Ciberseguridad: un concepto de todos
Está claro que la pandemia no solo cambió abrazos por emoticones. La acelerada transformación digital ocasionada por la crisis sanitaria va mucho más allá de un simple reemplazo del medio por el cual llevamos a cabo nuestras actividades, nos comunicamos e interactuamos con el mundo exterior. Por lo menos en materia de datos personales, la migración al mundo digital implica unos retos que deben ser tenidos en cuenta tanto por parte de los titulares de la información como por parte de las personas y/o empresas responsables y encargadas su tratamiento. Uno de los mayores retos es la seguridad de la información. En la medida en que es un principio y un deber de todo responsable y encargado de tratamiento de datos personales “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”, el reto actual es implementar mecanismos robustos y proporcionales a cada empresa que puedan disminuir razonablemente los riesgos de un incidente de seguridad en el escenario cibernético. La ciberseguridad se traduce en los mecanismos de protección y control de la información digital para buscar tales fines. Según el estudio publicado por la SIC el pasado 11 de marzo, de la información suministrada por 33.596 organizaciones, se pudo concluir que 24.000 no cuentan con mecanismos eficientes para proteger los datos de sus usuarios de accesos no autorizados. El mismo estudio corroboró que 72,2% de las empresas no cuenta con una política de protección para acceso remoto a la información personal. Lo primero es entonces cortar de raíz con la sensación de que el concepto de ciberseguridad, y en general el de seguridad de la información (incluso en un escenario físico), le pertenece solo a unos pocos. Más allá del daño que se le puede ocasionar al titular y de las consecuencias que ello implica, una reputación construida durante años puede destruirse en segundos por un incidente de ciberseguridad. Por lo anterior, resulta fundamental que las empresas implementen “candados digitales” para proteger y controlar la información y que diseñen mecanismos eficientes y protocolos que permitan entender los procesos que se tienen, las medidas de seguridad con las que se cuenta y cómo actuar cuando éstas fallan. La reciente Guía para la Gestión de Incidentes de Seguridad de la SIC establece puntos clave sobre la forma en la que los incidentes de seguridad deben reportarse a la autoridad y sobre el paso a paso de cómo reaccionar ante una eventual contingencia. Las entidades públicas también están llamadas a tener esto en cuenta. La Directiva Presidencial 03 del pasado 15 de marzo dirigida a entidades públicas de la rama ejecutiva estableció también dentro de sus directrices la necesidad de fortalecer los mecanismos de ciberseguridad. Además de recomendar el cumplimiento de las pautas en materia de seguridad digital expedidas por el MinTIC, la Presidencia estableció, entre otras, la necesidad de definir políticas fuertes frente a la infraestructura utilizada por los funcionarios y la necesidad de construir una matriz de riesgos de ciberseguridad antes de habilitar servicios en línea. Se le dio un plazo de seis meses a estas entidades públicas para implementar tales medidas. Los titulares también deben jugar un papel activo frente al tema y deben compartir sus datos sólo con quienes cuenten con altos estándares de seguridad, después de todo son sus datos los que requieren protección. Fuente: Ciberseguridad: un concepto de todos (asuntoslegales.com.co)
Protección de Datos – ¿Qué tanta información confidencial recopila Clubhouse de sus usuarios?
Apostarle al audio como principal medio de comunicación ha sido el atractivo de Clubhouse, la plataforma que sigue creciendo en usuarios y en la presencia de más personas famosas, así como grandes empresarios del mundo. Sin embargo, una de las preocupaciones que persistía sobre el uso de esta aplicación es el tema de la seguridad de los usuarios. Según gobiernos de algunos países, la plataforma estaría promoviendo la reunión de grupos maliciosos, ya que la información estaba completamente cifrada de extremo a extremo. Ahora, aunque se mantiene la postura de que los mensajes son encriptados, surge una nueva preocupación con los términos de privacidad que estarían aceptando los usuarios al ser aceptados en el Club social digital. Los términos que aceptan los usuarios son: “Ser un usuario activo, cobrar un máximo de 100 dólares si mueres, ceder tu contenido y revelar secretos” son condiciones que, aunque la mayoría no lo sabe, están aceptando los usuarios de la última red social de moda. Entre el 90 y el 99 por ciento de los usuarios, según ProPrivacy.com, no lee los términos de uso ni