Protección de Datos – Los rasgos de la cara también son datos personales
Una imagen vale más que mil palabras. A este dicho hay que sumarle que en la sociedad actual, las imágenes se convierten en datos (digitales) y los datos son el nuevo petróleo de la economía. En un día cualquiera, pasamos ante una enorme cantidad de cámaras sin ser conscientes de ello: cámaras de videovigilancia de comercios, bancos, cámaras de tráfico en las calles. No podemos olvidarnos tampoco de las cámaras de móviles y ordenadores frente a las que trabajamos o leemos artículos como este. Si me permite un consejo, ponga una pegatina delante de ella para evitarle disgustos o problemas en caso de que programas espía puedan acceder a su ordenador y activarla sin su consentimiento. Más tecnología, más riesgo Además, a lo anterior se suma que de una simple foto o vídeo se pueden obtener nuestros rasgos o datos biométricos. Por decirlo de alguna forma, sería como nuestra huella dactilar pero con los rasgos de, en este caso, la cara. Por ello, la biometría se está convirtiendo en el gran caballo de batalla por nuestra privacidad. La biometría supone nuevos riesgos y retos. La tecnología nos facilita la vida, nos otorga mayor seguridad en todos los aspectos, pero debemos ser conscientes del riesgo añadido que cada nuevo uso o mejora supone para la pérdida de privacidad e intimidad. Escalones que, dicho sea de paso, una vez subidos, difícilmente volveremos a descender. Por ello, el empleo o la elección de una tecnología no es una cuestión baladí. Las decisiones deben tomarse tras realizar un estudio sobre la proporcionalidad y necesidad. Biometría en aeropuertos y supermercados Volviendo a la biometría, estamos encontrando nuevos escenarios para su empleo. Sus nuevos usos van desde la seguridad en los aeropuertos a la identificación de los estudiantes en el ámbito educativo online para verificar que no existe suplantación de identidad en un examen, la Agencia Española de Protección de Datos (AEPD) ya ha publicado un informe al respecto. El último ejemplo es el anuncio de la implantación de esta tecnología por una gran compañía de supermercados española en decenas de sus establecimientos. El objetivo es detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra la empresa o sus trabajadores que les prohíba entrar a las tiendas. La decisión de la cadena de tiendas está generando discusiones y dudas. Por su parte, la AEPD ya ha abierto una investigación para comprobar que su sistema de reconocimiento facial cumple las normas. ¿Se pueden tratar nuestros datos biométricos? Las características faciales, datos personales Lo primero que hay que decir es que los datos biométricos son datos de carácter personal. Por ello, están regulados y protegidos por la normativa europea de protección de datos de carácter personal, tanto por el Reglamento Europeo de Protección de datos (RGPD) como por su adaptación española, la Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD). Los datos biométricos pueden ser datos básicos (por así decirlo) o datos especialmente protegidos si, como dice el reglamento, están dirigidos a identificar de manera unívoca a una persona física. Esta distinción no es baladí. El tratamiento y la tipología de los datos no solo determinará cuál es la legitimación para el procesamiento de los mismos, sino también las obligaciones y garantías que tendrá que aplicar el responsable de dichos tratamientos. – Si los datos biométricos son considerados como datos de categoría especial, su tratamiento requeriría el consentimiento explícito del usuario. – Si los datos biométricos son considerados como básicos, el responsable del tratamiento podría ampararse en un interés legítimo. En un principio, la cadena de supermercados parece acogerse a este último supuesto. Sin embargo, no sabemos los detalles del proyecto. Necesitamos conocer el sistema que se va a emplear para saber si quien va a tratar esos datos (ya sean los supermercados, la compañía de seguridad o la universidad) va a procesar datos básicos o especialmente protegidos. Un estudio previo que evalúa los efectos En cualquier caso, antes de implantar un sistema de biometría, los responsables de tratamiento