Protección de Datos – Presentan sistema para pagar con la palma de la mano
Amazon presentó un nuevo sistema de pago biométrico que utiliza el reconocimiento de la palma de la mano y que podrá utilizarse como reemplazo de credenciales de entrada en estadios o lugares de trabajo. El sistema llamado Amazon One fue promocionado como «una forma rápida, conveniente y sin contacto para que las personas usen la palma de la mano para realizar actividades cotidianas como pagar en una tienda, presentar una tarjeta de cliente, ingresar a un lugar como un gimnasio o al trabajo con más facilidad«. El gigante tecnológico estadounidense dijo que instalaría el sistema en sus tiendas minoristas de Amazon Go, comenzando con dos tiendas en la ciudad que la vio nacer, Seattle, en Washington. El vicepresidente de Amazon, Dilip Kumar, dijo que el sistema se desarrolló como «una forma rápida, confiable y segura para que las personas se identifiquen o autoricen una transacción mientras avanzan sin problemas durante el día». Amazon dijo que los datos biométricos estarían «protegidos por múltiples controles de seguridad». Foto: Amazon Amazon One utiliza la palma «única» de cada individuo, una alternativa a otros identificadores biométricos como el reconocimiento de huellas dactilares, de iris o facial. «No hay dos palmas iguales, así que analizamos todos estos aspectos con nuestra tecnología y seleccionamos los identificadores más distintivos en su palma para crear su firma«, explicó Kumar en una publicación de blog. Amazon dijo que los datos biométricos estarían «protegidos por múltiples controles de seguridad y que las imágenes de la palma de la mano nunca se almacenan en el dispositivo Amazon One», sino que se envían a un «área altamente segura que construimos en la nube». La compañía dijo que estaba «en discusiones activas con varios clientes potenciales», que podría incluir a otros minoristas, pero no ofreció detalles. AFP Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/amazon-one-sistema-para-pagar-con-la-mano-540533
Autenticación Digital – Mecanismos fuertes de Identificación Digital
Según el más reciente estudio ‘Tendencias Cibercrimen Colombia 2019-2020’, de la Cámara Colombiana de Informática y Telecomunicaciones -CCIT-, los principales vectores de engaño en la web en 2019 fueron: • Correos fraudulentos personalizados: 80% • Suplantación de identidad: 60% • Enmascaramiento de correos (Spoofing): 58% • Infección de sitios frecuentemente visitados por empleados (Watering Hole): 37% Por lo anterior, es importante que en el país le prestemos mayor atención a la autenticación digital, es decir, al proceso de validación de identidad de un cliente, entidad o usuario por medios digitales. Todas las entidades que prestan algún servicio, comercializan o distribuyen algún bien, deben surtir con su cliente un proceso de validación de identidad para, por ejemplo, abrir una cuenta de ahorros o corriente, asignar un cupo de crédito, entregar una tarjeta de crédito, vender un celular, efectuar un giro nacional o internacional, tramitar la licencia de conducción o sacar la libreta militar. Todos estos trámites se realizan, por lo general, de manera presencial, aunque en los últimos años se ha tenido avances en seguridad muy importantes como la biometría dactilar consultando las bases de datos de la Registraduría Nacional. El Sistema Automatizado de Identificación Dactilar Colombiano (AFIS por sus siglas en inglés) es una base de datos que sirve para verificar la identidad de una persona a través de las características de sus huellas dactilares. El reto que tiene el país, y que se vio acentuado ante la pandemia, es realizar todos estos trámites de manera virtual sin necesidad de acudir físicamente a las instalaciones del prestador del servicio, banco, empresa de telecomunicaciones, entidad del estado, etc. En este escenario es donde la autenticación digital y la identidad digital han cobrado especial importancia. MECANISMOS FUERTES DE AUTENTICACIÓN DIGITAL Para lograr una identificación digital segura, se necesitan mecanismos fuertes de autenticación que deben ser combinados simultáneamente. Estos son: • Algo que se sabe: contraseña o PIN • Algo que se tiene: token físico o dispositivo móvil • Algo que se es: rasgos biométricos, huellas dactilares, rostro, iris, etc. La Circular 029 de 