Protección de Datos – Cómo evitar los mensajes de texto que tienen fines publicitarios y que no fueron autorizados
De acuerdo con la Superintendencia de Industria y Comercio (SIC), con corte al 4 de diciembre de este año se habían presentado 14.577 quejas por publicidad por medio de mensajes de texto, una cifra superior a la de 13.615 que se presentaron en 2019. De estas, 70,9% fueron por falta de autorización, una de las infracciones contempladas en la Ley 1581 de 2012, conocida comúnmente como ley de habeas data. Aunque el aumento en las quejas ante la Superindustria podría no parecer tan significativo, sí lo es el aumento en el número de sms intercambiados entre usuarios. De acuerdo con el boletín trimestral de las TIC, publicado por ese Ministerio, en el segundo trimestre de este año se intercambiaron 651 millones de sms, una cifra muy superior a la registrada en los trimestres anteriores (ver gráfico). Esto, explicó una fuente dentro de uno de los operadores, se debe a que ha aumentado el número de empresas que utilizan este tipo de servicios. Qué dice la norma Danilo Miranda, socio de Holland & Knight, explicó que no porque exista una autorización a favor del empresario este podrá disponer de los datos personales del consumidor y enviar cuantos mensajes publicitarios quiera. “El empresario únicamente podrá enviar estos mensajes si dentro de las finalidades de la autorización se encuentran los fines publicitarios, es decir, si en la autorización se dispone que su información será utilizada para enviar mensajes publicitarios vía SMS”, dijo. Por eso, agregó, se recomienda que la autorización disponga de manera expresa todas las finalidades para las que son recolectados los datos personales. De acuerdo con Gustavo Valbuena, socio fundador de Valbuena Abogados y exsuperintendente de Industria y Comercio, las personas tienen principalmente dos derechos frente al caso que nos ocupa. “En primer lugar, el usuario tiene derecho a revocar la autorización que dio y pedir que no lo vuelvan a contactar para esos fines. Y, en segundo lugar, tiene derecho a preguntar al remitente del mensaje que le informe en qué momento dio tal autorización para que lo contactaran con fines publicitarios, y si no le responden o no lo hacen de manera satisfactoria, pueden quejarse ante la SIC”, explicó. Es importante aclarar que para presentar la reclamación ante esa entidad es necesario haber surtido previamente todos los trámites ante el responsable del tratamiento de datos personales, es decir, la empresa que le está enviando los mensajes de texto. Si surtido el proceso y la investigación la SIC encuentra que efectivamente se presentó una infracción, puede imponer sanciones hasta por 2.000 salarios mínimos mensuales legales vigentes ($1.755 millones), suspensiones, e incluso el cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles. Qué puede hacer el usuario Como se dijo, antes de presentar una queja a la SIC, es necesario surtir el trámite con la empresa. En cuanto no hay un mecanismo para revocar todas las autorizaciones en bloque, este proceso debe hacerse de manera manual, pidiendo la baja en todas las empresas de las que no se quieren recibir más mensajes. Sin embargo, como las quejas de los usuarios muchas veces versan sobre las empresas a las que no se autorizó, es posible recurrir a una opción que pocos conocen y puede ser muy efectiva para reducir el volumen de SMS recibidos: el Registro de Números Excluidos (RNE) de la Comisión de Regulación de Comunicaciones (CRC). DANILO ROMEROSOCIO DE HOLLAND & KNIGHT “El empresario únicamente podrá enviar estos mensajes si dentro de las finalidades de la autorización para el uso de datos personales se encuentran los fines publicitarios”. PABLO MÁRQUEZSOCIO DE MBCR “Pocas veces las personas leen los términos y condiciones que aceptan y puede pasar que autoricen la transferencia o transmisión de datos para fines publicitarios sin darse cuenta”. Pablo Márquez, socio de Mbcr, explicó cómo funciona esta alternativa. “Inscribirse en el RNE hace que las personas no reciban mensajes de texto no solicitados. Los operadores pueden mandar SMS siempre y cuando el usuario no esté en el RNE o haya dado autorización previa para recibirlos, como sucede, por ejemplo, con las alertas de