La UE lanza un nuevo marco de certificación de ciberseguridad para proteger redes y servicios públicos
La Unión Europea sigue avanzando con el objetivo de fortalecer la ciberseguridad en todos los ámbitos. Ahora ha anunciado el lanzamiento de un nuevo marco de certificación que proporcionará un reconocimiento a productos de Tecnologías de la Información y Comunicación (TIC) que cumplen con estándares de seguridad altos. Este nuevo marco de certificación tiene como objetivo principal proporcionar a los ciudadanos y a las organizaciones la confianza de que los productos TIC que utilizan en su vida diaria cumplen con los estándares de ciberseguridad más rigurosos. Esto es esencial, ya que en la actualidad muchas de nuestras rutinas dependen de la tecnología, desde la banca hasta la atención médica digitalizada. Una de las características clave de este marco de certificación es que es voluntario, lo que significa que los proveedores de TIC que deseen demostrar la seguridad de sus productos pueden someterse a un proceso de evaluación comúnmente aceptado en toda la UE. Este proceso de certificación abarca tanto el hardware como el software, incluyendo componentes tecnológicos como chips y tarjetas inteligentes. El marco de certificación se basa en el enfoque probado de los Criterios Comunes SOG-IS, que ya se utilizan en 17 Estados miembros de la UE. Proporciona dos niveles de garantía, que se basan en el nivel de riesgo asociado con el uso previsto del producto o servicio. Esto permite adaptar la certificación a la gravedad de las posibles amenazas, garantizando que los productos más proclives en lo que a seguridad se refiere sean sometidos a evaluaciones más rigurosas. La certificación complementará la Ley de Ciberresilencia e impulsará la implementación de la Directiva NIS 2 El Comisario de Mercado Interior de la UE, Thierry Breton, destacó la importancia de esta iniciativa en un contexto de amenazas cibernéticas en constante evolución: «En un panorama de amenazas a la ciberseguridad altamente dinámico, estamos avanzando a pasos agigantados para aumentar nuestra ciberresiliencia colectiva. Hoy lanzamos un nuevo marco para garantizar que los productos que utilizamos en algunos de los entornos más sensibles, como enrutadores y tarjetas de identificación, sean ciberseguros. Queremos que nuestros ciudadanos, empresas y el sector público puedan confiar en los productos en los que confían para proteger sus redes y proporcionar servicios públicos sensibles». El Comisario Breton también destacó que este nuevo marco de certificación complementará la Ley de Resiliencia Cibernética de la UE, que establece requisitos de ciberseguridad para todos los productos de hardware y software en la Unión Europea. Juhan Lepassaar, Director Ejecutivo de la Agencia de Ciberseguridad de la UE, destacó que «La adopción del primer esquema de certificación de ciberseguridad marca un hito hacia un mercado único digital de confianza de la UE y es una pieza del rompecabezas del marco de certificación de ciberseguridad de la UE que actualmente se está construyendo». Además, el nuevo marco de certificación también impulsará la implementación de la Directiva NIS2, que establece medidas para garantizar un nivel elevado y armonizado de seguridad cibernética en toda la UE. La combinación de estos los diferentes marcos legislativos y de certificación fortalecerá la ciberseguridad en toda la Unión Europea y mejorará la protección de los ciudadanos y las infraestructuras críticas. Entrada en vigor del nuevo marco de ciberseguridad de la UE El plan de certificación se publicará en el Diario Oficial de la UE en breve y entrará en vigor 20 días después de su publicación. Junto con la publicación del sistema de certificación, la Comisión Europea también presentará el primer programa de trabajo continuo de la Unión para la certificación europea de ciberseguridad. Este documento establecerá una visión estratégica y considerará áreas para futuros esquemas de certificación de ciberseguridad en función de los desarrollos legislativos y de mercado. La creación de este marco de certificación ha sido el resultado de un esfuerzo colaborativo entre la Agencia de Ciberseguridad de la Unión Europea (ENISA), expertos de la industria y representantes de los Estados miembros de la UE. Se llevaron a cabo debates técnicos y legales, así como consultas públicas para asegurar que el marco de certificación sea sólido y adecuado para las necesidades de la UE. FUENTE: Dominguez, MLuz. »La UE lanza un nuevo marco de certificación de ciberseguridad para proteger redes y servicios públicos» Bitlifemedia.com. 01/02/2024. (https://bitlifemedia.com/2024/02/la-ue-lanza-un-nuevo-marco-de-certificacion-de-ciberseguridad-para-proteger-redes-y-servicios-publicos/#google_vignette).
