Protección de Datos – Ley para la protección de datos de los ecuatorianos; se creará una Superintendencia
La Ley de Protección de Datos Personales, aprobada el pasado martes, 11 de mayo del 2021, por la Asamblea, se encargará de regular el flujo de datos digitalizados de los ecuatorianos. Según Lorena Naranjo, titular de la Dirección Nacional de Registro de Datos Públicos (Dinardap), con la ley se busca garantizar los derechos y activar la economía digital. El ponente del texto en la Asamblea, Dennis Marín (PSC), coincide en el hecho de que la normativa propende a la protección de datos personales, lo que incluye el acceso de datos personales en bases de datos digitalizadas. El artículo 3 determina que cuando el responsable de los datos no está domiciliado en el Ecuador, va a tener que ser regulado por esta ley, extraterritorialmente. “Se busca una cooperación internacional entre las distintas instituciones que velan por los datos en los diversos estados, para aplicar la normativa en donde estén domiciliadas estas empresas”, explica Naranjo. La ley debe entrar en vigor en dos años, para que los responsables del tratamiento de datos adecúen procesos. Se creará una Superintendencia de Datos, aunque no se establece un plazo máximo para su implementación. “Esta superintendencia vigilará que las empresas tengan mejor resguardo de la información de los ecuatorianos e irá contra el abuso del uso de esta información”, sostuvo el presidente de la Comisión Legislativa de Seguridad, Fernando Flores (Creo). El legislador recordó que la necesidad de esta ley surgió el 2019, cuando se denunció la filtración de datos públicos de casi 20 millones de ecuatorianos. “Esto expuso claramente que nuestra información no estaba en resguardo”, anotó. “Es altamente positiva su aprobación y su posterior implementación. Nos va a proteger a todos los ecuatorianos. No vamos a ver resultados mañana, pero sí cuando los privados -quienes recolectan datos y quienes tienen nuestros datos- tengan la obligación de cuidarlos y no venderlos”, sostuvo Gabriela Larreátegui (SUMA). En caso de una vulneración de la seguridad -precisó Dennis Marín- la Ley determina que el responsable debe notificar a la Autoridad de Protección de Datos así como a la Agencia de Regulación y Control de las Telecomunicaciones. Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero es una entidad de derecho privado o una empresa pública, se aplicará una multa de entre el 0,1% y el 0,7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. Los servidores públicos, por cuya acción u omisión, hayan incurrido en alguna de las infracciones establecidas en esta nueva ley serán sancionados con multa, que va de una a diez remuneraciones básicas unificadas. Fuente: Ley para la protección de datos de los ecuatorianos; se creará una Superintendencia – El Comercio
Ciberseguridad – ROCKYOU2021, LA ÚLTIMA FILTRACIÓN DE 3.2 MIL MILLONES DE CONTRASEÑAS
Una nueva colección de contraseñas filtradas desde diversas bases de datos de Internet, se encuentra circulando actualmente en la web. Se trata de RockYou2021, una compilación de 3.2 mil millones de contraseñas que ha vuelto a encender las alarmas y a recordarnos lo importante que es mantener ciertas medidas de seguridad con nuestros datos. La mayor filtración de contraseñas de la historia Así como hace algunos meses atrás nos preocupaba una filtración masiva de datos de Facebook, que comprometió a más de 500 millones de usuarios, lo que ahora acontece supera notoriamente el alcance del problema. Esta nueva colección de contraseñas se construyó compilando una amplia serie de datos obtenidos de filtraciones similares, ejecutadas en el pasado. Tomó el nombre de RockYou, un evento de 2009 de similares características, pero de mucho menor alcance. De todas maneras, por aquel entonces despertó una alerta generalizada al liberar 32 millones de contraseñas en texto plano. El amplio volumen de datos contenidos RockYou2021, casi duplica el número de usuarios que actualmente utilizan internet. Por lo mismo, su alcance podría ser realmente transversal. Aunque seamos creativos al momento de crear contraseñas y extrememos las medidas de seguridad desde nuestra vereda de