Protección de Datos – Superindustria multa a la compañía Marketing Personal S.A. por reportar a una ciudadana ante centrales de riesgo
Bogotá D.C., 24 de marzo de 2021. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a la empresa MARKETING PERSONAL S.A. con una multa de $150.315.120 (CIENTO CINCUENTA MILLONES TRESCIENTOS QUINCE MIL CIENTO VEINTE PESOS) por: no constestar oportunamente la petición de una ciudadana; además, no comunicar previamente a la ciudadana que sería reportada como morosa a una central de información financiera; no tener prueba de la existencia de la obligación reportada; y, no tener evidencia de la autorización de la ciudadana para reportarla. La decisión se tomó a través de la Resolución 10999 de marzo de 2021, con ocasión de la queja de una ciudadana que manifestó que su identidad fue suplantada porque nunca suscribió contrato alguno con la sociedad MARKETING PERSONAL S.A., empresa que la reportó como morosa. La ciudadana también manifestó que presentó una petición a dicha empresa, la cual fue respondida extemporáneamente y de manera incompleta omitiendo hacer referencia a cuestiones de fondo, pues la empresa jamás le indicó el motivo exacto del reporte negativo. La Superindustria constató que la respuesta de MARKETING PERSONAL S.A. fue extemporánea e incompleta. Adicionalmente, el reporte de información negativa a CIFIN y EXPERIAN fue ilegal porque dicha empresa no cumplió con la obligación legal de comunicar previamente a la persona que sería reportada (Art. 12 de la Ley 1266 de 2008). Adicionalmente, se verificó que la información reportada no era comprobable porque no se acreditó evidencia de la existencia de la obligación y de que la ciudadana reportada fue quien efectivamente contrajo una deuda con MARKETING PERSONAL S.A.. Finalmente, la sociedad sancionada tampoco demostró tener prueba de la autorización de la ciudadana para ser reportada ante CIFIN o EXPERIAN. La Superintendencia de Industria y Comercio reitera que no se puede reportar información sobre la cual no exista certeza sobre su veracidad, pues esto no sólo afecta el buen nombre de las personas, sino que induce a error a los usuarios de la información y al público en general. Contra la decisión proceden los recursos de reposición y apelación Fuente: https://www.sic.gov.co/slider/superindustria-multa-la-compa%C3%B1%C3%ADa-marketing-personal-sa-por-reportar-una-ciudadana-ante-centrales-de-riesgo
Protección de Datos – 11 millones de números de teléfono y datos personales de usuarios españoles en Facebook, filtrados en un conocido foro de hacking
Los datos personales de más de 500 millones de usuarios de Facebook han sido publicados en internet en un foro de hacking de perfil bajo. Los datos incluyen números de teléfono, nombres completos, la ubicación, la dirección de correo electrónico y la información biográfica. Los investigadores de seguridad advierten que los datos podrían ser utilizados por los piratas informáticos para hacerse pasar por esas personas y cometer fraudes Un usuario de un foro de hacking de perfil bajo ha publicado los números de teléfono y los datos personales de cientos de millones de usuarios de Facebook de forma gratuita en internet. Los datos expuestos incluyen información personal de más de 533 millones de usuarios de Facebook de 106 países, incluidos más de 32 millones de registros de usuarios de Estados Unidos, casi 11 millones de registros de España y más de 19 millones de registros de Francia. Incluyen sus números de teléfono, identificaciones de Facebook, nombres completos, ubicaciones, fechas de nacimiento, biografías y, en algunos casos, direcciones de correo electrónico. Business Insider ha revisado una muestra de los datos filtrados y ha verificado varios registros cotejando los números de teléfono de usuarios conocidos de Facebook con las identificaciones que figuran en el conjunto de datos. También hemos verificado los registros probando las direcciones de correo electrónico del conjunto de datos en la función de restablecimiento de contraseña de Facebook, que puede utilizarse para revelar parcialmente el número de teléfono de un usuario. Los datos filtrados podrían proporcionar información valiosa a los ciberdelincuentes que utilizan datos personales de los usuarios para hacerse pasar por ellos o estafarlos para que entreguen sus credenciales de acceso, según Alon Gal, director de tecnología de la empresa de inteligencia sobre ciberdelincuencia Hudson Rock, que fue el primero en descubrir la filtración de datos este sábado. «Una base de datos de ese tamaño que contenga información privada, como