2019 de la Superintendencia Financiera precisó que los mecanismos fuertes de identificación digital son los siguientes: • Biometría • Certificados de firma digital • OTP (One time password) • Tarjetas que cumplan el estándar EMV Biometría: Las huellas dactilares, retina, iris, patrones faciales, venas de la mano o geometría de la palma de la mano representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). Algunos rasgos biométricos, como la voz, comparten aspectos físicos y del comportamiento. Certificados de firma digital: La Ley 527 de 1999 creó las Entidades de Certificación como terceros de absoluta confianza en el entorno digital, con el fin de que estas entidades, como Camerfirma Colombia, acreditas por el Organismo Nacional de Acreditación en Colombia (Onac), sean las encargadas de emitir las firmas digitales de las personas. Este es un mecanismo digital de firma de documentos (contratos, resoluciones, notificaciones etc.), sustituyendo la tradicional firma manuscrita, con el valor agregado que dicho mecanismo goza de una presunción legal de autenticidad e integridad y por tanto de no repudio que le otorga la ley. Tarjetas que cumplan el estándar EMV: Son las tarjetas con chip. En Colombia llegaron ya hace varios años y remplazaron las que tenían banda magnética. Con ello se eliminó el fraude del “cambiazo” o la “clonación de la información de la banda magnética”. Ahora los delincuentes emplean otras técnicas para engañar al usuario haciéndole creer que debe cambiar el plástico y cuando recogen el plástico, supuestamente obsoleto, extraen la información del chip. Recientemente se expidió el Decreto 620 de 2020 y la Ley 2052 de 2020, donde se regula el modelo de servicios ciudadanos digitales que regirá en el país, y en donde la autenticación digital es uno de los servicios base del modelo que está enfocado, precisamente, en niveles de confianza donde en los niveles bajo y medio se encuentran las firmas electrónicas como pueden ser las claves y contraseñas, y en los niveles alto y muy alto, encontramos los certificados de firma digital, biometría facial y cédula de ciudadanía digital, siendo dichas normas concordantes con los lineamientos que en ese sentido ha emitido la Superintendencia Financiera de Colombia. LA IMPORTANCIA DE LA BASE DE DATOS CON LA QUE SE VERIFIQUE LA IDENTIDAD Si bien es cierto que los mecanismos fuertes de identificación como la biometría son recomendables, e incluso obligatorios para ciertos sectores, éstos también están sujetos a fraudes. Así las cosas, a pesar de que se utilice biometría de iris o de la palma de la mano o comportamental, siempre existe la posibilidad de fraude si la fuente (base de datos) contra la que se coteja no es altamente segura o confiable. Para realizar una biometría altamente segura la recomendación es hacer uso de bases de datos públicas, confiables y altamente seguras. Estas son las bases de datos de la Registraduría Nacional: el Archivo Nacional de Identificación (ANI) y las bases de datos biométricas de huella (AFIS) y facial (ABIS), así como bases de datos financieras, y empresariales como el Registro Único Empresarial (RUES). Es importante precisar que la registraduría solo administra base de datos facial y dactilar, no posee bases de datos de iris o de la voz. Así las cosas, cuando los trámites son presenciales, se puede hacer uso de la biometría de huella o facial. En cambio, para trámites virtuales, se impone la biometría facial en combinación con otros factores de autenticación, siempre consultando bases de datos públicas, fiables, actualizadas y seguras. Para finalizar, un número importante de entidades financieras ha implementado la biometría facial, pero las bases de datos contra la que se coteja la información no son altamente confiables. Algunas están enrolando a sus clientes y cotejan su rostro frente a la foto de la cédula o la foto de la huella frente a la que aparece en la cédula. No obstante, aquí se presentan los siguientes inconvenientes: 1. Si la cédula
Conservación de Documentos – Así se debe allegar un título valor dentro de una demanda presentada como mensajes de datos