usuarios, por parte de la infinidad de servicios digitales que están a nuestra disposición, hay ocasiones en las que las medidas de seguridad empleadas para proteger nuestra información no son suficientes y justamente desde ahí, la información es obtenida por cibercriminales. En nuestra guía para la creación de contraseñas seguras, contamos con una sección en la que explicamos un método para verificar si nuestra información se ha visto involucrada en algún caso de esta clase. Una herramienta indispensable es Have I Been Pwned, que constantemente se actualiza con esta información para dejarla a la disposición de nuestras verificaciones. El alcance de esta filtración es incalculable. Quienes tengan acceso a esta base de datos, podrían utilizar la información para programar ataques en los que aleatoriamente se prueben combinaciones de contraseñas y nombres de usuario o correos electrónicos. El reporte de la existencia de RockYou2021 se originó en foros de hackers y fue replicado por diversos medios de comunicación. Portales como Cybernews afirman en base a esta información que que todas las contraseñas involucradas en esta filtración tienen caracteres no ASCII entre 6-20 caracteres cada una, con espacios en blanco eliminados. Situaciones como esta nos hacen recordar, además de la relevancia del uso de contraseñas seguras, que idealmente no deberían repetirse entre servicios, que también es importante afinar la mirada ante eventuales ataques de phishing. Fuente: https://wwwhatsnew.com/2021/06/10/rockyou2021-la-ultima-filtracion-de-3-2-mil-millones-de-contrasenas/
Ciberseguridad – La mayor red de oleoductos de EE.UU. suspende sus operaciones por un ransomware
Colonial, la mayor red de oleoductos de Estados Unidos, se ha visto obligada a suspender sus actividades tras haber sufrido un ciberataque, ha asegurado la empresa en un comunicado y el FBI. El corte afecta a las operaciones de Colonial en los 8.850 kilómetros de oleoductos que gestiona, vitales para abastecer a los grandes núcleos de población del este y el sur de Estados Unidos, incluida la región metropolitana de Nueva York, a donde llegan 380 millones de litros de combustible al día. La organización habría sido atacado por un ransomware, aunque la empresa no ha dicho qué se exigió. Una persona cercana a la investigación, que habló bajo condición de anonimato, identificó al culpable como DarkSide, una de las bandas que profesionalizado la industria criminal que les ha costado a las naciones occidentales decenas de miles de millones de dólares en pérdidas en los últimos tres años. El ataque ha sido confirmado y EE.UU. ha declarado la emergencia en 17 Estados. Darkside apareció en agosto de 2020, utilizando un modelo de negocio basado en Ransomware-as-a-Service (RaaS). El equipo de DarkSide recientemente anunció que DarkSide 2.0, con la velocidad de cifrado más rápida del mercado. Al igual que muchas otras variantes de ransomware, DarkSide sigue la tendencia de la doble extorsión, lo que significa que los actores de la amenaza no solo cifran los datos del usuario, sino que primero exfiltran los datos y amenazan con hacerlos públicos si no se paga la demanda de rescate. Esta técnica hace que la estrategia de realizar copias de seguridad de los datos como precaución contra un ataque de ransomware sea discutible. Según IBM X-Force, el malware, una vez implementado, roba datos, cifra los sistemas mediante los protocolos de cifrado Salsa20 y RSA-1024 y ejecuta un comando de PowerShell codificado para eliminar instantáneas de volumen. SecureWorks los rastrea como Gold Waterfall y atribuye al grupo como un antiguo afiliado de habla rusa del servicio REvil ransomware RaaS. La banda de ransomware publicó DarkSide Leaks, un sitio web de aspecto profesional y utilizan tácticas innovadoras para presionar a las víctimas y técnicas de marketing tradicionales. La compañía transporta al día hasta 2,5 millones de barriles de gasolina, diésel y combustible de aviación desde las refinerías del golfo de México alrededor de Houston (Texas) hasta las grandes ciudades de la mitad oriental del país. El suministro de energía de Colonial es especialmente importante en la costa este del país, pues representa el 