los números de teléfono de muchos usuarios de Facebook, sin duda daría lugar a que delincuentes se aprovechen de los datos para realizar ataques de ingeniería social [o] intentos de hackeo», explica Gal a Business Insider. Facebook no ha respondido de forma inmediata a las numerosas solicitudes de comentarios. Gal descubrió por primera vez los datos filtrados en enero, cuando un usuario del mismo foro de hacking anunció un bot automatizado que podía proporcionar los números de teléfono de cientos de millones de usuarios de Facebook a cambio de un precio. Motherboard informó entonces de la existencia de ese bot y verificó que los datos eran legítimos. Ahora, todo el conjunto de datos se ha publicado en el foro de hacking de forma gratuita, lo que hace que esté ampliamente disponible para cualquier persona con conocimientos rudimentarios en materia de datos. No es la primera vez que un gran número de números de teléfono de usuarios de Facebook aparecen publicados en internet. Una vulnerabilidad descubierta en 2019 permitió que los números de teléfono de millones de personas fueran extraídos de los servidores de Facebook, violando sus condiciones de servicio. Facebook afirmó que esa vulnerabilidad fue parcheada en agosto de 2019. Facebook prometió previamente tomar medidas contra la extracción masiva de datos después de que Cambridge Analytica extrajera los datos de 80 millones de usuarios en violación de los términos de servicio de Facebook para dirigirse a los votantes estadounidenses con anuncios políticos en las elecciones de 2016. Gal señala que, desde el punto de vista de la seguridad, no hay mucho que Facebook pueda hacer para ayudar a los usuarios afectados por la brecha, ya que sus datos ya están a la vista, pero añade que Facebook podría notificar a los usuarios para que estén atentos a posibles ataques phishing o fraudes con sus datos personales. «Las personas que se registran en una empresa de renombre como Facebook les confían sus datos y se supone que Facebook debe tratarlos con el máximo respeto», subraya Gal. «Que se filtre la información personal de los usuarios es una enorme violación de la confianza y debe tratarse en consecuencia». Fuente: Se filtran los datos robados de 533 millones de usuarios de Facebook | Business Insider España
Ciberseguridad – Google, Dropbox y Adidas, entre las marcas más suplantadas de 2020, según informe de IBM
Google, Dropbox o Adidas lideran el listado de marcas más suplantadas durante el año pasado con el fin de engañar a los usuarios para cometer fraudes en línea. Según el informe, las marcas de comercio electrónico como Amazon y PayPal, junto con las plataformas YouTube y Facebook, también se situaron en el top 10 de las más suplantadas, pues los delincuentes implementan técnicas de fraude cibernético para llevar a los visitantes de estas marcas hacia sitios web maliciosos que aparentan ser los sitios web legítimos. Así lo definió el Índice de Inteligencia de Amenazas X-Force 2021 de IBM Security, en el que se explica cómo han evolucionado los ciberataques en 2020 causados por ciberdelincuentes que han tratado de aprovecharse de la coyuntura sanitaria y económica para atacar empresas y ciudadanos a nivel global. *Con información de Europa Press Fuente: https://www.semana.com/economia/capsulas/articulo/google-dropbox-y-adidas-entre-las-marcas-mas-suplantadas-de-2020-segun-informe-de-ibm/202153/
Protección de Datos – Alemania verificará si Clubhouse cumple con las políticas de protección de datos europeas
La aplicación, que ha ganado popularidad mundial en los últimos meses, ha empezado a suscitar en Alemania dudas legales sobre privacidad, desinformación y acoso. Desarrollada hace menos de un año en California, Estados Unidos, por el empresario de Silicon Valley Paul Davison y el exempleado de Google Rohan Seth, esta red social se rige legalmente por la Ley de privacidad del consumidor de California (CCPA), que no es aplicable en Europa. ”No importa qué derechos y libertades se establezcan en estas disposiciones porque la CCPA tiene como objetivo proteger sólo a los residentes de California”, explica , Johannes Caspar, el comisionado de Hamburgo para Seguridad de Datos y Libertad de Información. Este comisionado se ha coordinado con otras autoridades supervisoras alemanas y ha enviado un catálogo de preguntas a los operadores de esta aplicación para verificar el cumplimiento del Reglamento General Europeo de Protección de Datos (GDPR) que prevé multas de hasta 20 millones de euros por infracciones. Debates en tiempo real Clubhouse es una mezcla de una conferencia virtual y un