Protección de Datos – Datos de 235 millones de usuarios de Instagram, TikTok y YouTube quedaron expuestos
Social Data, una compañía que proporciona servicios para empresas en redes sociales, ha expuesto en Internet una base de datos con información sobre los perfiles de cerca de 235 millones de usuarios de plataformas como Instagram, TikTok y YouTube. Así lo ha alertado la compañía de ciberseguridad Comparitech, que en un comunicado asegura que la base de datos de Social Data no estaba protegida con ningún método de autenticación, ni siquiera con contraseña, revelando un serio fallo de seguridad de la firma. Entre los datos expuestos, se encuentran los nombres de usuario de las cuentas, datos de contacto en las plataformas, información personal, imágenes y estadísticas sobre los seguidores de sus perfiles. La información de Social Data proviene de perfiles públicos en Instagram, TikTok y YouTube, en los que los datos eran accesibles de forma pública. Comparitech descubrió a comienzos de agosto tres bases de datos idénticas con los mismos 235 millones de perfiles. “No sabemos cuánto tiempo estuvieron expuestos los datos antes de nuestro descubrimiento el 1° de agosto. Tampoco sabemos si alguna parte no autorizada accedió a ellos durante la exposición. Nuestros experimentos de honeypot muestran que los piratas informáticos pueden encontrar y atacar bases de datos no seguras a las pocas horas de haber sido expuestos”, dijo la compañía en su publicación. Los datos podrían proceder de la desaparecida empresa de servicios Deep Social, a la que Facebook e Instagram vetaron en 2018 el acceso a sus API para desarrolladores, debido al uso de una técnica conocida como ‘web scraping’, en la que las empresas se hacen con grandes cantidades de datos de cuentas públicas para usos comerciales. De acuerdo con Comparitech, los nombres de los conjuntos de datos de Instagram (cuentas-deepsocial-90 y cuentas-deepsocial-91) insinuarían el origen de los datos. El CTO de Social Data admitió que sus bases de datos se encontraban expuestas, aunque insistió en que se trataba de información disponible de forma pública. También indicó que los servidores en los que se alojaban los datos fueron retirados tres horas después de tener conocimiento del problema. Fuente: https://www.elespectador.com/noticias/tecnologia/datos-de-235-millones-de-usuarios-de-instagram-tiktok-y-youtube-quedaron-expuestos/
Protección de Datos – Superindustria abre investigación a Cámaras de Comercio de Montería y Villavicencio por presunto mal manejo de datos personales
Bogotá D.C., 10 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, formuló pliegos de cargos contra las Cámaras de Comercio de Villavicencio y Montería, por la posible infracción de varias disposiciones del régimen jurídico de Habeas Data. En las decisiones, que fueron adoptadas mediante las resoluciones 50087 (Villavicencio) y 51634 (Montería) del 25 y 28 de agosto respectivamente, la Superintendustria encontró que las Cámaras de Comercio mediante diversos formularios que utilizan en sus páginas web recolectan datos personales, pero en algunos casos se encontraron algunas fallas como: – No solicitan la Autorización de las personas para recolectar y usar sus datos personales. – No informan a las personas la finalidad de la recolección y Tratamiento de sus datos personales. – No informan al Titular del Dato lo que exige el artículo 12 de la Ley Estatutaria 1581 de 2012. Por ejemplo, no informa a las personas los derechos que tienen como Titulares de sus datos Adicionalmente, en el caso de la Cámara de Comercio de Villavicencio se pudo establecer que se recolectan datos sensibles relacionados con la pertenencia a población vulnerable, raizal, palenquera, afrocolombiana e indígena, pero no le informa a las personas que esa información es sensible, ni les indica que no es obligatorio suministrar esa información. Tampoco da a conocer a las personas los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización, ni pone en conocimiento de las personas la Política de Tratamiento de Información. Las Cámaras de Comercio tienen un plazo de quince días después de la notificación para atender estos requerimientos. En caso de comprobarse las violaciones, las multas podrían ascender hasta los 2 mil Salarios Mínimos Legales Mensuales Vigentes. Fuente: https://www.sic.gov.co/slider/superindustria-abre-investigaci%C3%B3n-c%C3%A1maras-de-comercio-de-monter%C3%ADa-y-villavicencio-por-presunto-mal-manejo-de-datos-personales
