Protección de Datos – “La SIC ha tenido un liderazgo continental y global en materia de protección de datos personales”
De acuerdo con Andrés Barreto, superintendente de Industria y Comercio, el compliance es una buena herramienta para prevenir la cartelización y otras prácticas restrictivas. En ese sentido, la entidad que dirige buscará adecuar el régimen jurídico de derecho la competencia al estándar global de cumplimiento. En entrevista con ÁMBITO JURÍDICO, Barreto también habló sobre los 10 años del Estatuto del Consumidor, el control a los influenciadores y la investigación abierta a WhatsApp, entre otros temas. ÁMBITO JURÍDICO: ¿Cuáles serán las nuevas atribuciones que tendrá la Superintendencia de Industria y Comercio (SIC) relacionadas con el ‘compliance’? Andrés Barreto: No son nuevas atribuciones, sino la posibilidad de implementar el régimen jurídico de protección de la competencia, incluyendo nuevas visiones respecto de la responsabilidad que tienen las organizaciones o la empresa privada en materia de cumplimiento. Por ejemplo, que el compliance pueda utilizarse como mecanismo ex ante o ex post. Ex ante, porque las organizaciones deben prevenir el riesgo jurídico de la cartelización o de las prácticas restrictivas, y ex post, porque hay que ver la posibilidad de imponer como órdenes o sanciones los programas de cumplimiento para evitar afectaciones contra la competencia. Buscamos adecuar el régimen jurídico de derecho la competencia al estándar global de cumplimiento, tratar de desincentivar la hiperregulación, evitar la responsabilidad penal de personas jurídicas y algunas otras figuras que, en Colombia, deben ser estudiadas de una mejor manera y ofrecer un camino para que, a través de las garantías, se acepten los programas de cumplimiento. Á. J.: ¿De qué forma estas directrices que asumirá la SIC servirán para combatir la cartelización y otros temas relacionados con las malas prácticas empresariales? A. B.: El fenómeno del compliance es una dinámica global en materia de derecho de la competencia. Muchas autoridades en el mundo, como el Departamento de Justicia de Estados Unidos, el Indecopi y la Unión Europea, advierten que el compliance es una buena herramienta para prevenir la cartelización y otras prácticas restrictivas. Confiamos en que, en el país, se pueda dar ese paso de la mano de una autoridad que ya tiene experiencia, madurez y efectividad, como la SIC. Á. J.: ¿Los cambios implicarán la creación de una nueva delegatura dentro de la SIC? ¿Cómo funcionará y qué objetivos cumplirá? A. B.: Es una dirección dentro de la Delegatura de Competencia. A raíz del cambio de las funciones de inspección y vigilancia de las cámaras de comercio que ahora se van a la Superintendencia de Sociedades, nuestra delegatura asumirá la dirección de cumplimiento o de seguimiento a las políticas de cumplimiento. Este es un trabajo que todavía estamos confeccionando internamente. Á. J.: ¿Es ideal regular el ‘compliance’ o, por el contrario, debe ser algo natural e inherente del comportamiento de las empresas? ¿Qué es lo que se busca cambiar con este seguimiento que realizará la SIC? A. B.: Lo que se busca es implementar algo que mundialmente ya es un fenómeno: el compliance es un código de conducta de buenas prácticas en el mundo de los negocios, en el mundo empresarial, en el mundo industrial. Algunos Estados han optado por tener sus guías de compliance, en Colombia no tenemos una norma legal, pero sí tenemos una norma técnica (NTC 6378 del Icontec), en la que participó la SIC como un actor más. Á. J.: En ejercicio de sus labores de protección al consumidor, diferentes decisiones de la SIC han tenido implicaciones económicas en su ejecución. Muchos expertos consideran que son altas las sanciones que se imponen y que se deberían tener en cuenta las leyes del mercado. ¿Qué opina al respecto? A. B.: Opino que no son altas, por cuanto, en materia de consumidor, hay un margen sancionatorio mucho menor que en competencia y, adicionalmente, porque las afectaciones al consumidor son mucho mayores cuando no se imponen sanciones. Por el contrario, existen llamados a equiparar las sanciones de consumidor con las de competencia, lo que sí podría ser excesivo para la industria y el comercio. Por ahora, creo que el margen actual es suficiente. Á. J.: Se cumplen 10 años del Estatuto de Protección al Consumidor. ¿Cómo ha cambiado la protección al consumidor en esta década? A. B.: Los nuevos fenómenos derivados del comercio