pódcast interactivo en el que los usuarios pueden crear salas para debatir -en principio sobre cualquier tema- mediante audio y con hasta 5.000 personas en tiempo real. Una sala popular de habla alemana, por ejemplo, es “Mittag im Regierungsviertel” (Hora del almuerzo en el distrito gubernamental), en la que un grupo de oradores, entre ellos destacados parlamentarios alemanes y periodistas, debaten sobre un tema político del día, como el derecho a trabajar desde casa, al tiempo que comparten lo que almorzaron. La red social actualmente limita el número de usuarios a través de dos mecanismos: sólo está disponible para dispositivos Apple y además usa un “principio de invitación”, es decir, aquellos que son invitados por un usuario existente pueden tener voz. Ambos factores conllevan que sea principalmente usada por celebridades, políticos y figuras destacadas de los medios de comunicación como la ministra de Asuntos Digitales, la socialcristiana bávara Dorothee Bär; el presidente de FDP Christian Lindner; el presentador de televisión Dunja Oll Hayali o la activista de Fridays-for-Future Luisa Neubauer. El número de usuarios en la aplicación, lanzada a principios de 2020, ha pasado de 1.500 en mayo a casi dos millones a nivel mundial y fue la aplicación para iPhone más descargada en Alemania la última semana de enero. Aún así, el éxito le llegó en Alemania solo ese mes, cuando los expertos en tecnología Philipp Klöckner y Philipp Gloeckler iniciaron una discusión en Clubhouse con los fanáticos de su pódcast “Doppelgänger” y crearon un grupo de Telegram para que la gente compartiera sus invitaciones. ”Suponemos que más de 50.000 usuarios hicieron uso de este embudo para obtener acceso a la aplicación Clubhouse”, dice Gloeckler. Privacidad y transferencia de datos Siendo la primera empresa estadounidense de redes sociales que se abre en años, a Clubhouse le está empezando a ocurrir lo que antes sucedió con gigantes como Twitter, Snapchat y Facebook: a un crecimiento viral le siguen los problemas legales. Para invitar a un tercero, el usuario debe permitir que la aplicación acceda a su libreta de contactos y esta información se transmite a Clubhouse para crear “perfiles en la sombra”, es decir, para almacenar información sobre los interesados que ni siquiera se han registrado en la aplicación, según explica en su página web Reuschlaw Legal Consultants (Berlín). En 2016 el Tribunal supremo Federal de Alemania ya falló en contra de la herramienta Friend Finder de Facebook marcando un antecedente que prohíbe que las plataformas de redes sociales requieran que los usuarios carguen sus libretas de direcciones. ”Es irresponsable que los usuarios compartan sus contactos sólo para recibir nuevas invitaciones. Espero que las agencias de protección de datos europeas vayan tras la aplicación y les multen”, señala Markus Beckedahl, fundador del blog alemán de libertad digital Netzpolitik. Además, la política de privacidad de la aplicación establece que al usar su servicio, el usuario acepta que sus datos se transferirán a la empresa en Estados Unidos, pero esto no constituye una declaración válida de consentimiento porque conforme el GDPR este debe ser “explícito”, según Reuschlaw Legal Consultants. ”Se pueden imponer multas elevadas al operador pero el GDPR no prevé que la aplicación se bloquee o cancele en caso de violación de la protección de datos”, confirma el abogado de medios con sede en Colonia Christian Solmecke. Acoso y grabación de conversaciones El crecimiento de Clubhouse ha ido acompañado de críticas porque las mujeres y las personas de color sean objetivos frecuentes de abuso y que las discusiones que alberga sobre antisemitismo, homofobia, racismo y misoginia van en aumento. ”La aplicación registra temporalmente las conversaciones para descubrir infracciones de las Normas de la comunidad. Los operadores de la aplicación Clubhouse pueden invocar la protección de ‘intereses legítimos’ bajo el GDPR”, explica Solmecke, que considera que este hecho también daña la privacidad de los usuarios. Fuente: https://www.elespectador.com/noticias/tecnologia/alemania-verificara-si-clubhouse-cumple-con-las-politicas-de-privacidad-europeas/
Ciberseguridad – Estas son las prácticas más usadas de suplantación de sitios web
