Protección de Datos – ¿Cómo saber si una página web es segura?
Cuando se navega en internet, siempre se deben tener en cuenta el cuidado de los datos y la seguridad. Es por eso que puede tener en cuenta estas recomendaciones que le ayudarán a medir la seguridad de la conexión en una página web. En Google Chrome existen algunos indicadores en los que puede fijarse para cerciorarse de si está navegando en una página web segura o no. En la esquina superior izquierda de su navegador, justo al lado de la URL, aparece un símbolo de seguridad. Este símbolo puede ser un candado, un indicador de información o una señal de advertencia. – Seguro: un sitio web es considerado ‘seguro’ cuando tiene el candado como símbolo de seguridad. La información que envíe y reciba en este sitio es privada. Pero, ojo, no se confíe. Tenga siempre cuidado de los datos que comparte. – Información o no seguro: Cuando aparece como simbolo de seguridad un indicador de información significa que no es una conexión privada. Es decir, alguien podría ver o cambiar la información que envíe o reciba del sitio web. En algunas páginas web, recomienda Google, puede cambiar la URL de http:// a https://. Le recomendamos: Más de un millón de personas han cambiado de operador – No seguro o peligroso: Google recomienda, en la medida de lo posible, no usar sitios web que cuentan con el símbolo de seguridad de advertencia. La privacidad en páginas web no seguras presenta errores y los datos que comparta pueden ser vistos por alguien más. Cuando el sitio web es catalogado como ‘peligroso’, un mensaje de advertencia rojo se toma la pantalla y si lo usa es posible que ponga en riesgo su información privada. TECNÓSFERA Fuente: ¿Cómo puedo saber si una página web es segura? – Tutoriales Tecnología – Tecnología – ELTIEMPO.COM
Protección de Datos – La AEPD publica una guía sobre protección de datos y relaciones laborales
La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales. La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control. El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal. En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles. En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo. En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica. La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos. Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado. La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora. La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras
Protección de Datos – Superindustria ordena a WhatsApp cumplir con el estándar nacional de protección de datos de sus 39 millones de usuarios en el país
Bogotá D.C., 26 de mayo de 2021. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, emitió una orden de obligatorio cumplimiento a la empresa WhatsApp LLC para que implemente medidas acordes con el estándar colombiano en materia de Habeas Data y debido tratamiento de datos personales. La decisión se tomó a través de la Resolución 29826 de mayo de 2021, luego de determinar que la Política de Tratamiento de la Información (PTI) de WhatsApp LLC incumple en un 57,89% los requisitos que exige la regulación colombiana. Adicionalmente, se estableció que dicha empresa tampoco cumple con el 75% de los requerimientos establecidos en el artículo 12 de la Ley Estatutaria 1581 de 2012. La Superintendencia de Industria y Comercio pudo establecer que esta empresa recolecta y trata datos personales de por lo menos treinta y nueve (39) millones de usuarios activos mensualmente en Colombia y que ésta utiliza “cookies” para recolectar o tratar Datos personales en territorio nacional, por lo que la Ley 1581 de 2012 es aplicable a WhatsApp LLC, pues esta compañía acopia o captura datos personales a través de una herramienta que se instalan en dispositivos móviles y computadores ubicados en Colombia. La SIC ordenó lo siguiente a WhatsApp LLC: • Crear una Política de Tratamiento de Información (PTI) que cumpla todos los requisitos que exige la regulación colombiana. Dicha PTI debe ser puesta en conocimiento de los Titulares de los Datos domiciliados o residentes en el territorio colombiano. • Implementar un mecanismo o procedimiento apropiado, efectivo y demostrable para que, al momento de solicitar la Autorización de las personas les informen en idioma castellano, de manera clara, sencilla y expresa todo lo que ordena el artículo 12 de la Ley Estatutaria 1581 de 2012. WhatsApp LLC deberá conservar prueba del cumplimiento de lo previsto en dicho artículo y, cuando el Titular de dato lo solicite, entregarle copia de ésta. • Registrar sus Bases de Datos en el Registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comercio, respecto de los Datos que recolectan o tratan en el territorio de la República