Las 35 medidas y las 10 actuaciones de la AEPD para limitar el acceso de los menores al porno
El presidente del Gobierno, Pedro Sánchez, ha avanzado este lunes que el Consejo de Ministros aprobará mañana la creación de un Comité de Expertos para la generación de un entorno digital seguro para la juventud y para la infancia, y así protegerles de los riesgos de contenidos inadecuados como el porno o la violencia. Así lo ha anunciado durante su participación en el acto de presentación de la Estrategia sobre menores, salud digital y privacidad, elaborada por la Agencia Española de Protección de Datos (AEPD), en la que el jefe de Ejecutivo ha alertado del aumento del consumo de pornografía por parte de menores de edad. Fuentes del Gobierno han concretado que este comité de expertos será un comité asesor, que estará formado por 50 personas, y que su trabajo durará un tiempo concreto. «No es una exageración decir que nos estamos enfrentando a una auténtica pandemia, a una auténtica epidemia para ser más exactos y las víctimas de esa epidemia son nuestros adolescentes, nuestros hijos, nuestras hijas, nuestros familiares. Esta exposición a la pornografía evidentemente no es inocua», ha expresado el líder del Ejecutivo. Podría interesarle: Identidad Digital Europea: qué es y cuándo se aprobará definitivamente Además, ha alertado de que «basta con teclear la palabra ‘porno’ en Internet para que en 0,23 segundos se ofrezcan más de 5.700 millones de resultados, desde los que se puede acceder a los portales que ofrecen contenidos extremos de forma gratuita y sin verificar la edad de los visitantes» y ha añadido que «se ese inmenso volumen de contenidos visuales, casi el 90% muestran agresiones físicas o verbales» contra mujeres «en su inmensa mayoría». 35 medidas y 10 actuaciones prioritarias para evitar el acceso al porno a los menores Todo esto forma parte de una hoja de ruta en la que también se enmarca la Estrategia sobre menores, salud digital y privacidad que hoy ha presentado la Agencia Española de Protección de Datos (AEPD) y que cuenta con diez actuaciones prioritarias y 35 medidas que, a su vez, se agrupan en tres ejes: colaboración regulatoria para la protección de los menores en Internet; el refuerzo para garantizar sus derechos en el plano nacional e internacional; y el ejercicio de potestades de investigación y sanción. De este modo, la Agencia promoverá la adopción de disposiciones complementarias y en desarrollo de la Ley de Protección Integral de la Infancia y la Adolescencia mediante la coordinación del Grupo de Trabajo ‘Menores, salud digital y privacidad’; participará en la elaboración de directrices sobre menores en el marco del Comité Europeo de Protección de Datos y promoverá la regulación del tratamiento de los datos cerebrales o neurodatos y los neuroderechos, con especial atención a los servicios dirigidos a menores. Por otro lado, como ya anunció en diciembre, la AEPD impulsará la producción de aplicaciones o apps que permitan implantar sistemas o herramientas de verificación de edad para proteger a los menores frente a los contenidos como el porno, la violencia, o productos inadecuados como el alcohol o el tabaco. Además, trabajará para que la Unión Europea asuma estos principios a fin de que sean una referencia para desarrollar estos sistemas a nivel europeo. Medidas para toda la familia En relación con las familias, colaborará con el Instituto Nacional de Ciberseguridad de España (INCIBE) para el análisis de herramientas de control parental y, a su ves, con este y con el Instituto Nacional de Tecnologías Educativas y de Formación de Profesorado (INTEF) para ofrecer a las familias formación digital. Según se recoge en la Estrategia, dada a conocer este lunes, la Agencia de Protección de Datos (AEPD) va a «inspeccionar» las plataformas educativas y de aprendizaje, así como las herramientas digitales que se utilizan en los centros docentes para garantizar el cumplimiento de la normativa de protección de datos. También colaborará con las administraciones educativas y sanitarias para impulsar evaluaciones de impacto en privacidad y salud digital en función de la edad de los menores. Asimismo, la Agencia va a priorizar la investigación y sanción de aquellas páginas webs de contenido para adultos, especialmente, de pornografía, que no cumplan con los requisitos de verificación de edad; y va a los algoritmos y patrones adictivos que buscan influir en el comportamiento y decisiones de los usuarios, es especial, en relación con los datos y el perfilado de menores. El organismo también prevé colaborar con las administraciones educativas, la Fiscalía, ONG y el Ministerio del Interior para concienciar a las familias sobre cómo proteger los datos personales para evitar daños; así como con los responsables sanitarios y sociedades científicas para hacer frente al impacto que el uso inadecuado de Internet tiene en la salud de los menores. FUENTE: Molinero, F. »Las 35 medidas y las 10 actuaciones de la AEPD para limitar el acceso de los menores al porno» Larazon.es. 29/01/2024. (https://www.larazon.es/sociedad/35-medidas-10-actuaciones-aepd-limitar-acceso-menores-porno_2024012965b79976327cdd0001e9cea1.html).