deben realizar lo que se denomina una evaluación de impacto en protección de datos. El objetivo de este estudio es analizar la necesidad y proporcionalidad del sistema y los riesgos asociados. En definitiva, se trata de una autoevaluación para determinar que el sistema no afecta de forma grave a la privacidad de las personas a las que va dirigido y para detectar los riesgos para la seguridad, reputación, privacidad, etc. que puede tener el uso de la tecnología. Si esa autoevaluación sale negativa, la propia normativa obliga a consultar a la agencia de protección de datos correspondiente a fin de determinar si se puede o no sacar a la luz el sistema. Cuestiones éticas: ¿Y si el sistema falla? Tampoco debemos olvidar el aspecto ético de esta tecnología y los problemas asociados en la actualidad a los denominados sesgos de la inteligencia artificial. ¿Qué puede pasar con los falsos positivos? ¿Es tan fiable la tecnología para instalar ya estos sistemas? Aunque es normal que no queramos renunciar a la facilidad de uso y disfrute que nos proporciona la tecnología, no debemos tirar la toalla sobre la protección de la privacidad ante la multiplicación de sistemas. Nos podríamos encontrar con que hemos permitido una sociedad panóptica perfecta. Fuente: https://cadenaser.com/ser/2020/07/13/ciencia/1594629055_925984.html
Protección de Datos – La justicia europea invalida el acuerdo de protección de datos entre la UE y EE UU
El Tribunal de Justicia de la Unión Europea (TJUE) invalidó este jueves el acuerdo de protección de datos personales entre la UE y Estados Unidos, pero respaldó el sistema general de privacidad de datos europeos con terceros países a través de la normativa RGPD, que debe analizarse caso por caso. En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo entiende que el Reglamento General de Protección de Datos (RGDP) debe interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión. En ese sentido, la evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa. Sin embargo, el tribunal invalida lo relativo al llamado «escudo de protección» de datos entre la UE y Estados Unidos, al considerar que «la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense» posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Fuente: https://www.20minutos.es/noticia/4326102/0/la-justicia-europea-invalida-el-acuerdo-de-proteccion-de-datos-entre-la-ue-y-ee-uu/?utm_source=whatsapp.com&utm_medium=socialshare&utm_campaign=mobile_amp
Ciberseguridad – Piratas informáticos roban millones de dólares a usuarios en Twitter
Las cuentas de Twitter de los muy reconocidos multimillonarios Bill Gates, Elon Musk, fundador de Tesla y SpaceX, Jeff Bezos, fundador de Amazon, e incluso del rapero Kanye West, entre otras, fueron robadas por parte de piratas informáticos que las utilizaron para promover una estafa de la moneda virtual, Bitcoin. Entre los mensajes que estas cuentas difundieron en los perfiles de las importantes personalidades, resaltaban trinos prometiendo duplicar el dinero enviado por cualquier persona que les transfiriera dinero a través de Bitcoin en los próximos 30 minutos. La estafa se basaba en hacer creer a los usuarios de la red social que estos reconocidos personajes doblarían la cantidad de dinero que recibiera en una cuenta que supuestamente le pertenecía, señalando que quería ayudar a las personas en medio de la crisis. Joe Biden y Apple, entre otros usuarios importantes, también vieron comprometidas sus cuentas y publicaron tuits que parecían promover una estafa de criptomonedas. Las cuentas, junto con las cuentas de Wiz Khalifa, Warren Buffet y Mike Bloomberg, publicaron tuits similares solicitando donaciones a través de Bitcoin a sus perfiles verificados. Foto: Captura de Pantalla / EL TIEMPO Los usuarios de Twitter de Uber y Apple publicaron tweets similares con la estafa poco después. Algunos expertos en ciberseguridad hablan de cerca de 9 millones de dólares recaudados en los escasos minutos que los tuits estuvieron en línea. Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó Desde Twitter señalaron que están investigando el incidente de seguridad que impactó algunas cuentas de Twitter y que están trabajando para arreglarlos. «Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó«. Estamos al tanto del incidente de seguridad que está afectando cuentas en Twitter. Lo estamos investigando y tomando las medidas necesarias para corregirlo. Actualizaremos esta información en breve. https://t.co/7FKKksJqxV — Twitter Comms (@TwitterComms) July 15, 2020 En el momento, las acciones de Twitter disminuyeron 2,75 % después del problema en ciberseguridad. REDACCIÓN TECNÓSFERA / EL TIEMPO Fuente: https://www.eltiempo.com/tecnosfera/apps/piratas-informaticos-roban-millones-de-dolares-a-usuarios-en-twitter-en-hackeo-518484