electrónico, del advenimiento de la economía digital y las plataformas, así como los nuevos vehículos de publicidad, como los influenciadores, han cambiado el ámbito de la protección al consumidor en el mundo. Pero el Estatuto del Consumidor fue bastante visionario al incluir el comercio electrónico y, hoy, vemos sus beneficios en cuanto a la protección de los usuarios de ciertas aplicaciones de domicilios y otras tecnologías. En el tema de “influenciación digital”, hemos podido implementar el Estatuto, actualizándolo con una guía específicamente para ese vehículo publicitario de los “influenciadores”. En defensa de la protección del consumidor electrónico, la SIC se mantiene en constante actualización sobre estas dinámicas. Á. J.: Precisamente, ¿cómo va el tema del control a los influenciadores por la promoción de productos? A. B.: Va muy bien, porque creemos que ese ejercicio, en el que hemos aprendido de todas las autoridades y algunos otros ejemplos nacionales, como la cartilla de la Asociación Nacional de Anunciantes y la guía que lanzó la SIC, contribuye a generar un entendimiento respecto del fenómeno de los influenciadores. Lo que pretendemos es el cumplimiento del Estatuto del Consumidor, pero, adicionalmente, una política que debe ir en constante construcción, por lo que creemos que sería un error regularla en el momento. La guía de publicidad a través de influenciadores busca proteger mutuamente a las partes, es decir, al seguidor, consumidor o cliente de las recomendaciones que hace un influenciador y, de otra parte, al propio influenciador, para que no caiga en la publicidad de productos que le pueden generar responsabilidades al no hacer transparente esa relación comercial. Á. J.: ¿Cómo han protegido a los consumidores en este año de pandemia frente a falsas promesas relacionadas con ventas de supuestos medicamentos o tratamientos para evitar el covid-19 e, incluso, hasta falsas vacunas? A. B.: Hemos sido bastante activos en el tema de hacerle monitoreo al comercio electrónico, a la publicidad tradicional y, especialmente, a los influenciadores. Dimos órdenes, entre otras, como el retiro de esas publicaciones, además iniciamos investigaciones de oficio a
Ciberseguridad – Delito de suplantación de identidad aumentó 409% en 2020 debido a la pandemia
La suplantación de identidad se da en mayor medida a través de correos electrónicos para falsificar documentos y hacer compras La suplantación de identidad, según datos de la Dijín, creció 409% el año pasado, en plena pandemia del covid-19. El reporte reveló que mientras en 2019 hubo alrededor de 300 casos de este tipo, en 2020 la cifra se disparó a 1.527 reportes. La suplantación de identidad se da en mayor medida a través de correos electrónicos, con los cuales se busca la falsificación de documentos para acceder a contratos con el Estado, para obtener créditos financieros y hasta para hacer compras por internet. Las personas no son los únicos objetivos de la ciberdelincuencia en relación con la suplantación de identidad. El reporte de la entidad policial también reveló que la suplantación de sitios web creció 358% con 4.353 casos en 2020, a comparación de los 951 reportados el año anterior. Y es que es usual que la variación de las cifras sobrepase 100% porque desde la migración digital la ciberdelincuencia se ha disparado de forma preocupante. Asuntos Legales consultó expertos en la materia que explican el riesgo que tienen los ciudadanos con sus datos personales y su firma en diferentes documentos que circulan por la red, elementos clave para el delincuente. Martha Moreno Mesa, presidente ejecutiva de Certicámara, afirmó que una de las formas de suplantación de identidad más usual es el de personas a través de firmas de un documento escaneado. Dicha rúbrica puede circular por redes hasta que el delincuente tenga acceso a ella y la utilice para sus fines delictivos. “También puede haber otros mecanismos de suplantación digital cuando se apoderan de una página web, correo electrónico o, inclusive, las redes sociales de otra persona. De esta forma el delincuente puede robar información o cometer delitos en nombre de la persona que está suplantando”, agregó. La suplantación de identidad puede tomar otras formas a través de tarjetas de crédito que son captadas por los delincuentes para hacer transacciones a nombre de una persona. La suplantación por teléfono es otra de las prácticas más comunes, con la que se busca, por ejemplo, hacer compras de productos o servicios