45% del transporte de combustible en esa área. En un comunicado, la compañía dijo que «este incidente involucra a Ransomware y en respuesta, bajamos de manera proactiva ciertos sistemas para contener la amenaza, lo que ha detenido temporalmente todas las operaciones de tuberías y afectó a algunos de nuestros sistemas de TI». De acuerdo a Bloomberg y The Wall Street Journal, la división de respuesta a incidentes de la firma de ciberseguridad de FireEye está asistiendo con la investigación y ha realizado un informe técnico. Mandiant actualmente rastrea cinco grupos de amenazas que han involucrado el despliegue de DARKSIDE. Estos grupos pueden representar diferentes afiliados de la plataforma DARKSIDE RaaS. A lo largo de los incidentes observados, el actor de la amenaza generalmente se basó en varias herramientas legítimas y disponibles públicamente que se utilizan comúnmente para facilitar las diversas etapas del ciclo de vida del ataque en los ataques de ransomware posteriores a la explotación. A continuación se incluyen detalles adicionales sobre tres de estos grupos UNC (UNCategorized). UNC2628 ha estado activo desde al menos febrero de 2021. Sus intrusiones progresan relativamente rápido y el actor de amenazas generalmente implementa ransomware en dos o tres días. Hay evidencia e IOCs que sugiere que UNC2628 se ha asociado con otros RaaS, incluidos SODINOKIBI (REvil) y NETWALKER. Colonial, que no ha especificado cuánto tiempo estará cerrada la red de ductos, ha contratado a una empresa de ciberseguridad «de primera línea» para investigar el suceso, además de alertar a las fuerzas de seguridad del Gobierno de Estados Unidos y otros organismos federales, ha explicado la firma en un comunicado. El ciberataque fue detectado este viernes y se conoció poco antes de la medianoche de ayer. «Nuestro objetivo prioritario es restablecer con seguridad y eficiencia nuestros servicios para que vuelvan a funcionar con normalidad», asegura el comunicado. Según la reportera del New York Times, Nicole Perlroth, un informe forense indica que el culpable dentro de la infraestructura de TI de Colonial eran los servidores vulnerables de Microsoft Exchange. El ataque informático se produce poco antes de que el presidente de Estados Unidos, Joe Biden, firme, en los próximos días, una orden ejecutiva para incrementar la ciberseguridad en infraestructuras críticas para la economía del país. Según el diario The New York Times, el decreto presidencial podría demandar un incremento de los requisitos de seguridad a aquellas empresas que prestan servicios al Gobierno federal. El cierre de un oleoducto tan vital, que ha servido a la costa este desde principios de la década de 1.960, destaca la vulnerabilidad de la infraestructura obsoleta que se ha conectado, directa o indirectamente, a Internet. En los últimos meses, señalan los funcionarios, la frecuencia y la sofisticación de los ataques de ransomware se han disparado, paralizando a víctimas tan variadas como el departamento de policía del Distrito de Columbia, los hospitales que tratan a pacientes con coronavirus y los fabricantes, que con frecuencia tratan de ocultar los ataques por vergüenza de que sus sistemas no funcionaran. perforado. Washington contempla desde hace tiempo con preocupación la posibilidad de que países como China y Rusia puedan valerse de ciberataques contra infraestructuras básicas para golpear la economía, y a la vez minar la credibilidad de la primera superpotencia mundial. El último ejemplo es el hackeo masivo conocido como SolarWinds, que comprometió a millares de redes informáticas del Gobierno estadounidense y que empujó a la Casa Blanca a adoptar duras sanciones contra Rusia, a quien atribuyó el ataque. Bloomberg dice que durante el ataque, se robaron más de 100 GB de datos corporativos en solo dos horas. Hasta ahora (11 de mayo), Colonial Pipeline no se ha agregado al sitio de fuga de DarkSide. LISTADO COMPLETO. Este tipo de ataques es el motivo por el cual El
Protección de Datos – La importancia de los datos personales en evidencias digitales