Protección de Datos – Una empresa española desarrolla una tecnología capaz de verificar la identidad incluso con la mascarilla puesta
La compañía española FacePhi, especializada en soluciones biométricas para la verificación de identidad, ha desarrollado un algoritmo capaz de reconocer con más de un 99% de fiabilidad el rostro parcialmente tapado de una persona, es decir, identifica a alguien incluso con mascarilla. Este reconocimiento es posible gracias a un software especialmente entrenado para centrarse en la biometría periocular, es decir, en los rasgos diferenciales que presenta una cara en los ojos y su contorno. De esta forma, se evitan fallos en el reconocimiento y posibles suplantaciones de identidad, dando más garantías tanto a las empresas que utilizan este tipo de tecnología como a los propios usuarios. “El uso de esta tecnología va más allá de la convivencia actual con la COVID-19 y puede ser un gran aliado para hospitales, clínicas y laboratorios, entornos donde el uso de la mascarilla es constante y las soluciones de identificación contactless son las más recomendables para evitar contagios”, explican desde la compañía. El sistema se activa de forma voluntaria y previa autorización del usuario. “La autenticación o verificación de identidad con biometría facial sigue avanzando como la opción de acceso más segura para sectores en los que la protección de datos y la accesibilidad sencilla son claves, como ocurre en la banca o en la sanidad”, dicen desde la empresa FacePhi. La tecnología ya ha sido probada en el hospital Kangbuk Samsung de Corea del Sur: “Gracias a nuestros desarrollos, los pacientes de este hospital han cambiado sus tarjetas sanitarias y la introducción manual de registros por un sistema de reconocimiento facial con consentimiento previo. Con ello se está consiguiendo evitar fraudes en seguros médicos y se está ofreciendo una experiencia rápida y que limita mucho el contacto”, añaden. Fuente: https://www.20minutos.es/noticia/4323088/0/una-empresa-espanola-desarrolla-una-tecnologia-capaz-de-verificar-la-identidad-incluso-con-la-mascarilla-puesta/
Ciberseguridad – Google restringirá publicidad de tecnologías de rastreo y spyware
Google de Alphabet Inc. cambiará sus políticas el próximo mes para restringir la publicidad de spyware y otras tecnologías de seguimiento no autorizadas. Un spyware es un software espía que se instala en un navegador, dispositivo o aplicación sin el consentimiento del usuario para robarle sus datos personales. La política prohibirá la publicidad de spyware y malware “que se puedan usar para monitorear mensajes de texto, llamadas telefónicas o historial de navegación”, aseguró Google. También prohibirá los anuncios de rastreadores GPS comercializados específicamente para espiar o rastrear a alguien sin su consentimiento y de cámaras o grabadoras comercializadas con el expreso propósito de espiar. El cambio “prohibirá la promoción de productos o servicios que se comercialicen con el propósito expreso de monitorear a otra persona o sus actividades sin su autorización”, indicó la compañía. La nueva política se implementará globalmente el 11 de agosto y se suspenderán las cuentas de los anunciantes que la transgredan, informó la compañía. Fuente: https://www.elespectador.com/noticias/tecnologia/google-restringira-publicidad-de-tecnologias-de-rastreo-y-spyware/
Protección de Datos – Seguridad en internet: claves para proteger sus datos de ataques en cuarentena