Ciberseguridad – Detectan más de 5.400 millones de intentos de ciberataques en Colombia
Fortinet, multinacional estadounidense que ofrece servicios de ciberseguridad, reveló que Colombia fue objeto de 5.400 millones de intentos de ciberataques entre enero y junio de este año. La cifra se suma al total de 15.000 millones de amenazas en América Latina y el Caribe durante el mismo período. El incremento en la actividad cibercriminal se debe a la incertidumbre por la pandemia y al aumento de los ataques de “fuerza bruta”, es decir, intentos sistemáticos de adivinar una credencial enviando diferentes nombres de usuario y contraseñas para acceder a un sistema. Así lo indicó Threat Intelligence Insider, la plataforma de la compañía que recopila y analiza incidentes de ciberseguridad en todo el mundo. “El crecimiento del trabajo remoto y la teleducación ha reavivado el interés de los hackers en los ataques de ‘fuerza bruta’. Con la transición masiva a la oficina y el aprendizaje en casa, los ciberdelincuentes encuentran una importante cantidad de servidores de protocolo de escritorio remoto (RDP) mal configurados, lo que facilita este tipo de ataques”, señaló Juan Carlos Puentes, country manager de Fortinet Colombia. Puentes explicó que los ataques de “fuerza bruta” se valen de mecanismos automáticos repetitivos y se utilizan para descifrar algoritmos u obtener contraseñas débiles de correo electrónico, credenciales de redes sociales y acceso a Wi-Fi. Según Fortinet, se dio un aumento “considerable” de este tipo de amenazas durante el primer semestre de 2020. Los ataques de Fuerza Bruta (SSH.Connection.Brute.Force) fueron los más utilizados, con 818 millones de intentos en Colombia. Esta modalidad se apoya en varias solicitudes de inicio de sesión lanzadas a una velocidad de aproximadamente 200 veces en 10 segundos. Fortinet también reveló el uso de campañas de ingeniería social tipo phishing, que consisten en suplantaciones de sitios web para atraer a los usuarios a plataformas maliciosas con el fin de robarles información personal. En este caso, pedían datos por teléfono bajo falsos pretextos relacionados a la crisis sanitaria y conducían a las víctimas a hacer clic en enlaces fraudulentos. Los troyanos también abundaron durante el primer semestre, en especial Android/Clicker.MR!tr er.MR!tr, del que se encontraron 89.278 ataques. Un troyano es un tipo de malware que realiza actividades sin el conocimiento del usuario, desde establecer conexiones de acceso remoto y recopilar información hasta colocar otro malware en el sistema infectado. Cifras de la organización también indican que en abril se registró el mayor volumen de campañas de phishing por correo electrónico relacionadas con COVID-19, con más de 4.250. Solo el 2 de abril Fortinet registró 330 campañas de este tipo en todo el mundo, aunque los ataques han disminuido desde entonces. Los archivos adjuntos .DOCX (Word) fueron los más utilizados por los ciberdelincuentes, seguidos por los archivos .PDF. Los intentos de ransomware (software malicioso que bloquea sistemas y exige el pago de dinero) también ocuparon un lugar destacado en el reporte de amenazas. “Es esencial que las organizaciones tomen medidas para proteger a sus empleados remotos y ayudarles a proteger sus dispositivos y redes domésticas. El primer paso para mitigar los ‘ataques de fuerza bruta’ es utilizar contraseñas seguras”, indica Puntes. El experto sugirió que las empresas utilicen mecanismos de encriptación, limiten el número de intentos de inicio de sesión durante un período determinado y habiliten otros mecanismos de autenticación robustos, como ‘tokens’ o validación de imágenes (Captcha). Fuente: https://www.elespectador.com/noticias/tecnologia/detectan-mas-de-5400-millones-de-intentos-de-ciberataques-en-colombia/
Ciberseguridad – La seguridad en las videollamadas: ¿qué se puede hacer?
