – Activarla – Se debe crear una contraseña para la copia de seguridad que no se podrá compartir, y que la aplicación tampoco conocerá. – Hacer clic en ‘Crear’ y listo ¿Por qué no es seguro descargar WhatsApp Plus? A comienzos del presente año, WhatsApp informó a través de su blog oficial que suspenderá temporalmente las cuentas de usuarios que estén utilizando apps de mensajería no autorizadas o no oficiales, que son desarrolladas por terceros y que violan las condiciones de servicio de esa red de mensajería que pertenece a Facebook. “Si recibiste un mensaje dentro de la aplicación notificando que tu cuenta se encuentra ‘suspendida temporalmente’, significa que probablemente estás usando una versión de WhatsApp no autorizada en lugar de la aplicación oficial de WhatsApp. Si después de que tu cuenta haya sido suspendida temporalmente no empiezas a usar la versión oficial de WhatsApp, tu cuenta podría ser suspendida permanentemente”, explicó la compañía en julio pasado. Los expertos en seguridad cibernética han alertado que este tipo de aplicaciones representan riesgos para la privacidad y seguridad de los usuarios, pues en algunos casos la descarga de la app puede venir acompañada de un malware o programa malicioso que infecta el dispositivo con el objetivo de robar información privada. Aplicaciones como WhatsApp Plus o GB WhatsApp son desarrolladas por terceros ajenos a la aplicación oficial de WhatsApp, por lo que ofrecen funciones adicionales que atraen a los usuarios a descargarlas. Por esa razón, muchos cibernautas se ven tentados a descargarlas, sin conocer el riesgo que eso genera. Uno de los principales riesgos es que WhatsApp Plus, al no ser la aplicación oficial, no cuenta con la tecnología de cifrado de extremo a extremo que protege las conversaciones de los usuarios para que nadie pueda leerlas. En ese sentido, incluso los mensajes de los chats de conversación pueden ser vulnerados por los cibercriminales. De acuerdo con WhatsApp, las aplicaciones no admitidas son WhatsApp Plus, GB WhatsApp, o aquellas que aseguran ser capaces de mover los chats de WhatsApp de un teléfono a otro, y que en últimas son versiones alteradas de WhatsApp. Fuente: https://www.semana.com/tecnologia/articulo/whatsapp-ya-permite-cifrar-con-contrasena-las-copias-de-seguridad-de-los-chats/202114/
Ciberseguridad – ‘BrakTooth’, la vulnerabilidad que está afectando a millones de dispositivos con Bluetooth a través de códigos maliciosos
El equipo de investigadores en ciberseguridad de la Universidad de Tecnología y Diseño de Singapur han descubierto un total de 16 vulnerabilidades llamadas ‘BrakTooth’ que afectan al software de Bluetooth que se incluyen en los chips ‘System-on-Chip’ (SoC). Estos problemas permiten a los hackers desde bloquear y congelar dispositivos hasta ejecutar códigos maliciosos para hacerse con el control de los sistemas, además, afecta a una gran variedad de aparatos electrónicos que se emplean en ámbitos domésticos e industriales. En total se han listado más de 1.000 conjuntos de chips que se han visto afectados por BrakTooth, debido a que se encuentran en teléfonos, ordenadores, auriculares y sistemas de entretenimiento para el hogar. Esta vulnerabilidad es diferente según la placa de SoC que utilicen los dispositivos y la pila de software de Bluetooth que lleven instalada, aunque los más afectados han sido los portátiles de Microsoft Surface, los ordenadores de sobremesa Dell y varios teléfonos con SoC Qualcomm. ¿Cómo afecta esta vulnerabilidad? Los hackers consiguen hacerse con el control de un aparato en remoto al ejecutar su propio código malicioso en los dispositivos afectados a través de paquetes LMP (Link Manager Protocol). Otros problemas de los problemas no son tan graves como el anterior, por ejemplo, existen vulnerabilidades que pueden usarse para bloquear el servicio Bluetooth en móviles y portátiles a través de paquetes LMP de Bluetooth que están incompletos. Existen parches de seguridad Todos los proveedores que sufren este fallo de seguridad no pudieron tener una solución a tiempo, Espressif Systems, Infineon y Bluetrum han sido las únicas que han conseguido lanzar sus parches de seguridad hasta el momento. Por otro lado, el resto de empresas no han podido poner fin a esta vulnerabilidad, es decir, millones de dispositivos aún siguen siendo vulnerables a este ataque cibernético. Fuente: https://www.20minutos.es/tecnologia/ciberseguridad/braktooth-la-vulnerabilidad-que-esta-afectando-a-millones-de-dispositivos-con-bluetooth-a-traves-de-codigos-maliciosos-4815186/
