Autenticación Digital – Mecanismos fuertes de Identificación Digital
Según el más reciente estudio ‘Tendencias Cibercrimen Colombia 2019-2020’, de la Cámara Colombiana de Informática y Telecomunicaciones -CCIT-, los principales vectores de engaño en la web en 2019 fueron: • Correos fraudulentos personalizados: 80% • Suplantación de identidad: 60% • Enmascaramiento de correos (Spoofing): 58% • Infección de sitios frecuentemente visitados por empleados (Watering Hole): 37% Por lo anterior, es importante que en el país le prestemos mayor atención a la autenticación digital, es decir, al proceso de validación de identidad de un cliente, entidad o usuario por medios digitales. Todas las entidades que prestan algún servicio, comercializan o distribuyen algún bien, deben surtir con su cliente un proceso de validación de identidad para, por ejemplo, abrir una cuenta de ahorros o corriente, asignar un cupo de crédito, entregar una tarjeta de crédito, vender un celular, efectuar un giro nacional o internacional, tramitar la licencia de conducción o sacar la libreta militar. Todos estos trámites se realizan, por lo general, de manera presencial, aunque en los últimos años se ha tenido avances en seguridad muy importantes como la biometría dactilar consultando las bases de datos de la Registraduría Nacional. El Sistema Automatizado de Identificación Dactilar Colombiano (AFIS por sus siglas en inglés) es una base de datos que sirve para verificar la identidad de una persona a través de las características de sus huellas dactilares. El reto que tiene el país, y que se vio acentuado ante la pandemia, es realizar todos estos trámites de manera virtual sin necesidad de acudir físicamente a las instalaciones del prestador del servicio, banco, empresa de telecomunicaciones, entidad del estado, etc. En este escenario es donde la autenticación digital y la identidad digital han cobrado especial importancia. MECANISMOS FUERTES DE AUTENTICACIÓN DIGITAL Para lograr una identificación digital segura, se necesitan mecanismos fuertes de autenticación que deben ser combinados simultáneamente. Estos son: • Algo que se sabe: contraseña o PIN • Algo que se tiene: token físico o dispositivo móvil • Algo que se es: rasgos biométricos, huellas dactilares, rostro, iris, etc. La Circular 029 de 2019 de la Superintendencia Financiera precisó que los mecanismos fuertes de identificación digital son los siguientes: • Biometría • Certificados de firma digital • OTP (One time password) • Tarjetas que cumplan el estándar EMV Biometría: Las huellas dactilares, retina, iris, patrones faciales, venas de la mano o geometría de la palma de la mano representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). Algunos rasgos biométricos, como la voz, comparten aspectos físicos y del comportamiento. Certificados de firma digital: La Ley 527 de 1999 creó las Entidades de Certificación como terceros de absoluta confianza en el entorno digital, con el fin de que estas entidades, como Camerfirma Colombia, acreditas por el Organismo Nacional de Acreditación en Colombia (Onac), sean las encargadas de emitir las firmas digitales de las personas. Este es un mecanismo digital de firma de documentos (contratos, resoluciones, notificaciones etc.), sustituyendo la tradicional firma manuscrita, con el valor agregado que dicho mecanismo goza de una presunción legal de autenticidad e integridad y por tanto de no repudio que le otorga la ley. Tarjetas que cumplan el estándar EMV: Son las tarjetas con chip. En Colombia llegaron ya hace varios años y remplazaron las que tenían banda magnética. Con ello se eliminó el fraude del “cambiazo” o la “clonación de la información de la banda magnética”. Ahora los delincuentes emplean otras técnicas para engañar al usuario haciéndole creer que debe cambiar el plástico y cuando recogen el plástico, supuestamente obsoleto, extraen la información del chip. Recientemente se expidió el Decreto 620 de 2020 y la Ley 2052 de 2020, donde se regula el modelo de servicios ciudadanos digitales que regirá en el país, y en donde la autenticación digital es uno de los servicios base del modelo que está enfocado, precisamente, en niveles de confianza donde en los niveles bajo y medio se encuentran las firmas electrónicas como pueden ser las claves y contraseñas, y en los niveles alto y muy alto, encontramos los certificados de firma digital, biometría facial y cédula de ciudadanía digital, siendo dichas normas concordantes con los lineamientos que en ese sentido ha emitido la Superintendencia Financiera de Colombia. LA IMPORTANCIA DE LA BASE DE DATOS CON LA QUE SE VERIFIQUE LA IDENTIDAD Si bien es cierto que los mecanismos fuertes de identificación como la biometría son recomendables, e incluso obligatorios para ciertos sectores, éstos también están sujetos a fraudes. Así las cosas, a pesar de que se utilice biometría de iris o de la palma de la mano o comportamental, siempre existe la posibilidad de fraude si la fuente (base de datos) contra la que se coteja no es altamente segura o confiable. Para realizar una biometría altamente segura la recomendación es hacer uso de bases de datos públicas, confiables y altamente seguras. Estas