La suplantación de sitios web se convirtió en el 2020 en el ciberdelito con mayor crecimiento en el país, con más de 303 por ciento más casos que en el año anterior, según lo demuestran las cifras entregadas por la Fiscalía General de la Nación. Dentro de esta modalidad hay dos técnicas principales que son usadas por los ciberdelincuentes que buscan engañar a los usuarios de internet para quedarse con información personal y datos bancarios. Se trata del spoofing y el pharming. El spoofing es conocido por ser una falsificación de la página web por medio de diferentes técnicas. “Existen numerosos tipos de spoofing; en uno de estos, los atacantes falsifican la ventana donde el usuario tiene que ingresar sus datos personales, para luego quedarse con esa información. Otro es la falsificación de la dirección de correo del remitente para simular que un mensaje ha sido enviado por alguna cuenta oficial”, manifiesta Denise Giusto Bilic, especialista en seguridad informática de Eset. Por otro lado, el pharming consiste en un ataque en el que se redirige una página web a una dirección IP distinta de la original. Todo esto con el fin de que el usuario llegue a un sitio falso, pese a ingresar a la URL correcta. “Esta modalidad fue muy usada por los criminales para poder interceptar los computadores de las empresas y los ciudadanos, lanzando ataques por medio de correo electrónico y las aplicaciones de mensajería”, indica Fredy Bautista, asesor de ciberseguridad de la Cámara Colombiana de Informática y Telecomunicaciones. ¿Qué hacer? Los ciberdelincuentes hacen uso de estas modalidades para suplantar principalmente páginas web que tengan pasarelas de pagos digitales, entidades bancarias en línea y plataformas de comercio electrónico. Por esto es importante prestar una mayor atención cuando se navega por estos sitios. En primer lugar, hay que saber que lo que buscan los atacantes con estas modalidades es que los usuarios ingresen información personal, para luego proceder a hacer hurtos o suplantación de identidad. Giusto señala que hay tres alertas que le pueden ayudar a saber si ingresó a una página falsa. “Tenga en cuenta si su banco o proveedor de correo electrónico le notifica que se ha realizado un inicio de sesión desde otro dispositivo, también revise que no se le hayan generado cargos desconocidos a su tarjeta de crédito o débito y esté en alerta si le confirman un cambio de contraseña de alguna cuenta que usted no haya realizado”. Recuerde que la mejor manera de ponerles barreras a los atacantes es tener actualizados las herramientas de seguridad de sus dispositivos, desde el antivirus hasta el sistema operativo, esto le permitirá cerrar vulnerabilidades que puedan ser usadas en su contra. Además, preste mucha atención a la dirección en la cual está navegando, sobre todo si accedió a esta a través de un correo electrónico acerca de cuya procedencia no está seguro. “Lo mejor es ingresar manualmente a la página web a la cual se quiere acceder. También, revisar los datos del certificado de seguridad del sitio para corroborar que coinciden con lo que se esperaría del sitio legítimo y evitar páginas sospechosas, en especial si solicitan ingresar datos personales o descargar algún archivo”, detalla Bautista. Por último, active el doble factor de autenticación en todos los servicios digitales que sean posibles. Con esto, si un ciberdelincuente accede a los datos de acceso de una cuenta, necesitará un código de seguridad adicional, el cual le llegará a usted por correo electrónico o mensaje de texto. TECNÓSFERA Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/suplantacion-de-sitios-web-que-es-el-spoofing-y-pharming-568652
Protección de Datos – La UE multa a España por no legislar a tiempo en materia de protección de datos y prevención de delitos
Prensa Tribunal Justicia de la Unión Europea. El Tribunal de Justicia de la Unión Europea ha condenado a España a pagar una suma a tanto alzado de 15 000 000 de euros y una multa coercitiva diaria de 89 000 euros por no haber transpuesto aún una Directiva en materia de protección de datos, ni comunicado las medidas de transposición de esta. Se trata de la Directiva de protección de datos personales en el marco de la prevención y detección de infracciones penales. La Comisión solicitó al Tribunal de Justicia que declarase que España ha incumplido las obligaciones que le incumben en virtud de la Directiva de protección de datos personales en el marco de la prevención y detección de infracciones penales. La Comisión considera que ese Estado miembro no ha adoptado las medidas nacionales de transposición de la Directiva ni comunicado dichas medidas. Por lo tanto, solicitó al Tribunal de Justicia que impusiera a España, con arreglo al artículo 260 TFUE, apartado 3, por una parte, una multa coercitiva diaria de 89 548,20 euros por cada día de retraso a partir de la fecha del pronunciamiento de la sentencia en el presente