las políticas de privacidad de las herramientas que usan, y con la llegada de nuevas redes sociales, como el caso de Clubhouse, se plantean a menudo polémicas y confusiones entre la comunidad. La app de moda ya ha tenido que revisar y actualizar su política de privacidad y condiciones de servicio por las dudas que generaban la forma y el lugar en el que se almacenaban los datos y conversaciones de los usuarios, a las que podía acceder el gobierno de China. En la Guía de Uso de la Comunidad, la aplicación señala que no se puede transcribir, grabar, reproducir o compartir la información obtenida en Clubhouse sin el correspondiente permiso. Sin embargo, Clubhouse sí puede usar libremente los contenidos de los usuarios. Al cargar cualquier contenido a Clubhouse el usuario otorga a la compañía y a las empresas afiliadas una licencia mundial, libre de derechos, transferible, sublicenciable, perpetua e irrevocable para hacer cualquier uso del contenido subido a la red sin necesidad de tener que pagar por ello y de forma perpetua para la promoción, publicidad o marketing del servicio en cualquier forma, medio o tecnología actual o que se desarrolle en el futuro. Por esto, Clubhouse dejará de incluir el requisito de tener acceso a la lista de contactos del teléfono móvil de sus usuarios y permitirá la solicitud de eliminación de los mismos de la aplicación. La empresa también anunció en su Town Hall semanal del domingo que lanzará una herramienta para que los usuarios borren ellos mismos los contactos de la red social, aunque ya permitirá que los usuarios les pidan su eliminación, como ha recogido el portal The Verge. Actualmente, la red social almacena los datos de todos los contactos de los usuarios de Clubhouse, un requisito obligatorio para usar la app que incluye los datos de personas que ni siquiera forman parte de la red social. Asimismo, también modificará la forma de invitar a otras personas, y ahora permitirá también añadirlas a través de su número de teléfono, de manera que también resultará posible invitar a personas que no estén guardadas como contactos. Paul Davidson, CEO de Clubhouse, notificó también otras novedades como la posibilidad de compartir enlaces a través del perfil y de los clubs, así como el filtro por idioma, de manera que la aplicación detectará a qué salas suele unirse el usuario y filtrará las que se encuentren en otros idiomas. Además, Clubhouse inicia su primer programa de aceleración para creadores en su plataforma denominado ‘Clubhouse Creator First’, que persigue “ayudar a los aspirantes a creadores de Clubhouse a organizar conversaciones increíbles, generar audiencia y monetizar”, según la app. Cualquier usuario puede aplicar al programa hasta el 31 de marzo de 2021. Estas novedades se enmarcan en una etapa de transformación en la política de seguridad tras los descubrimientos de que el gobierno chino podría acceder a los datos de los usuarios de Clubhouse, según la Universidad de Stanford. Hasta ahora, además del acceso a estos contactos, los requisitos de Clubhouse para acceder a su servicio incluyen ser un usuario activo, cobrar un máximo de 100 dólares si muere, ceder su contenido, revelar secretos o no dar información falsa. China, contra la plataforma Arrestos masivos de uigures, protestas prodemocracia en Hong Kong o la independencia de Taiwán: ningún tema era tabú para los usuarios chinos de la aplicación de audio estadounidense para smartphones Clubhouse, pero Pekín se apresuró a silenciarla. La fiesta duró apenas alrededor de una semana para esta aplicación que permitía a sus usuarios, habilitados por invitación, escuchar y participar en debates en directo, libremente moderados, en “salas” virtuales. Nacida en mayo de 2020, Clubhouse logró durante un breve lapso esquivar a los censores y atrajo a multitudes de internautas chinos, sobre todo tras la participación del multimillonario estadounidense Elon Musk en una conversación en torno a la aplicación, a comienzos de este mes. Sin embargo, los usuarios chinos llenaron sus “salas” para discutir sobre temas por lo general censurados, como el encarcelamiento por parte de Pekín de las comunidades uigures, predominantemente musulmanas que habitan en la región de Xinjiang (noroeste). Pero, la aplicación publicó en China un mensaje de error para aquellos usuarios que no dispusieran de una VPN que les brindara una conexión segura, una clara señal de que los censores habían llegado. Los usuarios de Clubhouse han aprovechado una rara grieta de libertad de expresión en un país en que las redes sociales internacionales, como Twitter o Facebook, están prohibidas. Pese al surgimiento de versiones chinas de estas plataformas, que ahora integran la vida cotidiana de los chinos, todos saben que sus contenidos online son controlados y censurados desde cerca. *Con información de Europa Press y AFP Fuente: https://www.semana.com/tecnologia/articulo/que-tanta-informacion-confidencial-recopila-clubhouse-de-sus-usuarios/202131/