El fenómeno Zoombombing consiste en hacer bromas y sabotear de diversas formas estas comunicaciones. Cuando la congresista María José Pizarro estaba interviniendo la semana pasada en uno de los debates virtuales de la Comisión Sexta de la Cámara de Representantes, fue interrumpida en varias ocasiones: primero fue insultada, y después su participación fue completamente bloqueada con videos pornográficos. Lo mismo le pasó a Luis* cuando hace unas semanas convocó a varios de sus amigos en redes sociales para realizar unas tertulias sobre temas de género por videollamada y compartió el enlace; solo 20 minutos después de haber comenzado la conversación, el diálogo fue saboteado con música fuerte y risas, finalmente comenzaron a aparecer imágenes de contenido sexual en la pantalla de todos los asistentes. Este panorama se ha repetido incontables veces durante los últimos meses, cuando en el aislamiento por la pandemia se aumentó considerablemente el uso de herramientas digitales para hacer videollamadas. Este fenómeno se esparció tan rápidamente que incluso el FBI, en abril pasado, se pronunció sobre el hecho y rechazó ese tipo de comportamientos que tienen como primera finalidad molestar a las personas conectadas. “Lo que buscan principalmente es llamar la atención”, asegura Cecilia Pastorino, especialista en seguridad informática de Eset Latinoamérica. Un nuevo fenómeno Este tipo de casos ha crecido en una forma tan elevada y en tantos países que ya es conocido como Zoombombing por el nombre de la plataforma de videollamadas Zoom, que se ha convertido en una de las más usadas durante estos meses. “El Zoombombing es cuando alguien ingresa a una videollamada y lo que buscan principalmente es interrumpir la comunicación. Muestran videos porno, insultos o hacen garabatos, todo con el fin de molestar e interrumpir, y en casos como el que pasó en el Congreso puede también estar relacionado con temas de activismo”, detalla Pastorino. La experta destaca que este tipo de modalidad es un “engaño de ingeniería social”, así también lo confirma Axel Díaz, director del laboratorio forense de Adalid Corp., empresa especializada en seguridad de la información. Díaz explica que lo que ocurrió en la Comisión Sexta de la Cámara de Representantes no se debió puntualmente a un ‘hackeo’, sino que fue un “error humano”. “Seguramente, el atacante hizo un correo muy parecido al que uno de los congresistas pudiera tener, el administrador de la comunicación lo confunde y le autoriza el ingreso. Después de esto comienzan a ejecutar sus acciones de sabotaje”, indica. Las personas que realizan este tipo de bromas buscan tener nombres muy similares o que luzcan confiables para que se les permita entrar a la llamada. Muestran videos porno, insultos o hacen garabatos, todo con el fin de molestar e interrumpir ¿Qué hacer? Lo principal en este tipo de casos es entender que en estas tecnologías existen muchos riesgos y se deben asumir con el cuidado que lo amerite. “Hay que ser conscientes de las implicaciones que tiene el mundo virtual y tomar las mismas precauciones que tendríamos si fuera en un espacio presencial”, explica Axel Díaz. Así mismo, Pastorino señala que es muy importante antes de realizar una videollamada conocer la herramienta en la que se va a realizar, con el fin de identificar las configuraciones con las que se cuenta. “Familiarícese con las opciones que brindan para configurarlas. Por ejemplo, si la herramienta deja poner una contraseña, hágalo”, precisa Pastorino. Por otro lado, añade que varias de estas plataformas permiten que haya “una sala de espera para que a los asistentes se les habilite uno por uno para participar” y se les otorguen ciertas características como usar el micrófono, activar la cámara o compartir pantalla. En el caso de que sea una videollamada con un grupo más cerrado, procure que a cada invitado le llegue un enlace personalizado que es de único uso; así, una vez la persona ingrese, el atacante que quiera acceder por este vínculo no lo podrá hacer. Otro de los errores