de Colombia sobre personas residentes o domiciliadas en este país. Adicionalmente, se EXHORTÓ a WhatsApp LLC para que informe a la Superindustria una dirección de correo electrónico para recibir comunicaciones o notificaciones de actos administrativos. Lo anterior es muy importante para contar con un canal de comunicación expedito con miras a atender de forma inmediata aquellos requerimientos o decisiones que involucran la protección de los derechos humanos de millones de personas usuarias de los servicios de WhatsApp LLC. El incumplimiento de estas órdenes acarrea investigaciones administrativas sancionatorias que pueden generar multas de hasta 2.000 salarios mínimos legales vigentes o la eventual suspensión de actividades de WhatsApp LLC en Colombia. Contra la decisión proceden recursos de reposición y apelación. ver resolución Fuente: https://www.sic.gov.co/slider/superindustria-ordena-whatsapp-cumplir-con-el-est%C3%A1ndar-nacional-de-protecci%C3%B3n-de-datos-de-sus-39-millones-de-usuarios-en-el-pa%C3%ADs
Ciberseguridad – Llega el ransomware de triple extorsión: más de 1.000 empresas han sufrido fugas de datos tras no pagar el rescate
El pago medio de rescates es de 310.000 dólares y ha aumentado un 171% en el último año Casi el 40% del total de las familias de ransomware de nuevo descubrimiento incorporan la infiltración de datos en su proceso de ataque Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha detectado un cambio en los ciberataques de ransomware. Desde finales de 2020 y principios de 2021 ha surgido una nueva cadena de ataques, esencialmente una expansión de la técnica de doble extorsión, integrando una amenaza adicional y única en el proceso que se conoce como ransomware triple extorsión. El éxito de la doble extorsión a lo largo de 2020, sobre todo, desde el estallido de la pandemia de la COVID-19, es innegable. Aunque no todos los incidentes y sus resultados se divulgan y publican, las estadísticas recogidas durante en los últimos meses reflejan la prominencia de este vector. En la actualidad, el pago medio de rescates por parte de las empresas ha aumentado un 171% en el último año, algo preocupante si se tiene en cuenta que ha costado 310.000 dólares de media a cada compañía atacada. Las fugas de datos han sido la principal consecuencia para más de 1.000 compañías que se negaron a cumplir con las peticiones de rescate en 2020. Como resultado del éxito logrado, casi el 40% de las familias de ransomware recién descubiertas incorporan la infiltración de datos. Y es justo por la notoriedad de los resultados de este ciberataque, que combina la filtración de datos y el ransomware, que los ciberdelincuentes están esforzándose cada día para seguir buscando métodos que mejoren sus estadísticas de cobro de rescates y la eficiencia de la amenaza. Triple extorsión: robo de datos, recompensa económica y chantaje a los clientes El primer caso notable de la triple extorsión fue el golpe que ha sufrido la clínica Vastaamo, que se produjo en octubre de 2020. Esta clínica de psicoterapia finlandesa, que contaba con 40.000 pacientes, sufrió una brecha de seguridad a lo largo de todo un año que culminó con un amplio robo de datos de todos sus pacientes mediante un ransomware. Tras la ofensiva, se exigió un cuantioso rescate al proveedor de servicios sanitarios, pero, en este caso, sorprendentemente, también se solicitaban sumas menores a los pacientes, que recibieron las peticiones de rescate individualmente por correo electrónico. En esos emails, los ciberdelincuentes amenazaban con publicar el contenido de las sesiones con sus terapeutas. A mayor escala, en febrero de 2021 el grupo de ransomware REvil anunció que había añadido dos etapas a su doble esquema de extorsión: ataques DDoS y llamadas telefónicas a los socios comerciales de la víctima y a los medios de comunicación. Este conjunto, responsable de la distribución del ransomware Sodinokibi, opera con un modelo de negocio as-a-service. En la actualidad, este grupo ofrece ofensivas DDoS y llamadas de VoIP codificadas a periodistas y socios como un servicio gratuito para sus afiliados, con el objetivo de presionar aún más a la empresa víctima para que cumpla con las demandas de rescate en el plazo designado. Parece que, incluso en plena ola de éxito, los ciberdelincuentes se encuentran en una búsqueda constante de mecanismos de explotación más innovadores y fructíferos. Es de suponer que el pensamiento creativo y un análisis del complejo escenario de los ataques de ransomware de doble extorsión ha llevado a desarrollar la tercera técnica de extorsión. Lo más preocupante es que sus víctimas, como los clientes de la empresa, los colaboradores externos y los proveedores de servicios, se ven afectados y perjudicados por