son las bases de datos de la Registraduría Nacional: el Archivo Nacional de Identificación (ANI) y las bases de datos biométricas de huella (AFIS) y facial (ABIS), así como bases de datos financieras, y empresariales como el Registro Único Empresarial (RUES). Es importante precisar que la registraduría solo administra base de datos facial y dactilar, no posee bases de datos de iris o de la voz. Así las cosas, cuando los trámites son presenciales, se puede hacer uso de la biometría de huella o facial. En cambio, para trámites virtuales, se impone la biometría facial en combinación con otros factores de autenticación, siempre consultando bases de datos públicas, fiables, actualizadas y seguras. Para finalizar, un número importante de entidades financieras ha implementado la biometría facial, pero las bases de datos contra la que se coteja la información no son altamente confiables. Algunas están enrolando a sus clientes y cotejan su rostro frente a la foto de la cédula o la foto de la huella frente a la que aparece en la cédula. No obstante, aquí se presentan los siguientes inconvenientes: 1. Si la cédula
Conservación de Documentos – Así se debe allegar un título valor dentro de una demanda presentada como mensajes de datos
Inicialmente, la Sala Civil del Tribunal Superior de Bogotá precisó que, desde la vigencia del Código General del Proceso, las actuaciones judiciales pueden realizarse a través de mensajes de datos según el inciso 2 del artículo 103, lo cual fue reiterado por el artículo 2 del Decreto Legislativo 806 del 2020. En tal sentido, ninguna restricción puede fijarse, por vía de interpretación judicial, para impedir que las partes utilicen medios tecnológicos en todos sus actos procesales. La Corporación también indicó que el uso de las tecnologías de la información y la comunicación (TIC) es un deber de quienes intervienen en un proceso judicial, según el Decreto 806, y es de mayor importancia para las autoridades judiciales, por cuanto tienen el compromiso constitucional y legal de facilitar el acceso de los usuarios de la administración de justicia (Artículo 229 de la Constitución Política). Así las cosas, no es aceptable que interpretaciones ancladas en situaciones de normalidad, las cuales fueron alteradas por la pandemia que originó el aislamiento obligatorio (hoy selectivo), se impida el ejercicio de los derechos reconocidos en la ley sustancial. Por ello, los jueces no pueden adoptar posturas restrictivas sobre normas que autorizan adelantar todas las actuaciones judiciales a través de mensajes de datos. Sumado a ello aseguró que todas las demandas, sin importar la clase de proceso (declarativo, ejecutivo, liquidatorio, etcétera), pueden presentarse como mensaje de datos, sin necesidad de firma digital, siendo suficiente la firma electrónica. Conservación del documento Acorde con ello, el Tribunal Superior de Bogotá enfatizó que si la demanda se radica en esta forma, esto es, como mensaje de datos, todos sus anexos, entre ellos el documento que preste mérito ejecutivo, deben allegarse en medio electrónico. Entonces, ninguno de estos documentos se debe aportar en copia física, ni para el archivo, ni para el traslado y si ello es fundamental el juez debe abstenerse de exigir formalidades innecesarias. En conclusión, no es aceptable que el título valor deba allegarse como documento adjunto, bajo el entendido de que es el original el que soporta la pretensión ejecutiva. Ahora su conservación le corresponde al ejecutante y no al juzgado, como solía suceder. El tema es de conservación del documento y no de aportarlo (M. P. Marco Antonio Alvarez Gómez). Tribunal Superior de Bogotá, Oct. 1/20. Fuente: https://www.ambitojuridico.com/noticias/civil/civil-y-familia/asi-se-debe-allegar-un-titulo-valor-dentro-de-una-demanda-presentada
Protección de Datos – ‘El control es tuyo, que no te controlen’ Campaña de La AEPD
La Agencia Española de Protección de Datos (AEPD), el Ministerio de Educación y Formación Profesional, el Ministerio de Igualdad y PantallasAmigas, han puesto en marcha la campaña ‘El control es tuyo, que no te controlen’, con el objetivo de ayudar a menores y adolescentes a detectar el acoso y la violencia de género digital. La campaña incluye mensajes que describen situaciones que los y las jóvenes pueden vivir en su centro de estudios, con su grupo de amistades o en sus relaciones personales. La petición de contraseñas a la pareja; el control del móvil de otra persona; el envío constante de mensajes con el propósito de herir a un compañero o una compañera de clase, o la difusión de imágenes sexuales, violentas o humillantes sin el permiso de quien aparece en ellas son algunas de estas situaciones. ‘Tu vida está en tu móvil’, ‘Tu móvil hace cosas raras’, ‘Te están acosando, pide ayuda’ y ‘Han compartido imágenes comprometidas sin tu consentimiento’ son los principales escenarios descritos, que se acompañan con recomendaciones y un código QR que enlaza a una página en la que se puede obtener más información sobre cómo identificar conductas violentas y actuar tanto si se es la persona a la que le está sucediendo como si se tiene conocimiento de ello. Los dispositivos