más comunes es el de publicar en redes sociales los enlaces de las videollamadas, esto permite que los atacantes accedan sin restricciones. “Hay que tener en cuenta que en seguridad nada es 100 por ciento confiable y siempre pueden aparecer fallas de seguridad. La idea es mitigar ese riesgo lo más que se pueda, por eso es importante el análisis y ver para qué voy a utilizar la plataforma”, precisa Pastorino. Estas herramientas también han sido utilizadas por los ciberdelincuentes para obtener información. En este caso ingresan y no interactúan, para pasar desapercibidos. “Comparten enlaces maliciosos dentro del chat, aprovechando que las personas sienten que es un espacio seguro, con participantes autorizados”, indica Pastorino. Otro de los casos reportados es el de subir aplicaciones muy similares a las más populares para realizar videollamadas, las cuales son subidas en tiendas oficiales, y una vez se realiza la descarga la persona queda con un código malicioso. “Es importante revisar la cantidad de descargas que tiene la app y cuáles son los comentarios que tiene, para descartar que no sea falsa”, puntualiza la experta. TECNÓSFERA Twitter: @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/videollamadas-como-tener-una-comunicacion-segura-y-que-es-el-zoombombing-536322
Ciberseguridad – Guía para no ser víctima de correos maliciosos
Conozca cómo identificar el engaño y qué puede hacer si le llega un correo sospechoso. Actualice sus detalles de pago”, “Su cuenta ha sido bloqueada”, “Así puede acceder a un subsidio durante la cuarentena” son algunas estrategias que usan los ciberdelincuentes para llamar la atención de las personas a través de correos maliciosos y robar sus datos. El ‘phishing’, como es conocido este tipo de engaño, busca robar la información de usuarios y contraseñas, datos bancarios o de redes sociales para luego venderlas. La estrategia consiste en enviar un correo, que pareciera de una entidad bancaria, red social, entre otros, para informarle que tiene un problema. Estos mensajes siempre incluyen un enlace que a simple vista pareciera confiable y simula el diseño y las características del portal web que se menciona. Una vez allí, le solicitan que ingrese sus datos de usuarios, contraseña y, cuando se trata de temas bancarios, la información de su tarjeta de crédito con el fin de restablecer el servicio o solucionar el inconveniente. “El mensaje más clásico es: ‘Tu cuenta ha sido bloqueada, tienes que entrar a este ‘link’ y completar la información para comprobar tu identidad’ ”, señala Cecilia Pastorino, especialista en Seguridad Informática de Eset Latinoamérica. Pero esa es solo una de las modalidades que usan los atacantes para llamar la atención de sus víctimas. Este es el caso de la pandemia, que se convirtió en pretexto para generar mensajes maliciosos. Así lo revela el Tanque de Análisis y Creatividad de las TIC (TicTac), de la Cámara Colombiana de Informática y Telecomunicaciones al indicar que entre la última semana de marzo y la primera de abril, en Colombia los ciberataques aumentaron en 37 por ciento por la coyuntura del coronavirus. En este periodo de tiempo se detectaron 195 páginas web para robar y estafar, indicó la Policía Nacional. De la misma manera, cifras del TicTac muestran que en el primer trimestre de 2020 se denunciaron 804 casos de ‘phishing’ en el país, un 204 por ciento más que los registrados en ese mismo periodo de 2019, cuando se reportaron 235. Nuevas temáticas Esta situación se ve reflejada en las decenas de correos maliciosos detectados en los últimos meses referentes al covid-19. En abril pasado, Google aseguró que en promedio bloquea 18 millones de correos maliciosos en Gmail referentes a la pandemia. La compañía precisó que los ciberdelincuentes se hacen pasar por organizaciones gubernamentales como la OMS para sus estrategias. Entre estas se encuentra el tema de la vacuna, según lo revela un informe realizado por la compañía Check Point, el cual muestra que entre junio y julio se han duplicado las páginas web