las fugas de datos causadas por esta nueva amenaza, incluso si sus recursos de red no son el objetivo directo. Formas para prevenir el ransomware Mejorar las medidas de protección durante los fines de semana y los días festivos: la mayoría de los ataques de ransomware del año pasado tuvieron lugar durante los fines de semana y festivos, momentos en los que es menos probable que los usuarios estén vigilando. Hay que reforzar las medidas de seguridad en estas ocasiones clave. Parches actualizados: en el momento del famoso ataque de WannaCry en mayo de 2017, existía un parche para la vulnerabilidad EternalBlue utilizado por esta empresa, que estaba disponible desde un mes antes y fue etiquetado como «crítico» debido a su alto potencial de explotación. Sin embargo, muchas empresas y particulares no lo aplicaron a tiempo, lo que provocó un brote de ransomware que infectó a más de 200.000 ordenadores en tres días. Mantener los equipos actualizados y aplicar los parches de seguridad, especialmente los calificados como críticos, contribuye a limitar la vulnerabilidad de una compañía. Anti-Ransomware: aunque los pasos anteriores de prevención pueden ayudar a mitigar la exposición a estas ofensivas, no proporcionan una protección perfecta. Algunos de estos embates utilizan como vector de ataque correos electrónicos de phishing selectivos y altamente dirigidos. Estos emails pueden engañar incluso al empleado más diligente, dando lugar a que el ransomware obtenga acceso a los sistemas internos de una empresa. La protección contra esta amenaza, que es capaz de colarse por cualquier rendija requiere una solución de seguridad especializada. Para lograr su objetivo, debe realizar ciertas acciones anómalas, como abrir y cifrar un gran número de archivos. Las soluciones antiransomware supervisan los programas que se ejecutan en un ordenador en busca de comportamientos sospechosos que suelen presentar este tipo de irrupción, y si se detectan estos comportamientos, puede actuar para detener el cifrado antes de que se produzcan más daños. Formación: es fundamental capacitar a los miembros de las empresas para que sepan cómo identificar y evitar posibles arremetidas. Muchos de los ciberataques actuales comienzan con un email que ni siquiera contiene malware, sino que incluye un mensaje de ingeniería social que anima al usuario a hacer clic en un enlace malicioso. La educación suele considerarse una de las defensas más importantes que puede desplegar una empresa. El ransomware no comienza con el ransomware: Ryuk y otros tipos de este ataque obtienen bases de infección en las empresas objetivo. Los profesionales de la seguridad deben estar atentos a las
Protección de Datos – Guía para aprovechar los datos y tomar mejores decisiones en tu empresa
Las empresas que saben aprovechar los datos tienen 23 veces más probabilidades de adquirir clientes, seis veces más posibilidades de retenerlos y 19 veces más opciones de ser rentables. Sin embargo, pese a tratarse del “petróleo del siglo XXI” y de uno de los activos más valiosos, apenas una de cada cuatro compañías usa los datos para tomar decisiones. Además, solo un 24% ha desarrollado una cultura de datos dentro de sus organizaciones, según el Informe anual de NewVantage Partners. Ello se debe a que las empresas, al fin y al cabo, son personas. Y los humanos seguimos supeditando las decisiones a vectores como la creencia, la opinión, la tradición… Tenemos sesgos y nos enfrentamos a un problema innato de sobreconfianza, que nos hace creernos más listos de lo que realmente somos; y no tenemos inoculada la cultura del dato como activo generador de valor. Al menos, en opinión de Jorge Casasempere, Director MDA en ISDI. Cinco pasos para tomar mejores decisiones mediante el análisis de datos Independientemente de su desarrollo tecnológico y sector de actividad, desde hace tiempo las compañías acumulan cantidades ingentes de datos, tanto de sus clientes o proveedores como de la competencia o de sus propios empleados. Sobre todo a raíz de la democratización de Internet y del boom de las redes sociales, ya hay más bits almacenados que estrellas en el universo. Ahora bien, ¿cómo pueden las empresas aprovechar los datos para tomar decisiones? Casasempere indica la posibilidad de establecer un método basado en cinco pasos: Entender el contexto e identificar las preguntas de negocio a las que dar respuesta. Extraer y sanear el dato. Analizar el dato: Exploración, manipulación y modelización. Visualizar el dato para simplificar los insights. Comunicar las conclusiones y propuestas de solución. Las dos grandes líneas de decisión en las que ayudan los datos a las organizaciones son: • Operativa, en términos de optimización y mejora de eficiencia de procesos actuales (con