móviles inteligentes, las redes sociales e internet han transformado en gran medida la manera en que se relaciona la juventud. El 22% de los chicos y chicas de 10 años dispone de teléfono móvil, porcentaje que asciende exponencialmente hasta casi el 94% a los 15 años, según datos de 2019 del INE. Asimismo, la reciente Macroencuesta de Violencia contra la Mujer de 2019 del Ministerio de Igualdad revela, entre otras conclusiones, que un 18,5% de las mujeres de 16 o más años residentes en España han sufrido acoso sexual antes de cumplir los 15 años (conductas entre las que se incluye el envío de imágenes o fotos sexualmente explícitas que hayan hecho sentirse ofendida, humillada o intimidada a la mujer). Por otra parte, diversos estudios apuntan a un incremento en el porcentaje de jóvenes que asumen afirmaciones como que es normal “mirar el móvil de la pareja si piensas que te está engañando”, como refleja el ‘Barómetro Juventud y Género 2019’ del Centro Reina Sofía sobre Adolescencia y Juventud de la FAD. En esta línea, la Fiscalía General del Estado ha alertado en su última Memoria de “un alarmante incremento de las ideas sexistas y de la violencia entre los menores y adolescentes en el entorno familiar, pero también y especialmente en el ámbito sexual, conductas realizadas en grupo y a menudo grabadas y difundidas a terceros”. Entre los elementos gráficos de la campaña se encuentra un cartel que reúne todas las situaciones descritas y las recomendaciones enlazan a contenidos en los que pueden identificarse formas de violencia de género digital que no siempre son identificadas de ese modo por las y los jóvenes, cómo detectar si el teléfono móvil puede estar siendo espiado y recomendaciones a seguir, indicios para detectar la violencia de género, entre los que se encuentra que la pareja revisa el teléfono móvil y las redes sociales o qué hacer si se están difundiendo imágenes de contenido sexual o violento sin el consentimiento de la persona que aparece en ellas. La Agencia Española de Protección de Datos, el Ministerio de Educación y Formación Profesional, el Ministerio de Igualdad y PantallasAmigas llevarán a cabo acciones para la difusión de esta campaña a través de distintos canales, y animan a adolescentes, familias, docentes y a todas las entidades comprometidas con la erradicación de la violencia digital a compartir los mensajes y ser parte activa frente al problema. Fuente: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/el-control-es-tuyo-que-no-te-controlen
Protección de Datos – ¿Qué debe hacer una persona a la que le ha sido suplantada su identidad?
La propagación del coronavirus (covid-19) y las medidas de confinamiento emitidas por los gobiernos nacional y regionales han incrementado el uso de tecnologías y el surgimiento de distintos emprendimientos. Pero el lado oscuro es el rastreo de información y la multiplicación de casos de suplantación de identidad. Esta conducta, que consiste básicamente en hacerse pasar por alguien, ya sea en el ámbito físico o digital, mediante la disposición real o falsa de documentos de identidad o el alcance a datos personales o imágenes caracterizadoras, se ha facilitado precisamente por el avance de las nuevas tecnologías. Uno de los casos de suplantación de identidad más comunes termina en contratos de prestación de servicios con operadores de telecomunicaciones, que del 1 de enero al 31 de julio de este año dio lugar a la presentación de 1.904 quejas ante la Superintendencia de Industria y Comercio (SIC), frente a 1.705 presentadas en el año 2019 y 767 en el 2018 durante el mismo periodo. Teniendo en cuenta este alarmante aumento presentado el año pasado frente al 2018 (122 %), la SIC envió una comunicación a las empresas de telecomunicaciones con algunas peticiones concretas encaminadas a evitar la vulneración al derecho fundamental de protección de datos personales, sobre las cuales valdría la pena evaluar su cumplimiento, así: Contactar a las personas respecto de las cuales posean prueba de autorización previa, expresa e informada, según lo exige la Ley 1581 del 2012. Respectar y garantizar el derecho de supresión de los datos personales de contacto cuando son utilizados para fines comerciales. Suspender el uso del número telefónico y demás datos de contacto para fines publicitarios y comerciales, cuando así lo requiere o solicite el titular de dichos datos. Impartir instrucciones para que las actividades de publicidad u ofrecimiento de servicios y productos se realicen en días y horarios que no afecten la intimidad familiar o el horario de descanso. Pasos a seguir Una persona que es víctima de suplantación de identidad debe tener en cuenta que es muy importante cerrar sus sesiones de cuenta en todos los dispositivos (celular y computador, entre otros), cambiar las claves de sus correos en bancos, modificar las configuraciones de privacidad de sus equipos e informar a las entidades financieras y comerciales con las que tiene negocios acerca del hecho, para evitar un nuevo evento relacionado. Debe acudir a la estación de policía más cercana o a la Fiscalía General de la Nación para denunciar el delito de falsedad personal del que