Inicialmente, la Sala Civil del Tribunal Superior de Bogotá precisó que, desde la vigencia del Código General del Proceso, las actuaciones judiciales pueden realizarse a través de mensajes de datos según el inciso 2 del artículo 103, lo cual fue reiterado por el artículo 2 del Decreto Legislativo 806 del 2020. En tal sentido, ninguna restricción puede fijarse, por vía de interpretación judicial, para impedir que las partes utilicen medios tecnológicos en todos sus actos procesales. La Corporación también indicó que el uso de las tecnologías de la información y la comunicación (TIC) es un deber de quienes intervienen en un proceso judicial, según el Decreto 806, y es de mayor importancia para las autoridades judiciales, por cuanto tienen el compromiso constitucional y legal de facilitar el acceso de los usuarios de la administración de justicia (Artículo 229 de la Constitución Política). Así las cosas, no es aceptable que interpretaciones ancladas en situaciones de normalidad, las cuales fueron alteradas por la pandemia que originó el aislamiento obligatorio (hoy selectivo), se impida el ejercicio de los derechos reconocidos en la ley sustancial. Por ello, los jueces no pueden adoptar posturas restrictivas sobre normas que autorizan adelantar todas las actuaciones judiciales a través de mensajes de datos. Sumado a ello aseguró que todas las demandas, sin importar la clase de proceso (declarativo, ejecutivo, liquidatorio, etcétera), pueden presentarse como mensaje de datos, sin necesidad de firma digital, siendo suficiente la firma electrónica. Conservación del documento Acorde con ello, el Tribunal Superior de Bogotá enfatizó que si la demanda se radica en esta forma, esto es, como mensaje de datos, todos sus anexos, entre ellos el documento que preste mérito ejecutivo, deben allegarse en medio electrónico. Entonces, ninguno de estos documentos se debe aportar en copia física, ni para el archivo, ni para el traslado y si ello es fundamental el juez debe abstenerse de exigir formalidades innecesarias. En conclusión, no es aceptable que el título valor deba allegarse como documento adjunto, bajo el entendido de que es el original el que soporta la pretensión ejecutiva. Ahora su conservación le corresponde al ejecutante y no al juzgado, como solía suceder. El tema es de conservación del documento y no de aportarlo (M. P. Marco Antonio Alvarez Gómez). Tribunal Superior de Bogotá, Oct. 1/20. Fuente: https://www.ambitojuridico.com/noticias/civil/civil-y-familia/asi-se-debe-allegar-un-titulo-valor-dentro-de-una-demanda-presentada
Protección de Datos – Superindustria sanciona a Sodimac Colombia y le ordena eliminar información por infringir ley de datos personales
Bogotá D.C., 25 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a SODIMAC COLOMBIA S.A. (propietaria HOMECENTER) con una multa de $200.004.519, luego de concluir que SODIMAC a través de sus almacenes HOMECENTER recolecta datos de sus clientes sin obtener la autorización previa, expresa e informada de los mismos. La decisión, que se tomó mediante la Resolución 59001 del 24 de septiembre de 2020, surgió con ocasión de una denuncia ciudadana mediante la cual desde la dirección info@homecenter.co le remitieron un mensaje solicitando su autorización con la siguiente frase: “Cuando no hago clic en la opción ‘ACEPTO’, autorizo a Sodimac Colombia S.A. como consta en el AVISO DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR (…).«. La SIC precisó que los “avisos de privacidad” no equivalen a la autorización previa, expresa e informada que exige la ley para poder recolectar y usar los datos de los ciudadanos. La SIC recordó que la regulación colombiana expresamente prohíbe utilizar “medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales” Adicionalmente, la SIC le ordenó a SODIMAC lo siguiente: – Dejar de utilizar “avisos de privacidad” como mecanismo para obtener la autorización – Suprimir todos los datos personales que haya obtenido con el sólo uso de “avisos de privacidad” como mecanismo para obtener el consentimiento de las personas. De conformidad con la información reportada al Registro Nacional de Bases de Datos, SODIMAC recolecta y trata datos de más de 16 millones de clientes. Contra la decisión procede recurso de reposición y de apelación. Ver Resolución Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-sodimac-colombia-y-le-ordena-eliminar-informaci%C3%B3n-por-infringir-ley-de-datos-personales
Protección de Datos – ¿Qué debe hacer una persona a la que le ha sido suplantada su identidad?