Protección de Datos – Europa crea la primera regulación sobre Inteligencia Artificial y robots: se prohíbe el reconocimiento facial en zonas públicas, con algunas excepciones
La Comisión Europea ha presentado hoy su legislación sobre Inteligencia Artificial. Se trata del primer marco legal sobre esta tecnología, que además llega acompañada de otra normativa sobre maquinaria y robots. Una nueva normativa sobre IA que quiere «garantizar la seguridad» y «fortalecer la inversión en IA en la Unión Europea», creando varios niveles de riesgo y prohibiendo el reconocimiento facial en determinadas situaciones. Margrethe Vestager, comisaria europea de Competencia, explica que esta nueva legislación sobre IA actuará «cuando los derechos fundamentales estén en juego», apuntando que se regulan determinados usos de la IA pero prometiendo dejar margen para la innovación. Aquí os explicamos cuál es el enfoque del nuevo marco sobre Inteligencia Artificial, qué se establece para el uso de tecnologías como el reconocimiento facial y qué dudas se plantean sobre esta nueva normativa. Europa establece niveles de riesgos para la IA La propuesta de la Comisión Europa para regular la inteligencia artificial establece cuatro niveles de riesgo e informa que las normas deberán ser implementadas por todos los Estados Miembros por igual, quedando excluidos de la normativa los usos de la IA a nivel militar. En el máximo nivel se encuentra el «riesgo inaceptable». Se trata de aquellos sistema de IA considerados una «amenaza para la seguridad, los medios de vida y los derechos de las personas». Aquellos sistemas de IA que se engloben aquí serán prohibidos. Entre los ejemplos que la Comisión expone está por ejemplo un sistema de IA que manipule el comportamiento humano e incite a la violencia, por ejemplo un juguete con asistencia de voz que fomente el comportamiento peligroso de los menores. También se incluye aquí un sistema de «puntuación social» por parte de los gobiernos para diferenciar a los ciudadanos. En un segundo punto de «alto riesgo» se incluyen usos de la IA en infraestructuras críticas que puedan afectar a la salud de los ciudadanos, IA para afectar a la educación y por ejemplo permita hacer trampas en exámenes, componentes en cirugía, sistemas de reclutamiento de personal, servicios públicos, legislación, inmigración o IA para la administración o justicia. La Unión Europea establece algunas líneas rojas y prohibirá determinados usos de la IA, como los sistemas de «puntuación social» por parte de gobiernos. En todos estos ámbitos, la IA deberá estar sujeta a obligaciones estrictas, entre las que se incluye un análisis de riesgos, trazabilidad de resultados, documentación detallada, supervisión humana y un alto nivel de robustez. En un nivel más bajo, de «riesgo limitado» se incluyen los sistemas como chatbots, que deberán tener un mínimo nivel de transparencia y donde los usuarios deberán ser advertidos que están hablando con una máquina. En el riesgo mínimo se engloba el resto de usos, para videojuegos, aplicaciones de imagen u otros sistemas de IA que no implican riesgos. En estos casos, la nueva normativa no especifica ninguna medida. Europa quiere impulsar el desarrollo de estándares para la IA y propone a las distintas organizaciones nacionales que supervisen esta normativa. Adicionalmente, desde la Comisión invitan a la creación de códigos voluntarios de conducta para los sistema de IA sin riesgos. La Eurocámara y los distintos gobiernos de la Unión Europea todavía tienen que aprobar este nuevo reglamento, un proceso que podría alargar más de un año la implementación de estas medidas. Cómo queda regulado el reconocimiento facial Todos los sistemas de «identificación biométrica remota» serán considerados de alto riesgo. La Comisión Europea no ha decidido prohibir directamente los sistemas de reconocimiento facial, aunque sí describe que aplicará requisitos estrictos como los nombrados anteriormente. La Comisión establece que el reconocimiento facial tendrá en principio prohibido su uso en zonas públicas y en directo como aplicación de la ley. Es decir, las autoridades no podrán utilizar el reconocimiento facial para prevenir posibles delitos, pero sí hay algunas excepciones: «por ejemplo, cuando sea estrictamente necesario para buscar un niño desaparecido, para prevenir una amenaza terrorista específica e inminente o para