transacciones bancarias”, señaló. En ese sentido, el mecanismo puede ser efectivo para bloquear los mensajes publicitarios de las empresas que no se autorizaron; sin embargo, es importante tener en cuenta también que, en muchas ocasiones, los usuarios dan su autorización sin darse cuenta. “Muy pocas veces las personas se leen los términos y condiciones que aceptan cuando se inscriben, por ejemplo, a una app, y puede pasar que autoricen la transferencia o transmisión de datos para fines publicitarios sin darse cuenta. Lo importante, entonces, es que tengan en cuenta que siempre tienen la opción de salirse de esas listas”, agregó Márquez. Por lo anterior, y para evitar inconvenientes, es importante tomar consciencia del alcance de autorización que se entrega sobre los datos personales. Datos por la pandemia Una preocupación frecuente es que por cuenta del cerco epidemiológico las compañías piden una cantidad a veces exagerada de datos personales y los titulares no siempre tienen claro lo que están autorizando. La SIC estableció unos parámetros claros para la recolección y el tratamiento de estos datos. Entre otros, indicó que los tomados para fines epidemiológicos no pueden ser ingresados a las bases de datos para publicidad, a menos que los titulares lo autoricen. Fuente: Cómo evitar los mensajes de texto que tienen fines publicitarios y no fueron autorizados (asuntoslegales.com.co)
Comercio Electrónico – Sociedad Cashless
Sin duda alguna, la pandemia del covid-19 ha acelerado la adopción de tendencias y tecnologías que definitivamente cambiarán el mundo y sedimentarán el camino a una nueva ola de innovaciones. Un mundo sin papel moneda o efectivo, puede haber sonado a ciencia ficción algunos años atrás, sin embargo, la adopción masiva del comercio electrónico, la flexibilidad de la banca tradicional, y la migración de nuestra vida cotidiana al mundo digital gracias a las órdenes de cuarentena, ha dejado claro, que un mundo sin efectivo es algo posible. Esta tendencia se denomina como una sociedad cashless, la cual ha empezado a desplazar con éxito el uso del efectivo poniendo a los pagos electrónicos y con tarjeta como el método de pago por preferencia entre las generaciones más jóvenes, incluso algunos prefieren usar estos métodos para que quede el registro de sus gastos y posteriormente evaluar sus presupuestos personales. Un movimiento global el cual parece ser imparable. En otras palabras, una sociedad sin dinero en efectivo es aquella en donde se ha producido un cambio profundo en su infraestructura de pagos. En ellas se ha llevado a cabo la eliminación total del dinero en efectivo para todo tipo de intercambio económico, personal, comercial e incluso financiero. Promoviendo exclusivamente pagos electrónicos y digitales como lo pueden ser tarjetas de débito, crédito, transferencias y el intercambio de dinero digital. Si bien es verdad que el efectivo aún es uno de los métodos preferidos para algunas generaciones y representa cerca de 85% de las transacciones comerciales a nivel global, este porcentaje ha ido decreciendo. Hoy en día es muy común que la personas -en especial los jóvenes- no lleven dinero en efectivo en sus bolsillos. Esto en parte se debe a la rápida adopción de aplicaciones que permiten transferencias de persona a persona, las facilidades que la banca electrónica proporciona y el boom de las compañías procesadoras de pagos como PayPal, Visa, MasterCard, Square, entre otras. De hecho, este cambio es el resultado precisamente de algo común en estas empresas; el auge del internet, la llegada de las computadoras personales y la adopción masiva de los teléfonos inteligentes, los cuales han creado una preferencia por lo digital, cambiando la forma en la que interactuamos, consumimos y pagamos. Por otra parte, precisamente las compañías procesadoras de pagos anteriormente mencionadas y el auge del comercio eléctrico a través de empresas como Amazon, eBay, Mercado Libre y Alibaba son el complemento perfecto para impulsar aún más esta mega tendencia. Todo esto ha resultado en que lo cotidiano sea de fácil acceso a través del pago de bienes y servicios con tarjetas, transacciones en línea incluso mediante dispositivos móviles. No es sorpresa que las nuevas generaciones como los millennials y