La propagación del coronavirus (covid-19) y las medidas de confinamiento emitidas por los gobiernos nacional y regionales han incrementado el uso de tecnologías y el surgimiento de distintos emprendimientos. Pero el lado oscuro es el rastreo de información y la multiplicación de casos de suplantación de identidad. Esta conducta, que consiste básicamente en hacerse pasar por alguien, ya sea en el ámbito físico o digital, mediante la disposición real o falsa de documentos de identidad o el alcance a datos personales o imágenes caracterizadoras, se ha facilitado precisamente por el avance de las nuevas tecnologías. Uno de los casos de suplantación de identidad más comunes termina en contratos de prestación de servicios con operadores de telecomunicaciones, que del 1 de enero al 31 de julio de este año dio lugar a la presentación de 1.904 quejas ante la Superintendencia de Industria y Comercio (SIC), frente a 1.705 presentadas en el año 2019 y 767 en el 2018 durante el mismo periodo. Teniendo en cuenta este alarmante aumento presentado el año pasado frente al 2018 (122 %), la SIC envió una comunicación a las empresas de telecomunicaciones con algunas peticiones concretas encaminadas a evitar la vulneración al derecho fundamental de protección de datos personales, sobre las cuales valdría la pena evaluar su cumplimiento, así: Contactar a las personas respecto de las cuales posean prueba de autorización previa, expresa e informada, según lo exige la Ley 1581 del 2012. Respectar y garantizar el derecho de supresión de los datos personales de contacto cuando son utilizados para fines comerciales. Suspender el uso del número telefónico y demás datos de contacto para fines publicitarios y comerciales, cuando así lo requiere o solicite el titular de dichos datos. Impartir instrucciones para que las actividades de publicidad u ofrecimiento de servicios y productos se realicen en días y horarios que no afecten la intimidad familiar o el horario de descanso. Pasos a seguir Una persona que es víctima de suplantación de identidad debe tener en cuenta que es muy importante cerrar sus sesiones de cuenta en todos los dispositivos (celular y computador, entre otros), cambiar las claves de sus correos en bancos, modificar las configuraciones de privacidad de sus equipos e informar a las entidades financieras y comerciales con las que tiene negocios acerca del hecho, para evitar un nuevo evento relacionado. Debe acudir a la estación de policía más cercana o a la Fiscalía General de la Nación para denunciar el delito de falsedad personal del que ha sido víctima, radicar una alerta de suplantación de identidad ante los operadores de información financiera y, así mismo, verificar ante estos quién ha consultado su historial crediticio, lo cual le permitirá saber si han tratado de suplantar su identidad para realizar negocios a su nombre. Adicionalmente, debe presentar un reclamo a la empresa ante la cual ocurrió la suplantación, es decir, ante el operador de telecomunicaciones, si es el caso, y, finalmente, acudir a la SIC y radicar una queja ante la Delegatura de Protección de Datos Personales o, en tiempos de pandemia, acudir a los servicios de SIC Facilita, a través de la página web www.sic.gov.co. De acuerdo con la información que maneja la SIC, a pesar de que los operadores de telecomunicaciones han adoptado medidas, los casos de suplantación de identidad se siguen presentando. Se han radicado 906 quejas ante la Delegatura de Protección de Datos Personales y 998 a través de la plataforma SIC Facilita. Estas últimas han sido particularmente contra las empresas Claro, Movistar, Tigo, Direct TV, ETB y Avantel, las cuales tienen el reto de mejorar las condiciones de seguridad y protocolos para evitar daños a sus clientes y generar más confianza. Dichos protocolos deben estar en constante evaluación y monitoreo, pues los suplantadores están innovando y perfeccionando su actuar delictivo de manera permanente. Conductas del ciudadano Frente a este panorama es también responsabilidad de los ciudadanos cooperar en la mitigación de estas situaciones, con conductas como no suministrar información a cualquier persona ni publicar datos personales, como el número o la fotocopia de la cédula de ciudadanía en redes sociales digitales, y ser más cautos y reservados con su información personal, de manera que los suplantadores no la tengan fácil. Otra sugerencia es que las personas estén revisando de manera periódica ante las centrales de información financiera su historial crediticio, porque allí queda huella de quiénes están mirando su comportamiento de pago. Si una persona se da cuenta de que alguien que no conoce y ni siquiera vive en la misma ciudad realizó alguna consulta en su historial crediticio, debe tomar esta conducta como sospechosa e informar de manera inmediata a la empresa que consultó si nunca ha estado allí, ni ha solicitado un crédito o servicio. Denuncia penal La persona que es víctima de suplantación de identidad debe informar a las autoridades sobre la ocurrencia del hecho. Puede hacerlo a través de la plataforma Adenunciar con el ítem falsedad en documento, que está previsto en las páginas www.fiscalia.gov.co y www.policia.gov.co. Adicionalmente, la Fiscalía General de la Nación cuenta con la línea 122 y las líneas gratuitas 0180000919748 o local para Bogotá y Cundinamarca 5702000, opción 7. También se puede escribir a los correos electrónicos denunciaanonima@fiscalia.gov.co y hechoscorrupcion@fiscalía.gov.co. Entre el 20 de marzo y el 19 de agosto del 2020 se encuentran activas en la Fiscalía en fase de indagación 2.962 denuncias por falsedad personal, en los términos del artículo 296 del Código Penal. Dependiendo del marco de suplantación, se pueden presentar delitos más graves como acceso abusivo a sistema informático, falsedad en documento público y falsedad en documento privado, entre otros. Si se trata solo de suplantación de identidad, en el Código Penal y para efectos de la denuncia en cuestión se regula como falsedad personal. Sara Milena Cruz Abril Redactora Fuente: https://www.ambitojuridico.com/noticias/penal/mercantil-propiedad-intelectual-y-arbitraje/que-debe-hacer-una-persona-la-que-le-ha
Protección de Datos – ¿Quién responde por la afectación de los derechos de imagen y buen nombre en redes sociales?