Ciberseguridad – Cómo evitar que nos timen con QR y Bizum, los nuevos objetivos de los ciberdelincuentes
En las últimas semanas, los cuerpos de seguridad han alertado de nuevas modalidades de cibercrimen basados en códigos QR y aplicaciones de pago telemático como Bizum. La sociedad tiende a hacerse cada vez más digital y los ciberdelincuentes están constantemente innovando y aprovechándose de las tecnologías más populares para engañar a los usuarios. En 2019, ya antes de la pandemia, la ciberdelincuencia se había convertido en el segundo delito más común en España, según el último informe del Ministerio de Interior, solo por detrás de los hurtos. Desde entonces, la tendencia no ha parado de crecer. Según un estudio de Datos101, en el último año, España ha registrado un incremento del 125 % en los ciberataques, convirtiéndose así en el tercer país más atractivo para los ciberdelincuentes. Desde Entelgy Innotec Security nos presentan algunos consejos para evitar caer en las tácticas de los ciberdelincuentes: Los QR fraudulentos Los códigos QR se hicieron muy populares durante el desconfinamiento para sustituir a las cartas de papel de bares y restaurantes. Generalmente, al leerlos podemos acceder a enlaces, pero sus funciones van más allá. De hecho, en algunos países de Asia es habitual usarlos para hacer pagos sin contacto, lo que los convierte en el atractivo perfecto para la ciberdelincuencia. Con el objetivo de acceder a datos personales, los delincuentes pegan códigos fraudulentos encima de aquellos colocados por la restauración o incluso por organismos oficiales como instituciones o museos. Además, y aunque es más fácil desconfiar de enlaces que no están asociados a ninguna marca o entidad, otra modalidad de fraude es colocar un QR sin necesidad de sustituir otros, ofreciendo entrar en sorteos de premios asegurados. Para evitar caer en esta trampa, los expertos recomiendan configurar la app de lectura de estos códigos para que no acceda directamente al enlace, sino que puedas ver la dirección a la que se dirige y comprobar que el enlace no tiene caracteres especiales. De este modo, a la hora de dar permisos e introducir datos personales o descargar algún archivo, lo harás con la seguridad de que la web es segura. En caso de duda, lo mejor es no seguir el enlace y teclear lo que quieres encontrar en tu buscador de confianza. Los peligros de Bizum Uno de los fraudes más recientes con este método se realiza a través de un SMS que llega al móvil de la víctima en nombre de la Seguridad Social, asegurando que tiene un pago pendiente de realizar y que se hará por medio de bizum. En este caso, los delincuentes solicitan un pago camuflándolo de ingreso para que la víctima acepte rápidamente. En otras ocasiones contactan a la víctima solicitando la devolución de un pago por Bizum que se ha enviado por error, haciéndose pasar incluso por amigos o conocidos. En ambos casos se debe dar el consentimiento para realizar la transacción, por eso se recomienda que, si recibes algún mensaje de este tipo, recuerda leer con calma cualquier notificación y asegurarte de la veracidad de lo que te están diciendo. Además, procura no clicar en enlaces que no sabes a donde se redirigen, no aceptar transacciones de personas que no formen parte de tu lista de contactos y nunca facilitar tus datos de acceso. Por último, no te olvides de que ningún organismo oficial realiza pagos a través de Bizum, tal y como ha recordado la Seguridad Social. “Las aplicaciones de pago y los QR son tecnologías muy seguras, pero es cierto que cuanta más gente las usa, más posibilidades existen de ser vulneradas. Sin embargo, todos estos ciberdelitos se pueden evitar simplemente con un poco de atención y desconfiando del más mínimo signo de alarma. Ciberseguridad también implica responsabilidad en el uso de la tecnología”, apunta Félix Muñoz, Director de Entelgy Innotec Security. Fuente: https://cybersecuritynews.es/como-evitar-que-nos-timen-con-qr-y-bizum-los-nuevos-objetivos-de-los-ciberdelincuentes/