en nombre de una persona que jamás los ha solicitado. Germán Flórez, presidente de la Asociación Colombiana de Legal Tech, afirmó que otros ciberdelitos están también asociados a la usurpación en la identidad de una persona. El experto afirmó que muchas veces hay programas maliciosos (malwares) que pueden dar acceso a las redes sociales de una persona, como Whatsapp, para delinquir a su nombre. “Cuando una persona crea un perfil falso en redes sociales en el que utiliza la imagen de una persona estaría constituyendo un delito si por medio de este perfil falso se utilizan los datos de la víctima”, dijo. En cuanto a la normatividad, Colombia dispone de la Ley 527 de 1999 de comercio electrónico que protege al consumidor y sus acciones por los canales digitales. Otra de las normas es la Ley 1474 de 2011 que permiten la incorporación digital y de tecnologías a los entes del Estado para avanzar en este sentido. ¿Cómo blindarse? Moreno emitió algunas recomendaciones para evitar este tipo de fraudes. En primer lugar, la ejecutiva destacó que los ciudadanos deben considerar el acceso a firmas digitales para evitar la circulación de documentos con las firmas manuscritas. “En empresas como Certicámara es muy fácil acceder a las firmas digitales y rúbricas certificadas que pueden evitar este tipo de fraudes”, dijo. Si usted no está seguro del funcionamiento de redes y muchas de sus operaciones laborales o patrimoniales dependen de internet, lo mejor es buscar asesoría para evitar pérdidas por los ciberdelitos. A nivel de las entidades estatales, Moreno afirmó que las Cámaras de Comercio, por ejemplo, ya están trabajando en la incorporación de claves seguras, reconocimiento biométrico y huellas faciales y dactilares de los clientes para evitar cualquier tipo de usurpación a la identidad. “Muchas entidades empezaron a dar el paso para las firmas electrónicas. La gran falla es no masificar y exigir esta herramienta para cualquier anuncio del Estado vía correo electrónico y otros canales”, señaló. Flórez añadió que debería haber guías de buenas prácticas de mano de las superintendencias en torno al manejo de la seguridad informática por parte de los ciudadanos. Esta recomendación resulta importante porque el desconocimiento de las distintas de modalidades de cibercrimen pueden devenir en una suplantación de identidad. Fuente: Delito de suplantación de identidad aumentó 409% en 2020 debido a la pandemia (asuntoslegales.com.co)
Ciberseguridad – El 90 % de las empresas no saben que tienen riesgos de seguridad informática, según Cyte
Cyte, compañía especializada en servicios de criptografía, calcula que el 90 % de las empresas tienen actualmente riesgos de seguridad informática, pero no son conscientes de ello. Los reportes indican que en el último año los ataques a las áreas de tesorería de las organización se han incrementado, al igual que los casos de fraudes y violaciones a entidades bancarias y compañías en las que sus tesoreros han recibido toda la responsabilidad de estos siniestros. Por esa razón, Cyte planea llevar a cabo el 27 de abril un webinar gratuito en el que presentará un panorama genérico sobre las vulnerabilidades en las áreas de la tesorería de las empresas y cómo la adecuada combinación de tecnologías criptográficas pueden mitigar adecuadamente los procesos de pago de nómina y pago de proveedores. Fuente: El 90 % de las empresas no saben que tienen riesgos de seguridad informática, según Cyte (semana.com)
Protección de Datos – Pilas con los datos
La pandemia ha acelerado la penetración de las herramientas digitales para trabajar, divertirse e interactuar socialmente, este salto digital forzado por el confinamiento ha sido un detonante para el uso de la tecnología, pero también ha impuesto una nueva realidad en materia de seguridad digital. Todos tenemos hoy día una identidad física y una identidad digital, por esta vía, nuestros datos se convierten en activos del mundo digital, y –en Colombia– son objeto de protección legal. Sin embargo, la misma obligación que tendríamos en el mundo físico sobre la responsabilidad e información sobre decisiones de consumo, acceso y uso a entidades financieras, comercios, etc., se traduce al mundo digital por situaciones como las violaciones de habeas data, que van desde la ausencia de autorización para el uso de información, hasta delitos como la suplantación. La protección de datos en el ámbito administrativo está en cabeza de la Superintendencia de Industria y Comercio (SIC), y la prevención y sanción del delito de suplantación en cabeza de la Policía Nacional y la Fiscalía General de la Nación. Si bien, el avance de la protección administrativa se ha logrado con herramientas, investigaciones y sanciones, así como la cooperación internacional; no es menos cierto que el aumento de quejas ciudadanas relacionadas con el uso frecuente de aplicaciones y redes, así como de reportes negativos en centrales de riesgo, también aumentaron. Entre 2019 y 2020 las quejas crecieron casi en un 40% y se impusieron multas por casi $14.000 millones, lo que evidencia la importancia de la protección de los datos personales. Asimismo, y ante este aumento, se diseñaron canales digitales de denuncia, mecanismos de solución directa ante las reclamaciones como “SICFacilita”, y herramientas preventivas como guías y órdenes, así como investigaciones oficiosas, siendo la última la que involucró a Facebook por una falla masiva de seguridad. Facebook tiene 533 millones de cuentas y es la red social más utilizada en Colombia, en donde cuenta con 30 millones de cuentas, por esa razón es indispensable actuar rápidamente como lo hicieron varias agencias internacionales. Sin embargo, en el ámbito penal aún hay mucho camino por recorrer. Durante el periodo 2018 – 2019 el delito de suplantación se incrementó en un 122%, y –de acuerdo con la DIJIN– en comparación entre 2019 y 2020 creció un 409%. La coordinación y prevención es clave, pero también lo es la responsabilidad ciudadana con el uso de la información, redes, aplicaciones y correos. Las quejas y denuncias se deben canalizar adecuadamente, primero al comercio, proveedor o entidad financiera y después a las autoridades, bien sea la SIC en lo administrativo, o la fiscalía en lo penal. El régimen jurídico es suficiente, pero nunca será efectivo sin la precaución e información que nos asiste como ciudadanos responsables. Andrés Barreto González Superintendente de Industria y Comercio. superintendente@sic.gov.co Fuente: Seguridad digital en internet :Pilas con los datos | Opinión | Andrés Barreto González: Superintendente de Industria y Comercio | Opinión | Portafolio
Protección de Datos – Datos y Open Banking en Colombia
Las instituciones financieras están innovando en sus modelos de negocios identificando los datos como activos productivos mediante el modelo llamado Open Banking. ¿Qué es Open Banking? La banca abierta implica la apertura de los sistemas bancarios (funcionalidades y datos de clientes) a terceros, permitiéndoles a estos últimos proporcionar productos y servicios a su propio ecosistema, buscando fomentar la innovación en productos y servicios financieros y dar mayor empoderamiento a clientes sobre sus datos. ¿Cómo y a quién se transmiten los datos? Las instituciones financieras comparten la información de sus clientes a través de las APIs (Application Programming Interface) con terceros proveedores denominados Third Party Providers (TPP), los cuales típicamente son sociedades no financieras especializadas en el desarrollo de servicios tecnológicos. ¿En Colombia existe regulación sobre Open Banking? Según la URF, la implementación de la banca abierta se realizará de forma voluntaria (cada institución escogerá si participará), la regulación deberá establecer estándares, requisitos mínimos de seguridad, operación de las TPP y la responsabilidad de los actores frente al consumidor respecto al manejo de la información y la prestación de los servicios. ¿Qué información se compartirá? No existen límites iniciales de la información que será compartida, dependerá de cada caso teniendo en cuenta las regulaciones existentes sobre datos personales. ¿El Open Banking es compatible con el marco legal colombiano sobre protección de datos? De acuerdo con la regulación sobre protección de datos, el consentimiento que otorga el titular para el tratamiento de sus datos personales debe ser previo, expreso e informado. La URF señala que el modelo de la banca abierta debe implementarse teniendo en cuenta la seguridad y la privacidad de los datos para que sea sostenible, sin que su implementación resulte más compleja o costosa de lo necesario. De lo anterior surgen algunas dudas. ¿Las instituciones financieras deberán solicitar nuevamente el consentimiento de sus clientes para el tratamiento de sus datos a los fines de implementar el Open Banking? ¿Será sostenible la implementación de este modelo si las instituciones financieras deben hacer nuevamente la recolección de