Sin que sea el derecho comparado el asunto de este artículo, un dato importante pondrá en evidencia el rezago de nuestra legislación en un tema que parece novedoso, pero que no lo es en absoluto. La responsabilidad de los llamados “intermediarios tecnológicos” está definida -por lo menos normativamente- desde el año 2000, en la Directiva Europea y, desde el 2002, en la normativa española denominada Ley de Servicios de la Sociedad de la Información (LSSI). Colombia, por su parte, no tiene una disposición similar y es la jurisprudencia la que ha dado algunas pautas al respecto. El asunto es menos técnico de lo que suena: determinar la responsabilidad de las redes sociales o del administrador de un blog cuando a través suyo se vulneran derechos constitucionales, como a la propia imagen y al buen nombre, es un tema cotidiano. De hecho, podría afirmarse que, actualmente, la difamación solo logra su cometido si se “viraliza” a través de intermediarios tecnológicos. El 2019 fue, en Colombia, desde el punto de vista jurídico, un año bastante “activo” en este tema. Veámoslo detalladamente a continuación. (i) Fallo de unificación En la Sentencia SU-420 del 2019, la Corte Constitucional, además de definir los intermediarios de internet, indicó que las plataformas digitales tienen un papel dual, uno de ellos el “pasivo”, de acuerdo con el cual facilitan el proceso de transmisión y difusión de un contenido, mas no toman decisiones sobre la difusión, es decir, “dan acceso, alojamiento, transmisión e indexación a contenidos, productos y servicios, que se originan en terceros”. Hecha la aclaración sobre el rol anterior, determinó que “en materia de protección del derecho a la honra y buen nombre ante afirmaciones publicadas en sitios web identificables mediante buscadores de internet, la Corte Constitucional ha distinguido la condición del responsable de la vulneración, es decir, el autor material de las aseveraciones en cuestión, frente a la situación de la plataforma que sirve de medio para su difusión”. Así, frente a la responsabilidad de intermediarios, ese tribunal ratificó que dichos actores de internet no son responsables por el contenido que publican sus usuarios. Son responsables quienes directamente usan las expresiones ofensivas o calumniadoras. Sin perjuicio de lo expuesto, indicó que el juez, ante la imposibilidad de remoción del contenido directamente por el autor, puede ordenarla a los intermediarios de internet, vinculándolos solo en calidad de terceros. Queda sobre la mesa, entonces, el análisis realizado por la Corte Constitucional a partir del rol meramente “pasivo” o “neutral” de los intermediarios, el cual cada vez es más discutible, pues, actualmente, estos actores muestran una tendencia a la “convergencia de control (…), esto quiere decir, convergencia de control sobre el acceso, el control de los contenidos y el control sobre los usuarios…”[1]. Ejemplos de este control los cita con suficiencia el autor Salvador Hernández Millaleo. (ii) Sala de Casación Civil de la Corte Suprema Al resolver un recurso de casación en el cual, entre otros asuntos, se debatió la responsabilidad por los comentarios públicos de un blog, la Sentencia SC-52382019 del 10 de diciembre del 2019 de la Sala de Casación Civil de la Corte Suprema indicó: “En principio, no podrá existir responsabilidad por los comentarios dejados en un blog. Pero cuando resultan ofensivos, inmoderados, injuriosos o calumniosos, o salpicados de críticas que afectan el honor o la reputación de una persona, han de serlo, inevitablemente…”. “… es incuestionable, los blogs además de facilitar el ingreso inmediato a contenidos, permiten en tiempo real interactuar opiniones con sus usuarios, propiciando que éstos emitan comentarios falsos o difamatorios sobre ciertas personas. La problemática obliga a los administradores de esos sitios web a restringir o evitar publicar tales opiniones cuando sean manifiestamente