detectar, localizar, identificar o enjuiciar a un perpetrador o sospechoso de un delito grave«. Estos usos concretos estarán «sujetos a la autorización de un órgano judicial u otro organismo independiente y a los límites adecuados en el tiempo, el alcance geográfico y las bases de datos buscadas». La organización European Digital Rights (EDRi) expresa que es «una gran victoria que la Comisión reconozca la necesidad de líneas rojas«. Respecto al reconocimiento facial, EDRi cree que cada vez era más difícil de justificar el no prohibir la vigilancia masiva biométrica y el hecho de prohibirlo en la calle significa que se han escuchado algunas solicitudes. Sin embargo, la prohibición tiene algunas excepciones y no va «suficiente lejos». «Muchos de los usos más dañinos no están prohibidos, como la vigilancia policial predictiva, los usos de la IA para el control de la migración, la categorización biométrica de raza, género, sexualidad y también la vigilancia de los trabajadores, que siguen siendo de «alto riesgo»», explican desde EDRi. La Comisión ha optado por crear un apartado específico para el reconocimiento facial. Un limbo entre la categoría de «alto riesgo» y la de «prohibido con excepciones». Entre las dudas que surgen está la definición de «remoto» o «en tiempo real», que podría abrir la puerta a determinados sistemas de reconocimiento como por ejemplo vía drones cerca de los manifestantes, cámaras en los policías o sistemas que no sean en directo. En esta dirección, habrá que esperar hasta la implementación de la ley en las legislaciones nacionales para conocer mejor qué tipo de excepciones al reconocimiento facial serán legales. Fuente: Europa crea la primera regulación sobre Inteligencia Artificial y robots: se prohíbe el reconocimiento facial en zonas públicas, con algunas excepciones (xataka.com)
Ciberseguridad – Alertan sobre Trickbot, el peligroso virus para robar información que ha sucedido a Emotet
La seguridad completa en internet no existe. Y menos todavía en los tiempos de hiperconexión que corren. Así lo demuestra el caso del virus de tipo troyano Trickbot, pensado para robar información de los equipos que infecta. Según un reciente estudio de la firma de ciberseguridad Check Point, ha sido el escogido por los cibercriminales para ocupar el vacío que ha dejado la red de bots maliciosos Emotet, que fue desarticulada en una operación policial internacional el pasado mes de enero. Así lo demuestra el que, según el último Índice global de amenazas de Check Point, se haya convertido en el código malicioso más utilizado durante el pasado mes de febrero, ascendiendo desde el tercer puesto que ocupó en enero. «Como ya sospechábamos, incluso cuando se elimina una amenaza importante, hay muchas otras que siguen suponiendo un alto riesgo en las distintas de las redes de todo el mundo, por lo que las empresas deben asegurarse de que cuentan con sistemas de seguridad robustos para evitar que sus sistemas se vean comprometidos y minimizar los riesgos. Es crucial impartir una formación exhaustiva a todos los empleados, para que estén equipados con las habilidades necesarias para identificar los distintos correos electrónicos maliciosos que propagan Trickbot y otros programas de este tipo», señala en un comunicado remitido a este diario Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point. A pesar de que está ganando más presencia desde la desaparición de Emotet, Trickbot lleva bastante tiempo causando problemas a compañías e instituciones públicas en la red. Fue el cuarto ‘malware’ (virus informático) más presente a nivel mundial durante 2020, afectando al 8% de las empresas. Además, estuvo directamente relacionado con el el ataque sufrido en septiembre del año pasado por el Universal Health Services (UHS), uno de los principales proveedores de servicios sanitarios de Estados Unidos. Según compartió recientemente el ‘ Wall Street Journal‘, la infección le costó al UHS 67 millones de dólares En este caso, Trickbot fue empleado en un ataque de ‘ransomware’ como complemento del código Ryuk, que tanto ruido ha hecho debido al reciente ciberataque que ha sufrido el SEPE. «Los ciberdelincuentes no van a dejar de utilizar las amenazas existentes y las herramientas de las que disponen. Trickbot destaca por su versatilidad y su historial de éxito», apunta Horowitz. Como virus de tipo troyano, el objetivo de Trickbot es localizar y robar información de los equipos infectados. En un ataque en el que se utilice también ransomware, como es el caso de Ryuk, el troyano es el encargado de localizar datos valiosos de la víctima para enviárselos a los ciberdelincuentes antes de que cifren la información. Estos utilizan los datos robados para amenazar a la empresa o institución afectada con subastarlos en la ‘dark web’ para que pague un rescate. Fuente: https://www.abc.es/tecnologia/redes/abci-alertan-sobre-trickbot-peligroso-virus-para-robar-informacion-sucedido-emotet-202103160117_noticia.html