Protección de Datos – Buenas prácticas para evitar incidentes de seguridad de datos personales
El propósito de mantener la confidencialidad, integridad y disponibilidad de los datos personales es tomado directamente del mundo de la seguridad de la información; seguridad que es importante, no solo porque es un principio contemplado en la Ley Estatutaria 1581 de 2012 de protección de datos personales, conocida como la LEPDP, sino también porque es el respaldo de un buen gobierno de datos y puede ayudarle a la empresa a demostrar el cumplimiento de otros aspectos de dicha ley. Por el contrario, la inseguridad pone en riesgo sus sistemas y servicios y puede ocasionar la pérdida, modificación, destrucción, comunicación o acceso no autorizado a los datos personales; es decir, incidentes de seguridad que pueden causar daños a los derechos y libertades de las personas, y acarrear sanciones de la Superintendencia de Industria y Comercio (SIC). Estos sucesos, además de ser situaciones problemáticas y estresantes para la empresa y las personas, son síntomas de que las medidas técnicas, humanas y administrativas aplicadas son vulnerables y no cumplieron con el objetivo de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales. Los incidentes de seguridad de datos se clasifican de acuerdo con los tres pilares de la seguridad de la información: Incidente que afecta la confidencialidad: el uso o acceso accidental o deliberado a los datos. Incidente que afecta la integridad: cuando los datos son usados, alterados o modificados afectando su exactitud y completitud. Incidente de disponibilidad: cuando se pierde la capacidad de acceder a la información por la destrucción accidental no autorizada o deliberada de los datos. En la actual economía digital, que es impulsada por los datos personales como moneda de cambio que «viaja» por todo el mundo, los riesgos de que se presenten estos incidentes aumentan y pueden ocurrir en cualquier momento y en cualquier organización. Por esta razón, la manera en la que una organización se prepara para evitarlos es lo que marca la diferencia. Enfoque de riesgo proactivo para evitar incidentes de seguridad de datos personales La responsabilidad demostrada demanda un enfoque de riesgo que sea proactivo, no reactivo. Por lo tanto, implementar controles o medidas de seguridad para resolver un incumplimiento de la LEPDP luego de que ya ocurrió, no demuestra ningún tipo de responsabilidad. Cada empresa es única, por lo tanto, estas medidas deben ser apropiadas, efectivas y proporcionales al tamaño de la organización, a la naturaleza de los datos, al tratamiento aplicado y a los riesgos potenciales que ese tratamiento pueda causar sobre los derechos y libertades de las personas (artículo 26, Decreto 1377 de 2013). Algunos asuntos a los que se debe prestar atención para mantener o aumentar el cumplimiento de la ley en materia de ciberseguridad y protección de datos son los siguientes: Destinar recursos suficientes para el establecimiento e implementación de un programa integral de gestión de datos y de un sistema que permita gestionar la información de manera segura. Designar un oficial de protección de datos y uno de seguridad de la información para que velen por el cumplimiento de la LEPDP en la empresa. Revisar las medidas técnicas (certificados SSL/TLS y cifrado de datos, entre otros), legales (contratos de encargo y acuerdos de confidencialidad, entre otros) y organizacionales (políticas y procedimientos de seguridad de la información y protección de datos) necesarias según el tamaño empresarial, el volumen y tipo de datos e información, las operaciones que aplican sobre la información y el potencial riesgo que el tratamiento puede causar en las personas y la organización. Buenas prácticas para incrementar la seguridad contra ataques y detectar ataques de ransomware, phishing, ingeniería social y errores humanos Un alto nivel de cumplimiento de la seguridad de los datos será la mejor estrategia de defensa frente a incidentes