La pandemia del coronavirus (covid-19) ha permitido un vertiginoso aumento del uso de herramientas digitales, lo cual implica que el tratamiento de datos personales se ha convertido en un asunto de primer nivel. Así, compartimos información, nos relacionamos, nos comunicamos por sistemas digitales y, en general, gran parte de nuestra vida transcurre en la red. La interacción digital entre individuos ha traído consigo conflictos que, en una sociedad tan golpeada por los cambios inesperados, son cada vez más comunes y en crecimiento. Por esto, no es extraño que, en los litigios y en cualquier área del Derecho, las principales pruebas reposen en la información digital y en los mensajes de datos. En otro artículo similar, había tenido la oportunidad de hablar de pruebas digitales y mensajes de datos en procesos legales, pero esta vez quiero ir un poco más allá. Desde el conocimiento empírico que he adquirido en casos en donde he tenido la oportunidad de trabajar como perito, he podido identificar que la mayoría de las pruebas digitales solicitadas y posteriormente decretadas y practicadas en procesos legales contienen datos personales. Por esta razón, es casi obligatorio interrelacionar las evidencias electrónicas con el tratamiento de datos personales, tal y como la regulación lo establece. Interrelación En nuestro país, la regulación en materia protección de datos personales y presentación de pruebas digitales en escenarios judiciales se interrelaciona o, como diríamos los ingenieros, se sincronizan. Para este efecto, se debe partir de lo señalado en el artículo 10 de la Ley de Protección de Datos Personales (L. 1581/12), en el que se habilita a los jueces la posibilidad de solicitar datos personales sin autorización de los titulares, en desarrollo de esta facultad, específicamente dentro de la práctica de la prueba. Una vez es nombrado el perito y se posesiona, acepta el encargo e inicia su labor, puede recaudar dichos datos, por supuesto, de acuerdo con las normas procesales correspondientes. Se aclara que el mismo artículo señala que el Régimen de Protección de Datos Personales colombiano es claro en que, así no exista una autorización, se deberá “en todo caso cumplir con las disposiciones contenidas en la presente ley”. Las disposiciones planteadas por la Ley 1581 del 2012 parten del cumplimiento de todos los principios y los deberes en materia de protección de datos personales. Uno de ellos es el principio de seguridad, el cual indica que se deben incorporar medidas técnicas, humanas y administrativas para evitar riesgos en el tratamiento de los datos personales. Es justo en este punto en el que coinciden los requisitos planteados en el Régimen de Protección de Datos Personales, en el Código General del Proceso (CGP, L. 1564/12) y en la Ley 527 de 1999 (en materia probatoria de los mensajes de datos). Distintos escenarios La sincronización de estas leyes tiene tres escenarios desde distintos puntos de vista, pero que confluyen en el propósito de proteger los datos personales en el proceso. Estos son los siguientes: (i) Los criterios para valorar probatoriamente un mensaje de datos y evaluar su originalidad, de acuerdo con la Ley 527 de 1999, indican que debe existir confiabilidad en la forma en cómo se mantiene la integridad de este, por lo cual, al aplicar el principio de seguridad planteado por la Ley 1581 del 2012, se podría entender que se cumple con esto, toda vez que implicaría la incorporación de medidas técnicas o administrativas que garanticen la integridad a los mensajes de datos en un proceso. Aunado a lo anterior, el CGP es claro en exigir la conservación de los mensajes de datos por las partes de un proceso, de acuerdo con el numeral 12 del artículo 78. (ii) La identificación del iniciador y cualquier otro factor pertinente de los mensajes de datos que estima el artículo 11 de la Ley 527 de 1999 también permite la aproximación a lo indicado en el principio de transparencia del Régimen de Protección de Datos colombiano. Así, existe un deber de informar a los titulares acerca de los datos personales tratados en mensajes de datos que hagan parte de un proceso. Esto se puede suplir con protocolos de cadena de custodia que, a su vez, también dan cumplimiento con las medidas administrativas asociadas al principio de seguridad de la Ley 1581. (iii) Las medidas