autorizaciones de sus clientes? ¿Cada vez que una institución financiera desarrolle una nueva API deberá solicitar una nueva autorización de sus clientes para compartir los datos a través de nuevas APIs?La regulación deberá abordar el balance entre la protección de los datos de los titulares y el dinamismo requerido para que el modelo de Open Banking sea exitoso. Una opción podría ser encajar el tratamiento de datos para estos fines dentro de las excepciones que ya incluye la ley para la recolección del consentimiento, o la creación de una excepción legal que permita a las instituciones financieras utilizar las autorizaciones ya otorgadas por sus clientes para el tratamiento de sus datos. Lo anterior siempre que la regulación de Open Banking contenga protecciones adecuadas para la transferencia y procesamiento de datos de clientes. Fuente: Datos y Open Banking en Colombia (asuntoslegales.com.co)
Ciberseguridad: un concepto de todos
Está claro que la pandemia no solo cambió abrazos por emoticones. La acelerada transformación digital ocasionada por la crisis sanitaria va mucho más allá de un simple reemplazo del medio por el cual llevamos a cabo nuestras actividades, nos comunicamos e interactuamos con el mundo exterior. Por lo menos en materia de datos personales, la migración al mundo digital implica unos retos que deben ser tenidos en cuenta tanto por parte de los titulares de la información como por parte de las personas y/o empresas responsables y encargadas su tratamiento. Uno de los mayores retos es la seguridad de la información. En la medida en que es un principio y un deber de todo responsable y encargado de tratamiento de datos personales “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”, el reto actual es implementar mecanismos robustos y proporcionales a cada empresa que puedan disminuir razonablemente los riesgos de un incidente de seguridad en el escenario cibernético. La ciberseguridad se traduce en los mecanismos de protección y control de la información digital para buscar tales fines. Según el estudio publicado por la SIC el pasado 11 de marzo, de la información suministrada por 33.596 organizaciones, se pudo concluir que 24.000 no cuentan con mecanismos eficientes para proteger los datos de sus usuarios de accesos no autorizados. El mismo estudio corroboró que 72,2% de las empresas no cuenta con una política de protección para acceso remoto a la información personal. Lo primero es entonces cortar de raíz con la sensación de que el concepto de ciberseguridad, y en general el de seguridad de la información (incluso en un escenario físico), le pertenece solo a unos pocos. Más allá del daño que se le puede ocasionar al titular y de las consecuencias que ello implica, una reputación construida durante años puede destruirse en segundos por un incidente de ciberseguridad. Por lo anterior, resulta fundamental que las empresas implementen “candados digitales” para proteger y controlar la información y que diseñen mecanismos eficientes y protocolos que permitan entender los procesos que se tienen, las medidas de seguridad con las que se cuenta y cómo actuar cuando éstas fallan. La reciente Guía para la Gestión de Incidentes de Seguridad de la SIC establece puntos clave sobre la forma en la que los incidentes de seguridad deben reportarse a la autoridad y sobre el paso a paso de cómo reaccionar ante una eventual contingencia. Las entidades públicas también están llamadas a tener esto en cuenta. La Directiva Presidencial 03 del pasado 15 de marzo dirigida a entidades públicas de la rama ejecutiva estableció también dentro de sus directrices la necesidad de fortalecer los mecanismos de ciberseguridad. Además de recomendar el cumplimiento de las pautas en materia de seguridad digital expedidas por el MinTIC, la Presidencia estableció, entre otras, la necesidad de definir políticas fuertes frente a la infraestructura utilizada por los funcionarios y la necesidad de construir una matriz de riesgos de ciberseguridad antes de habilitar servicios en línea. Se le dio un plazo de seis meses a estas entidades públicas para implementar tales medidas. Los titulares también deben jugar un papel activo frente al tema y deben compartir sus datos sólo con quienes cuenten con altos estándares de seguridad, después de todo son sus datos los que requieren protección. Fuente: Ciberseguridad: un concepto de todos (asuntoslegales.com.co)
Protección de Datos – ¿Qué tanta información confidencial recopila Clubhouse de sus usuarios?