Desde que se inició la cuarentena la mayoría de procesos se han tenido que trasladar de lo físico a lo virtual, lo cual ha facilitado y reducido los desplazamientos, pero al mismo tiempo ha generado un riesgo para los usuarios: el robo de sus datos personales, por ejemplo. Una de las principales motivaciones que tienen los ladrones para robar datos personales es la suplantación de identidad, que les permite cometer delitos a nombre de otras personas. Anualmente, en Colombia, se presentan cerca de 12.000 denuncias por este motivo, según datos oficiales, por lo que es importante estar alerta y ser precavido en este sentido. En principio, los expertos recomiendan utilizar el sentido común, como usar contraseñas seguras y nunca compartirlas con terceros. La directora jurídica de la firma MS Legal, Carolina González, explicó que, para evitar la usurpación de datos personales, únicamente deben digitarse en sitios web que sean seguros y que expliquen cómo y para qué se van a utilizar. “Conocer y entender los términos y condiciones de los sitios web en los que se entregan los datos personales, así como la política de datos personales que regula su tratamiento, por parte de la empresa titular de la página, evitará dolores de cabeza”, indicó la experta. Aunque pueda parecer evidente, la Superintendencia de Industria y Comercio recomienda no entregar información personal en llamadas telefónicas o mensajes de WhatsApp, que ofrecen premios, promociones u otras ofertas, pues usualmente son técnicas que usan los ladrones para apropiarse de los datos. El uso de redes públicas también constituye un factor de riesgo, pues los hackers pueden acceder a datos, debido a la poca seguridad que tienen estas conexiones. “Los cibercriminales suelen llevar a cabo ataques dirigidos a redes con protección deficiente, elevar sus permisos a nivel de administrador, y luego deshabilitar o desinstalar soluciones de seguridad para, finalmente, ejecutar programas maliciosos. Tal es el caso del ransomware, que cifra y secuestra datos que son cruciales para las víctimas”, explica la firma de seguridad informática ESET. Por tal razón, es importante “cerrar todas las sesiones que sean iniciadas en sitios web en los que se hayan entregado datos personales y proteger los equipos con programas de antivirus y firewall, configurándolos para su actualización; también ayudará a protegerse”, explicó González. La SIC, que ha alertado en las últimas semanas sobre estos casos, recomienda no abrir correos electrónicos de fuentes desconocidas o no confirmadas, no dictar por teléfono los datos personales, especialmente sus claves y cerrar adecuadamente las aplicaciones en los dispositivos móviles. Revisar centrales de riesgo Una de las estrategias para conocer si alguien lo ha suplantado o robado sus datos es revisar frecuentemente la información reportada sobre usted en las centrales de riesgo, un proceso que es gratis. Otra recomendación es verificar periódicamente con el operador de telecomunicaciones la cantidad de productos que tiene activos a su nombre, así como sospechar de cualquier llamada de verificación de datos o de casas de cobranza en la que pregunten por deudas que no ha adquirido. Denunciar En caso de sufrir un robo de datos, lo más importante es denunciar en las diferentes instancias. Según el portal Legalapp del Ministerio de Justicia, lo primero que debe hacer el afectado es un reclamo directo ante la entidad a la cual le fueron suministrados los datos; este puede ser de manera verbal, por escrito o través de medios electrónicos. “Esta tiene la obligación de recibir su reclamación y responder en un término máximo de 15 días hábiles; la respuesta deberá contener todas las pruebas y argumentos en que se fundamenta para negarse a acceder a la petición del usuario”, explicó la cartera. También puede acudir ante la Superintendencia de Industria y Comercio, si el objetivo es poner en conocimiento de las autoridades una situación de uso indebido de datos personales. En este caso, “el objetivo es proteger el interés general de la sociedad, para que la Superintendencia de Industria y Comercio inicie la investigación que corresponda e imponga las multas a que haya lugar”. Además, la persona debe radicar una alerta de suplantación de identidad ante centrales de información financiera como Cifin, Datacrédito o Procrédito. Fuente: https://www.dinero.com/empresas/articulo/como-proteger-los-datos-personales-en-medio-de-la-virtualidad/292875