ofensivos, o en su defecto, a eliminarlos en caso de no tener conocimiento efectivo de los mismos; y si ya fueron difundidos, actuar con suma diligencia para retirarlos prontamente o imposibilitar su acceso. No hacerlo, edificaría una responsabilidad civil por culpa probada…”. En los extractos citados se deja en evidencia la posición clara de la Corte Suprema: sí existe responsabilidad civil por parte de aquellos intermediarios que permitan o no actúen diligentemente ante comentarios de terceros cuando sean “manifiestamente ofensivos”. Incluso, señala que la problemática que se está viviendo en torno a los medios tecnológicos y la vulneración de derechos obliga a los administradores a restringir o evitar determinadas publicaciones. Con tan solo meses de diferencia, el análisis de la Corte Suprema de Justicia dista de la posición de la Corte Constitucional y, prácticamente, impone un rol activo a algunos intermediarios tecnológicos. (iii) El proyecto de ley En el Congreso de la República, se radicó el Proyecto de Ley 176 de 2019, “por medio del cual se regulan las políticas de uso y apropiación de las redes sociales y se dictan otras disposiciones generales”. De acuerdo con la iniciativa, esta busca “… establecer parámetros y procedimientos generales del uso de las redes sociales en internet que permitan proteger a los usuarios frente a conductas lesivas o potencialmente peligrosas resultado de la extralimitación o uso inadecuado de las redes sociales virtuales”. De aprobarse, sería la primera norma que regula el tema de las redes sociales en Colombia, no desde aspectos técnicos, sino de cara a la protección de los derechos constitucionales de los usuarios. Esta propuesta plantea como relevante la autorregulación entre usuarios y la educación obligatoria en asuntos relativos al uso de las redes sociales, con la finalidad de que se haga un uso responsable y se disminuya la violencia y la vulneración de derechos constitucionales. Por otra parte, involucra a los intermediarios, como las redes sociales, para que, a través de acuerdos con el Gobierno, implementen mecanismos ágiles que permitan suspender determinado tipo de publicaciones o contenidos con el fin de proteger a las víctimas de ellos. El artículo 13 del proyecto señala: “El Gobierno Nacional por intermedio del Ministerio de las Tecnologías y la Información y la Superintendencia de Industria y Comercio deberán suscribir acuerdos o códigos de conducta con Facebook, Twitter, YouTube, Google y demás redes sociales
Protección de Datos – Superindustria ratifica orden a Uber para garantizar seguridad de los datos personales de los colombianos
Bogotá D.C., 29 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, ratificó las órdenes de seguridad emitidas en junio de 2019 a las sociedades UBER TECHNOLOGIES, INC., UBER COLOMBIA SAS y UBER B.V. La decisión se tomó mediante la Resolución 59876 del 28 de septiembre de 2020 y luego de resolver los recursos de reposición y apelación presentados por UBER. La SIC reiteró que las fallas que presentó Uber en sus protocolos de seguridad durante el año 2016 afectaron las cuentas de 57 millones de usuarios en el mundo, de los cuales 267.000 eran residentes colombianos. Por lo anterior la Entidad recalcó que es necesario que UBER cumpla la orden para evitar que sucedan otros incidentes de seguridad como el ocurrido y que afecten la seguridad de los datos de los colombianos. La SIC fue enfática en señalar que la seguridad es un tema que no solo afecta a los Titulares de los Datos, sino a los intereses de las empresas porque de ella depende la protección de sus activos, su reputación, su buen nombre y la confianza que genera en el mercado, el ciberespacio y en los diferentes países en donde efectúa actividades de recolección y uso de datos personales. La seguridad es un asunto estratégico para el tratamiento de datos personales razón por la cual es necesario que las empresas