humanas que menciona el principio de seguridad del Régimen de Protección de Datos colombiano se ajustan con lo indicado en los requisitos que debe tener el perito y de los cuales se abordan en los artículos 226 y 235 del CGP. Atributos como la imparcialidad, la preparación y la experiencia, entre otros, son elementos que dan garantía al proceso, asegurando que el tratamiento de datos personales al que hubiere lugar en mensajes de datos se realiza por personas capacitadas para asegurar la información personal de las partes procesales. Protección en general En el marco de cualquier proceso judicial, la gestión de evidencias digitales se asocia, en muchas ocasiones, con el tratamiento de datos personales de partes procesales o de personas que no se relacionen con el proceso. Por esto, es fundamental que, aun cuando no se requiera la autorización de titulares, se cumplan los demás aspectos indicados en el Régimen de Protección de Datos Personales. La administración de justicia no se debe quedar sola en la solicitud de información personal en el marco de cualquier actuación procesal. Debe identificar el responsable del tratamiento de datos personales, lo que trae consigo una serie de compromisos en los que jueces, peritos, auxiliares de la justicia y despachos judiciales confluyen en las acciones responsables y éticas de respeto por los datos personales. Retos La constante evolución en materia de trasformación digital que ha tenido la justicia en nuestro país desde el inicio de esta terrible pandemia viene acompañada de retos importantes en materia de protección de datos personales y ciberseguridad, los cuales deben ser abordados desde dos aspectos: (i) La gestión y la administración de los sistemas de información que tratan constantemente información personal mediante la digitalización de expedientes, notificación de providencias, audiencias
Protección de Datos – La protección de datos personales, una prioridad social e institucional
Carlos B Fernández. En nuestro repaso por las materias más relevantes de las que Diario La Ley CIBERDERECHO se ha ocupado a lo largo de sus primeros 50 números, la protección de datos debe ocupar un lugar relevante. Nuestra sección nació el mismo año en que fue publicada la norma que había de revolucionar esta materia: el Reglamento General de Protección de Datos de 2016 (LA LEY 6637/2016). Esta coincidencia nos ha permitido hacer un intenso seguimiento de su aplicación y desarollo, así como para poder apreciar su efecto irradiador sobre otros ordenamientos, que es ya innegable. Además, nuestro país ha asistido a la llegada de una nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LA LEY 19303/2018), que ha establecido un nuevo marco jurídico, del que las primeras sanciones de elevada cuantía han sido una primera señal. Pero haría mal quien cifrase la importancia de esta materia en ese concreto aspecto. La trascendencia del derecho a la protección de datos no puede medirse por ese baremo, sino por la relevancia que cobra para los ciudadanos en una sociedad cada vez más tecnificada, en la cual los datos personales se han convertido en un valor económico de primer nivel, por lo que son objeto de un deseo que los pone en frecuentente riesgo. Una circunstancia que no hace sino poner de relieve la importancia de la normativa que los protege. Así lo han trasladado en estas páginas los máximos responsables de los organismos europeos, Comité y Supervisor, como nacionales, que han tenido la amabilidad de trasladarnos sus opiniones a través de nuestras páginas. Desde el lamentablemente desaparecido Giovanni Buttarelli, a su sucesor, Wojciech Wiewiórowski, a la presidenta del Comité Europeo, Andrea Jelinek, y la presidenta de la Agencia Española, Mar España, todos ellos han dejado en estas páginas testimonio de su visión sobre la situación y evolución de la protección de datos. Dada la importancia del tema, en esta ocasión hemos invitado a compartir sus opiniones al grupo de expertos más relevante de nuestro país. Mónica Arenas, Profesora de derecho constitucional y Delegada de Protección de Datos de la Universidad de Alcalá; Leonardo Cervera-Navas, director del Supervisor Europeo de Protección de Datos; Marcos Judel, abogado, presidente de la Asociación Profesional Española de Privacidad; José López Calvo, Vocal Asesor y Delegado de Protección de Datos del Consejo Superior de Investigaciones Científicas; Alejandro Padín, Socio de Garrigues; Miguel Recio, abogado del área de TMC de CMS Albiñana & Suárez de Lezo y Eduardo Ustarán, Socio de Hogan Lovells. Creemos que se trata de un documento excepcional para conocer la situación y futura evolución de esta disciplina. 