Apostarle al audio como principal medio de comunicación ha sido el atractivo de Clubhouse, la plataforma que sigue creciendo en usuarios y en la presencia de más personas famosas, así como grandes empresarios del mundo. Sin embargo, una de las preocupaciones que persistía sobre el uso de esta aplicación es el tema de la seguridad de los usuarios. Según gobiernos de algunos países, la plataforma estaría promoviendo la reunión de grupos maliciosos, ya que la información estaba completamente cifrada de extremo a extremo. Ahora, aunque se mantiene la postura de que los mensajes son encriptados, surge una nueva preocupación con los términos de privacidad que estarían aceptando los usuarios al ser aceptados en el Club social digital. Los términos que aceptan los usuarios son: “Ser un usuario activo, cobrar un máximo de 100 dólares si mueres, ceder tu contenido y revelar secretos” son condiciones que, aunque la mayoría no lo sabe, están aceptando los usuarios de la última red social de moda. Entre el 90 y el 99 por ciento de los usuarios, según ProPrivacy.com, no lee los términos de uso ni las políticas de privacidad de las herramientas que usan, y con la llegada de nuevas redes sociales, como el caso de Clubhouse, se plantean a menudo polémicas y confusiones entre la comunidad. La app de moda ya ha tenido que revisar y actualizar su política de privacidad y condiciones de servicio por las dudas que generaban la forma y el lugar en el que se almacenaban los datos y conversaciones de los usuarios, a las que podía acceder el gobierno de China. En la Guía de Uso de la Comunidad, la aplicación señala que no se puede transcribir, grabar, reproducir o compartir la información obtenida en Clubhouse sin el correspondiente permiso. Sin embargo, Clubhouse sí puede usar libremente los contenidos de los usuarios. Al cargar cualquier contenido a Clubhouse el usuario otorga a la compañía y a las empresas afiliadas una licencia mundial, libre de derechos, transferible, sublicenciable, perpetua e irrevocable para hacer cualquier uso del contenido subido a la red sin necesidad de tener que pagar por ello y de forma perpetua para la promoción, publicidad o marketing del servicio en cualquier forma, medio o tecnología actual o que se desarrolle en el futuro. Por esto, Clubhouse dejará de incluir el requisito de tener acceso a la lista de contactos del teléfono móvil de sus usuarios y permitirá la solicitud de eliminación de los mismos de la aplicación. La empresa también anunció en su Town Hall semanal del domingo que lanzará una herramienta para que los usuarios borren ellos mismos los contactos de la red social, aunque ya permitirá que los usuarios les pidan su eliminación, como ha recogido el portal The Verge. Actualmente, la red social almacena los datos de todos los contactos de los usuarios de Clubhouse, un requisito obligatorio para usar la app que incluye los datos de personas que ni siquiera forman parte de la red social. Asimismo, también modificará la forma de invitar a otras personas, y ahora permitirá también añadirlas a través de su número de teléfono, de manera que también resultará posible invitar a personas que no estén guardadas como contactos. Paul Davidson, CEO de Clubhouse, notificó también otras novedades como la posibilidad de compartir enlaces a través del perfil y de los clubs, así como el filtro por idioma, de manera que la aplicación detectará a qué salas suele unirse el usuario y filtrará las que se encuentren en otros idiomas. Además, Clubhouse inicia su primer programa de aceleración para creadores en su plataforma denominado ‘Clubhouse Creator First’, que persigue “ayudar a los aspirantes a creadores de Clubhouse a organizar conversaciones increíbles, generar audiencia y monetizar”, según la app. Cualquier usuario puede aplicar al programa hasta el 31 de marzo de 2021. Estas novedades se enmarcan en una etapa de transformación en la política de seguridad tras los descubrimientos de que el gobierno chino podría acceder a los datos de los usuarios de Clubhouse, según la Universidad de Stanford. Hasta ahora, además del acceso a estos contactos, los requisitos de Clubhouse para acceder a su servicio incluyen ser un usuario activo, cobrar un máximo de 100 dólares si muere, ceder su contenido, revelar secretos o no dar información falsa. China, contra la plataforma Arrestos masivos de uigures, protestas prodemocracia en Hong Kong o la independencia de Taiwán: ningún tema era tabú para los usuarios chinos de la aplicación de audio estadounidense para smartphones Clubhouse, pero Pekín se apresuró a silenciarla. La fiesta duró apenas alrededor de una semana para esta aplicación que permitía a sus usuarios, habilitados por invitación, escuchar y participar en debates en directo, libremente moderados, en “salas” virtuales. Nacida en mayo de 2020, Clubhouse logró durante un breve lapso esquivar a los censores y atrajo a multitudes de internautas chinos, sobre todo tras la participación del multimillonario estadounidense Elon Musk en una conversación en torno a la aplicación, a comienzos de este mes. Sin embargo, los usuarios chinos llenaron sus “salas” para