impacto en la rentabilidad). Es decir, poniendo foco en el AS-IS. Para ello, puede utilizarse gestión de infraestructura, procesamiento de imagen y vídeo, consultas en tiempo real, agregación y geolocalización de datos, gestión del riesgo, sistemas avanzados de alertas … • Estratégica, en términos de generación y desarrollo de nuevos modelos o líneas de negocio (con impacto en beneficios e ingresos). Es decir, poniendo foco en el TO-BE que nos permita crecer y evolucionar. En este caso, puede incorporarse la personalización, visión 360 del cliente, data as a service, nuevas métricas… ISDI es una escuela de negocios líder en transformación digital que acaba de lanzar al mercado DAEX (Data Management Executive Program), su primer programa executive diseñado para ayudar a ejecutivos y directivos a crear el futuro data-driven de sus compañías. Claves para crear una cultura de datos ¿Cuáles son las claves para crear una cultura de datos dentro de una organización? Como preámbulo, Casasempere explica que esto es más un reto de gestión que tecnológico. “No va de poner más o menos máquinas, sino de extender la relevancia y el valor del dato por toda la organización”. En cualquier caso, detalla las dos principales claves que orientan dicha transición: Establecer un plan que lleve a la compañía hacia una organización basada en los datos y el conocimiento, con resultados positivos claros, específicos y a corto plazo, que aporten valor en el menor tiempo posible, trasladando la viabilidad y valor de los mismos a toda la empresa. Tener siempre presente que en esa transición hacia una cultura de datos hay cuatro factores clave: formación, información, conocimiento y acción. Formación e información para estar permanentemente actualizados con las últimas tendencias y novedades de todas las disciplinas, al tiempo que para ser capaces de mantener al día las competencias, tanto en aptitudes como en actitudes y destrezas. Conocimiento y acción para llevar a la práctica los conocimientos adquiridos, consiguiendo potenciar todas y cada de nuestras facetas, tanto personales como profesionales. El mundo se digitaliza a una velocidad de vértigo. Y adentrándonos en la era del todo conectado, resulta irrebatible la importancia de entender los datos y aprovecharlos a la hora de tomar las mejores decisiones para el negocio. Además, las profesiones con mayor demanda en el futuro más inminente (analista de datos, científico de datos y especialista en inteligencia artificial y machine learning) girarán en torno a un mismo eje: la gestión del dato. Nuevas oportunidades De ahí también la relevancia que tiene aprovechar los datos para una empresa. En este sentido, Casasempere pone de manifiesto las nuevas oportunidades, retos y realidades alrededor del dato: Un 84% de empresas se ha planteado en los últimos cuatro meses acelerar la digitalización de sus procesos basándose en datos. La previsión de incremento de gasto en “datos” para los próximos dos años ronda el 40%. Casi el 90% es consciente de que la inteligencia artificial, machine learning, el procesamiento de lenguaje natural, todas ellas relacionadas con los datos, tendrán impacto directo en sus negocios. CDO, analista de datos, data translator… La demanda de profesionales relacionados con los datos se ha triplicado en los últimos dos años. Y es que, como ya dijo el estadounidense Geoffrey Moore, “sin análisis de grandes volúmenes de datos, las empresas son ciegas y sordas, vagando hacia fuera sobre la web como ciervos en una autopista”. Fuente: https://empresas.blogthinkbig.com/aprovechar-datos-y-tomar-decisiones/
Protección de Datos – La peligrosa y torpe orden de bloquear páginas web
El viceministro de Conectividad del Ministerio TIC envió el 21 de mayo a los proveedores de internet la orden de bloquear dos URL específicas de acuerdo con una Resolución de la Superintendencia de Industria y Comercio (SIC) que, al parecer, busca proteger los datos personales de funcionarios de la fuerza pública y entidades de gobierno filtrados por Anonymous Colombia al empezar el Paro Nacional. En medio de las tensiones por la protesta y de una fuerte sensación de censura, esta orden que podría ser legal y justificada, termina siendo ilegal y un tiro en el pie. El primer problema es que la Resolución de la SIC no es pública, de hecho, la última Resolución que publicó esa entidad en su sitio web, mientras escribo estas líneas, es de abril de 2021. ¿Es legal una orden de este tipo si no podemos conocerla? La SIC tiene funciones tanto administrativas como jurisdiccionales, en cualquier caso, su acto está sometido al principio de publicidad que es lo que garantiza el derecho a cuestionarla. El Ministerio TIC también tiene facultades para pedir bloqueos cuando hay contenido