la generación Z son las que más han intensificado esta transición. Estas generaciones se caracterizan por vivir en un periodo en el que se dio el inicio de la digitalización y la expansión masiva del internet, por lo que están acostumbradas al uso de pagos alternativos en su día a día. Incluso se estima que la generación Z, que son aquellos nacidos entre 1994 y el 2010, será la primera generación que logre dejar atrás el dinero en efectivo por completo. Si bien la tendencia por lo cashless es un fenómeno creciente, existen grandes retos pues los pagos en efectivo son una parte fundamental de la economía actual. Para que el efectivo sea realmente eliminado, deben realizarse cambios estructurales a nivel global, ya que por ejemplo pasar a una sociedad completamente cashless podría significar que millones de personas queden excluidas financieramente, ya que gran parte de la población mundial no tiene acceso a la banca tradicional. Esto enfatiza en la necesidad que los bancos, los gobiernos y las empresas de tecnología financiera trabajen juntos para garantizar una inclusión financiera, donde los más vulnerables, los que tienen menos recursos y las personas de la tercera edad no queden desprotegidos durante esta transición. Esta es una de las razones por la cual muchos economistas dicen que aún no estamos listos para migrar por completo del dinero en efectivo. Pero, por otra parte, en la gran mayoría de los casos, el efectivo se ha convertido en un problema con el que lidiar, independientemente de si eres un consumidor o un minorista. Teniendo esto en consideración, un estudio realizado por J.P. Morgan analizó la evolución histórica de las preferencias de los consumidores americanos en cuanto al uso de los diferentes métodos de pago tradicionales. Se encontró que para el año 2000, 47% de las transacciones fueron realizadas en cheques, mientras que el efectivo representaba 21% y las tarjetas de crédito y débito solo un 26% y 6%, respectivamente. En este análisis realizado pre-pandemia, se estima que para 2020 las transacciones en efectivo disminuyan a 15%, los cheques a 3% y las tarjetas de crédito y débito crezcan al 46% y 36% respectivamente. Por otro lado, en el mismo estudio se obtuvo, que para el año 2000, los pago realizados a través de tarjetas y de forma electrónica, representaron solo un 27% del gasto de consumo personal de los americanos. Se estima que para el 2022 estos medios de pago representaran un 67%. Cifra que seguro se quedara corta, con el efecto del coronavirus. Esto deja en evidencia que se está dejando atrás el uso de las formas tradicionales de pago, y que la idea de sociedad cashless se está convirtiendo en una realidad principalmente en las regiones más desarrolladas. De hecho, ciertos países como Suecia, Finlandia y Corea del Sur ya están haciendo movimientos importantes para crear una economía totalmente sin efectivo. Quizá el papel moneda está siguiendo poco a poco el mismo camino que antiguas tecnologías como las fotografías impresas, los casetes de música e incluso los DVD. Ahora bien, la pregunta que nace es si la pandemia también acelerará aquella transición a una sociedad sin efectivo. Fuente: Sociedad cashless (larepublica.co)
Protección de Datos – Cómo certificar un chat de WhatsApp para que funcione como prueba en un proceso judicial
Para garantizar la validez del mensaje de datos es necesario un análisis pericial, que certifique que no ha sido manipulado Una de las consecuencias de la aceleración digital que trajo la pandemia es que prácticamente todo está alojado en este ecosistema. Esto es válido, también, para las pruebas de los delitos, pues en la eventualidad de que se quieran denunciar situaciones como, por ejemplo, amenazas recibidas por correo electrónico, el material probatorio es virtual. Lo anterior ha hecho que cobre cada vez más importancia la certificación de evidencia digital y prueba de eso es el crecimiento de compañías dedicadas a ello como Adalid, Ratsel, FTI o Investigaciones Estratégicas. La evidencia digital, como está definida en la Ley 527 de 1.999, es toda la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Es decir, entran en esta categoría los chats, correos electrónicos, mensajes de texto o notas de voz. Podría pensarse que hacer un pantallazo