Salud Total Eps denuncia que fue víctima de un ataque cibernético que afectó su base de datos y activó plan de contingencia para usuarios
La EPS Salud Total denunció este lunes, 29 de enero, que sufrió un ataque cibernético en sus canales de atención digital, el cual ocurrió hace dos días, por lo que la información para su funcionamiento está afectada. La entidad preparó un plan de contingencia para sus clientes. Salud Total tomó medidas de urgencia para proteger los datos y poder restablecer los servicios que se han visto afectados. En un comunicado, la EPS señaló que “se procedió a aislar los servicios informáticos, así como las conexiones con los servidores físicos y virtuales, con el objetivo principal de salvaguardar la información y establecer el estado actual de los activos informáticos”. Lea también: 26.000 millones de datos filtrados, el mayor agujero de la historia: cómo saber si te afecta Entre los canales digitales que no están habilitados se encuentran: la Oficina Virtual, Punto de Atención en Casa, Aplicación Móvil, y Pablo, Asesor Virtual. Los usuarios que en este momento se han visto afectados han planteado sus inquietudes y quejas por la red social X, pues son más de 4,8 millones de afiliados a Salud Total que no han podido realizar sus trámites. ¿Qué dicen las autoridades de Salud Total sobre su plan de contingencia? A pesar de la situación que tiene Salud Total con el ataque cibernético, la entidad manifestó que la prestación de los servicios médicos y su atención se viene garantizando, como también “la entrega de medicamentos, realización de laboratorios, entre otros, a través de su red de prestación de servicios y urgencias sin afectación en la atención del usuario”. Además, la EPS confirmó que tomó acciones legales “estamos activando las acciones administrativas y penales procedentes a instancia de la Fiscalía General de la Nación y demás autoridades, de conformidad con la legislación aplicable”. En el comunicado a sus usuarios resaltaron que “la EPS viene haciendo todos los esfuerzos humanos y tecnológicos para la recuperación de la atención virtual en sus canales, agradecemos toda su confianza y comprensión, y les enviamos un mensaje de tranquilidad”. Ante la situación generada con la EPS, la Superintendencia de Salud, una vez se tuvo conocimiento de la contingencia relacionada con las fallas en la plataforma tecnológica de Salud Total, “inició un seguimiento riguroso frente a las reclamaciones y quejas relacionadas puntualmente con eventuales barreras de acceso asociadas con la falla en los sistemas de información de la EPS afectada”, dijo en una misiva. FUENTE: Redacción Nación. »Salud Total Eps denuncia que fue víctima de un ataque cibernético que afectó su base de datos y activó plan de contingencia para usuarios» Www-semana-com.cdn.ampprjecto.org. 30/01/2024. (https://www-semana com.cdn.ampproject.org/c/s/www.semana.com/amp/nacion/articulo/salud-total-eps-denuncia-que-fue-victima-de-un-ataque-cibernetico-que-afecto-su-base-de-datos-y-activo-plan-de-contingencia-para-usuarios/202411/).