Protección de Datos – Un error de Google permitía acceder a información privada de usuarios de la app Radar COVID
La primavera pasada, Google y Apple dieron a conocer su sistema de rastreo de contactos para intentar erradicar la pandemia. La promesa que ofrecían ambas empresas era garantizar a los usuarios la privacidad y seguridad para que supieran que la información personal estaba protegida. Por el contrario, no ha sido así en el caso del sistema operativo de Android. Las aplicaciones de rastreo de contactos debían ayudar a erradicar la pandemia. Sin embargo, la app española ‘Radar Covid’ ha tenido un éxito relativo a pesar de que millones de usuarios a nivel internacional descargaron aplicaciones basadas en el sistema de Google y Apple. Por otro lado, la empresa de privacidad AppCensus afirmó que la implementación de Google fue insuficiente, ya que los datos privados de dicha aplicación quedaban registrados en el archivo interno del dispositivo, donde eran accesibles para el resto de apps preinstaladas. Es decir, dicho error permitía conocer la identidad del usuario, localización, contactos y si había dado positivo en coronavirus. Los únicos afectados por esta brecha de seguridad han sido los usuarios de Android. AppCensus no ha encontrado un problema similar en Apple, aunque las personas que tengan un iPhone se han podido ver afectadas por aparecer como contactos en las listas de los usuarios de Android. Los investigadores advirtieron a Google el pasado 19 de febrero de esta brecha de seguridad. «Las notificaciones de exposición utilizan tecnología que preserva la privacidad para ayudar a las autoridades de salud pública a manejar la propagación de la COVID-19 y salvar vidas. Con este sistema, ni Google, ni Apple ni otros usuarios pueden ver la identidad del usuario y todas las coincidencias de las notificaciones de exposición ocurren en el dispositivo. Se nos notificó de un problema por el que los identificadores de Bluetooth eran accesibles temporalmente para algunas aplicaciones preinstaladas con fines de depuración. De forma inmediata tras conocer esta investigación, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. Estos identificadores de Bluetooth no revelan la ubicación de un usuario ni proporcionan ninguna otra información de identificación y nada indica que se hayan utilizado de alguna manera, ni que ninguna aplicación fuera consciente de ello», afirma un portavoz. «Tenemos un proceso estándar para este tipo de investigación. Inmediatamente después de conocerla, comenzamos el proceso necesario para revisar el problema, considerar las mitigaciones y actualizar el código. La implementación de esta actualización para los dispositivos Android comenzó hace varias semanas y estará completa en los próximos días«, añadía. Las aplicaciones que llegan preinstaladas en el dispositivo desde fábrica sí que tienen accesos a los datos internos de nuestros teléfonos. Cada dispositivo Android tiene aplicaciones preinstaladas con la ‘suerte’ de leer los registros del móvil, además, los usuarios suben a estos servidores datos personales sin saber que repercusión puede llegar a tener. Todavía está pendiente de clasificar las consecuencias de esta vulnerabilidad, ya que depende de la gravedad de los hechos que se puedan llegar a demostrar en la filtración de datos que hayan sido registrados. Poco éxito, mucho presupuesto A pesar de que la app Radar COVID lleva cerca de un año funcionando, no ha logrado calar mucho entre la población: hasta ahora la app contabiliza 7,2 millones de descargas, con una escasa penetración del 18%. Sin embargo, el presupuesto destinado a ella no es igual de escaso: el Gobierno acaba de anunciar un gasto de 1,5 millones de euros en la promoción de la aplicación, lo que se suma al gasto anterior y hace un total de 3,5 millones de euros invertidos en la app de rastreo de contagios. Fuente: Un error de Google permitía acceder a información privada de usuarios de la app Radar COVID (20minutos.es)
Protección de Datos – Uso excepcional de “huelleros físicos o electrónicos” para recolectar información biométrica (datos sensibles) con miras a prevenir el contagio del COVID-19 a través de contacto indirecto