relacionados con la vacuna para el SARS-CoV-2. En los asuntos de los correos han usado mensajes como “Carta de información urgente: covid-19 nuevas vacunas aprobadas”. Estos tienen adjuntos archivos de Excel que descargan un ‘software’ malicioso que se queda con la información personal en el equipo. “Los atacantes utilizan esto para engañar a la gente, porque es un tema que está en boca de todos y preocupa. El ‘phishing’ se basa en las emociones, entonces lo que busca el atacante es que la persona de alguna manera se bloquee por una emoción y realice la acción que el atacante quiere”, dice Pastorino, quien asegura que “lo mismo ocurre con fechas como Navidad o Black Friday”. Los delincuentes también tienen entre sus repertorios mensajes en los que informan un determinado premio o una promoción. Así mismo, se hacen pasar por empresas como Netlflix, Spotify, Amazon Prime, Adidas, entre otras. Precisamente, empresas de ciberseguridad indicaron que se identificó una campaña de correos maliciosos que tienen el asunto «Alerta de notificación», en donde indican que la persona tiene una deuda acumulada con la plataforma de Netflix, lo cual llevará a la suspensión del servicio. El correo incluye un botón que dirige a una página falsa que tiene las mismas características de la original y pide actualizar los datos de pago. “Lo que buscan los atacantes es ganar dinero al robar información de los usuarios, y esa información la van a cambiar o vender en el mercado negro por dinero. Por ejemplo, por números de tarjetas de crédito pueden recibir entre 10 y 13 dólares; por cuentas de Gmail y de redes sociales, unos 10 dólares”, explica Pastorino. Por los números y datos de tarjetas de crédito pueden recibir entre 10 y 13 dólares; por cuentas de Gmail y de redes sociales, unos 10 dólares por cada una ¿Qué hacer? Si a su bandeja de entrada le llega un correo inesperado de cuyo origen no está seguro, lo mejor que puede hacer es ignorarlo y eliminarlo, no importa qué tan tentador puede llegar a ser el asunto. En el caso de que entre al mensaje y lo dirija a un enlace, revíselo bien. Vaya a la barra superior y verifique cuál es la dirección, observe si tiene algún número o letra distinta a la página que usted conoce. Si no coincide, cierre la página e intente reportarla. Una estrategia práctica al recibir un supuesto mensaje de su banco es no acceder al enlace que le muestra, vaya directamente a la página de la entidad; si al ingresar a su cuenta esta no le muestra ningún reporte, lo más seguro es que se trata de ‘phishing’. Otra de las recomendaciones, señala Pastorino, es estar atento a los mensajes recibidos, pensar ‘si ese correo lo estoy esperando o me llegó porque sí’. “Identifique si es un correo dirigido a usted, si tiene su nombre y apellido, o es un correo genérico como: ‘Estimado cliente, visitante o usuario’ ”, agrega. No descargue archivos adjuntos de mensajes de los que usted no tiene seguridad, ya que pueden contener virus. Si cayó en la trampa de los atacantes, lo mejor que puede hacer, si se trata de datos bancarios, es comunicarse con su entidad financiera para que bloquee los servicios. Si es de su correo o red social, cambie su contraseña en el menor tiempo posible. REDACCIÓN TECNÓSFERA Fuente: https://www.eltiempo.com/tecnosfera/tutoriales-tecnologia/phishing-consejos-para-evitar-el-robo-de-informacion-personal-532412
Protección de Datos – La AEPD publica su primera Memoria de Responsabilidad Social