26.000 millones de datos filtrados, el mayor agujero de la historia: cómo saber si te afecta
Un especialista en ciberseguridad asegura que una base de datos de 12 terabytes ha sido sustraída. La filtración afecta a usuarios de todo el mundo “La madre de todas las filtraciones”. Así es como ha definido el medio especializado Cybernews la fuga masiva de información confidencial descubierta por el especialista en ciberseguridad Bob Dyachenko. En total, se trata de una base de datos de 12 terabytes que contenía 26.000 millones de credenciales privadas. Hasta el momento, no se sabe con exactitud a quién pertenecía. No cabe duda de que una filtración de datos nunca es una buena noticia. Al fin y al cabo, existe el riesgo de que la información sea vendida o puesta a disposición de terceros con fines ilícitos. Sin embargo, Bob Dyachenko ha tratado de mantener la calma entre los lectores, asegurando que la situación no es tan grave como podría parecer en un primer momento. Lea también: Microsoft ha sufrido un ciberataque de hackers rusos. Y ha afectado a cuentas de su «equipo de liderazgo senior» Esto se debe, fundamentalmente, a que la base de datos de 12 TB que ha sido robada era una recopilación de filtraciones anteriores. Es decir, no contenía información nueva. Por tanto, si se mantienen las adecuadas medidas de seguridad en Internet, no debería suponer ningún perjuicio. En cualquier caso, Cybernews asegura que la plataforma más afectada ha sido Tencent, que ha visto sustraídos 1.500 millones de registros. Le siguen Weibo (504 millones), X/Twitter (281 millones), Wattpad (271 millones) y MySpace (260 millones). Entre las víctimas también hay usuarios de LinkedIn, Canva y Adobe, aunque en mucha menor medida. ¿Qué hacer? En primer lugar, hay que averiguar si nuestra cuenta de correo electrónico o número de teléfono ha sido filtrado. Para ello, Cybernews pone a disposición de todos los usuarios un “verificador de fugas”. Basta con introducir la dirección de email o el número de teléfono y pulsar en ‘Check now’ para averiguar en cuestión de pocos segundos si las credenciales de acceso u otros datos han sido sustraídos. Pero no solo eso. También es posible saber a qué servicios se los han robado. En caso de que en la pantalla aparezca el mensaje your data has been leaked (“sus datos han sido filtrados”), lo primero que se debe hacer es cambiar la contraseña de la cuenta en cuestión y, además, añadir un sistema de acceso de doble autenticación. También conviene asegurarse que ese mismo código no es utilizado como credencial en otra plataforma. Si se tiene en cuenta que la filtración hace referencia a 26.000 millones de registros y que la población mundial actual supera ligeramente los 8.000 millones de personas, no sería raro que muchos de nuestros lectores acaben comprobando que sus datos también se han filtrado. En este sentido, Bob Dyachenko asegura que, siempre que se hayan tomado las medidas descritas anteriormente y se mantenga el equipo protegido frente al malware, no hay nada que temer. FUENTE: Badillo, R. »26.000 millones de datos filtrados, el mayor agujero de la historia: cómo saber si te afecta» Elconfidencial.com 23/01/2024. (https://www.elconfidencial.com/tecnologia/2024-01-23/filtracion-26000-millones-de-datos_3816468/).
Un hacker publicó más de 100 millones de contraseñas y correos electrónicos
Esta semana una noticia generó resquemor entre las personas cuando se dio a conocer que un hacker publicó en un foro más de 100 millones de contraseñas y 71 millones de cuentas de correos electrónicos, según informó el especialista en ciberseguridad Troy Hunt. Corroboró alguno de esos datos con las víctimas y efectivamente son reales, aunque en algunos casos, se tratan de contraseñas antiguas. Pero según los especialistas, se advirtió que más del 30% de esas claves no habían sido divulgadas anteriormente. Para que las personas se queden tranquilas, pueden saber si sus contraseñas fueron filtradas ingresando al sitio de Hunt, en la parte de Have I Been Pwned, que fue diseñado para informar a los usuarios si su contraseña fue hackeada. Solo hay que ingresar la contraseña, tocar el botón y esperar la respuesta en la pantalla. En el caso de que se informe una respuesta afirmativa, se debe cambiar de contraseña rápidamente para resguardar la información personal. Alertan sobre un nuevo virus que circula en los dispositivos Android, después del ciberataque ejecutado por hacker Los virus son otra de las caras negativas de la tecnología, ya que el uso de programas maliciosos puede afectar la manera en la que las personas se relacionan con el mundo. Ahora, un nuevo malware empezó a popularizarse en forma del Xamalicious, que representa un serio llamado de atención para los usuarios de dispositivos Android. Este virus, con su capacidad para eludir las medidas de seguridad de la Google Play Store, se ha infiltrado en una variedad de aplicaciones aparentemente inofensivas, que van desde juegos y horóscopos hasta herramientas de salud y productividad. La sofisticación del programa radica en su habilidad para recopilar información crítica del dispositivo, como detalles del sistema operativo, ubicación, contactos y contraseñas, y