de seguridad y requerimientos de la autoridad de protección de datos, asegúrese en todo momento de: Contar con un procedimiento de gestión de incidentes de seguridad de datos personales y de que los colaboradores estén en la capacidad de contactar al área o persona encargada de atender y gestionar las dudas, preguntas o reportes de estos sucesos. Entrenar a los colaboradores periódicamente frente a cómo reconocer y prevenir ataques de ransomware, phishing o ingeniería social; recordarles los peligros de reaccionar impulsivamente, y reforzar la obligación de reportarlos de forma inmediata al área o persona encargada de gestionar estos incidentes. Mantener cifrado en los discos con herramientas como BitLocker, VeraCrypt, DiskCryptor, Cryptomator y GnuPG, entre otras. Incorporar medidas de cifrado en los procesos de transmisión de correos electrónicos que contengan información personal de tipo sensible o secretos empresariales o comerciales. Contar con certificados SSL/TLS para el cifrado de todas las páginas web de la empresa. Contar con un software tipo anti-malware. Mantener un firewall y, de ser necesario, un software de detección de intrusos, y tenerlos actualizados. Revisar las configuraciones de seguridad predeterminadas, otorgadas o proporcionadas por cualquier servicio de correo electrónico como Gmail o Outlook, entre otros; y de aplicaciones de videoconferencias y trabajo colaborativo como Zoom, Teams, Google Meet, Slack y Trelo. Utilizar autenticación de múltiples factores para usuarios externos o basados en servicios de computación en la nube. Implementar controles para evitar que los usuarios respondan automáticamente a correos electrónicos provenientes de direcciones externas. Requerir e implementar medidas de cifrado en los procesos de transmisión de correos electrónicos y en los buzones de correo. Cifrar los datos en tránsito cuando se autentiquen usuarios o se transfiera información personal. Contar con mecanismos de autenticación como usuarios y contraseñas. Estos deberán ser almacenados con cifrado y de forma segura; por ejemplo, con un valor criptográfico de comprobación aleatoria de cifrado. Verificar los detalles de los remitentes de los correos electrónicos. Por ejemplo, que el dominio de donde proviene el mensaje sea realmente el de la empresa que dice porque, en ocasiones, puede tratarse de una suplantación. Crear reglas o políticas sobre cómo manejar los mensajes y archivos adjuntos en relación con el asunto de la comunicación. Establecer políticas claras y concretas, que no permitan interpretaciones, sobre el envío de correos electrónicos, y entrenar a los colaboradores frente a esto. Deshabilitar, en la
Protección de Datos – La nueva táctica para robar datos de los usuarios en internet
Por medio de una nueva táctica, los ciberdelincuentes buscan robar la información personal y privada de usuarios de entidades financieras y bancarias con el fin de cometer posteriormente fraudes, suplantación de identidad y robos por medios informáticos. Esta modalidad se apalanca en una técnica que desde hace años se utiliza en las páginas de internet, que es conocida como web scraping o raspado web, que recolecta los datos que están contenidos en un determinado sitio de manera automatizada, lo que permite hacer investigaciones o comparar el valor de un tiquete aéreo entre una compañía y otra. “Así como es usado con fines de estudios de mercados o tendencias en redes, también es utilizado por los cibercriminales, y el scripting de redes sociales es su favorito, ya que de esa manera logran contactar a los usuarios con el fin de poder engañarlos para robar datos personales o incluso credenciales”, señala Sol González, especialista en seguridad informática de Eset Latinoamérica. La técnica permite que los atacantes recojan los datos de cuentas oficiales de bancos en redes sociales, con el fin de conocer la lista completa de seguidores, las interacciones en las publicaciones, entre otros datos. Con esta información recolectada, minutos después proceden a tomar nuevamente los datos de ese sitio, lo que permite comparar las dos listas de seguidores con el fin de identificar cuáles son los usuarios nuevos. Una vez se