de abuso sexual infantil o apuestas ilegales, pero acá actúa es a nombre de la SIC, como el encargado de hacer seguimiento al cumplimiento de la medida que ésta tomó. Sin conocer la resolución hay un segundo problema; el Viceministro de conectividad -quien firma la comunicación a las empresas y quien está encargado de vigilar su cumplimiento-, no sabe cómo funciona Internet porque la orden es técnicamente imposible de cumplir sin bloquear completamente el sitio web correspondiente. Es decir, el Ministerio debió advertir que la orden era desproporcionada, al aplicarla resulta en la medida más lesiva posible que excede por mucho los beneficios que busca. Los proveedores no podían cumplirla. Cuando entramos a una página en internet o cuando una aplicación intenta conectarse con sus servidores que usen el protocolo HTTPS, los proveedores de internet solo pueden saber a qué dominio o IP (por ejemplo archive.org) nos estamos conectando, de ahí en adelante la conexión está cifrada, la empresa no puede ver qué recurso o ruta dentro del servidor está siendo accedida. Por esto una orden de bloquear una URL específica tendría que dirigirse no al proveedor de Internet sino a quien administre la página en cuestión (por ejemplo archive.org). Si la empresa proveedora de internet intenta cumplir con la orden, lo que hará será bloquear el sitio completo y por tanto impedirá el acceso a todos los recursos del mismo. En una página de la magnitud de archive.org -que quiere ser el archivo de internet-, el bloqueo es realmente problemático. Las discusiones de bloqueos de sitios web completos para evitar el acceso a un recurso en concreto, no son nuevas. Por ejemplo en 2010, Movistar bloqueó Rapidshare intentando evitar la difusión de contenido de abuso sexual infantil (mal llamado “pornografía infantil”). Poco después debió corregir porque no podía limitar el bloqueo sin afectar todo el sitio. El tercer problema habría sido que las empresas unánimemente cumplieran la orden desproporcionada. En general los sitios no están bloqueados hoy, excepto para quienes usan servicios de Emcali o Avantel. En su mayoría las empresas parecen haber hecho su propio análisis de impacto en derechos humanos y no procedieron. Sobre Emcali y Avantel, varias personas reportaron que al usar sus servicios estaban teniendo problemas para ingresar a archive.org y a ghostbin.co -los sitios vinculados con la orden- y lo confirmamos para Avantel y Emcali con datos reportados al Observatorio Abierto de Interferencias en Redes (OONI, por su siglas en inglés). Así como internet es catalizador de la libertad de expresión, al facilitarnos informarnos e informar, también puede servir como vehículo para actividades ilegales (tales como abuso sexual contra menores, fraude, publicación de datos personales, etcétera). Más allá de la discusión sobre la legalidad de la decisión -que en este caso sigue pendiente-, también es clave el rol de los intermediarios de internet en su cumplimiento, usualmente empresas privadas y en ocasiones públicas -como Emcali-. En el informe sobre el rol del sector privado para el desarrollo de internet en 2016, el relator de libertad de expresión de la ONU, reconocía el importante papel del sector privado en el respeto a la libertad de expresión en la era digital y esta situación viene a darle la razón. La posible censura en esta oportunidad parece haber sido contenida por la inacción de la gran mayoría de las empresas. Desde 2015 Karisma, donde trabajo, viene haciendo un análisis del cumplimiento de los compromisos de estas empresas en materia de privacidad y libertad de expresión denominado ¿Dónde están mis datos?, que nos ha permitido ver cómo ellas han mejorado sus compromisos. Sobre los bloqueos de contenidos, por ejemplo, en general todas las empresas -menos Emcali a la que evaluamos, pero nunca ha interactuado ni trabajado en la mejora de sus prácticas- han ido publicando sus procesos y les hemos resaltado la importancia de contar con mecanismos de análisis de cumplimiento de las garantías de los derechos de las personas que usan sus servicios. Adicionalmente, varias de estas empresas publican informes periódicamente indicando al menos quiénes dan órdenes de bloqueo, cuántas son y cuáles son las bases de las mismas. En todo caso, debido a los ciclos de reportes corporativos, la información sobre lo que está pasando durante estos tiempos desconcertantes de 2021, solo la entregarán y conoceremos en 2022. Ahora bien, este mecanismo autónomo que nos permite un cierto grado de escrutinio público no reemplaza las responsabilidades de las autoridades y del sector público. No puede ser legal una decisión que no es pública, el Ministerio TIC no puede hacer cumplir fallos secretos y mucho menos desproporcionados. Ni Emcali, ni Avantel, están obligadas a cumplir una orden de este tipo, tienen un compromiso con las personas que usan sus servicios de analizar estas órdenes y e negarse a implementarlas cuando no pasan el test. Que esto suceda en medio de la tensión social de una protesta es especialmente preocupante y alimenta la “sensación de censura”. Sin quitar peso al tema de Avantel, que lo haga Emcali, la empresa estatal que sirve a la ciudad que ha sido el punto neurálgico desde el 28 de abril, es muy delicado. Además, porque son sitios que son usados también para preservar contenidos legales vinculados con la protesta. En medio de la protesta social ¿quién vigila la obligación