su capacidad para instalar encubiertamente otras aplicaciones maliciosas. Lea también: Consejos para evitar que delincuentes se roben la información de sus celulares La comunidad de ciberseguridad ha reaccionado rápidamente ante esta amenaza, al identificar y eliminar las aplicaciones infectadas de la Google Play Store. No obstante, el riesgo persiste para aquellos usuarios que ya habían descargado dichas aplicaciones. La lista de aplicaciones afectadas incluye: Step Keeper: Easy Pedometer, Track Your Sleep, Essential Horoscope for Android, 3D Skin Editor for PE Minecraft, Logo Maker Pro, Auto Click Repeater, Count Easy Calorie Calculator, Sound Volume Extender, LetterLink, Numerology: Personal Horoscope & Number Predictions, Sound Volume Booster, Astrological Navigator: Daily Horoscope & Tarot, y Universal Calculator. La protección contra este virus y otros riesgos similares implica una serie de prácticas de seguridad recomendadas por expertos. La regla de oro es descargar aplicaciones exclusivamente de tiendas oficiales como Google Play Store y evitar la instalación de aplicaciones desde fuentes no oficiales o mediante el sideloading. Además, es crucial contar con un software antivirus actualizado en todos los dispositivos Android. FUENTE: La Nación. »Un hacker publicó más de 100 millones de contraseñas y correos electrónicos» Lanacion.com.ar. 20/02/2024. (https://www.lanacion.com.ar/tecnologia/un-hacker-publico-mas-de-100-millones-de-contrasenas-y-correos-electronicos-nid20012024/).
Microsoft ha sufrido un ciberataque de hackers rusos. Y ha afectado a cuentas de su «equipo de liderazgo senior»
Microsoft arranca 2024 con un ataque de hackers rusos. La multinacional acaba de reconocer que hace una semana, el 12 de enero, detectó un ataque lanzado por Midnight Blizzard, una unidad de piratería que —afirman los de Redmond— cuenta con el respaldo de Rusia y estuvo detrás de los ciberataques que sufrió en 2020 la también estadounidense SolarWinds. Tras burlar la seguridad de Microsoft los hackers han accedido a algunos emails corporativos de la multinacional, incluidas las cuentas de integrantes de su dirección y personal de ciberseguridad. Para Microsoft es una prueba del «riesgo constante» y la «amenaza» que representan organizaciones como Midnight Blizzard. Finales de noviembre de 2023. Fue entonces —explica Microsoft— cuando Midnight Blizzard lanzó su ataque para burlar la seguridad de la multinacional y acceder a «un porcentaje muy pequeño» de cuentas de correo electrónico corporativas, aunque entre ellas habría algunas de empleados que forma parte del equipo directivo y los departamentos de ciberseguridad y legal. Los de Redmond detectaron el ataque la semana pasada, el 12 de enero, pero no han comunicado oficialmente lo ocurrido hasta ayer, cuando colgaron un post en su blog oficial detallando el incidente. ¿Cómo lograron burlar la seguridad de Microsoft? En su artículo Microsoft deja algunas pinceladas para entender cómo los hackers lograron vulnerar su barrera de seguridad y acceder a emails corporativos. La clave es el conocido como «password spraying attack», un sistema de ataque con el que los piratas prueban la misma contraseña en un número relevante de cuentas antes de intentarlo con otra y repetir sucesivamente el proceso. Con esa treta buscan passwords predecibles. Los esfuerzos de Midnight Blizzard se remontan a noviembre y le permitieron «comprometer» una cuenta de prueba heredada. Luego usaron sus permisos para acceder a otras cuentas y hacerse con algunos emails y documentos adjuntos. Microsoft insiste en que durante el ataque los piratas lograron llegar a «un porcentaje muy pequeño» de correos, aunque reconoce que entre los afectados hay algunos de miembros de su equipo de liderazgo senior y personal del área legal y de seguridad. Viejos conocidos Detrás del ataque está Midnight Blizzard. O al menos así lo señala con rotundidad Microsoft. El nombre quizás resulte nuevo; los autores que están detrás, no tanto. La multinacional asegura que se trata de un grupo «ruso patrocinado por el Estado» que también suele presentarse con una marca mucho más popular: Nobelium, la misma que en 2020 perpetró ciberataques contra SolarWinds y en la primavera de 2021 puso su foco en agencias gubernamentales, centros de análisis, consultoras y organizaciones de EEUU. «Nobelium ha estado intentando replicar el enfoque que ha utilizado en ataques anteriores apuntando a organizaciones integrales de la cadena de suministro global de TI», advertía ya en octubre de aquel año la propia Microsoft. Podría interesarle: Microsoft Cloud permite mantener todos los datos personales dentro de la EU Data Boundary La multinacional insiste en que ataques como el que acaba de detectar «ponen de relieve el riesgo constante» que representan grupos con recursos como Midgnith Blizzard y actores que cuentan con el respaldo, recursos y financiación de estados. «Actuaremos de inmediato para aplicar nuestros estándares de seguridad actuales a los sistemas heredados y procesos comerciales internos de Microsoft —anuncia—, incluso cuando esos cambios puedan causar interrupciones en los procesos comerciales existentes». Buscando información