ha sido víctima, radicar una alerta de suplantación de identidad ante los operadores de información financiera y, así mismo, verificar ante estos quién ha consultado su historial crediticio, lo cual le permitirá saber si han tratado de suplantar su identidad para realizar negocios a su nombre. Adicionalmente, debe presentar un reclamo a la empresa ante la cual ocurrió la suplantación, es decir, ante el operador de telecomunicaciones, si es el caso, y, finalmente, acudir a la SIC y radicar una queja ante la Delegatura de Protección de Datos Personales o, en tiempos de pandemia, acudir a los servicios de SIC Facilita, a través de la página web www.sic.gov.co. De acuerdo con la información que maneja la SIC, a pesar de que los operadores de telecomunicaciones han adoptado medidas, los casos de suplantación de identidad se siguen presentando. Se han radicado 906 quejas ante la Delegatura de Protección de Datos Personales y 998 a través de la plataforma SIC Facilita. Estas últimas han sido particularmente contra las empresas Claro, Movistar, Tigo, Direct TV, ETB y Avantel, las cuales tienen el reto de mejorar las condiciones de seguridad y protocolos para evitar daños a sus clientes y generar más confianza. Dichos protocolos deben estar en constante evaluación y monitoreo, pues los suplantadores están innovando y perfeccionando su actuar delictivo de manera permanente. Conductas del ciudadano Frente a este panorama es también responsabilidad de los ciudadanos cooperar en la mitigación de estas situaciones, con conductas como no suministrar información a cualquier persona ni publicar datos personales, como el número o la fotocopia de la cédula de ciudadanía en redes sociales digitales, y ser más cautos y reservados con su información personal, de manera que los suplantadores no la tengan fácil. Otra sugerencia es que las personas estén revisando de manera periódica ante las centrales de información financiera su historial crediticio, porque allí queda huella de quiénes están mirando su comportamiento de pago. Si una persona se da cuenta de que alguien que no conoce y ni siquiera vive en la misma ciudad realizó alguna consulta en su historial crediticio, debe tomar esta conducta como sospechosa e informar de manera inmediata a la empresa que consultó si nunca ha estado allí, ni ha solicitado un crédito o servicio. Denuncia penal La persona que es víctima de suplantación de identidad debe informar a las autoridades sobre la ocurrencia del hecho. Puede hacerlo a través de la plataforma Adenunciar con el ítem falsedad en documento, que está previsto en las páginas www.fiscalia.gov.co y www.policia.gov.co. Adicionalmente, la Fiscalía General de la Nación cuenta con la línea 122 y las líneas gratuitas 0180000919748 o local para Bogotá y Cundinamarca 5702000, opción 7. También se puede escribir a los correos electrónicos denunciaanonima@fiscalia.gov.co y hechoscorrupcion@fiscalía.gov.co. Entre el 20 de marzo y el 19 de agosto del 2020 se encuentran activas en la Fiscalía en fase de indagación 2.962 denuncias por falsedad personal, en los términos del artículo 296 del Código Penal. Dependiendo del marco de suplantación, se pueden presentar delitos más graves como acceso abusivo a sistema informático, falsedad en documento público y falsedad en documento privado, entre otros. Si se trata solo de suplantación de identidad, en el Código Penal y para efectos de la denuncia en cuestión se regula como falsedad personal. Sara Milena Cruz Abril Redactora Fuente: https://www.ambitojuridico.com/noticias/penal/mercantil-propiedad-intelectual-y-arbitraje/que-debe-hacer-una-persona-la-que-le-ha
Protección de Datos – ¿Quién responde por la afectación de los derechos de imagen y buen nombre en redes sociales?
Sin que sea el derecho comparado el asunto de este artículo, un dato importante pondrá en evidencia el rezago de nuestra legislación en un tema que parece novedoso, pero que no lo es en absoluto. La responsabilidad de los llamados “intermediarios tecnológicos” está definida -por lo menos normativamente- desde el año 2000, en la Directiva Europea y, desde el 2002, en la normativa española denominada Ley de Servicios de la Sociedad de la Información (LSSI). Colombia, por su parte, no tiene una disposición similar y es la jurisprudencia la que ha dado algunas pautas al respecto. El asunto es menos técnico de lo que suena: determinar la responsabilidad de las redes sociales o del administrador de un blog cuando a través suyo se vulneran derechos constitucionales, como a la propia imagen y al buen nombre, es un tema cotidiano. De hecho, podría afirmarse que, actualmente, la difamación solo logra su cometido si se “viraliza” a través de intermediarios tecnológicos. El 2019 fue, en Colombia, desde el punto de vista jurídico, un año bastante “activo” en este tema. Veámoslo detalladamente a continuación. (i) Fallo de unificación En la Sentencia SU-420 del 2019, la Corte Constitucional, además de definir los intermediarios de internet, indicó que las plataformas digitales tienen un papel dual, uno de ellos el “pasivo”, de acuerdo con el cual facilitan el proceso de transmisión y difusión de un contenido, mas no toman