de Whatsapp o imprimir un correo electrónico es suficiente para probar ante un juez la existencia de la conducta delictiva denunciada. Sin embargo, explicó el penalista Alejandro Mejía, de Cáez Muñoz Mejía, que en Colombia se debe garantizar que las pruebas alojadas en el entorno digital sean auténticas e inalterables. “Hay muchos programas para editar y modificar todo, por eso, a diferencia de lo que sucede en países como Ecuador, la evidencia en Colombia solamente se admite como prueba directa confirmatoria si hay un análisis pericial que garantice que la huella digital del documento no ha sido alterada y se conserva su autenticidad”, explicó Mejía. Esto, en otras palabras, quiere decir que un pantallazo de Whatsapp puede dar al juez indicios de que se cometió la conducta, pero solo se admite como prueba si un perito certifica que no ha sido modificado. Para cumplir con los requisitos de validez jurídica, un mensaje de datos debe tener las siguientes condiciones: estar escrito, es decir, que se pueda acceder para su posterior consulta en su formato original; y estar firmado. “Todos tenemos identificadores en los sistemas de información, como son las contraseñas, huellas, o los correos electrónicos. Estos son nuestra firma digital, y para que los mensajes cumplan con este requisito de validez debe poder verificarse de quién viene la evidencia. Por ejemplo, para un chat sería nuestro número de celular”, explicó Axel Díaz, director del laboratorio de informática forense de Adalid Corp. Además, el mensaje de datos aportado como evidencia debe mantenerse original e íntegro, lo que quiere decir que debe estar completamente inalterada la información que contiene. Esto se hace a través de un hash, que es algoritmo que extrae del interior del mensaje un código alfanumérico que cumple las veces de huella y este permite demostrar si la evidencia fue modificada de alguna manera. Fuente: Cómo certificar un chat de whatsapp para que funcione como prueba en un proceso judicial (asuntoslegales.com.co)
Protección de Datos – Facebook denuncia a la página que copió 100.000 cuentas de Instagram
Facebook ha presentado una denuncia contra el propietario de una página web que copió los datos de 100.000 cuentas públicas de Instagram y que los utilizó para crear una red de sitios clones de la red social. El propietario de la página web, Ensar Sahinturk, utilizó un ‘software’ de automatización con el que obtuvo información pública de las cuentas, como sus imágenes, vídeos, publicaciones e información de la cuenta, si el permiso de los usuarios ni de Instagram, como ha asegurado Facebook en un comunicado. Con la información de estos 100.000 perfiles, Sahinturk elaboró una red de sitios web clones, en la que cualquier persona podía buscar los perfiles de Instagram por su nombre y acceder a sus datos. Las normas de la comunidad de Instagram prohíben la copia masiva de datos de los usuarios, aunque sean públicos, ya que esto “socava la privacidad de las personas y la capacidad de controlar su información”, como ha denunciado la empresa estadounidense. La compañía desactivó inicialmente las cuentas de Instagram y Facebook del acusado y le pidió que cesara su actividad, pero al no hacerlo ha presentado ahora una denuncia contra él en Estados Unidos. Fuente: Facebook denuncia a la página que copió 100.000 cuentas de Instagram | EL ESPECTADOR
Protección de Datos – Superindustria expide Guía para la Gestión de Incidentes de Seguridad en el Tratamiento de Datos Personales
Superindustria expide Guía para la Gestión de Incidentes de Seguridad en el Tratamiento de Datos Personales La Superintendencia de Industria y Comercio y su Delegatura para la Protección de Datos Personales lanzaron la “Guía para la Gestión de Incidentes de Seguridad en el Tratamiento de Datos Personales”, un documento con sugerencias para los responsables y encargados del tratamiento de datos, que presenta varias herramientas útiles a la hora de afrontar incidentes de seguridad que afecten los Datos Personales bajo su custodia. La Guía muestra adicionalmente, cómo gestionar estos incidentes y plantea la necesidad de tener presentes factores como el diseño de las actividades del tratamiento, el complemento de las políticas de seguridad de la información y protección