Prensa AEPD. – La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su primera Memoria de Responsabilidad Social, en la que se abordan los avances y retos de sostenibilidad que tiene la Agencia desde las perspectivas económica, social y ambiental, con especial compromiso en garantizar este derecho fundamental. El propósito de esta primera Memoria de Sostenibilidad es rendir cuentas sobre los compromisos establecidos en el Marco de Actuación de Responsabilidad Social que la Agencia presentó en marzo de 2019. En él se recogen los compromisos internos y externos alineados con los Objetivos de Desarrollo Sostenible (ODS) de Naciones Unidas para la Agenda 2030, identificando hasta 100 acciones para los próximos cinco años, de las que un 70% corresponde a compromisos con la sociedad, un 13% a compromisos con los empleados, un 10% relacionadas con el respeto al medio ambiente y un 7% con el buen gobierno y la transparencia. Dentro del eje de compromisos con la sociedad, la Memoria recoge el conjunto de medidas impulsadas por la Agencia en relación con la igualdad de género, como es la creación del Canal Prioritario de la AEPD, que permite informar de la difusión ilícita de contenido sexual o violento y solicitar su retirada de forma urgente. El Canal, orientado a dar una respuesta rápida a víctimas de violencia de género, abuso o agresión sexual o acoso, u otros colectivos especialmente vulnerables, ha posicionado a la AEPD como autoridad de referencia a nivel europeo y mundial a la hora de combatir la violencia de género, y, más ampliamente, la violencia digital, que afecta especialmente a las mujeres y a jóvenes en el entorno escolar. Asimismo, se enumeran otras medidas en este ámbito, como la creación de un espacio web sobre violencia de género; la aprobación del Protocolo de acoso sexual de la AEPD; las recomendaciones a empresas sobre obligaciones en caso de violencia digital o la convocatoria de un premio sobre Protección de Datos contra la violencia de género, entre otras. Dentro de este capítulo, la Memoria también incluye las iniciativas puestas en marcha para concienciar a los menores sobre el uso responsable de internet, colaborando en la puesta a disposición de materiales que ayuden en la prevención, detección y erradicación de conductas violentas en el entorno escolar. Entre ellas destaca AseguraTIC, una web dirigida a educadores, familias, alumnos y administraciones educativas, cuyo objetivo es contribuir a la protección de los menores en internet facilitando el acceso a una colección de materiales educativos digitales. Por otra parte, recoge los compromisos de la Agencia con el establecimiento de medidas para reforzar la integridad, la ética, la transparencia y la rendición de cuentas. Un ejemplo de ello es la elaboración de su Código Ético, aprobado de enero de 2020, y en el que se recogen los valores, principios de actuación y normas de conducta que deben guiar la actuación de los empleados y directivos de la AEPD. El Código identifica los principales riesgos éticos y de cumplimiento normativo a los que se enfrenta la AEPD y su personal en el desarrollo de su actividad, estableciendo normas de actuación para su prevención y gestión. Para facilitar esta labor, la Agencia ha elaborado una Guía de aplicación práctica del Código Ético y ha impulsado también la puesta en marcha de un Canal Ético para consultas y alertas anónimas de empleados y ciudadanos, así como un Comité de Ética. Entre las medidas llevadas a cabo dentro del eje vinculado al compromiso con los trabajadores, el informe resalta el programa de teletrabajo de la AEPD, que se inició con un piloto en 2017 y al que antes de la pandemia estaba acogido el 80% de la plantilla, lo que facilitó el salto al 100% de la plantilla con normalidad. El teletrabajo constituye una herramienta de organización del trabajo que busca combinar el incremento de la flexibilidad y la productividad del tiempo de trabajo a la vez que una conciliación adecuada de la vida personal, familiar y laboral. Para la Agencia, el teletrabajo se ha convertido en un instrumento básico para organizar el trabajo durante la pandemia y ha situado a la institución como referente del sector público. La Agencia se ha comprometido a seguir impulsando la mejora y ampliación, en su caso, del programa de teletrabajo, y, en general, de cualesquiera medidas que favorezcan la conciliación de la vida personal, familiar y laboral de los empleados. Otras medidas pasan por impulsar pautas de salud laboral en los empleados y empleadas de la Agencia o adoptar medidas que favorezcan una mayor representación femenina en los puestos