asunto, y, por otra, una suma a tanto alzado de unos 15 500 000 euros. El 20 de julio de 2018, al no haber sido informada por España sobre las medidas de transposición de la Directiva al término del plazo fijado (el 6 de mayo de 2018), la Comisión había remitido a dicho Estado miembro un escrito de requerimiento para que le comunicara esas medidas. Dado que dicho escrito no surtió efectos, la Comisión remitió a España un dictamen motivado el 25 de enero de 2019 en el que la exhortaba a adoptar las medidas necesarias en un plazo de dos meses. En su respuesta al dictamen motivado, de 27 de marzo de 2019, España indicó que el procedimiento administrativo para la adopción de las medidas de transposición de la Directiva estaba en curso y debía concluir a finales del mes de julio de 2019, y que el procedimiento parlamentario debía concluir a finales del mes de marzo de 2020. Indicaba, además, que el retraso en la transposición se derivaba esencialmente del contexto político particular y de la necesidad de transponer la Directiva mediante una ley orgánica. España no niega haber incumplido sus obligaciones de adoptar y comunicar las medidas de transposición de la Directiva, y reconoce que las circunstancias institucionales muy excepcionales que, según ella, han retrasado las actividades del Gobierno y del Parlamento nacional con vistas a la adopción de las medidas de transposición necesarias (en particular, el carácter provisional del Gobierno español durante el período pertinente, que no disponía de una mayoría en el Congreso de los Diputados y estaba solo en funciones hasta la toma de posesión del nuevo Gobierno) no permiten justificar el incumplimiento reprochado. 3 No obstante, este Estado miembro afirma que las circunstancias mencionadas son de singular relevancia a la hora de valorar la proporcionalidad de las sanciones propuestas por la Comisión. España no ha cumplido El Tribunal de Justicia señala que consta que, al expirar el plazo fijado en el dictamen motivado de la Comisión, el 25 de marzo de 2019, España no había adoptado las medidas necesarias para garantizar la transposición de la Directiva ni comunicado dichas medidas a la Comisión. El Tribunal de Justicia considera que el incumplimiento declarado está comprendido en el ámbito de aplicación del artículo 260 TFUE, apartado 3, toda vez que, al expirar ese plazo, no se informó a la Comisión sobre ninguna medida de transposición en el sentido de dicha disposición. Por lo que respecta a las sanciones pecuniarias solicitadas por la Comisión, el Tribunal de Justicia recuerda, en primer lugar, que la condena al pago de una multa coercitiva solo está justificada en principio mientras perdure el incumplimiento hasta el examen de los hechos por el Tribunal de Justicia. En el presente asunto, el Tribunal de Justicia declara que España ha persistido en su incumplimiento, puesto que, en la fecha de terminación de la fase escrita ante el Tribunal de Justicia, el 6 de mayo de 2020, no había adoptado ni comunicado las medidas necesarias para garantizar la transposición de las disposiciones de la Directiva al Derecho español. El Tribunal de Justicia considera que la condena al pago de una multa coercitiva constituye un medio apropiado para garantizar que dicho Estado miembro ponga fin, lo antes posible, al incumplimiento declarado. Sin embargo, el Tribunal de Justicia precisa que dicha multa coercitiva solo debe imponerse en la medida en que el incumplimiento persista en la fecha en que se dicte la sentencia. En segundo lugar, el Tribunal de Justicia subraya que el conjunto de elementos jurídicos y fácticos que rodearon el incumplimiento declarado constituye un indicador de que la prevención efectiva de la repetición futura de infracciones análogas que afecten a la plena efectividad del Derecho de la Unión requiere adoptar una medida disuasoria, como la imposición de una suma a tanto alzado. Habida cuenta de la gravedad y de la duración de la infracción, el Tribunal de Justicia condena a España a abonar a la Comisión una suma a tanto alzado de 15 000 000 de euros y, si el incumplimiento declarado persiste en la fecha en que se dicte la sentencia, una multa coercitiva diaria de 89 000 euros desde esa fecha y hasta que se haya puesto fin al incumplimiento declarado. La presente sentencia es la primera en la que el Tribunal de Justicia impone, con arreglo al artículo 260 TFUE, apartado 3, los dos tipos de sanciones económicas al mismo tiempo. Fuente: https://noticias.juridicas.com/actualidad/noticias/16057-la-ue-multa-a-espana-por-no-legislar-a-tiempo-en-materia-de-proteccion-de-datos-y-prevencion-de-delitos/