Ciberseguridad – Ciberataque golpea al mayor proveedor de carne del mundo
El ataque contra JBS afectó dos turnos y detuvo el procesamiento en una de las plantas empacadoras de carne más grandes de Canadá. El mayor proveedor de carne del mundo se ha convertido en la víctima más reciente de un ciberataque, lo que representa una nueva amenaza para la seguridad alimentaria mundial, ya afectada por la pandemia de COVID-19. JBS SA desactivó sus redes informáticas de Norteamérica y Australia después de un ataque organizado el domingo a algunos de sus servidores, dijo la compañía por correo electrónico. Sin comentar sobre las operaciones en sus plantas, JBS dijo que el incidente podría retrasar ciertas transacciones con clientes y proveedores. El ataque afectó dos turnos y detuvo el procesamiento en una de las plantas empacadoras de carne más grandes de Canadá, mientras que la compañía canceló todas las faenas de res y cordero en Australia, informó el sitio web de la industria Beef Central. También se cancelaron algunos turnos de faena y fabricación en Estados Unidos, según una publicación del sindicato en Facebook. Los piratas informáticos ahora tienen a los productos básicos en su punto de mira, y el ataque a JBS fue perpetrado solo tres semanas después de un ataque al operador del mayor oleoducto de EE.UU. También ocurrió cuando la industria cárnica mundial lucha contra un persistente ausentismo por el covid-19 después de recuperarse de los brotes masivos del año pasado que causaron un cierre de las plantas e interrumpieron los suministros. Planta canadiense El ciberataque afectó el lunes a una planta de carne de res canadiense ubicada en Brooks, Alberta, a unos 190 kilómetros al este de Calgary, según Scott Payne, portavoz del sindicato local 401 de United Food and Commercial Workers Canada Union. La planta corresponde a más de una cuarta parte de la capacidad de la nación y, según un anuncio de trabajo, procesa alrededor de 4.200 cabezas de ganado al día. Una planta de envasado de JBS en Belleville, Ontario, donde se prepara carne de res, cerdo y salmón para tiendas de comestibles, funcionaba normalmente, dijo Tim Deelstra, portavoz del sindicato local 175 de UFCW de Canadá. En EE.UU., el sindicato 7 de UFCW publicó en Facebook que los turnos A y B de faena y fabricación habían sido cancelados para el 1 de junio. La membresía del sindicato 7 incluye a 3.000 trabajadores de JBS en Greeley, Colorado. JBS, con sede en São Paulo, tiene plantas en 20 países. Australia y Nueva Zelanda representan el 4% de los ingresos de la empresa, mientras que EE.UU. representa el 50% y Canadá, el 3%, según datos de la empresa. La compañía también tiene operaciones en Sudamérica y Europa. Los servidores de respaldo no se vieron afectados y la compañía está trabajando activamente para restaurar los sistemas lo antes posible, según un comunicado emitido el lunes por la operación estadounidense de JBS. El procesador dijo que no tiene conocimiento de que los datos de ningún cliente, proveedor o empleado se hayan visto comprometidos o mal utilizados. Fuente: https://www.elespectador.com/tecnologia/ciberataque-golpea-al-mayor-proveedor-de-carne-del-mundo/
Protección de Datos – Llamadas no deseadas
No es una situación extraña aquella de completar formularios de datos personales, con los que una compañía que nos ofrece un producto requiere que la autoricen para el tratamiento de datos personales. No obstante, la normalidad y frecuencia de la situación anterior, los consumidores suelen recibir llamadas de compañías con las que nunca han tenido ninguna relación de consumo, en las que el asesor suele referirse con pleno conocimiento directamente a su interlocutor, identificándolo como si lo conociera personalmente. A pesar de la frecuencia con que pueden ocurrir situaciones similares a esta, no ha de normalizarse, pues se trata de un hecho que puede ser sancionable a la luz de la Ley 1581 de 2012. ¿Cuándo una comunicación con un potencial cliente puede infringir la ley? La protección legal a los datos personales parte, entre otras, del