Mediante la Resolución No. 222 del 25 de febrero de 2021, expedida por el Ministerio de Salud y Protección Social, se dispuso prorrogar la emergencia sanitaria en todo el territorio nacional hasta el 31 de mayo de 2021. Así mismo, el Decreto No. 206 del 26 de febrero de 2021 impartió medidas de Aislamiento Selectivo, Distanciamiento Individual Responsable y Reactivación Económica Segura, para todos los habitantes de la República de Colombia, en el marco de la emergencia sanitaria por causa del Coronavirus COVID-19, el cual rige hasta las cero horas (00:00 a.m.) del día 01 de junio de 2021. En la parte considerativa de dicho Decreto se menciona «[…] Que el Coronavirus COVID-19 tiene un comportamiento similar a /os coronavirus del Síndrome Respiratorio de Oriente Medio (MERS) y del Síndrome Respiratorio Agudo Grave (SARS); en los cuales se ha identificado que los mecanismos de transmisión son: gotas respiratorias al toser y estornudar, ii) contacto indirecto por superficies inanimadas, y iii) aerosoles por microgotas, y se ha establecido que tiene una mayor velocidad de contagio.» (Destacamos) El virus (COVID-19) puede alojarse en los dedos de las manos de las personas. Actualmente existen mecanismos manuales y electrónicos para recolectar huellas dactilares, los cuales son usados por un número indeterminado de personas. Las huellas dactilares son datos biométricos y, como tales, son catalogados como información sensible. En este sentido, el huellero es una de esas herramientas en dónde muchas personas colocan sus huellas dactilares y por ende se presenta una situación de contacto indirecto que podría facilitar el contagio del virus COVID-19, razón por la cual es necesario que el uso de ese tipo de mecanismos o procedimientos sea excepcional, en tanto dure el estado de emergencia sanitaria. En este sentido, la Resolución No. 223 del 25 de febrero de 2021, expedida por el Ministerio de Salud y Protección Social, por medio de la cual se imparten «[…] medidas generales de bioseguridad en el marco de la pandemia por el nuevo coronavirus COVID-19,[…] con el fin de disminuir el riesgo de transmisión del virus de humano a humano […]», en lo referente al uso de equipos biométricos o elementos para toma de huella dactilar, reitera el riesgo de transmisión del virus en esas actividades y, en consecuencia, establece medidas tales como: (i) «Lavar o higienizar las manos después de usar equipos biométricos o elementos para toma de huella dactilar […]» y (ii) «Eliminar los sistemas de control de ingreso por huella e implementar sistemas alternos en los casos en los que sea posible. Si no es posible, establecer mecanismos de desinfección frecuente del dispositivo y de desinfección de manos Juego del registro, por ejemplo, con alcohol glicerinado […]» El literal e) del articulo 21 de la Ley 1581 de 2012 faculta a esta Autoridad para «[…] impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley […]». En virtud de lo anterior, esta Superintendencia ordena a todos los Responsables y Encargados de naturaleza pública o privada abstenerse de recolectar o tratar datos biométricos utilizando huelleros físicos, electrónicos, o cualquier otro mecanismo que permita el contagio del coronavirus a través de contacto indirecto y utilizar sistemas alternos en los casos en los que sea posible, en tanto dure el estado de emergencia sanitaria decretado por el Ministerio de Salud y Protección Social. Excepcionalmente, y si no es posible emplear mecanismos alternos de recolección de datos biométricos, se deberán implementar procesos de limpieza y desinfección permanente de los huelleros físicos, electrónicos, o de cualquier otro mecanismo. Adicionalmente, es necesario adoptar procesos para lavar o higienizar las manos después de usar equipos biométricos o elementos para toma de huellas dactilares. Esta instrucción no aplica para el caso de los sistemas de identificación biométrica en los que el dispositivo es de uso personal e individual. Estas instrucciones son de inmediata ejecución, tienen carácter preventivo, obligatorio y aplican sin perjuicio de las demás obligaciones legales que le corresponde cumplir a cualquier Responsable o Encargado del Tratamiento de Datos Personales, o de las instrucciones que emitan otras autoridades en el marco de sus atribuciones constitucionales y legales. Adicionalmente, deben aplicarse de manera armónica e integral con lo dispuesto en la Constitución y la regulación sobre tratamiento de datos personales. La presente circular deroga las circulares externas 2 y 1 O de 2020 emitidas por esta superintendencia. Sírvanse por favor dar cumplimiento a lo anteriormente informado por esta Autoridad. Fuente: www.sic.gov.co/sites/default/files/normatividad/032021/CIRCULAR%20EXTERNA%2002%20DE%202021_SIC_HUELLEROS%20FISICOS%20O%20ELECTRÓNICOS.pdf
Protección de Datos – Apple cambia las reglas para la privacidad en iPhone, ¿qué implica esto?