La investigación abierta por Microsoft muestra que los hackers estaban interesados en información relacionada con la propia Midnight Blizzard. La empresa ya ha empezado a contactar con los empleados que han visto afectados sus correos, y subraya: «El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft. Hasta la fecha no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, sistemas de producción, código fuente o los sistemas de inteligencia artificial». El anuncio de los de Redmond llega apenas un mes después de la entrada en vigor de una nueva normativa de la SEC que obliga a las empresas que cotizan en bolsa a hacer públicas los infracciones que podrían afectar a sus negocios. Associated Press señala que en su comunicación a la Comisión de ayer, Microsoft sostiene que el incidente, «a la fecha de esta presentación», no ha tenido un «impacto material» que afecte a sus operaciones. FUENTE: Prego, Carlos. »Microsoft ha sufrido un ciberataque de hackers rusos. Y ha afectado a cuentas de su «equipo de liderazgo senior» Xataka.com. 20/01/2024. (https://www.xataka.com/seguridad/microsoft-sufre-ciberataque-que-afecta-a-cuentas-directivos-apunta-a-hackers-rusos-solarwinds).
Con orgullo anunciamos nuestra más reciente incorporación como aliados de la Federación Colombiana de Software y TI – Fedesoft
Estamos convencidos que nuestra alianza con Fedesoft hará de nuestro país una #ColombiaOrigenDeSoftware. ¡Con orgullo anunciamos nuestra alianza estratégica con Fedesoft! La Federación Colombiana de Software y TI, cuenta con más de 30 años de experiencia fortaleciendo la industria tecnológica en el país, siendo por excelencia la entidad representante de las empresas de software y TI en Colombia. Sobre Fedesoft Fedesoft es la Federación Colombiana de la Industria del Software y Tecnologías Informáticas Relacionadas, una organización gremial con más 30 años de trayectoria que trabaja por el fortalecimiento de la industria del software nacional, para que esta sea competitiva, reconocida, exitosa en el entorno internacional. Lea también: Protecdata, galardona como empresa líder de innovación digital en Bogotá La federación trabaja en el desarrollo de políticas públicas, el impulso de la formación y la competitividad de las firmas del sector, la generación de información sectorial especializada y la exploración de oportunidades globales que posicionan a Colombia como proveedor tecnológico de talla mundial. La Federación congrega a las empresas de software colombianas, defiende y promueve sus intereses ante el Gobierno, los competidores internacionales y otras instancias. FUENTE: Marketing, Protecdata. »Con orgullo anunciamos nuestra más reciente incorporación como aliados de la Federación Colombiana de Software y TI – Fedesoft»
Multas impuestas en 2023 por infringir la Ley Federal de Protección de Datos Personales suman más de MXN 46 millones: INAI
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) impuso en 2023 multas por un monto total de 46 millones 849 mil 777 pesos mexicanos por infracciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Los sectores más sancionados fueron los de servicios financieros y de seguros, así como el de información en medios masivos. De enero a diciembre de 2023, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) impuso multas por un monto total de 46 millones 849 mil 777 pesos a personas físicas y/o morales que infringieron la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). De acuerdo con los registros del Instituto, los sectores más sancionados son los de servicios financieros y de seguros con 21 millones 415 mil 045 pesos; información en medios masivos, con 6 millones 765 mil 633 pesos; comercio al por menor, con 5 millones 487 mil 401 pesos. Entre las conductas más frecuentes que son motivo de una sanción, se encuentran: dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, incumplir con el deber de confidencialidad, así como omitir en el Aviso de Privacidad alguno de los elementos que exige la Ley. Los sectores económicos más multados por INAI En el periodo referido se instauraron 91 Procedimientos de Imposición de Sanciones y se concluyeron 74, de los cuales derivaron las multas impuestas por el INAI por la cantidad referida. Asimismo, se iniciaron 293 Procedimientos de Protección de Derechos; de los cuales 155 versaron sobre el derecho de acceso a datos personales, 5 de rectificación, 122 de cancelación y 79 de oposición al tratamiento de los datos. Cabe destacar que en un solo procedimiento se pueden ejercer uno o más de estos derechos. Los sectores económicos ante los cuales existen mayores inconformidades con la atención a estos derechos, conocidos como ARCO, son el de información en medios masivos, con el 25.8 por ciento de solicitudes de protección de derechos; servicios financieros con el 20.6 por ciento, y servicios de salud y de asistencia social con 16.5 por ciento. FUENTE: Comunicado – INAI/007/24. »Multas impuestas en 2023 por infringir la Ley Federal de Protección de Datos Personales suman más de MXN 46 millones: INAI» Home.inai.org.mx. 07/01/2024. (https://home.inai.org.mx/wp-content/documentos/SalaDePrensa/Comunicados/Comunicado%20INAI-007-24.pdf).