de datos; y la ética corporativa de las empresas. El documento explica también cómo actuar ante los reportes de incidentes de seguridad cuando se acude a encargados del tratamiento, la conservación de registros internos, el protocolo de respuestas en el manejo de incidentes de seguridad y sus medidas preventivas dentro de una organización, y, enseña la importancia de contar con un equipo de respuesta ante estos eventos. El contenido plasmado en esta Guía está basado en el marco normativo de la Ley 158 de 2012, la cual establece que, la información sujeta a tratamiento por el responsable o encargado de este, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Así mismo, en su artículo 19 dicha ley resalta que: “La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley”. Por esta razón, el principio y el deber de seguridad como medida preventiva obliga a los responsables o encargados del tratamiento a adoptar las medidas necesarias para evitar posibles afectaciones a la seguridad de los datos. Sin embargo, en caso de que estas medias fallen las organizaciones deben estar preparadas para mitigar los riesgos y daños que se pueden causar a los derechos y libertades fundamentales de los Titulares y a las organizaciones mismas. Finalmente, la Superindustria aclaró que, si bien la Guía comprende los temas más relevantes en el tema de incidentes de seguridad para tratamiento de datos, es importante que los interesados consulten toda la normativa vigente sobre la materia para adoptar medidas específicas dependiendo las particularidades de cada organización. Ver Guía Fuente: Editar entrada ‹ Protecdata — WordPress (protecdatalatam.com)
Ciberseguridad – Jupyter, el peligroso virus de origen ruso que está robando información y dinero
En las últimas semanas ha comenzado a ver la luz el malware (o virus informático) Jupyter, que llevaba «hibernando» desde el verano, o incluso antes, en miles de dispositivos electrónicos de todo el mundo. Según informa la empresa de ciberseguridad española Panda Security, se trata de un nuevo troyano creado por cibercriminales de origen ruso (o que al menos se comunican en ese idioma) para robar toda la información almacenada en los «llaveros» de los ordenadores y móviles de sus víctimas. Una vez instalado en un ordenador o un móvil, este virus es capaz de acceder a todos los usuarios y contraseñas que hay almacenados en los navegadores Chrome y Firefox. Por tanto, los cibercriminales que lo han desarrollado pueden, potencialmente, hacerse con todos los perfiles de un usuario si los tiene almacenados en su equipo. De este modo, obtienen acceso a la cuenta corriente, a todas las tarjetas de crédito, a todas las tiendas online en la que haya hecho compras y, por supuesto, al correo electrónico y redes sociales de sus víctimas. Pero el mayor riesgo de esta nueva ciberamenaza es que además de recopilar datos, su código está diseñado para dejar puertas traseras abiertas en los sistemas que infecta, con lo que es más fácil que sean víctimas de algún otro ataque de robo de datos. A su vez, el malware se actualiza cada vez que los desarrolladores de antivirus avanzan en su detección. De este modo, cada vez que la industria legítima da pasos para detectar este malware, sus creadores lo actualizan para pasar desapercibidos. La amenaza de las puertas traseras que deja abiertas este virus se debe a que, además de robar las credenciales de acceso a las redes sociales, email o incluso tiendas online y banca digital, los cibercriminales pueden dejar el ordenador «esperándoles» para que puedan acabar el robo directamente desde el ordenador de sus víctimas. Es decir, los delincuentes pueden fácilmente acceder al ordenador de una víctima, «recolectar» toda la información que han robado y, de paso, instalar más malware con el que minar criptomonedas o infectar del mismo virus otros dispositivos. «La industria del malware es un negocio tan lucrativo que los grupos organizados de cibercriminales utilizan las mismas estrategias de mantenimiento que las grandes empresas de software. Al igual que todas las empresas legítimas van liberando actualizaciones de software para actualizar los sistemas operativos o las apps, los piratas informáticos que han desarrollado Jupyter también van liberando las suyas», señala Hervé Lambert, responsable de operaciones de Panda Security. Sin ir más lejos, los creadores de Jupyter lanzaron la última actualización de su software en la segunda semana de noviembre. No obstante, ha habido otros periodos del año con mucha más actividad de mantenimiento, como durante el mes de mayo, cuando los ciberdelincuentes liberaron hasta nueve «parches» de su código para evitar los sistemas de seguridad. Fuente: Jupyter, el peligroso virus de origen ruso que está robando información y dinero (abc.es)