La introducción de iOS 14.5, la más reciente actualización del sistema operativo para iPhone, ofrece la posibilidad de bloquear el rastreo del comportamiento de los usuarios entre plataformas. El cambio le desagrada a Facebook, pero es aplaudido por defensores de derechos digitales. Sepa qué significa esta modificación. Apple introdujo esta semana los más recientes cambios de iOS, el sistema operativo de iPhone, que esta ocasión corresponde a la 14,5. Normalmente, cuando hay noticias alrededor de actualizaciones de este producto es cuando la compañía introduce una versión enteramente nueva: cuando hay un salto del 12 al 13, del 13 al 14 y así. Hablar de una actualización a mitad de camino no suele ser lo más común. Y, sin embargo, en este caso es más que necesario. Aparte de algunas actualizaciones sobre funcionamiento de Siri y reconocimiento facial más adaptado a los rostros con tapabocas, el cambio fundamental en esta actualización tiene que ver con la privacidad. Para algunos, esta palabra, leída en el contexto de la vida digital, pareciera un lujo de una era pasada. La cosa no es tan así y el cambio que introduce iOS 14.5 en una época en la que se entienden los datos personales como pago por servicios gratuitos devuelve un poco el balance de la ecuación a manos de los usuarios: decir “no” es posible y está bien. En pocas palabras, Apple ofrece la opción para que los usuarios de iPhone elijan si una aplicación puede, o no, rastrear la actividad de estos a través de otros servicios y plataformas. Y este es un cambio importante, principalmente, porque le devuelve poder a los consumidores sobre los datos que generan sus interacciones en la red. Los cambios que introduce Apple en esta actualización no son milagrosos ni solucionarán el rastreo de usuarios o el uso (y abuso) de información personal con fines comerciales, pero “es un paso en paso sólido en la dirección correcta”, según Gennie Gebhart y Bennett Cyphers, de la Electronic Frontier Foundation, una de las mayores organizaciones de defensa de los derechos digitales en el mundo. ¿Cómo opera todo esto? La mejor forma de entenderlo es con un ejemplo que ya se ha vuelto clásico: cuando un usuario revisa en una determinada plataforma un producto, al entrar a otra aplicación es posible que aparezca publicidad relacionada justo con ese producto. A esta técnica se le conoce como publicidad dirigida y, de cara a las marcas, ofrece la posibilidad de entregarle al consumidor información comercial más relevante; en otras palabras, la promesa de cara a las empresas es poder encontrar justo la persona que está buscando su producto y llegarle con publicidad. Buena parte de la economía de internet (pues alguien paga por todo lo que un usuario disfruta gratuitamente) está construida sobre la posibilidad de personalizar y segmentar a las audiencias para llegarle justo a los grupos más susceptibles de compra con la información comercial precisa, tan rápido como sea posible. De cierta forma, es lo que mantiene la maquinaria de Facebook andando y devorando mercados publicitarios en todo el mundo. Facebook ha sido uno de los críticos más duros del cambio que implementó Apple, que fue anunciado a mediados del año pasado y se suponía iba a entrar en funcionamiento a finales de 2020. La red social se ha ido en contra de la medida bajo el discurso de que ésta perjudica a pequeños negocios. Un preocupación interesante, por decirlo de alguna forma, de una compañía que está siendo investigada por presuntas prácticas de monopolio y que desde hace algunos años ha estado bajo la crítica continua de legisladores y organizaciones de la sociedad civil por asuntos relacionados con la privacidad y la información personal de sus usuarios. Mark Zuckerberg, CEO de Facebook, ha afirmado que la modificación introducida por Apple no golpeará su modelo de negocio. Sin embargo, las cuestiones relacionadas con la privacidad y los cambios en iOS sí han sido resaltadas como una preocupación por la cabeza financiera de Facebook, Dave Wehner, según reportes de medios como el Wall Street Journal o la revista Wired. ¿Qué significa este cambio para los usuarios? En principio, que van a ver la misma ventana emergente y la misma pregunta una y otra vez: permitir que una aplicación me rastree o pedirle que no lo haga. O sea, el usuario podrá decidir, app por app, a cuál le permite el rastreo entre plataformas. Y esto, de entrada, entrega un control más granulado que expertos en privacidad celebran. Por otro lado, también evidencia cuántas aplicaciones rastrean el comportamiento de los usuarios, un resultado que puede resultar tan revelador como miedoso, si se quiere. De fondo, cuando un usuario le pide a una aplicación que no lo rastree, Apple bloquea el uso de un identificador atado al dispositivo (conocido como IDFA) que justamente permite el rastreo de un usuario entre plataformas. Y esa misma comunicación, el deseo de no ser rastreado, le es informada a la app en cuestión. Esta aproximación al problema, la pregunta, sigue un poco la visión de Steve Jobs alrededor de la información de los usuarios. En una entrevista en 2010, el difunto fundador de Apple, dijo que “La privacidad significa que la gente sabe a qué se está apuntando, en un lenguaje simple. (…) Y unas personas quieren compartir más datos que otros: pregúnteles, pregúnteles cada vez”. En enero de este año, Tim Coook, actual CEO de Apple, recalcó las palabras de Jobs al decir que “si una compañía está construida en confundir a los usuarios, en la explotación de los datos, en elecciones que no son elecciones, entonces no merece nuestra admiración, merece ser reformada”. Y defendió la iniciativa de Apple con la privacidad (conocida como ATT) al decir que “se trata de regresarle el control a los usuarios, que puedan decir cómo son manejados sus datos”. La iniciativa de Apple no soluciona los abusos alrededor del rastreo de los usuarios de la red. Como bien anotan Gebhart y Cyphers, de EFF, “no hace nada sobre el rastreo que una aplicación hace en esa misma plataforma. El