1. ¿Cómo ha evolucionado la protección de datos en estos últimos años? Mónica Arenas: La digitalización de nuestras sociedades avanza a pasos agigantados y, en este proceso, el tratamiento de la información personal se ha hecho cada vez más indispensable. Centrándonos en Europa, sin alejarnos mucho en el tiempo, desde que en 2018 entrara en aplicación el RGPD y, en 2020, la Organización Mundial de la Salud decretara una pandemia mundial por COVID-19, el tratamiento de los datos personales ha pasado a ocupar un lugar primordial en las agendas públicas y en el sector privado, y los ciudadanos nos hemos hecho más conscientes de que nuestros datos personales están siendo utilizados y nos planteamos y demandamos un mayor control de los mismos. El derecho a la protección de datos ha evolucionado haciéndose imprescindible en todas las actividades que desarrollamos. No hay actividad que llevemos a cabo en nuestro día a día en la que no tratemos datos personales, o datos susceptibles de convertirse en datos personales gracias a los avances tecnológicos y a técnicas informáticas avanzadas. Esto tiene, como es lógico, sus ventajas y sus desventajas. Las ventajas son evidentes por la mayor protección dispensada a los sujetos, por el reforzamiento de su vida privada. Pero esto también implica no perder de vista que el derecho fundamental a la protección de datos no es un derecho absoluto y debe analizarse de forma sistemática, aplicando el principio de proporcionalidad, convirtiéndolo en un derecho al servicio de la humanidad, como dice el propio RGPD, no entorpeciendo cualquier tipo de avance social o científico. El derecho a la protección de datos ha cobrado una evidente proyección transversal e internacional, lo que implica que aplicado de forma correcta mejora el funcionamiento democrático de nuestras sociedades, reforzando el control de los datos por parte de sus titulares; pero también implica un mayor compromiso no sólo a nivel legislativo, sino a nivel jurisprudencial por parte de Tribunales y de Autoridades de control, con normas que doten de la seguridad jurídica necesaria a la hora de tatar datos personales y permitir que nuestras sociedades avancen y sean competitivas. «Aplicado de forma correcta, el derecho a la protección de datos mejora el funcionamiento democrático de nuestras sociedades» Leonardo Cervera-Navas: Uno de los cambios de más envergadura en la historia de la protección de datos desde la adopción del Convenio n.º 108 del Consejo de Europa en 1981 y la Directiva 95/46/EC fue la entrada en vigor del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) en 2018. Este Reglamento introdujo novedades importantes como el principio de “responsabilidad proactiva”, que puso fin al sistema de notificaciones a las autoridades de control de la Directiva e impuso en el responsable del tratamiento la obligación de aplicar medidas técnicas y organizativas apropiadas y la demostración de que el tratamiento sea conforme al Reglamento, una tarea para la que la figura del delegado de protección de datos deviene esencial. Otro principio capital del reglamento es el principio de proporcionalidad y el enfoque basado en el riesgo, ya que el responsable del tratamiento debe adoptar tales medidas teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Por último, se puede destacar también el ámbito de aplicación del RGPD, que se extiende al tratamiento de datos personales por operadores económicos dentro de la UE, con independencia de que el tratamiento tenga lugar en territorio europeo. En definitiva, el grado de protección
Ciberseguridad – Cinco claves para saber si la línea telefónica de una empresa es víctima de ‘hackers’ o ciberdelincuentes