decisiones sobre la difusión, es decir, “dan acceso, alojamiento, transmisión e indexación a contenidos, productos y servicios, que se originan en terceros”. Hecha la aclaración sobre el rol anterior, determinó que “en materia de protección del derecho a la honra y buen nombre ante afirmaciones publicadas en sitios web identificables mediante buscadores de internet, la Corte Constitucional ha distinguido la condición del responsable de la vulneración, es decir, el autor material de las aseveraciones en cuestión, frente a la situación de la plataforma que sirve de medio para su difusión”. Así, frente a la responsabilidad de intermediarios, ese tribunal ratificó que dichos actores de internet no son responsables por el contenido que publican sus usuarios. Son responsables quienes directamente usan las expresiones ofensivas o calumniadoras. Sin perjuicio de lo expuesto, indicó que el juez, ante la imposibilidad de remoción del contenido directamente por el autor, puede ordenarla a los intermediarios de internet, vinculándolos solo en calidad de terceros. Queda sobre la mesa, entonces, el análisis realizado por la Corte Constitucional a partir del rol meramente “pasivo” o “neutral” de los intermediarios, el cual cada vez es más discutible, pues, actualmente, estos actores muestran una tendencia a la “convergencia de control (…), esto quiere decir, convergencia de control sobre el acceso, el control de los contenidos y el control sobre los usuarios…”[1]. Ejemplos de este control los cita con suficiencia el autor Salvador Hernández Millaleo. (ii) Sala de Casación Civil de la Corte Suprema Al resolver un recurso de casación en el cual, entre otros asuntos, se debatió la responsabilidad por los comentarios públicos de un blog, la Sentencia SC-52382019 del 10 de diciembre del 2019 de la Sala de Casación Civil de la Corte Suprema indicó: “En principio, no podrá existir responsabilidad por los comentarios dejados en un blog. Pero cuando resultan ofensivos, inmoderados, injuriosos o calumniosos, o salpicados de críticas que afectan el honor o la reputación de una persona, han de serlo, inevitablemente…”. “… es incuestionable, los blogs además de facilitar el ingreso inmediato a contenidos, permiten en tiempo real interactuar opiniones con sus usuarios, propiciando que éstos emitan comentarios falsos o difamatorios sobre ciertas personas. La problemática obliga a los administradores de esos sitios web a restringir o evitar publicar tales opiniones cuando sean manifiestamente ofensivos, o en su defecto, a eliminarlos en caso de no tener conocimiento efectivo de los mismos; y si ya fueron difundidos, actuar con suma diligencia para retirarlos prontamente o imposibilitar su acceso. No hacerlo, edificaría una responsabilidad civil por culpa probada…”. En los extractos citados se deja en evidencia la posición clara de la Corte Suprema: sí existe responsabilidad civil por parte de aquellos intermediarios que permitan o no actúen diligentemente ante comentarios de terceros cuando sean “manifiestamente ofensivos”. Incluso, señala que la problemática que se está viviendo en torno a los medios tecnológicos y la vulneración de derechos obliga a los administradores a restringir o evitar determinadas publicaciones. Con tan solo meses de diferencia, el análisis de la Corte Suprema de Justicia dista de la posición de la Corte Constitucional y, prácticamente, impone un rol activo a algunos intermediarios tecnológicos. (iii) El proyecto de ley En el Congreso de la República, se radicó el Proyecto de Ley 176 de 2019, “por medio del cual se regulan las políticas de uso y apropiación de las redes sociales y se dictan otras disposiciones generales”. De acuerdo con la iniciativa, esta busca “… establecer parámetros y procedimientos generales del uso de las redes sociales en internet que permitan proteger a los usuarios frente a conductas lesivas o potencialmente peligrosas resultado de la extralimitación o uso inadecuado de las redes sociales virtuales”. De aprobarse, sería la primera norma que regula el tema de las redes sociales en Colombia, no desde aspectos técnicos, sino de cara a la protección de los derechos constitucionales de los usuarios. Esta propuesta plantea como relevante la autorregulación entre usuarios y la educación obligatoria en asuntos relativos al uso de las redes sociales, con la finalidad de que se haga un uso responsable y se disminuya la violencia y la vulneración de derechos constitucionales. Por otra parte, involucra a los intermediarios, como las redes sociales, para que, a través de acuerdos con el Gobierno, implementen mecanismos ágiles que permitan suspender determinado tipo de publicaciones o contenidos con el fin de proteger a las víctimas de ellos. El artículo 13 del proyecto señala: “El Gobierno Nacional por intermedio del Ministerio de las Tecnologías y la Información y la Superintendencia de Industria y Comercio deberán suscribir acuerdos o códigos de conducta con Facebook, Twitter, YouTube, Google y demás redes sociales
Protección de Datos – Superindustria ratifica orden a Uber para garantizar seguridad de los datos personales de los colombianos