Protección de Datos – Google y su decisión sobre las ‘cookies’ y la publicidad personalizada
El gigante de internet Google se comprometió a no reemplazar las ‘cookies’ de terceros que siguen al usuario por la web, mecanismo utilizado para ofrecer publicidad personalizada, una vez las elimine de su navegador Chrome dentro de un año. La firma del buscador más usado del mundo ya adelantó a principios de 2020 su intención de eliminar las controvertidas ‘cookies’ en Chrome, pero el anuncio añade que, una vez eso ocurra, la empresa no las sustituirá por otra tecnología similar, algo con lo que se había especulado. «Hoy hacemos explícito que una vez suprimamos las ‘cookies’ de terceros, no crearemos identificadores alternativos para seguir a los internautas mientras navegan a través de la web y no los usaremos en nuestros productos», escribió en una entrada en el blog de la compañía el director de gestión de producto, privacidad publicitaria y confianza, David Temkin. Las ‘cookies’ de terceros son las enviadas al computador, celular u otro dispositivo conectado a internet por parte de un tercer dominio, es decir, ajeno a la página que se está visitando, y son usadas habitualmente para «rastrear» los hábitos del usuario en internet y ofrecerle publicidad personalizada. En este sentido, cabe diferenciarlas de las ‘cookies’ originales o de primeros, enviadas al sistema por el dominio que se está visitando para agilizar y facilitar la navegación y futuras visitas mediante, por ejemplo, el recuerdo de nombres de usuario y contraseñas o de preferencias de navegación. Por la valiosa información que aportan sobre los internautas, sus preferencias y hábitos, las ‘cookies’ constituyen un pilar básico de la publicidad en internet, y se usan para vender a los anunciantes espacios digitales de difusión ajustados al público al que se dirigen. Con un 64 % de cuota de mercado a nivel mundial, según StatCounter, Chrome es el navegador más usado, muy por encima de Safari (propiedad de Apple) y del independiente Firefox. Estos últimos dos competidores de Google ya hace tiempo que bloquearon las ‘cookies’ de terceros en sus productos. Para mitigar el gran impacto que la supresión de las ‘cookies’ pueda tener en el mercado de la publicidad digital -que es la principal fuente de ingresos de Google-, la firma de Mountain View (California, EE. UU.) confía en su iniciativa «privacy sandbox» (arenera de privacidad), todavía en desarrollo. Anunciada a mediados de 2019, «privacy sandbox» tiene como objetivo crear unos estándares abiertos que mejoren la privacidad en la red, permitan a los internautas no compartir sus datos o actividades online en la medida de lo posible y, a la vez, sean útiles a los anunciantes para dirigirse a públicos específicos. EFE Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/google-eliminara-las-cookies-de-terceros-571243
Ciberseguridad – Ciberataque sin precedentes: hackers violan cámaras de seguridad en bancos, prisiones y hasta en Tesla
Un colectivo de hackers estadounidenses afirmó el martes haber accedido a imágenes de 150.000 cámaras de seguridad en bancos, cárceles, escuelas, del fabricante de automóviles Tesla y de otros sitios en una operación para exponer “el estado de la vigilancia”. Las imágenes capturadas de videos de vigilancia pirateados se publicaron en Twitter con la etiqueta #OperationPanopticon. “¿Y si acabamos por completo con el capitalismo de vigilancia en dos días?”, preguntó un supuesto miembro de un grupo llamado APT-69420 Arson Cats en medio de una serie de imágenes tuiteadas. “Esta es la punta de la punta de la punta del iceberg”, añadió. El grupo de hackers afirmó haber descubierto las credenciales de la cuenta de un administrador de alto nivel en la empresa Verkada de Silicon Valley, que controla una plataforma de sistemas de seguridad en línea. “Hemos desactivado todas las cuentas de administrador interno para evitar cualquier acceso no autorizado”, dijo un portavoz de Verkada. “Nuestro equipo de seguridad interno y la firma de seguridad externa están investigando la escala y el alcance de este problema, y hemos notificado a las autoridades”, indicó. Verkada agregó que ha notificado a las empresas a las que presta servicios en su plataforma. En las imágenes de cámaras de vigilancia publicadas en Twitter se ven celdas en una cárcel y un hombre con una barba falsa bailando en el depósito de un banco. La violación de Verkada muestra el riesgo de la subcontratación de la vigilancia de seguridad y confiarla a empresas en la nube de internet, según Rick Holland, director de seguridad