La transformación digital se ha convertido en un activo clave para el desarrollo empresarial, ya que permite que las organizaciones agilicen sus operaciones y mejoren el seguimiento a sus procesos. Sin embargo, el ecosistema digital también puede generar algunas amenazas que deben ser tenidas en cuenta para prevenir que delincuentes cibernéticos tomen provecho. Tal es el caso de las líneas telefónicas empresariales, un escenario en el que los atacantes o hackers aprovechan la vulnerabilidad de algunas áreas para cometer fraudes o robar información privada de las organizaciones. Este flagelo incluso afecta áreas como la de las comunicaciones. Julián Sánchez, cofundador de la compañía colombiana WeKall, una plataforma en la nube que busca que las empresas optimicen sus procesos de comunicación organizacional, asegura que identificar el hackeo de las líneas telefónicas de una organización es fundamental para definir líneas de acción que permitan mitigar esta amenaza. Sánchez plantea que una vulneración en la línea telefónica de una empresa puede representar costos millonarios para cualquier compañía. De hecho, el experto cita el caso de una empresa de repuestos cuya factura mensual telefónica pasó de $400.000 a $160 millones, luego de que se comprobara que su sistema telefónico había sido hackeado para realizar llamadas a Arabia Saudita. En Latinoamérica, por ejemplo, se cometen 33 ataques cibernéticos por segundo y se registran 117 amenazas de ese tipo cada hora, según un reciente análisis de la firma rusa Kaspersky. Este fenómeno ha venido en aumento en el marco de la pandemia del coronavirus y el creciente panorama de teletrabajo o trabajo remoto. ¿Cómo identificar un ataque cibernético? Julián Sánchez, cofundador de la compañía colombiana WeKall, definió una serie de recomendaciones para que las empresas puedan identificar el momento en el que están siendo víctimas de un ataque de hackers o ciberdelincuentes. Consumos, destinos y horarios inusuales: uno de los principales indicadores que pueden suponer un hackeo telefónico son las llamadas atípicas al exterior; por ejemplo, si una empresa registra llamadas a destinos internacionales en horas de la madrugada o fuera del tiempo de operación de la compañía. Colapso o caída de las líneas telefónicas: los sistemas telefónicos organizacionales no están exentos de ataques los 365 días del año. Por esa razón, una señal de alerta radica en las caídas frecuentes de la telefonía o deterioro en las comunicaciones. Alta tarifa de la factura: una elevada factura del sistema telefónico también es un fuerte indicio de que la línea de la empresa está siendo alterada. Un ataque de este tipo puede verse reflejado en repentinos costos millonarios en la factura telefónica de la empresa. Suspensión del servicio: algunos servicios de telefonía empresarial están administrados por operadores, que se encargan de la detección de fraudes y cancelar los servicios cuando se presentan hackeos o ataques a las líneas. Por eso se recomiendan tener en cuenta este tipo de soportes para prevenir ataques cibernéticos. Sistema telefónico constantemente ocupado: otra modalidad de ataque que utilizan los hackers es aprovecharse de las líneas de la empresa durante horarios laborales a destinos nacionales para evitar ser detectados. Un síntoma de que esto puede estar sucediendo es que cuando se intenta llamar desde o hacia la empresa, la línea frecuentemente se encuentra ocupada. “Vivimos en un mundo donde la inseguridad cibernética reina y en el que se hace necesario empoderar a las empresas sobre sus desafíos en materia de ciberseguridad”, asegura Julián Sánchez. “Las amenazas de fraude, suplantación de identidad o extorsión están a la orden del día y las compañías requieren apoyarse en tecnologías más avanzadas que combatan con mayor facilidad este fenómeno”, concluye el experto y cofundador de WeKall, empresa que ha desarrollado un modelo basado en servicios de telefonía en la nube, numeración fija, llamadas ilimitadas, operadora automática, inteligencia artificial y videoconferencias. Fuente: Cinco claves para saber si la línea telefónica de una empresa es víctima de ‘hackers’ o ciberdelincuentes (semana.com)
Protección de Datos – ¿Cómo saber si una página web es segura?