discutir sobre temas por lo general censurados, como el encarcelamiento por parte de Pekín de las comunidades uigures, predominantemente musulmanas que habitan en la región de Xinjiang (noroeste). Pero, la aplicación publicó en China un mensaje de error para aquellos usuarios que no dispusieran de una VPN que les brindara una conexión segura, una clara señal de que los censores habían llegado. Los usuarios de Clubhouse han aprovechado una rara grieta de libertad de expresión en un país en que las redes sociales internacionales, como Twitter o Facebook, están prohibidas. Pese al surgimiento de versiones chinas de estas plataformas, que ahora integran la vida cotidiana de los chinos, todos saben que sus contenidos online son controlados y censurados desde cerca. *Con información de Europa Press y AFP Fuente: https://www.semana.com/tecnologia/articulo/que-tanta-informacion-confidencial-recopila-clubhouse-de-sus-usuarios/202131/
Protección de Datos – Europa crea la primera regulación sobre Inteligencia Artificial y robots: se prohíbe el reconocimiento facial en zonas públicas, con algunas excepciones
La Comisión Europea ha presentado hoy su legislación sobre Inteligencia Artificial. Se trata del primer marco legal sobre esta tecnología, que además llega acompañada de otra normativa sobre maquinaria y robots. Una nueva normativa sobre IA que quiere «garantizar la seguridad» y «fortalecer la inversión en IA en la Unión Europea», creando varios niveles de riesgo y prohibiendo el reconocimiento facial en determinadas situaciones. Margrethe Vestager, comisaria europea de Competencia, explica que esta nueva legislación sobre IA actuará «cuando los derechos fundamentales estén en juego», apuntando que se regulan determinados usos de la IA pero prometiendo dejar margen para la innovación. Aquí os explicamos cuál es el enfoque del nuevo marco sobre Inteligencia Artificial, qué se establece para el uso de tecnologías como el reconocimiento facial y qué dudas se plantean sobre esta nueva normativa. Europa establece niveles de riesgos para la IA La propuesta de la Comisión Europa para regular la inteligencia artificial establece cuatro niveles de riesgo e informa que las normas deberán ser implementadas por todos los Estados Miembros por igual, quedando excluidos de la normativa los usos de la IA a nivel militar. En el máximo nivel se encuentra el «riesgo inaceptable». Se trata de aquellos sistema de IA considerados una «amenaza para la seguridad, los medios de vida y los derechos de las personas». Aquellos sistemas de IA que se engloben aquí serán prohibidos. Entre los ejemplos que la Comisión expone está por ejemplo un sistema de IA que manipule el comportamiento humano e incite a la violencia, por ejemplo un juguete con asistencia de voz que fomente el comportamiento peligroso de los menores. También se incluye aquí un sistema de «puntuación social» por parte de los gobiernos para diferenciar a los ciudadanos. En un segundo punto de «alto riesgo» se incluyen usos de la IA en infraestructuras críticas que puedan afectar a la salud de los ciudadanos, IA para afectar a la educación y por ejemplo permita hacer trampas en exámenes, componentes en cirugía, sistemas de reclutamiento de personal, servicios públicos, legislación, inmigración o IA para la administración o justicia. La Unión Europea establece algunas líneas rojas y prohibirá determinados usos de la IA, como los sistemas de «puntuación social» por parte de gobiernos. En todos estos ámbitos, la IA deberá estar sujeta a obligaciones estrictas, entre las que se incluye un análisis de riesgos, trazabilidad de resultados, documentación detallada, supervisión humana y un alto nivel de robustez. En un nivel más bajo, de «riesgo limitado» se incluyen los sistemas como chatbots, que deberán tener un mínimo nivel de transparencia y donde los usuarios deberán ser advertidos que están hablando con una máquina. En el riesgo mínimo se engloba el resto de usos, para videojuegos, aplicaciones de imagen u otros sistemas de IA que no implican riesgos. En estos casos, la nueva normativa no especifica ninguna medida. Europa quiere impulsar el desarrollo de estándares para la IA y propone a las distintas organizaciones nacionales que supervisen esta normativa. Adicionalmente, desde la Comisión invitan a la creación de códigos voluntarios de conducta para los sistema de IA sin riesgos. La Eurocámara y los distintos gobiernos de la Unión Europea todavía tienen que aprobar este nuevo reglamento, un proceso que podría alargar más de un año la implementación de estas medidas. Cómo queda regulado el reconocimiento facial Todos los sistemas de «identificación biométrica remota» serán considerados de alto riesgo. La Comisión Europea no ha decidido prohibir directamente los sistemas de reconocimiento facial, aunque sí describe que aplicará requisitos estrictos como los nombrados anteriormente. La Comisión establece que el reconocimiento facial tendrá en principio prohibido su uso en zonas públicas y en directo como aplicación de la ley. Es decir, las autoridades no podrán utilizar el reconocimiento facial para prevenir posibles delitos, pero sí