no ahorren esfuerzos en garantizarla en todo momento y en actuar de oficio -no por orden de las autoridades- para generar confianza en sus clientes y en la sociedad. Es necesario que los procesos de seguridad no se queden pactados en los documentos sino que sea implementados en la práctica. UBER debe cumplir lo ordenado dentro de un plazo de cuatro (4) meses. Para demostrar que mejoró sus medidas de seguridad tendrá que presentar una certificación emitida por una entidad, nacional o extranjera, independiente, imparcial, profesional y especializada en temas de seguridad de la información. Ver Resolución Fuente: https://www.sic.gov.co/slider/superindustria-ratifica-orden-uber-para-garantizar-seguridad-de-los-datos-personales-de-los-colombianos
Ciberseguridad – ACTIVIDAD DEL GRUPO CIBERCRIMINAL APT41
Recientemente el Departamento de Justicia de Estados Unidos (EE.UU., por sus siglas en inglés). Anunció que cinco ciudadanos de origen chino están detrás de ataques a más de 100 empresas, algunos de las cuales se atribuyen al grupo de cibercriminales APT41. SERVICIOS AFECTADOS: • Citrix Application Delivery Controller, Citrix Gateway, Pulse Secure VPN, multiples productos D-Link y Zoho ManageEngine Desktop Central. DETALLES TÉCNICOS: APT41 es uno de los grupos de cibercriminales más antiguos, conocidos principalmente por operaciones de ciberespionaje contra empresas desarrolladoras de software, empresas de juego, fabricantes de hardware, empresas de telecomunicaciones, redes sociales, universidades o gobiernos. Se tiene registrado actividad de este grupo desde el año 2012, en ese año se le conocía como Winnti, actualmente se le conoce como APT41, Barium, Wicked Panda o Spider. Dos miembros de los presuntos miembros de APT41, fueron acusados en agosto del año 2019, los cuales se relacionaban con otros tres miembros de este mismo grupo que fueron acusado en julio de 2019. Tres de los 5 cibercriminales han trabajado juntos al menos desde el 2013. Para realizar sus ataques usaron una empresa llamada Chengdu 404 Network Technology como fachada. Se ha observado que estos atacantes han robado código fuente, certificados de firma de código de software, datos de cuentas personales de víctimas y ejecutados ataques sofisticados. La empresa usada por los atacantes se promocionaba como una empresa de seguridad de red, los cuales tenían clientes en el sector militar y seguridad pública. Según el Departamento de Justicia los empleados de Chengdu 404, han realizado actividad delictiva en contra de más de 100 empresas en todo el mundo. En lo que va del 2020 tres de los cinco ciberdelincuentes han realizado ataques de ransomware contra una organización no gubernamental global, una empresa inmobiliaria en los EE. UU. y una empresa de energía en Taiwán. Los ataques de ransomware, junto con los de criptojacking, se realizan con la intención de obtener beneficios económicos. APT41 utiliza herramientas personalizadas y de código abierto para comprometer a sus víctimas y moverse lateralmente a través de la red. También se aprovechan de vulnerabilidades graves para el compromiso inicial. Las vulnerabilidades son: CVE-2020-10189, CVE-2019-11510, CVE-2019-16278, CVE-2019-1652, CVE-2019-1653, CVE-2019-16920 y CVE-2019-19781. La mayoría de estas vulnerabilidades permiten ejecución de código de manera remota. Para el personal de seguridad de información: • Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas. • Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad. • Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. • Concientizar constantemente a los usuarios en temas relacionados a seguridad informática. • Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización. ** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada. Fuente: http://securitysummitperu.com/articulos/actividad-del-grupo-cibercriminal-apt41/?s=09
Ciberseguridad – Electrodomésticos inteligentes: ¿riesgos en la seguridad?