Cuando se navega en internet, siempre se deben tener en cuenta el cuidado de los datos y la seguridad. Es por eso que puede tener en cuenta estas recomendaciones que le ayudarán a medir la seguridad de la conexión en una página web. En Google Chrome existen algunos indicadores en los que puede fijarse para cerciorarse de si está navegando en una página web segura o no. En la esquina superior izquierda de su navegador, justo al lado de la URL, aparece un símbolo de seguridad. Este símbolo puede ser un candado, un indicador de información o una señal de advertencia. – Seguro: un sitio web es considerado ‘seguro’ cuando tiene el candado como símbolo de seguridad. La información que envíe y reciba en este sitio es privada. Pero, ojo, no se confíe. Tenga siempre cuidado de los datos que comparte. – Información o no seguro: Cuando aparece como simbolo de seguridad un indicador de información significa que no es una conexión privada. Es decir, alguien podría ver o cambiar la información que envíe o reciba del sitio web. En algunas páginas web, recomienda Google, puede cambiar la URL de http:// a https://. Le recomendamos: Más de un millón de personas han cambiado de operador – No seguro o peligroso: Google recomienda, en la medida de lo posible, no usar sitios web que cuentan con el símbolo de seguridad de advertencia. La privacidad en páginas web no seguras presenta errores y los datos que comparta pueden ser vistos por alguien más. Cuando el sitio web es catalogado como ‘peligroso’, un mensaje de advertencia rojo se toma la pantalla y si lo usa es posible que ponga en riesgo su información privada. TECNÓSFERA Fuente: ¿Cómo puedo saber si una página web es segura? – Tutoriales Tecnología – Tecnología – ELTIEMPO.COM
Protección de Datos – La AEPD publica una guía sobre protección de datos y relaciones laborales
La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales. La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control. El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal. En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles. En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo. En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica. La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos. Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado. La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora. La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras
Protección de Datos – Superindustria ordena a WhatsApp cumplir con el estándar nacional de protección de datos de sus 39 millones de usuarios en el país
Bogotá D.C., 26 de mayo de 2021. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, emitió una orden de obligatorio cumplimiento a la empresa WhatsApp LLC para que implemente medidas acordes con el estándar colombiano en materia de Habeas Data y debido tratamiento de datos personales. La decisión se tomó a través de la Resolución 29826 de mayo de 2021, luego de determinar que la Política de Tratamiento de la Información (PTI) de WhatsApp LLC incumple en un 57,89% los requisitos que exige la regulación colombiana. Adicionalmente, se estableció que dicha empresa tampoco cumple con el 75% de los requerimientos establecidos en el artículo 12 de la Ley Estatutaria 1581 de 2012. La Superintendencia de Industria y Comercio pudo establecer que esta empresa recolecta y trata datos personales de por lo menos treinta y nueve (39) millones de usuarios activos mensualmente en Colombia y que ésta utiliza “cookies” para recolectar o tratar Datos personales en territorio nacional, por lo que la Ley 1581 de 2012 es aplicable a WhatsApp LLC, pues esta compañía acopia o captura datos personales a través de una herramienta que se instalan en dispositivos móviles y computadores ubicados en Colombia. La SIC ordenó lo siguiente a WhatsApp LLC: • Crear una Política de Tratamiento de Información (PTI) que cumpla todos los requisitos que exige la regulación colombiana. Dicha PTI debe ser puesta en conocimiento de los Titulares de los Datos domiciliados o residentes en el territorio colombiano. • Implementar un mecanismo o procedimiento apropiado, efectivo y demostrable para que, al momento de solicitar la Autorización de las personas les informen en idioma castellano, de manera clara, sencilla y expresa todo lo que ordena el artículo 12 de la Ley Estatutaria 1581 de 2012. WhatsApp LLC deberá conservar prueba del cumplimiento de lo previsto en dicho artículo y, cuando el Titular de dato lo solicite, entregarle copia de ésta. • Registrar sus Bases de Datos en el Registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comercio, respecto de los Datos que recolectan o tratan en el territorio de la República de Colombia sobre personas residentes o domiciliadas en este país. Adicionalmente, se EXHORTÓ a WhatsApp LLC para que informe a la Superindustria una dirección de correo electrónico para recibir comunicaciones o notificaciones de actos administrativos. Lo anterior es muy importante para contar con un canal de comunicación expedito con miras a atender de forma inmediata aquellos requerimientos o decisiones que involucran la protección de los derechos humanos de millones de personas usuarias de los servicios de WhatsApp LLC. El incumplimiento de estas órdenes acarrea investigaciones administrativas sancionatorias que pueden generar multas de hasta 2.000 salarios mínimos legales vigentes o la eventual suspensión de actividades de WhatsApp LLC en Colombia. Contra la decisión proceden recursos de reposición y apelación. ver resolución Fuente: https://www.sic.gov.co/slider/superindustria-ordena-whatsapp-cumplir-con-el-est%C3%A1ndar-nacional-de-protecci%C3%B3n-de-datos-de-sus-39-millones-de-usuarios-en-el-pa%C3%ADs