Bogotá D.C., 29 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, ratificó las órdenes de seguridad emitidas en junio de 2019 a las sociedades UBER TECHNOLOGIES, INC., UBER COLOMBIA SAS y UBER B.V. La decisión se tomó mediante la Resolución 59876 del 28 de septiembre de 2020 y luego de resolver los recursos de reposición y apelación presentados por UBER. La SIC reiteró que las fallas que presentó Uber en sus protocolos de seguridad durante el año 2016 afectaron las cuentas de 57 millones de usuarios en el mundo, de los cuales 267.000 eran residentes colombianos. Por lo anterior la Entidad recalcó que es necesario que UBER cumpla la orden para evitar que sucedan otros incidentes de seguridad como el ocurrido y que afecten la seguridad de los datos de los colombianos. La SIC fue enfática en señalar que la seguridad es un tema que no solo afecta a los Titulares de los Datos, sino a los intereses de las empresas porque de ella depende la protección de sus activos, su reputación, su buen nombre y la confianza que genera en el mercado, el ciberespacio y en los diferentes países en donde efectúa actividades de recolección y uso de datos personales. La seguridad es un asunto estratégico para el tratamiento de datos personales razón por la cual es necesario que las empresas no ahorren esfuerzos en garantizarla en todo momento y en actuar de oficio -no por orden de las autoridades- para generar confianza en sus clientes y en la sociedad. Es necesario que los procesos de seguridad no se queden pactados en los documentos sino que sea implementados en la práctica. UBER debe cumplir lo ordenado dentro de un plazo de cuatro (4) meses. Para demostrar que mejoró sus medidas de seguridad tendrá que presentar una certificación emitida por una entidad, nacional o extranjera, independiente, imparcial, profesional y especializada en temas de seguridad de la información. Ver Resolución Fuente: https://www.sic.gov.co/slider/superindustria-ratifica-orden-uber-para-garantizar-seguridad-de-los-datos-personales-de-los-colombianos
Ciberseguridad – ACTIVIDAD DEL GRUPO CIBERCRIMINAL APT41
Recientemente el Departamento de Justicia de Estados Unidos (EE.UU., por sus siglas en inglés). Anunció que cinco ciudadanos de origen chino están detrás de ataques a más de 100 empresas, algunos de las cuales se atribuyen al grupo de cibercriminales APT41. SERVICIOS AFECTADOS: • Citrix Application Delivery Controller, Citrix Gateway, Pulse Secure VPN, multiples productos D-Link y Zoho ManageEngine Desktop Central. DETALLES TÉCNICOS: APT41 es uno de los grupos de cibercriminales más antiguos, conocidos principalmente por operaciones de ciberespionaje contra empresas desarrolladoras de software, empresas de juego, fabricantes de hardware, empresas de telecomunicaciones, redes sociales, universidades o gobiernos. Se tiene registrado actividad de este grupo desde el año 2012, en ese año se le conocía como Winnti, actualmente se le conoce como APT41, Barium, Wicked Panda o Spider. Dos miembros de los presuntos miembros de APT41, fueron acusados en agosto del año 2019, los cuales se relacionaban con otros tres miembros de este mismo grupo que fueron acusado en julio de 2019. Tres de los 5 cibercriminales han trabajado juntos al menos desde el 2013. Para realizar sus ataques usaron una empresa llamada Chengdu 404 Network Technology como fachada. Se ha observado que estos atacantes han robado código fuente, certificados de firma de código de software, datos de cuentas personales de víctimas y ejecutados ataques sofisticados. La empresa usada por los atacantes se promocionaba como una empresa de seguridad de red, los cuales tenían clientes en el sector militar y seguridad pública. Según el Departamento de Justicia los empleados de Chengdu 404, han realizado actividad delictiva en contra de más de 100 empresas en todo el mundo. En lo que va del 2020 tres de los cinco ciberdelincuentes han realizado ataques de ransomware contra una organización no gubernamental global, una empresa inmobiliaria en los EE. UU. y una empresa de energía en Taiwán. Los ataques de ransomware, junto con los de criptojacking, se realizan con la intención de obtener beneficios económicos. APT41 utiliza herramientas personalizadas y de código abierto para comprometer a sus víctimas y moverse lateralmente a través de la red. También se aprovechan de vulnerabilidades graves para el compromiso inicial. Las vulnerabilidades son: CVE-2020-10189, CVE-2019-11510, CVE-2019-16278, CVE-2019-1652, CVE-2019-1653, CVE-2019-16920 y CVE-2019-19781. La mayoría de estas vulnerabilidades permiten ejecución de código de manera remota. Para el personal de seguridad de información: • Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas. • Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad. • Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. • Concientizar constantemente a los usuarios en temas relacionados a seguridad informática. • Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización. ** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada. Fuente: http://securitysummitperu.com/articulos/actividad-del-grupo-cibercriminal-apt41/?s=09
Ciberseguridad – Electrodomésticos inteligentes: ¿riesgos en la seguridad?