Autenticación Digital – De las firmas escaneadas y otros demonios
Los primeros documentos firmados en la historia de la humanidad están en restos óseos. Así, el hueso de Ishango es el peroné de un babuino encontrado cerca de una de las fuentes del Nilo, en la República Democrática del Congo. Parece haber sido usado para contar, haciendo marcas, tiene 20.000 años, con el grabado de su autor y su firma. Ahora bien, los primeros contratos “escritos” de la humanidad se hicieron con tierra, una bulla era una especie de sobre de arcilla en el que se metían piezas también de arcilla. El conjunto era un contrato: lo que se escribía afuera y lo que se encontraba adentro confirmaban los términos, más el símbolo de las partes que constituía una firma. Eso fue hace más de 7.000 años. En la actualidad, en vista del panorama de salud, se están firmando, por regla general, todos los documentos de forma electrónica. Correos, links, chats, zooms, lives y redes son nuestro día a día. Es difícil pensar o imaginar cómo en 7, 70, 700 o 7.000 años lo verán los habitantes de este u otros planetas, para saber lo que acá ocurrió y, lo más inquietante, saber si en el corto plazo estos documentos tendrán alguna validez jurídica y probatoria. Vínculo jurídico Sin ir más allá en los preludios, recordemos que una firma es el vínculo jurídico que existe entre una persona y un documento, es un símbolo de aceptación del contenido de algo. Es tan importante que existe alrededor todo un sistema de garantías, que van desde la creación de un proceso notarial, hasta la obtención de complejos sistemas algorítmicos en las firmas digitales. Así las cosas, por medio de las firmas se crean, constituyen, traspasan, renuncian, sustituyen, obligan, delegan y derogan derechos y obligaciones. En fin, son de gran importancia y, por ello, en su creación se deben tener unos mínimos de fiabilidad y garantizar su autenticidad o, a falta de esta, prever métodos con los que se pueda corroborar, que, como veremos, están regulados hace bastante tiempo. En primer lugar, debemos tener en cuenta la normativa que existe en Colombia respecto a las firmas electrónicas. De esta forma, la Ley 527 de 1999, en su artículo 7º, las define, al tiempo que el Conpes 3620 del 2009 recomendó promover el uso de firma electrónica como medio alternativo a la firma digital. Por otro lado, el Decreto 019 del 2012 autorizó la creación de certificados de firma electrónica y firma digital para las entidades de certificación y el Decreto 2364 del 2012 dispuso como firma electrónica “métodos tales como códigos, contraseñas, datos biométricos o claves criptográficas privadas, que permiten identificar a una persona, en relación con un mensaje de datos …”. Con esto, estableció como requisito de confiablidad dos características que deberán ser concomitantes: “1. Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante. 2. Es posible detectar cualquier alteración no autorizada del mensaje de datos, hecha después del momento de la firma”. Finalmente, el Decreto 620 del 2020 estableció los mecanismos de autenticación y firma de documentos electrónicos. Ahora bien, me sorprendió que el Decreto 806 del 2020 haya incluido una norma en la que valida el otorgamiento de poderes judiciales con tan solo la “antefirma” (el nombre de la persona). En mi opinión, este es un retroceso en los procesos de confianza en el sistema judicial y en los propios documentos, pues, además de desconocer toda la normativa en materia de firmas electrónicas que existe en Colombia, genera un grave riesgo desde el punto de vista documental, dejando casi desprovistos de armas a los jueces al identificar firmas y documentos idóneos, que seguro se prestarán para miles de problemas. Tipos de firmas electrónicas