de la información de Digital Shadows, una empresa de protección de riesgos. Ataques desde China Decenas de miles de empresas, ciudades e instituciones de Estados Unidos fueron atacadas por piratas informáticos respaldados por China, dijo un especialista en ciberseguridad que el viernes dio detalles de un pirateo a la mensajería de Microsoft. “Al menos 30.000 organizaciones (…) han sido pirateadas en los últimos días por una unidad de ciberespionaje china inusualmente agresiva, que se centra en el robo de correo electrónico, según varias fuentes”, dijo Brian Krebs en su blog KrebsonSecurity. Microsoft advirtió el martes que los piratas informáticos del llamado grupo “Hafnium” estaban explotando brechas de seguridad en los servicios de mensajería Exchange para robar datos de los usuarios comerciales. Este “jugador altamente calificado y sofisticado”, según el gigante de la informática, ya ha tomado como blanco en el pasado a empresas de Estados Unidos, particularmente en el campo de la investigación sobre enfermedades infecciosas, bufetes de abogados, universidades, empresas de defensa, centros de reflexión y ONG. “El grupo de espías explota cuatro nuevas fallas en el software de Exchange y ha colocado herramientas en cientos de miles de organizaciones en todo el mundo, lo que les da a los atacantes un control remoto total sobre los sistemas intervenidos”, detalló Brian Krebs. “La amenaza está activa”, dijo Jen Psaki, portavoz de la Casa Blanca, durante una rueda de prensa el viernes. El ataque “podría tener un impacto muy generalizado”, agregó, antes de llamar a las comunidades “que usan estos servidores a actuar ahora para protegerse”. El jefe de Microsoft, Tom Burt, dijo el martes que su compañía había publicado actualizaciones para corregir las fallas e instó a los clientes a aplicarlas. “Sabemos que muchos actores estatales y grupos criminales actuarán rápidamente para aprovechar cualquier sistema no parcheado”, advirtió. “La aplicación rápida de parches es la mejor protección contra este ataque”. Según Microsoft, Hafnium tiene su sede en China, pero opera a través de servidores privados virtuales alquilados en Estados Unidos. El año pasado, Pekín acusó a Washington de difamación por acusaciones de que piratas informáticos chinos intentaban robar investigaciones sobre el coronavirus. En enero, las autoridades estadounidenses designaron a Rusia como el principal sospechoso del hackeo masivo contra la empresa SolarWinds, contradiciendo así al entonces presidente Donald Trump, que había responsabilizado a China de estar en el origen de esta intrusión en el software del gobierno de Estados Unidos y de miles de empresas privadas. Microsoft dijo el martes que los ataques de Hafnium “no estaban relacionados de ninguna manera con los ataques separados relacionados con SolarWinds”. Con información de AFP Fuente: https://www.semana.com/mundo/articulo/ciberataque-sin-precedentes-hackers-violan-camaras-de-seguridad-en-bancos-prisiones-y-hasta-en-tesla/202117/
Protección de Datos – 2021, un año clave para el ‘legaltech’
Sin duda alguna, los acontecimientos del año 2020 aceleraron el proceso de influencia de la tecnología y el Derecho. En dicho año, probablemente, tuvimos la mayor cantidad de noticias y avances de transformación digital aplicada al Derecho como ningún otro momento en la historia de la humanidad. Los gobiernos de los diferentes países tuvieron que adaptarse a las necesidades de los ciudadanos en un entorno cada vez más digitalizado. Colombia no fue una excepción a dicha tendencia, ya que se aceleraron procesos como el de justicia digital, con el Decreto 806 del 2020, y se hizo un mayor seguimiento por parte de las autoridades administrativas y judiciales a las diferentes plataformas de internet en temas referentes a la protección de los derechos de los consumidores en el comercio electrónico, así como en la protección de datos. Del mismo modo, se expidió una Ley de Emprendimiento (L. 2069/20) y los documentos Conpes 3995, 4011 y 4012, sobre las políticas nacionales de confianza y seguridad digital, emprendimiento y comercio electrónico, respectivamente. También se incentivaron sanbox regulatorios en materia de promoción de las fintech y de privacidad de datos; se expidió la reforma al Código de Procedimiento y de lo Contencioso Administrativo, que tuvo un alto contenido en lo que se refiere a notificaciones y sedes electrónicas y peticiones por canales digitales; se lanzaron guías de buenas prácticas en la publicidad a través de influenciadores y del correcto tratamiento de fotografías como datos personales, además