de nivel 26 a 30 de la Agencia, hasta alcanzar el 50% en el 2024. Respecto al eje que comprende el compromiso con el medio ambiente y la lucha contra el cambio climático, la Memoria recoge las acciones realizadas por la Agencia para calcular la huella de carbono de la institución, de forma que se pueda cuantificar y reportar las emisiones de Gases de Efecto Invernadero asociadas a su actividad. Para identificar la huella de carbono de la AEPD se eligió 2016 como año base de estudio por contar con suficiente información trazable y verificable, analizando también los años 2017, 2018 y 2019 para establecer una comparativa y comprobar si hubo un ascenso o descenso de las emisiones en el tiempo. La huella total en el 2016 alcanzó 324,48 toneladas de dióxido de carbono, mientras que en 2017 aumentó un 19%, para ir disminuyendo en 2018 (un 7%) y 2019 (un 3%). Con esta medida, la Agencia persigue el objetivo de conseguir un nivel de emisiones 0. Actualmente, la Agencia trabaja en una iniciativa para conseguir la adhesión de las principales fundaciones, asociaciones empresariales y entidades españolas a un gran pacto que promueva la convivencia ciudadana en el ámbito digital. Con este pacto, la AEPD pretende impulsar tanto la proactividad de las organizaciones en materia de protección de datos como la promoción de campañas de sensibilización digital a menores para lograr que éstos hagan un uso equilibrado y responsable de los
Protección de Datos – Orden de la SIC a la aplicación ValleCorona
La Superintendencia de Industria y Comercio, en su rol como Autoridad Nacional de Protección de Datos, se permite informar lo siguiente: 1. Con ocasión de la vigilancia preventiva a las aplicaciones creadas en el marco del COVID-19 por diferentes autoridades departamentales y municipales, la Superintendencia de Industria y Comercio detectó fallas de seguridad en la aplicación “ValleCorona”, por lo que a través de la Resolución 47703 del 18 de agosto ordenó a la Gobernación del Valle del Cauca lo siguiente: • IMPLEMENTAR las medidas de seguridad apropiadas y efectivas para impedir el acceso o descarga de la información recolectada y tratada en la aplicación “ValleCorona”. Estas medidas deben ir acompañadas de mecanismos de monitoreo y control que de manera permanente permitan asegurar la debida protección de la información tratada. • MODIFICAR el documento “instructivo de términos y condiciones” para el uso del aplicativo “ValleCorona”, de manera tal que informe todo lo que ordena la regulación colombiana respecto al tratamiento de datos sensibles. • FORTALECER las medidas adoptadas respecto del tratamiento de datos sensibles, de manera que esa información tenga mayores medidas de seguridad y restricciones de acceso, uso o circulación, de tal forma que no sólo se implemente la “responsabilidad demostrada”, sino la “responsabilidad reforzada”. • CUMPLIR con lo ordenado dentro de la Resolución dentro de los 10 días hábiles, siguientes a la ejecutoria de este acto administrativo. • Para demostrar el cumplimiento de esta orden, se deberá remitir una certificación suscrita por la Gobernadora del Valle del Cauca donde se acredite que se han implementado las medidas ordenadas por la SIC. 2. Contra el acto administrativo proceden los recursos de reposición y apelación. La Superintendencia de Industria y Comercio reitera que el derecho de Habeas Data es un derecho fundamental y que el tratamiento de datos sensibles (como los datos relativos a la salud de las personas) debe estar rodeado de especial cuidado y diligencia en su recolección, uso, seguridad y/o cualquier otra actividad que involucre el uso de estos. Las actuaciones de las entidades y autoridades públicas sobre esta materia son investigadas por esta Autoridad, con el fin de determinar si existen responsabilidades, las cuales son consideradas disciplinarias, por lo que cualquier hallazgo será remitido a la Procuraduría General de la Nación para lo de su competencia. Fuente: https://www.sic.gov.co/slider/orden-de-la-sic-la-aplicaci%C3%B3n-vallecorona