Por lo anterior, es importarte entender los tipos de firmas electrónicas, algunos ejemplos de las mismas y qué no es una firma electrónica. – Firma electrónica. Son métodos tales como códigos, contraseñas, datos biométricos o claves criptográficas privadas que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando este sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente. Hay tres tipos de firma electrónica: simple, biométrica y digital (D. 2364 de 2012) – Firma electrónica simple-compleja. Es una firma electrónica simple, a la que se le añade un medio adicional de verificación o firma, como un sistema de confrontación de información, una OTP (One Time Password), mensaje de texto de verificación, u otro similar, regulada por el Decreto 2364 del 2012. La firma electrónica simple-compleja puede ser activa o pasiva. La primera es cuando el firmante proporciona directamente el sistema de verificación adicional, mientras que la segunda es cuando es el sistema el que la valida. – Firma electrónica biométrica. Son firmas electrónicas en los que la identidad del firmante queda asociada a la captura o el cotejo de sus datos biométricos, que pueden ser de distintos tipos: iris, rostro, huella o voz, entre otras. Está regulada por el Decreto 2364 del 2012. – Firma digital. Es un valor numérico adherido a un mensaje de datos que permite determinar, de un lado, la identidad del creador del mensaje y, del otro, que dicho mensaje no ha sido modificado posteriormente. Se encuentra regulada por los ar-tículos 2º, 7º y 28 de la Ley 527 de 1999. Las firmas digitales son emitidas por una entidad de certificación avalada por el Organismo Nacional de Acreditación (Onac). Ejemplos de firmas electrónicas más comunes A continuación, daremos algunos ejemplos de las firmas electrónicas más comunes: (i) Identificación de registro. Los datos de registro utilizados por el sistema se podrán usar como firma, es decir aquella información capturada del usuario directamente o por intermedio del sistema, como sus datos personales, incluso biométricos, los logs o registros de conexión, la dirección IP y cualquier dato unido a esta información o el conjunto de la misma. (ii) Datos de navegación. Se podrán capturar como firma o parte de la misma los
Protección de Datos – Colombia es elegida presidenta de la red iberoamericana de protección de datos personales
Colombia a través de la Superintendencia de Industria y Comercio, en su rol de Autoridad Nacional de Protección de Datos Personales, fue elegida como Presidenta de la Red Iberoamericana de Protección de Datos Personales (RIPD) por las autoridades que integran dicha red. La RIPD fue creada en 2003 y actualmente está integrada por 34 organizaciones. 16 de ellas son las autoridades de protección de datos de México, Andorra, España, Argentina, Chile, Colombia, Costa Rica, Panamá, Perú, Uruguay y Portugal, y 18 son observadores dentro de los cuales se destacan la Organización de Estados Americanos (OEA), el Supervisor Europeo de Protección de Datos, el Comité Consultivo del Convenio 108 del Consejo de Europa, entre otros. Desde sus orígenes, la RIPD ha actuado como un foro integrador de los sectores público y privado que desarrollan iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica, buscando fomentar y mantener un permanente intercambio de información, experiencia y conocimiento etre la Red. Adicionalmente, la RIPD representa un equipo de cooperación entre autoridades de protección de datos para adelantar investigaciones de gran impacto sobre eventuales vulneraciones de los derechos de las personas respecto de la recolección, uso, circulación y tratamiento de sus datos personales. Durante los últimos 2 años la delegatura de datos personales de la Superintendentencia de Industria y Comercio ha impuesto más de 140 multas por un valor superior a los 14 mil millones de pesos. Fuente: Colombia es elegida presidenta de la red iberoamericana de protección de datos personales | Superintendencia de Industria y Comercio (sic.gov.co)
Ciberseguridad – Alerta por virus que roba datos financieros en dispositivos Android