establece cuáles son las nuevas cuentas que recientemente siguieron a la entidad financiera, los atacantes por medio de una cuenta falsa, que simula ser una de ‘Atención al cliente’ de esa compañía, contactan a la persona por un mensaje privado. En la conversación el delincuente simula ser un asesor virtual de la entidad y solicita una línea de teléfono con el fin de poder comunicarse directamente. Ese dato permite que los cibercriminales continúen la estafa por vía telefónica y, al simular ser un canal oficial del banco, solicitan datos como los accesos a las cuentas digitales o datos de tarjetas de crédito. “Para esto proceso los estafadores usan datos personales que tiene el usuario en su red social, como su dirección, su lugar de trabajo, su número de identificación, para hacer creer que se trata de un asesor del banco que brindará ayuda”, detalla González. Por medio del web scraping también se han ejecutado campañas de phishing, en el que se hace uso de ingeniería social, con el propósito de ganarse la confianza de la víctima. “El atacante puede usar esa misma información para enviar correos electrónicos que dirigen a páginas maliciosas, dado que conoce los patrones de comportamiento e información personal. Los atacantes cada vez están sofisticando más sus ataques”, asegura. Los estafadores usan datos personales que tiene el usuario en su red social, como su dirección, su lugar de trabajo, su número de identificación ¿Cómo protegerse? Cuidar la información que se comparte a través de las redes sociales es la principal recomendación de los expertos para prevenir ser víctimas de este tipo de ataques o fraudes. “Es fundamental reconocer que el scraping no es más que una recolección automatizada de datos que generalmente figuran como públicos en los sitios. Es por esto que, como usuarios, se debe tomar conciencia de los datos que decidimos hacer públicos, principalmente en redes sociales”, señala González. Como usuarios, se debe tomar conciencia de los datos que decidimos hacer públicos, principalmente en redes sociales En esto también coincide Martínez, quien asegura que se debe revisar a quiénes les damos acceso y aceptamos en nuestras cuentas. “Podría tratarse de un perfil falso que busca obtener información para luego crear mensajes o correos que estén relacionados con los gustos y consumos de la persona”, detalla. Así mismo, puede acceder a plataformas como haveibeenpwned.com, Identity Leak Checker y HackNotice, que le notificarán si en los sitios en los que ha creado una cuenta ha sufrido alguna vulneración de su seguridad, generando que los datos personales del usuario queden expuestos. TECNÓSFERA Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/web-scraping-nueva-forma-de-robo-de-informacion-personal-617560
Protección de Datos – ‘Pandemónium’
El trabajo de las autoridades de competencia durante la pandemia fue determinante para garantizar el acceso a bienes y servicios a través del monitoreo, la denuncia e investigación, así como la prevención con el fin de evitar conductas como la especulación, el acaparamiento y los precios excesivos al consumidor. Para hacer frente a este reto la Superintendencia de Industria y Comercio (SIC) desarrolló e implementó dos herramientas tecnológicas que nos permiten, además de las visitas, verificar precios, facturación y comportamiento. Esto permitió enfocarse en los productos más sensibles y así poder comparar la situación con otros Estados y advertir posibles prácticas anticompetitivas, así como informar al consumidor acerca de su oferta. Otro tema fundamental fue el comercio electrónico, determinante para garantizar el acceso a bienes y productos durante el confinamiento. En Colombia tenemos la ventaja de que la SIC es la autoridad de competencia y de comercio electrónico, lo que le garantiza una mayor efectividad en capacidad preventiva y de reacción cuando se presentan situaciones que vulneran los derechos de los consumidores. Aunque en Colombia no haya ‘gigantes tecnológicos’, si hay un mercado muy grande para estos, las redes y aplicaciones tienen millones de usuarios, lo que aunado a la juventud de su población lo hace atractivo, y por ello debemos ser vigilantes de los