hay algunas excepciones: «por ejemplo, cuando sea estrictamente necesario para buscar un niño desaparecido, para prevenir una amenaza terrorista específica e inminente o para detectar, localizar, identificar o enjuiciar a un perpetrador o sospechoso de un delito grave«. Estos usos concretos estarán «sujetos a la autorización de un órgano judicial u otro organismo independiente y a los límites adecuados en el tiempo, el alcance geográfico y las bases de datos buscadas». La organización European Digital Rights (EDRi) expresa que es «una gran victoria que la Comisión reconozca la necesidad de líneas rojas«. Respecto al reconocimiento facial, EDRi cree que cada vez era más difícil de justificar el no prohibir la vigilancia masiva biométrica y el hecho de prohibirlo en la calle significa que se han escuchado algunas solicitudes. Sin embargo, la prohibición tiene algunas excepciones y no va «suficiente lejos». «Muchos de los usos más dañinos no están prohibidos, como la vigilancia policial predictiva, los usos de la IA para el control de la migración, la categorización biométrica de raza, género, sexualidad y también la vigilancia de los trabajadores, que siguen siendo de «alto riesgo»», explican desde EDRi. La Comisión ha optado por crear un apartado específico para el reconocimiento facial. Un limbo entre la categoría de «alto riesgo» y la de «prohibido con excepciones». Entre las dudas que surgen está la definición de «remoto» o «en tiempo real», que podría abrir la puerta a determinados sistemas de reconocimiento como por ejemplo vía drones cerca de los manifestantes, cámaras en los policías o sistemas que no sean en directo. En esta dirección, habrá que esperar hasta la implementación de la ley en las legislaciones nacionales para conocer mejor qué tipo de excepciones al reconocimiento facial serán legales. Fuente: Europa crea la primera regulación sobre Inteligencia Artificial y robots: se prohíbe el reconocimiento facial en zonas públicas, con algunas excepciones (xataka.com)
Ciberseguridad – Alertan sobre Trickbot, el peligroso virus para robar información que ha sucedido a Emotet
La seguridad completa en internet no existe. Y menos todavía en los tiempos de hiperconexión que corren. Así lo demuestra el caso del virus de tipo troyano Trickbot, pensado para robar información de los equipos que infecta. Según un reciente estudio de la firma de ciberseguridad Check Point, ha sido el escogido por los cibercriminales para ocupar el vacío que ha dejado la red de bots maliciosos Emotet, que fue desarticulada en una operación policial internacional el pasado mes de enero. Así lo demuestra el que, según el último Índice global de amenazas de Check Point, se haya convertido en el código malicioso más utilizado durante el pasado mes de febrero, ascendiendo desde el tercer puesto que ocupó en enero. «Como ya sospechábamos, incluso cuando se elimina una amenaza importante, hay muchas otras que siguen suponiendo un alto riesgo en las distintas de las redes de todo el mundo, por lo que las empresas deben asegurarse de que cuentan con sistemas de seguridad robustos para evitar que sus sistemas se vean comprometidos y minimizar los riesgos. Es crucial impartir una formación exhaustiva a todos los empleados, para que estén equipados con las habilidades necesarias para identificar los distintos correos electrónicos maliciosos que propagan Trickbot y otros programas de este tipo», señala en un comunicado remitido a este diario Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point. A pesar de que está ganando más presencia desde la desaparición de Emotet, Trickbot lleva bastante tiempo causando problemas a compañías e instituciones públicas en la red. Fue el cuarto ‘malware’ (virus informático) más presente a nivel mundial durante 2020, afectando al 8% de las empresas. Además, estuvo directamente relacionado con el el ataque sufrido en septiembre del año pasado por el Universal Health Services (UHS), uno de los principales proveedores de servicios sanitarios de Estados Unidos. Según compartió recientemente el ‘ Wall Street Journal‘, la infección le costó al UHS 67 millones de dólares En este caso, Trickbot fue empleado en un ataque de ‘ransomware’ como complemento del código Ryuk, que tanto ruido ha hecho debido al reciente ciberataque que ha sufrido el SEPE. «Los ciberdelincuentes no van a dejar de utilizar las amenazas existentes y las herramientas de las que disponen. Trickbot destaca por su versatilidad y su historial de éxito», apunta Horowitz. Como virus de tipo troyano, el objetivo de Trickbot es localizar y robar información de los equipos infectados. En un ataque en el que se utilice también ransomware, como es el caso de Ryuk, el troyano es el encargado de localizar datos valiosos de la víctima para enviárselos a los ciberdelincuentes antes de que cifren la información. Estos utilizan los datos robados para amenazar a la empresa o institución afectada con subastarlos en la ‘dark web’ para que pague un rescate. Fuente: https://www.abc.es/tecnologia/redes/abci-alertan-sobre-trickbot-peligroso-virus-para-robar-informacion-sucedido-emotet-202103160117_noticia.html