Kaspersky descubre una vulnerabilidad desconocida en iPhones
Un informe compartido por Kaspersky a NotiPress reveló cuál es la vulnerabilidad del sistema iOS 16.6 y versiones anteriores que fueron explotadas por la amenaza persistente avanzada (ATP), «Operation Triangulation» para obtener el control total de dispositivos iPhone. Dicha vulnerabilidad del hardware se basó en el principio de seguridad por oscuridad y pudo haber sido diseñada para pruebas o depuración del sistema iOs. De acuerdo con el reporte del equipo de Investigación y Análisis Global de Kaspersky (GReAT), la vulnerabilidad CVE-2023-38606 jugó un papel clave en los ataques llevados por la campaña de espionaje Operation Triangulation. La compañía describe que tras el ataque inicial a iMessage y la obtención de permisos de acceso, los atacantes utilizaban la funcionalidad de hardware para evadir protecciones de seguridad en la protección de memoria de iPhone. Este paso, que explotaba las vulnerabilidades en áreas de memoria protegida, daba control total a los atacantes de dispositivos con iOs 16.6 y anteriores. Kaspersky destaca que esta vulnerabilidad no había sido documentada públicamente, lo cual representó un reto para su detección y análisis mediante métodos de seguridad convencionales. Sin embargo, gracias al trabajo de GReAT, basado en un método de ingeniería inversa en el hardware y software de iPhone, se reveló el funcionamiento del mecanismo de protección del System on a Chip (SoC). La voz de Kaspersky acerca de la nueva vulnerabilidad encontrada en los iPhone Lo que este descubrimiento nos ha enseñado una vez más, es que, incluso, las protecciones avanzadas basadas en hardware pueden llegar a ser ineficaces contra un atacante sofisticado, comenta el investigador senior de Kaspersky. Esta campaña de espionaje «Operation Triangulation» utiliza exploits desconocidos distribuidos por iMessage, que permitían a los atacantes controlar el dispositivo objetivo y acceder a sus datos. Cabe destacar, Apple ya puso un conjunto de parches de seguridad para resolver las cuatro vulnerabilidades identificadas por Kaspersky. Aunado a ello, la compañía de ciberseguridad hace algunas recomendaciones para evitar ser víctima de ataques sofisticados. Podría interesarle: 5G, IA y malware más dañino serán claves en ciberseguridad en 2024 Kaspersky, sugiere actualizar de forma periódica el sistema operativo y programas de protección de seguridad para corregir las vulnerabilidades conocidas en dispositivos. Así como proporcionar al Centro de Operaciones de Seguridad acceso a la inteligencia de amenazas más recientes. Además, estar al tanto de las alertas y amenazas identificadas por controles de seguridad, pues esto puede disminuir el riesgo de sufrir un ciberataque. FUENTE: NotiPress. »Kaspersky descubre una vulnerabilidad desconocida en iPhones» Informador.mx. 13/01/2024. (https://www.informador.mx/tecnologia/Ciberseguridad-Kaspersky-descubre-una-vulnerabilidad-desconocida-en-iPhones-20240112-0122.html).