Un sensor que apague la luz que quedó prendida en casa antes de salir, una nevera que avise si se debe comprar más leche o huevos antes de llegar a casa, un portero inteligente que notifique quién tocó el timbre cuando no se estaba, cámaras de seguridad que se prendan por sensores de movimiento o persianas que se bajen cuando ya empiece a caer la tarde son algunos de los dispositivos que cada vez se están incorporando con más fuerza en los hogares. Una tecnología que hace parte del Internet de las Cosas y en este caso puntual es conocido como domótica, que incluye una oferta grande de electrodomésticos inteligentes que brindan opciones cada vez más amplias. “Es una gran oportunidad para los hogares y lo que hace es agregarle algún tipo de valor en ciertos aspectos de la vida cotidiana, facilitando muchos procesos y dando alternativas tecnológicas a cosas del día a día”, asegura Marcelo Adrian Lorenzati Sanz, ‘tech manager’ en Globant, empresa dedica al desarrollo de ‘software’ y TI. El acceso que se le da a estos equipos y la cotidianidad con la que ya son usados ha hecho que se olvide un aspecto muy importante: la gran cantidad de información que es recopilada en ellos y que en la mayoría de los casos hace parte de la privacidad de cada uno. Así lo asegura, Mauricio Gómez, cofundador de Fluid Attacks, empresa experta en temas de ciberseguridad, quien indica que en este tipo de tecnología uno de los aspectos que más se olvida es el número amplio de datos que son parte de nuestra intimidad que pueden ser expuestos. “Nosotros estamos llenos de información, llenos de hábitos, qué comes, a qué horas te levantas, a en qué momento del día te encuentras en casa, y si todo eso va a ser monitoreado por dispositivos conectados a internet, el consumidor debe estar tranquilo que su información va a ser usada para lo que la entregó”, agrega Gómez. El tema de seguridad en muchos momentos pasa a un segundo plano y el usuario se centra principalmente en el funcionamiento de esta tecnología. (Le puede interesar: La seguridad en las videollamadas: ¿qué se puede hacer?) “Generalmente cuando se adquiere uno de estos electrodomésticos ni siquiera termina de leer cuáles son las condiciones de licenciamiento y mucho menos se lee cuáles son las condiciones de seguridad de los productos”, precisa Lorenzati. Generalmente cuando se adquiere uno de estos electrodomésticos ni siquiera termina de leer cuáles son las condiciones de licenciamiento y mucho menos se lee cuáles son las condiciones de seguridad Este aspecto no debe subestimarse, según la firma especializada CEB, el 20 por ciento de las organizaciones que hacen uso del Internet de las Cosas ha sido víctima de algún tipo de ciberataque. Este escenario se ha ido presentando con cada vez más frecuencia e impacto, por ejemplo, el mes pasado, la firma de ciberseguridad Check Point Research indicó que una vulnerabilidad del asistente virtual de Amazon, Alexa, que cuenta con más de 200 millones de unidades vendidas en todo el mundo, habría permitido a ciberdelincuentes acceder a datos personales de los usuarios y hacer manejo de las aplicaciones. Entender los riesgos Por esta razón, los usuarios deben tener en cuenta varios aspectos y analizar el rol que desempeñan en mantener la seguridad de estos dispositivos, ya que como lo señala Lorenzati, en este aspecto hay una cadena de responsabilidades en donde el usuario es el eslabón final. “Muchas veces se desconoce que las marcas cuentan con páginas web en donde se hacen reportes de las vulnerabilidades de los productos. Es muy importante estar al tanto de ellos para poderlos mitigar”, detalla el experto de Globant. Así también lo señala Gómez, quien precisa que “vulnerabilidades siempre van a existir, porque el ‘software’ cambia, la tecnología varía al igual que las técnicas. Lo importante es reaccionar y cerrar esos espacios”. “Tenemos es que aprender a vivir en un mundo de tecnología, hiperconectado, y aprender a proteger nuestra información frente a accesos abusivos de terceros”, detalla. En este sentido, los expertos señalan tres asuntos para tener en cuenta y garantizar una mayor protección de la información. El primero de esto es el uso de contraseñas adecuadas, uno de los errores más comunes es no cambiarlas cuando sea hace la instalación del producto o utilizar información básica o personal para generarla. “Es esencial contar con sistemas de autenticación fuertes, no utilices contraseñas que estén relacionada a tus fecha o año de nacimiento. El atacante comienza a recopilar información que saca de las redes sociales, de bases de datos públicas, entre otros, los toma, las pone en un software que tiene la capacidad de aprovechar la capacidad computacional para romper contraseñas”, asegura el cofundador de Fluid Attacks. El siguiente aspecto es el de realizar las actualizaciones que ofrezca el dispositivo el sistema operativo, ya que estas pueden incluir reparaciones en problemas de seguridad identificados. “Aunque sea molesto, es una cuestión de seguridad; por lo general, los sistemas tienen componentes que se han quedado fuera de uso y que por supuesto hace que sean más vulnerables”, precisa Lorenzati. Por último, verificar el tipo de manejo que le da la marca del dispositivo a los datos. “Es fundamental revisar como transporta los datos, si es seguro también su almacenamiento, si los guarda encriptados se tiene una mayor seguridad”, puntualiza el experto. TECNÓSFERA En Twitter: @TecnósferaET Fuente: https://www.eltiempo.com/tecnosfera/dispositivos/electrodomesticos-inteligentes-riesgos-en-la-seguridad-537620
Protección de Datos – Un panorama retrospectivo y futuro de la protección de datos en América Latina y España