principio de libertad. En ese sentido, desde la recolección, hasta la supresión, pasando por el uso o circulación de los datos de las personas naturales, requiere una autorización previa e informada de quien es el titular de los datos respectivos. En desarrollo de ese principio, por el que es obligatorio recaudar esa expresión asertiva del consentimiento de quien es el titular de los datos personales que se están recaudando o usando para una finalidad comercial, el artículo 17 de la Ley 1581 de 2012 prescribió la obligación, a cargo de los Responsables del tratamiento de datos -quienes tienen capacidad de decisión sobre la base de datos- de solicitar la autorización del titular para el tratamiento de sus datos, previo a informarlo en debida forma sobre la finalidad de la recolección y sus derechos. Así mismo, dichos sujetos Responsables del tratamiento están obligados a conservar la información recolectada y prevenir su pérdida, consulta o uso no autorizado por terceros. En esa medida, las comunicaciones telefónicas que se dirigen a potenciales clientes, en las que se les identifica por su nombre, y que se usan como medio de comercialización de productos, deben estar basadas en una autorización previa, e informada, del titular, so pena de que esa práctica se considere ilegal. ¿Qué puede hacer ante un posible evento de infracción al régimen de datos personales? Si usted considera que ha sido contactado por una compañía, a la que no le ha concedido autorización previa e informada para recibir ofrecimientos por vía telefónica de sus productos, recuerde que la Superintendencia de Industria y Comercio es la autoridad encargada de la vigilar y garantizar que se cumplan las disposiciones de la Ley 1581 de 2012, por lo que, en ejercicio de sus funciones de policía administrativa, podrá imponer sanciones que van desde multas equivalentes a 2.000 salarios mínimos mensuales legales vigentes, o incluso ordenar la cláusula de la operación de tratamiento de datos, a cargo de quien ha cometido la infracción. No obstante, antes de presentar una queja ante la Superintendencia debe agotar previamente el mecanismo del reclamo dirigido, por parte del titular de los datos, ante el responsable de los datos personales, o el encargado de su tratamiento en caso de que no se confundan tales calidades en un mismo sujeto, en los términos del artículo 15 de la Ley 1581 de 2012. Fuente: https://www.asuntoslegales.com.co/consultorio/llamadas-no-deseadas-3178756
Protección de Datos – Egosurfing: ¿Qué información hay sobre mí en Internet?
Internet es el mayor banco de información de la historia y como tal, también puede haber información sobre nosotros. Practicar el egosurfing es una acción recomendada para proteger nuestra privacidad, pero ¿sabes lo que es y cómo hacerlo? En este artículo te lo explicamos paso a paso. Sea cual sea el tema, en Internet encontraremos información al respecto, incluso podemos llegar a encontrar información sobre nosotros mismos. Todo lo que publicamos en Internet; fotos, vídeos, opiniones, etc., e incluso lo que otros publican sobre nosotros, incluyendo documentación o publicaciones oficiales, donde aparece información sobre nosotros, permanece en la Red. El conjunto de todos estos datos es lo que se conoce como identidad o huella digital y, del mismo modo que nuestra reputación puede ser dañada, la identidad digital también puede verse afectada debido a la información que puede ser encontrada sobre nosotros en Internet o, en el peor de los casos, cuando nuestra privacidad es vulnerada y nuestros datos personales acaban filtrándose. Cuando hacemos clic en un enlace sospechoso y facilitamos nuestro usuario y contraseña en una web fraudulenta, contestamos a un formulario donde se nos solicitan datos personales o cuando nuestros dispositivos se infectan por algún tipo de virus o malware, corremos el riesgo de que nuestros datos personales terminen en malas manos y sean publicados, vulnerando así nuestra privacidad. Para saber qué información hay sobre nosotros en Internet, haya sido publicada por nosotros o por terceros, de forma legítima o ilegítima, existe una práctica conocida como egosurfing. Consiste en utilizar las redes sociales y los buscadores de Internet, como Google, utilizando términos de búsqueda relativos a nosotros, como nuestro nombre, apellidos, DNI, etc., para localizar información sobre nosotros en páginas webs y otras plataformas. Se trata de una buena práctica que todos deberíamos realizar periódicamente, para saber qué se dice de nosotros, cómo se dice, quién lo dice y con qué objetivo, e identificar posible información que no debería estar publicada y que queramos que sea eliminada. ¿Cómo puedo practicar egosurfing? La práctica de egosurfing se puede realizar de