derechos de los consumidores y de la protección de sus datos personales. En el mundo globalizado las discusiones de competencia están asociadas a algoritmos, poder de mercado y el uso de datos personales como un activo de estos negocios, por lo que el hecho de que Colombia tenga una autoridad como la SIC es determinante para tener una visión holística de la situación, así como un liderazgo internacional como presidenta de la Red Iberoamericana de Autoridades de Protección de Datos y la presencia del Superintendente en el buró de economía digital de la Ocde. La mayoría de estos gigantes tecnológicos son estadounidenses y ante la ausencia de una legislación federal sobre protección de datos y su visión acerca de cómo desarrollan sus actividades, esto genera tensiones en muchas jurisdicciones, es así como Europa ha optado por los impuestos tecnológicos, y otras por adelantar investigaciones por posibles posiciones de dominio y asfixia de los competidores. En materia de protección de datos la SIC ha adelantado acciones frente a Facebook, Uber, TikTok y Alphabet (Google), esta última de la cual esperamos cumplimiento de la orden emitida, como se ha dado con las otras compañías. El mundo es globalizado también para la cooperación, es por ello que las empresas, gigantes o no, han optado por cumplir, mejorar y entender su responsabilidad, esto no debe obedecer solo a la acción coordinada, independiente y contundente de las autoridades de competencia, sino ojalá de una nueva ética empresarial en donde el ciudadano digital merece especial protección. Andrés Barreto González superintendente@sic.gov.co Fuente: https://www.portafolio.co/opinion/andres-barreto/pandemonium-columnista-portafolio-556269
Ciberseguridad – Entendiendo la dinámica de los incidentes de seguridad con Ransomware
El fenómeno ransomware Si hay un término que se ha ganado a pulso los primeros puestos en los titulares en medios de comunicación durante los dos últimos años, ransomware es sin duda, el claro ganador. Es rara la semana en la que los medios no nos hablan de un incidente utilizando este tipo de aproximación y es raro el sector que se ha librado de esta especie de maldición bíblica de última generación. Se entienda realmente el trasfondo o no, la ciudadanía traduce siempre este término como sinónimo de graves ataques informáticos y un nivel de daño importante para las empresas. Normalmente, la narrativa de los medios es algo confusa pues se habla del impacto (la página web que no está operativa o la fábrica que no puede abrir) y no tanto del incidente en sí mismo, que suele haber ocurrido tiempo atrás y que suele tener otras historias que contar. Esta publicación inicia una serie de cuatro artículos donde vamos a tratar de compartir nuestra visión cercana al fenómeno, narrando como se vive la dinámica de este tipo de incidentes de ciberseguridad cuando son una realidad en nuestra organización. Respuesta a incidentes Ransomware de un vistazo En un incidente de este tipo, un actor habrá conseguido acceso a la infraestructura del cliente y habrá comenzado una secuencia de pasos fácilmente previsibles donde se descargará herramientas (para analizar su entorno, detectar máquinas y direcciones IP, para enumerar sistemas y usuarios, etc.) para luego intentar ir realizando distintos movimientos laterales hacia un escalado progresivo de privilegios que optimicen culminar su actividad eliminando la resistencia propia del entorno. Las conexiones con su C2 (centro de operaciones del atacante, conocido como Command & Control) serán frecuentes en estos movimientos. Los plazos de tiempo necesarios para realizar las múltiples fases solían necesitar de varias semanas para producirse, aunque en las últimas experiencias durante 2021, hemos podido confirmar plazos más cortos (alrededor de una semana en total, en muchos casos) lo que hace, si cabe, más necesarias y urgente las plataformas de detección y respuesta (EDR, XDR, etc.). Una vez el actor tiene el nivel de conocimiento y acceso deseados, se producirá realmente el ataque, bien porque se exfiltran y cifran gran cantidad de datos, bien por filtrarse únicamente (no todos los actores que siguen esta pauta exfiltrando los