Ciberseguridad – La creación de virus informático para ‘hackear’ ordenadores de Apple se dispara un 1.000%
La hiperconexión provocada por la pandemia nos hace más vulnerables que nunca en internet. Los cibercriminales, que, como todos, son conscientes de que cada vez pasamos más tiempo pegados en la pantalla, están invirtiendo grandes dosis de energía para sacar el máximo provecho de la situación. Así lo demuestra el enorme incremento en el número de ‘malware’ (código malicioso) que se desarrolló durante el año pasado para atacar, en concreto, a los ordenadores desarrollados por Apple, los Mac. Según la compañía de ciberseguridad Atlas VPN, el desarrollo de nuevos tipos de ‘malware’ para ‘hackear’ estos dispositivos aumentó más de un 1.000% durante el pasado año 2020 con respecto a los datos de 2019. Según la última investigación de AtlasVPN, que ha sido recogida por Europa Press, se cifra en un total de 674.273 las muestras de virus informático nuevo para el sistema operativo macOS, que es el utilizado en los ordenadores de Apple, durante el año pasado. Una cifra que contrasta notablemente con los apenas 56.556 códigos que se recogieron en 2019. Comparadas suponen un aumento del 1.092% de un año para otro. Durante 2020, los cibercriminales centraron su atención en el sistema operativo de sobremesa de Apple y se crearon un total de 1.847 amenazas nuevas cada día. No obstante, los datos de ciberamenazas en Windows superan ampliamente a las de Mac, y en 2020 se descubrieron 135 veces más ‘malware’ que afectaba al sistema operativo de Microsoft. En total, las amenazas para ordenadores Windows también alcanzaron su registro más alto, llegando hasta los 91,05 millones de muestras de ‘malware’ nuevo para Windows en 2020, superando los 89,07 millones de 2019 -un 2,22 por ciento más- y con una media de 249.452 nuevas cada día. Estos descubrimientos hacen cifrar el coste del cibercrimen en todo el mundo en más de un billón de dólares en 2020, lo que supone aproximadamente un 1 por ciento del PIB global. Fuente: La creación de virus informático para ‘hackear’ ordenadores de Apple se dispara un 1.000% (abc.es)
Ciberseguridad – Estas son las contraseñas más fáciles de averiguar de internet
El National Cyber Security Centre ha publicado un análisis de las 100.000 contraseñas que se repiten con mayor frecuencia y a las que han accedido terceros para cometer infracciones cibernéticas. Si posees contraseñas que son fáciles de averiguar, queremos decirte que ya es hora de ir cambiándolas porque tu seguridad informática corre peligro. La encuesta realizada por National Cyber Security Centre (NCSC) reveló los credenciales más vulnerables de internet que terminan provocando brechas de seguridad en línea. Dentro de las contraseñas más populares destacan ‘blink182‘, ‘Superman‘ y las combinaciones con números. Mientras que más de siete millones de usuarios emplean como credencial ‘123456789‘, otros 23 millones de personas usan ‘123456‘. Si bien es cierto que son fáciles de recordar, también encabezan un riesgo que puede ser producido por los hackers. No solo se emplean números, también se emplean nombres para generar contraseñas, como por ejemplo: ‘Ashley‘, ‘Michael‘, ‘Daniel‘, ‘Charlie‘ o ‘Jessica‘. Aunque los clubes de fútbol que pertenecen a la Premier League que hacen hincapié en el mundo de la ciberseguridad son el ‘Chelsea‘, ‘Arsenal‘ y ‘Manchester United‘. A pesar de que varios usuarios han llegado a usar palabras clave para aprovechar la oportunidad de los malos vocablos, estas fueron las contraseñas más comunes: 123456123456789 qwerty password 111111 12345678 abc123 1234567 password1 12345 Dichas contraseñas se obtuvieron de violaciones globales porque ya están en el dominio público y han sido vendidas o compartidas por hackers. Para reducir el riesgo de que tu cuenta sea violada, el NCSC recomienda usar tres términos aleatorios que sean fáciles de recordar. Además, reutilizar la contraseña es un riesgo que se debe evitar para que nadie pueda adivinar nuestros datos confidenciales. Ian Levy, Director Técnico de NCSC, afirma que “sea creativo y use palabras memorables para usted, para que la gente no pueda adivinar su contraseña”. Asimismo, Margot James, Ministra de Industrias Creativas y Digitales de DMCS, comentó que “la seguridad cibernética es un problema serio, pero hay algunas acciones simples que todos pueden tomar para protegerse mejor contra los hackers”. Si quieres cambiar todos los credenciales de las redes sociales, debes pensar en algunos que sean más complejos. No obstante, para que no se te olviden, existen los gestores de contraseñas que estarán al servicio de almacenarlas en una base de datos cifrada. Fuente: Estas son las contraseñas más fáciles de averiguar de internet (20minutos.es)