¡Ojo! Varias páginas especializadas en tecnología han alertado sobre los planes de expansión mundial de un software malicioso (malware) que hace parte de los llamados troyanos bancarios cuyo objetivo es robar la información financiera de los usuarios de dispositivos móviles y, posteriormente, su dinero. Se le conoce como Ghimob y está ‘emparentado’ con las generaciones de troyanos Guildma, los cuales han amenazado la seguridad informática en varios países latinoamericanos desde 2015, cuando se activaron por primera vez, según el portal especializado ‘iT Digital Security’. No obstante, los Guildma, no recibieron la atención de gran parte de la opinión pública, sino hasta principios de 2019, cuando se reportaron miles de cibervíctimas, en especial de Brasil. En su momento el portal noticioso de ciberseguridad ‘WeLiveSecurity’ describió el Guildma como «el troyano bancario más impactante y avanzado en América Latina». En principio, esta familia de virus solo afectaba sistemas operativos Windows ingresando mediante correos no deseados (‘spam’) en los que se adjuntaban archivos que, al ser descargados, le ‘abrían la puerta’ al troyano. Guildma fue descrito por ‘WeLiveSecurity’ como el troyano más avanzado de América Latina Tal como aclaró ‘WeLiveSecurity’, los archivos maliciosos venían acompañados de mensajes de alerta, solicitudes de ayuda y hasta podían disfrazarse como comunicaciones internas de los bancos. «¿Me podrías decir qué significan estas fotos? Quedo atento de su explicación«, fue el ejemplo que hizo el mismo portal de uno de los formatos más usados por los ciberdelincuentes. Las personas, en ocasiones, descargan las supuestas imágenes y el troyano hace de las suyas en los dispositivos. Ghimob, entonces, podría ser definido como una ‘mutación’ o versión de los Guildma, pero con la capacidad para afectar sistemas Android. Diseccionando a Ghimob Una de las características más mencionadas de Ghimob por portales especializados es que puede ocultar su verdadero servidor de administración, lo cual dificulta su detección. Este troyano ingresa a los dispositivos haciendo uso de instaladores falsos de aplicaciones que se alojan en páginas administradas por Guildma y a las que solo se puede acceder desde el navegador. Esto quiere decir que Ghimob no se encuentra en Google Play, por lo que descargar aplicaciones bancarias oficiales desde esa tienda no supone ningún riesgo en este caso. Además, la compañía Secure List advierte que el ‘modus operandi’ de las páginas en línea maliciosas incluye ofrecimientos de enlaces para resolver dudas. Ghimob NO se encuentra en Google Play «La app se camufla como Google Defender, Google Docs, WhatsApp Updater, etc.», es entonces cuando se enlaza la descarga del archivo malicioso (.APK), que es el usado en las instalaciones de aplicaciones en Android. Una vez dentro, el virus evita que apague o reinicie su dispositivo si intenta eliminar al troyano de forma manual. También es capaz de grabar el patrón de seguridad e intervenir en operaciones bancarias sin consentimiento del usuario. Por otro lado, sobre los alcances de sus ‘tentáculos’, Secure List añade que Ghimob tiene la capacidad de espiar 153 aplicaciones móviles «primordialmente de bancos, fintechs, criptomonedas y apps de inversiones», repartidas en 112 brasileñas y el resto en sistemas de pago internacionales y bancos de Alemania, Portugal, Perú, Paraguay, Angola y Mozambique. Asimismo, tiene planes de expandirse a otros países, como China, India y Estados Unidos, pero ninguno se descarta por el momento. Recomendaciones de ciberseguridad Aunque hasta el momento en Colombia no se ha documentado ninguna víctima de Ghimob, los expertos de las fuentes mencionadas puntualizan que la mejor prevención es desconfiar de cualquier página web sospechosa para descargar aplicaciones. Si una app está disponible en Google Play, es preferible descargarla desde ahí y no desde una página web. Del mismo modo, Secure List les pide a las instituciones financieras “estar vigilantes ante estas amenazas, que mejoren sus procesos de autenticación, sus tecnologías antifraude y su inteligencia de datos de amenazas” Por último, no descarte usar herramientas de seguridad pagas que puedan detectar a troyanos de acceso remoto (RAT, por sus siglas inglés). Tendencias EL TIEMPO Fuente: https://www.eltiempo.com/tecnosfera/dispositivos/alerta-por-virus-que-roba-datos-financieros-en-dispositivos-android-548750