datos). Sea como sea, en un plazo muy corto, una cantidad importante de carpetas y ficheros de nuestro cliente habrán sido comprometidos y cifrados, apareciendo ahora las célebres “notas de rescate” (análogas a las tradicionales cuando se trata de secuestros de personas) donde se nos suele informar del ataque, sobre sus autores (que se identificarán por algún nombre de guerra, de organización, etc.) y sobre las condiciones del “rescate”. La recuperación de los archivos cifrados en el ataque suele ser muy compleja (los mecanismos de cifrado son muy robustos) y por ello, el actor nos invitará a visitar alguna página en TOR (Darkweb) donde podremos comprobar cuanto tiempo tenemos para realizar el pago (cuenta atrás) y la forma esperada de hacerlo (normalmente, con criptomonedas, para dificultar su rastreo). Es importante resaltar el hecho de que, en los últimos meses, el enfoque RaaS (Ransomware as a service, utilizando la nomenclatura de los servicios en la nube) se han utilizado de forma muy intensa. En estos casos, un primer actor desarrolla un software para realizar ataques con Ransomware y es compartido con otro actor distinto que en base a distintos modelos (compartición de beneficios, pago mensual, etc.) realizará finalmente los ataques. En este modelo, el primer actor proporcionará soporte técnico al segundo por lo que el actor que realmente ataca no debe tener grandes conocimientos de tecnología ofensiva. Una vez la organización es víctima de un ataque con Ransomware, un número importante de equipos (suelen ser siempre servidores y colateralmente, estaciones de trabajo) serán cifrados y su funcionamiento comenzará a degradarse (los atacantes no cifran los sistemas de forma completa para permitir que se muestre la nota de rescate) o a pararse por completo. En muchos casos, los servicios de IT/Seguridad del propio cliente detectarán el ataque o al menos algunos aspectos. Quizás puedan con suerte, contener parte del ataque. En cualquier caso, la situación será obvia en cuestión de minutos el impacto en servicios será absoluto. Cuando una organización sufre un incidente de seguridad basado en Ransomware, iniciará un proceso de respuesta al incidente (IR) que normalmente sigue diversas mejores prácticas de entidades internacionales como el NIST (USA) o ENISA (Europa). Durante este proceso se intentará esencialmente cubrir tres etapas: La contención (evitar que se extienda el daño y la amenaza crezca) La erradicación (eliminar la presencia del actor/malware de forma que no se reactive en el futuro) La recuperación (de sistemas y servicios, de forma segura). Es poco frecuente que la compañía/organización tenga suficientes recursos o activados (empresas de servicios ya activas) como para afrontar este proceso de IR con solo recursos propios y es por ello que la oferta de servicios DFIR (Digital Forensics, Incident Response) de Telefónica Tech suelen ser requeridos. Como llevamos a cabo un proceso de IR-Ransomware El equipo de respuesta a incidentes de Telefónica Tech tiene recursos en varios países y ofrece diversos servicios de tipo IR a nivel global, habiendo realizado trabajos para clientes en Europa, USA y LATAM. El servicio de IR se entrega tanto en castellano como en inglés. El elemento principal sobre el que orbita todo el trabajo es una plataforma de tipo EDR (Endpoint Detection & Response). En caso de que el cliente no disponga de un sistema de este tipo ya desplegado, el equipo activa en la nube y despliega en cuestión de minutos alguna de las soluciones de nuestros aliados tecnológicos. La primera reunión con el cliente es fundamental para poder dar unas primeras pautas de orientación y para dar soporte a la toma de decisiones del cliente: cortar o minimizar las comunicaciones externas, desplegar o reutilizar alguna plataforma EDR, apagado preventivo de otros sistemas y comunicaciones, comunicación a medios, usuarios, clientes etc. Así como la correspondiente comunicación con la agencia de protección de datos que aplique en el caso concreto. Una vez el cliente toma las primeras decisiones, se conforma un equipo de trabajo mixto en el que participan distintos roles técnicos tanto de Telefónica Tech como del cliente (o