de otros importantes cambios legislativos y de regulación en el campo legaltech. Protección de datos y libertad de expresión Este panorama es un presagio de la importancia que el 2021 tendrá en materia de Derecho y tecnología. Muy temprano comenzamos con dos grandes debates que seguramente tendrán un gran desarrollo en el año. Por un lado, los temas referentes a la protección de datos personales en los servicios de mensajería instantánea, a propósito del caso de WhatsApp y el cambio de políticas de privacidad que implicaba compartir los datos de los usuarios en plataformas como Facebook. Esto ha desencadenado una reacción en masa de millones de usuarios que están migrando hacia otras plataformas, como Telegram o Signal, en las que las políticas de privacidad sean más transparentes y seguras. De hecho, la Delegatura de Protección de Datos de la Superintendencia de Industria y Comercio anunció, en días recientes, la apertura de una investigación a WhatsApp para comprobar si esta compañía norteamericana cumple con el estándar de protección de datos de Colombia. Igualmente, y no menos importante será el tema referente a la libertad de expresión y el uso de mensajes a través de redes sociales. A propósito de los lamentables acontecimientos en el Capitolio de EE UU por parte de grupos extremistas afines a las políticas del expresidente estadounidense Donald Trump, las principales compañías dueñas de redes sociales como Facebook, Twitter, Youtube, Snapchat o Twitch suspendieron las redes sociales del entonces impopular mandatario. Sin embargo, más allá de las simpatías o desencuentros con Donald Trump, esta acción se convirtió en un antecedente que puede llegar a ser muy controversial, sobre todo porque la decisión del bloqueo de las redes sociales provino de ellas mismas sin la intervención de ninguna autoridad judicial o administrativa. En consecuencia, será interesante observar la reacción de diferentes legislaciones tanto en el common law y el civil law, así como otras escuelas jurídicas ante este fenómeno y que, en Colombia, cobrará una gran importancia, sobre todo teniendo en cuenta que se avecinan las elecciones presidenciales para el año 2022. Justicia digital y Ley de Emprendimiento Otro de los aspectos interesantes para el legaltech en el 2021 será la ejecución de la llamada justicia digital y los efectos que tenga la implementación del Decreto 806 del 2020. Lo que se ha observado hasta el momento es que cada operador jurídico, cada entidad jurisdiccional y cada abogado ha interpretado este decreto de acuerdo con sus conocimientos sobre tecnología y sistemas de información. Sin embargo, dicha norma, que es transitoria, deberá venir acompañada de una serie de medidas y reformas por parte del Gobierno y la Rama Judicial que nos lleven a una verdadera justicia digital con un robusto sistema que esté al alcance y, sobre todo, que sea entendido por los ciudadanos y los operadores del derecho. Mientras tanto, seguramente, tendremos una gran variedad de casos en nuestras cortes que aclararán el sinnúmero de situaciones y conflictos propios de esta interacción entre justicia y tecnología. También merece una importante reflexión los efectos que la naciente Ley de Emprendimiento tenga en el desarrollo del ecosistema legaltech en el país. Desde la Asociación Colombiana de Legal Tech, hemos notado cómo empiezan a desarrollarse en el país importantes desarrollos tecnológicos aplicados al Derecho, hechos por compañías como Legalid, Autentic, Beriblock, Deknova, Forensic TIC, Infojudicial, Lex Box, Itierra, Doclick, Pempo, Rics Mangement, Phylo, así como firmas que le están apostando al legaltech, como 1493 Abogados, Duna Consulting, LDS Abogados, Cardozo Ordoñez, Parra Gutiérrez y Asociados Abogados, Umaña y Asociados Abogados, G&C Abogados entre otros. Así, seguramente, los beneficios que trae esta ley ayudarán a expandir y acelerar la transformación digital aplicada a la industria legal en Colombia. Por último, posiblemente, este año se revisará la Ley de Protección de Datos (L. 1581/12) en lo que tiene que ver con la extraterritorialidad, la regulación de criptoactivos, la implementación de mecanismos on line de solución de controversias, la regulación de inteligencia artificial aplicada a diferentes campos del desarrollo, los contratos inteligentes y la relación de tecnología y derecho privado, la propiedad intelectual y los medios digitales, entre otros muchos temas, que estarán cada vez más en la vanguardia de la profesión jurídica. Fuente: https://www.ambitojuridico.com/noticias/especiales/tic/2021-un-ano-clave-para-el-legaltech