Un sensor que apague la luz que quedó prendida en casa antes de salir, una nevera que avise si se debe comprar más leche o huevos antes de llegar a casa, un portero inteligente que notifique quién tocó el timbre cuando no se estaba, cámaras de seguridad que se prendan por sensores de movimiento o persianas que se bajen cuando ya empiece a caer la tarde son algunos de los dispositivos que cada vez se están incorporando con más fuerza en los hogares. Una tecnología que hace parte del Internet de las Cosas y en este caso puntual es conocido como domótica, que incluye una oferta grande de electrodomésticos inteligentes que brindan opciones cada vez más amplias. “Es una gran oportunidad para los hogares y lo que hace es agregarle algún tipo de valor en ciertos aspectos de la vida cotidiana, facilitando muchos procesos y dando alternativas tecnológicas a cosas del día a día”, asegura Marcelo Adrian Lorenzati Sanz, ‘tech manager’ en Globant, empresa dedica al desarrollo de ‘software’ y TI. El acceso que se le da a estos equipos y la cotidianidad con la que ya son usados ha hecho que se olvide un aspecto muy importante: la gran cantidad de información que es recopilada en ellos y que en la mayoría de los casos hace parte de la privacidad de cada uno. Así lo asegura, Mauricio Gómez, cofundador de Fluid Attacks, empresa experta en temas de ciberseguridad, quien indica que en este tipo de tecnología uno de los aspectos que más se olvida es el número amplio de datos que son parte de nuestra intimidad que pueden ser expuestos. “Nosotros estamos llenos de información, llenos de hábitos, qué comes, a qué horas te levantas, a en qué momento del día te encuentras en casa, y si todo eso va a ser monitoreado por dispositivos conectados a internet, el consumidor debe estar tranquilo que su información va a ser usada para lo que la entregó”, agrega Gómez. El tema de seguridad en muchos momentos pasa a un segundo plano y el usuario se centra principalmente en el funcionamiento de esta tecnología. (Le puede interesar: La seguridad en las videollamadas: ¿qué se puede hacer?) “Generalmente cuando se adquiere uno de estos electrodomésticos ni siquiera termina de leer cuáles son las condiciones de licenciamiento y mucho menos se lee cuáles son las condiciones de seguridad de los productos”, precisa Lorenzati. Generalmente cuando se adquiere uno de estos electrodomésticos ni siquiera termina de leer cuáles son las condiciones de licenciamiento y mucho menos se lee cuáles son las condiciones de seguridad Este aspecto no debe subestimarse, según la firma especializada CEB, el 20 por ciento de las organizaciones que hacen uso del Internet de las Cosas ha sido víctima de algún tipo de ciberataque. Este escenario se ha ido presentando con cada vez más frecuencia e impacto, por ejemplo, el mes pasado, la firma de ciberseguridad Check Point Research indicó que una vulnerabilidad del asistente virtual de Amazon, Alexa, que cuenta con más de 200 millones de unidades vendidas en todo el mundo, habría permitido a ciberdelincuentes acceder a datos personales de los usuarios y hacer manejo de las aplicaciones. Entender los riesgos Por esta razón, los usuarios deben tener en cuenta varios aspectos y analizar el rol que desempeñan en mantener la seguridad de estos dispositivos, ya que como lo señala Lorenzati, en este aspecto hay una cadena de responsabilidades en donde el usuario es el eslabón final. “Muchas veces se desconoce que las marcas cuentan con páginas web en donde se hacen reportes de las vulnerabilidades de los productos. Es muy importante estar al tanto de ellos para poderlos mitigar”, detalla el experto de Globant. Así también lo señala Gómez, quien precisa que “vulnerabilidades siempre van a existir, porque el ‘software’ cambia, la tecnología varía al igual que las técnicas. Lo importante es reaccionar y cerrar esos espacios”. “Tenemos es que aprender a vivir en un mundo de tecnología, hiperconectado, y aprender a proteger nuestra información frente a accesos abusivos de terceros”, detalla. En este sentido, los expertos señalan tres asuntos para tener en cuenta y garantizar una mayor protección de la información. El primero de esto es el uso de contraseñas adecuadas, uno de los errores más comunes es no cambiarlas cuando sea hace la instalación del producto o utilizar información básica o personal para generarla. “Es esencial contar con sistemas de autenticación fuertes, no utilices contraseñas que estén relacionada a tus fecha o año de nacimiento. El atacante comienza a recopilar información que saca de las redes sociales, de bases de datos públicas, entre otros, los toma, las pone en un software que tiene la capacidad de aprovechar la capacidad computacional para romper contraseñas”, asegura el cofundador de Fluid Attacks. El siguiente aspecto es el de realizar las actualizaciones que ofrezca el dispositivo el sistema operativo, ya que estas pueden incluir reparaciones en problemas de seguridad identificados. “Aunque sea molesto, es una cuestión de seguridad; por lo general, los sistemas tienen componentes que se han quedado fuera de uso y que por supuesto hace que sean más vulnerables”, precisa Lorenzati. Por último, verificar el tipo de manejo que le da la marca del dispositivo a los datos. “Es fundamental revisar como transporta los datos, si es seguro también su almacenamiento, si los guarda encriptados se tiene una mayor seguridad”, puntualiza el experto. TECNÓSFERA En Twitter: @TecnósferaET Fuente: https://www.eltiempo.com/tecnosfera/dispositivos/electrodomesticos-inteligentes-riesgos-en-la-seguridad-537620