distintas formas: Google Alerts Esta herramienta de Google nos permite configurar el envío de notificaciones a nuestro correo electrónico sobre cualquier tema que nos interese. Para hacerlo, debemos seguir los siguientes pasos: Acceder al enlace ‘https://www.google.es/alerts’ o buscar ‘Google Alerts’ directamente en el buscador. Luego, debemos introducir en la barra de búsqueda el concepto o términos sobre los que queramos establecer la alerta. Dentro de la práctica del egosurfing es común hacer búsquedas sobre los siguientes datos personales: Nombre y apellido/s: «Manuel Ejemplo» o «Manuel Ejemplo Ejemplo». Apellido/s seguido del nombre separado por una coma: «Ejemplo, Manuel» o “Ejemplo Ejemplo, Manuel”. Nombre y apellido, más la ciudad (fuera de las comillas): «Manuel Ejemplo» Madrid. Dirección: «Calle Ejemplo, 017». Dirección postal, más ciudad (fuera de las comillas): «Calle Ejemplo 017» Madrid. Dirección de correo electrónico: manuelejemplo@email.com. Número de teléfono (con o sin espacios y guiones): «123456789». DNI: “01234567A” Es importante que a la hora de buscar estos datos lo hagamos poniéndolos entrecomillados (“”). Así los resultados que obtendremos serán aquellas páginas web que contengan exactamente las palabras que hemos buscado y en el mismo orden, ignorando las páginas webs con resultados similares o solo una parte de nuestra búsqueda. Finalmente, podemos configurar diferentes opciones, como cuándo queremos recibir las notificaciones, si las queremos agrupadas, así como otros factores como el idioma o el ámbito geográfico. Buscador de Google Una de las prácticas más comunes y sencillas consiste en buscarnos directamente en el buscador de Google poniendo nuestro nombre, apellidos u otros términos como los identificados en el apartado anterior de Google Alerts. Google imágenes también permite realizar búsquedas de imágenes concretas, como por ejemplo, fotos de nuestros perfiles o imágenes compartidas con otras personas de forma confidencial. Además, podemos realizar búsquedas de forma periódica en otros buscadores cocidos, como Yahoo!, Bing o Lycos y otros no tan conocidos, como Ecosia, DuckDuckGo Yandex, Baidu, o Ask. Búsquedas en redes sociales y otras plataformas Las redes sociales es el lugar de Internet donde compartimos más información sobre nosotros. Ya sea en forma de comentarios, estados, fotos o vídeos, en ellas volcamos gran parte de nuestra privacidad. Sin embargo, a veces cometemos el error de no configurar debidamente la privacidad de nuestros perfiles, exponiendo toda la información que compartimos a terceros de los que no sabemos cuáles son sus intenciones. Practicar el egosurfing dentro de las redes sociales u otras plataformas como foros o webs de contactos puede ayudarnos a descubrir si existen perfiles falsos suplantando nuestra identidad, usando nuestra descripción, datos personales o fotografías. De forma general, bastará con acceder a la web e introducir nuestro nombre completo, nombre de usuario, correo electrónico u otro dato identificativo en el buscador de la plataforma. Es probable que podamos filtrar por usuarios y, entre los resultados obtenidos, identificaremos perfiles similares, el nuestro propio, así como otros perfiles que hayan podido utilizar nuestros datos, fotos u otra información para su creación (perfiles falsos). Con suerte, no encontraremos nada o, como mucho, alguna publicación hablando de nosotros de la que no éramos conscientes. Por lo que también nos servirá para ver qué han publicado sobre nosotros otras personas, como nuestros amigos y familiares. ¿Cómo actuar en caso de encontrar información que no queremos que esté publicada? Cuando realizamos esta práctica, es probable que encontremos información que no nos guste o desconozcamos que estaba publicada. En el caso de encontrar cualquier tipo de información que queramos eliminar, como imágenes o datos sobre nosotros, deberemos actuar en función de cómo nos afecte: Configurar las opciones de privacidad de nuestras redes sociales: en caso de encontrar en redes sociales publicaciones sobre nosotros desconocidas o perfiles falsos, lo más recomendable es acceder a los ajustes y configurar las opciones de privacidad para evitar que desconocidos puedan acceder a nuestra información. También es recomendable gestionar cómo nuestros contactos pueden etiquetarnos en diferentes publicaciones. Finalmente, en caso de encontrarnos ante un perfil falso, deberemos denunciarlo la red social para que lo eliminen lo antes posible. La mayoría de redes sociales incluyen un apartado desde donde denunciar estas cuentas falsas: Facebook, Instagram, Twitter… Ejercer nuestro derecho al olvido: cuando la información es publicada por terceras personas, como empresas u otras instituciones y