Protección de Datos – Datos personales para el ingreso a establecimientos comerciales
Nombre, nº de identificación y teléfono de contacto son algunos de los datos personales, que en medio de la pandemia, nos piden al ingreso de muchos establecimientos. ¿Por qué debemos suministrar esa información y para qué la usan? Más información de interés en bit.ly/SICTeVe2020Cap24 Fuente: https://www.linkedin.com/posts/superintendencia-de-industria-y-comercio_sicteve-ugcPost-6696173162247389185-gqCa
Ciberseguridad – Así operan los cibercriminales dentro y fuera de la internet profunda
Las organizaciones criminales aprovechan lo profundo de la red para ofrecer cuentas robadas, documentos falsos, tarjetas de crédito y toda clase de malware o programas para cometer fraudes cibernéticos. Sin embargo, el 2019 registró cifras récord en operaciones y comercios ilegales que fueron identificados y cerrados por las autoridades. Un reciente estudio de la firma Trend Micro, especializada en soluciones de ciberseguridad en más de 50 países, reveló que los cibercriminales han encontrado nuevas estrategias para seguir operando por fuera de la internet profunda, por ejemplo a través de plataformas de comercio electrónico y mensajería instantánea. Hasta hace un par de años, la aplicación de mensajería Telegram fue la principal vía de comunicación entre compradores y vendedores de este tipo de comercios. La utilidad de la plataforma radicaba en funciones como los canales sin límite de miembros, los chats secretos y los mensajes que se autodestruyen después de cierto tiempo. No obstante, el estudio de Trend Micro, que examinó la compra o venta de bienes y servicios en la deep web, encontró que los cibercriminales están transitando de los mercados en la internet profunda hacia plataformas alternativas que les permitan mantener sus actividades con mayor seguridad para sus clientes, por ejemplo, al garantizar el anonimato y la destrucción de evidencia. Discord, una aplicación gratuita de VoIP (llamadas de voz a través de la red), se ha convertido en la actualidad en una herramienta usada por los vendedores de productos ilegales que aprovechan el anonimato que brinda la plataforma para crear servidores y canales propios. Esta ‘app’, diseñada inicialmente para comunidades de gamers y videojuegos, acumula alrededor de 250 millones de usuarios. Otra de las estrategias ha sido crear nuevos sitios como DarkNet Trust para buscar el anonimato de las transacciones, vendedores y consumidores. Otros mercados han implementado más medidas de seguridad como pagos directos de comprador a vendedor, firmas múltiples para transacciones mediante criptomonedas, mensajes cifrados y una prohibición radical de JavaScript. Caída en algunos precios El mercado del cibercrimen experimenta una caída de precios relacionada con el temor y prevención de muchos usuarios a la hora de comprar productos ilegales en la deep web o internet profunda. Por ejemplo, según Trend Micro, los servicios de cifrado o descifrado cayeron de US$1.000 mensuales a US$20 por mes. Y mientras que un botnet (red de robots informáticos para infectar ordenadores y controlarlos de manera remota) el año pasado se vendían por US$200, hoy se consiguen por US$5. El informe señala que en la base de la escala también está la manipulación de indicadores de Social Media, pues 1.000 likes en Instagram pueden conseguirse, por ejemplo, por US$15 centavos. No obstante, el estudio también identificó algunos productos que mantienen su hegemonía en el mercado oculto de la web: paquetes de ransomware como servicio, troyanos de acceso remoto (RAT) y servicios de spam siguen encontrando compradores sin problema por cientos de dólares. A pesar de la caída de precios en algunos sectores de este tipo de mercados, Trend Micro identificó un aumento considerable en la demanda de botnets de IOT, que si usan malware no detectado pueden cotizarse hasta por US$5.000. Fuente: https://www.dinero.com/tecnologia/articulo/como-operan-los-cibercriminales-cual-es-la-nueva-estrategia/295042