Nos enorgullece anunciar una nueva versión actualizada en ocho países de América Latina y España. Durante más de un año, la EFF ha trabajado con organizaciones asociadas para desarrollar preguntas y respuestas detalladas (FAQs) sobre las leyes de privacidad de las comunicaciones. Nuestro trabajo se basa en la investigación previa y en curso de tales desarrollos en Argentina, Brasil, Chile, Colombia, México, Paraguay, Panamá, Perú y España. Nuestro objetivo es comprender los desafíos jurídicos de cada país, a fin de ayudarnos a detectar las tendencias, identificar las mejores y peores normas y ofrecer recomendaciones para el futuro. Este artículo, sobre la evolución de la protección de datos en la región, forma parte de una serie de artículos sobre el estado actual de las leyes de privacidad de las comunicaciones en América Latina y España. Si miramos atrás, alrededor de los últimos diez años en la protección de datos, hemos visto un progreso legal considerable en la concesión del control de los usuarios sobre sus vidas personales. Desde 2010, sesenta y dos nuevos países han promulgado leyes de protección de datos, lo que da un total de 142 países con leyes de protección de datos en todo el mundo. En América Latina, Chile fue el primer país que adoptó una ley de este tipo en 1999, seguido de Argentina en 2000. Varios países han seguido ahora el ejemplo: Uruguay (2008), México (2010), Perú (2011), Colombia (2012), Brasil (2018), Barbados (2019) y Panamá (2019). Aunque todavía existen diferentes enfoques de la privacidad, las leyes de protección de datos ya no son un fenómeno puramente europeo. Sin embargo, la evolución contemporánea de la legislación europea sobre protección de datos sigue teniendo una enorme influencia en la región, en particular, el Reglamento General de Protección de Datos de la UE de 2018 (GDPR). Desde 2018, varios países, entre ellos Barbados y Panamá, han encabezado la adopción de leyes inspiradas en la GDPR en la región, lo que promete el comienzo de una nueva generación de legislación sobre protección de datos. De hecho, la protección de la privacidad de la nueva ley inspirada en la GDPR de Brasil entró en vigor la semana pasada, el 18 de septiembre, después de que el Senado rechazara una orden de aplazamiento del presidente Jair Bolsonaro. Pero cuando se trata de la protección de datos en el contexto de la aplicación de la ley, pocos países han adoptado las últimas medidas de la Unión Europea. La Directiva de la UE sobre la policía, una ley sobre el tratamiento de datos personales para las fuerzas de policía, todavía no se ha convertido en un fenómeno latinoamericano. México es el único país que cuenta con una reglamentación específica de protección de datos para el sector público. Con ello, los países de América están perdiendo una oportunidad crucial de fortalecer sus salvaguardias de la privacidad de las comunicaciones con derechos y principios comunes al conjunto de instrumentos de protección de datos a nivel mundial. Nuevas leyes de protección de datos inspiradas en el PIBR Brasil, Barbados y Panamá han sido los primeros países de la región en adoptar leyes de protección de datos inspiradas en la RDPI. La ley de Panamá, aprobada en 2019, entrará en vigor en marzo de 2021. La ley de Brasil ha enfrentado una batalla difícil. Las disposiciones que crean la autoridad de supervisión entraron en vigor en diciembre de 2018, pero el gobierno tardó un año y medio en introducir un decreto para implementar su estructura. Sin embargo, el decreto sólo tendrá fuerza legal cuando el presidente de la Junta sea nombrado oficialmente y aprobado por el Senado. No se ha hecho ningún nombramiento a partir de la publicación de este puesto. Para el resto de la ley, febrero de 2020 fue la fecha límite original para entrar en vigor. Esto se cambió más tarde a agosto de 2020. La ley se retrasó aún más hasta mayo de 2021 a través de una ley ejecutiva emitida por el presidente Bolsonaro. Sin embargo, en un sorprendente giro positivo, el Senado de Brasil detuvo el aplazamiento del presidente Bolsonaro en agosto. Eso significa que la ley está ahora en vigor, excepto por la sección de penalizaciones que han sido aplazadas de nuevo, hasta agosto de 2021. Definición de datos personales Al igual que el PIB, las leyes del Brasil y Panamá incluyen una definición exhaustiva de los datos personales. Incluye cualquier información relativa a una persona identificada o identificable. La definición de datos personales en la ley de Barbados tiene ciertas limitaciones. Sólo protege los datos que se refieren a una persona que puede ser identificada «a partir de esos datos; o a partir de esos datos junto con otra información que está en posesión o que es probable que esté en posesión del proveedor». Los datos anónimos en el Brasil, Panamá y Barbados quedan fuera del alcance de la ley. También hay variaciones en la forma en que estos países definen los datos anonimizados. Panamá lo define como datos que no pueden ser re-identificados por medios razonables. Sin embargo, la ley no establece parámetros explícitos para guiar esta evaluación. La ley del Brasil deja claro que los datos anonimizados se considerarán datos personales si el proceso de anonimización se invierte utilizando exclusivamente los medios propios del proveedor, o si se puede invertir con esfuerzos razonables. La ley brasileña define factores objetivos para determinar lo que es razonable, como el costo y el tiempo necesarios para invertir el proceso de anonimización, de acuerdo con las tecnologías disponibles, y el uso exclusivo de los medios propios del proveedor. Estos parámetros afectan a las grandes empresas de tecnología con una gran potencia de cálculo y grandes colecciones de datos, que tendrán que determinar si sus propios recursos podrían utilizarse para volver a identificar los datos anonimizados. Esta disposición no debe interpretarse de manera que se ignoren los casos en que el hecho de compartir o vincular datos anónimos con otros conjuntos de datos, o con información de dominio público, conduzca a la reidentificación de los datos. Derecho a la portabilidad Los tres países conceden a los usuarios el derecho a la portabilidad, es decir, el derecho a tomar sus datos de un proveedor de servicios y transferirlos a otro lugar. La portabilidad se suma a