Autenticación Digital – ¿Sabías que una firma digital y una firma electrónica no son lo mismo? Estas son sus diferencias
Internet nos ha traído nuevas formas de hacer negocios y cerrar contratos, pero al mismo tiempo también provoca confusión. Vamos a ver las diferencias entre una firma electrónica y otra digital, así como otros términos similares. Durante cientos de años, la firma manuscrita ha sido la principal forma de sellar un contrato, o un acuerdo de todo tipo: comercial, social, e incluso religioso. Pero como ha ocurrido en tantas otras cosas, Internet también está cambiando esta costumbre. La firma manuscrita ha sido sustituida por la firma digital, y otras variantes. Vamos a ver en qué se diferencian la firma digital, la firma electrónica, el certificado digital, y la firma digitalizada. Muchas personas confunden estos términos, y aunque a nivel coloquial se da por bueno, a nivel jurídico hay una gran diferencia, porque algunas de estas firmas tienen validez legal, y otras no. Por eso es importante distinguirlas. Firma digital Este tipo de firma es un conjunto de información encriptada que se añade al final de un documento o mensaje electrónico, para certificar que la persona que firma, ha aprobado ese documento. Para asegurar que es realmente esa persona, la firma digital está asociada a un certificado digital o electrónico que solo le pertenece a ella, como vamos a ver a continuación. Este certificado ha sido emitido por un organismo independiente que ha comprobado que la persona asociada al certificado, es realmente ella. Por tanto, una firma digital tiene incluso más validez que una firma manuscrita, porque demuestra inequívocamente que la persona real es la que firma (salvo que haya robado las claves del certificado digital). Firma electrónica La firma electrónica es un concepto más amplio, pero también más genérico que la firma digital. En este caso se trata de un conjunto de datos electrónicos asociados a un documento. Estos datos suelen ser la firma de una persona mediante lápiz óptico o ratón, la fecha y la hora. Esta firma tiene validez en ámbitos relacionados con la aprobación de documentos o transacciones sencillas, como facturas o recepción de paquetes, pero no tiene validez legal en documentos importantes porque no hay prueba de que quien ha realizado la firma es la persona real, como ocurre en la firma digital. Es el equivalente a la firma manuscrita. Se acepta en muchos acuerdos, pero en documentos importantes pueden obligarte a demostrar que esa es tu firma, o comprobar que no ha sido falsificada. Firma digitalizada La firma digitalizada una simple digitalización de una firma manuscrita. Por ejemplo, hacer una foto o escanear una firma en papel. Es válida para documentos básicos como facturas o cartas, pero no tiene validez legal en documentos importantes, porque cualquiera podría haber escaneado la firma. Certificado electrónico o digital Al contrario que la firma, este término se usa indistintamente con la palabra electrónico o digital, y significa lo mismo. Un certificado digital es una clave encriptada que demuestra que la persona que usa ese certificado, es realmente ella. Para obtener este certificado debes presentarte en persona en un organismo oficial como la Fábrica Nacional de Moneda y Timbre o la Policía, e identificarte con el DNI u otro documento, para demostrar que eres tu. Una vez que el organismo certifica tu identidad, te entrega una clave que solo conoces tu. Instalas el certificado en tu PC o móvil, y cuando quieres demostrar tu identidad con una firma digital, activas el certificado con tu clave personal. El DNI electrónico también tiene un chip con un certificado digital a tu nombre en su interior. Es la razón de que la firma digital tenga validez legal y la firma electrónica no, porque has demostrado tu identidad con el certificado. Fuente: https://computerhoy.com/noticias/tecnologia/diferencias-firma-digital-firma-electronica-certificado-digital-681755
Protección de Datos – Países con Regulación General de Protección de Datos Personales
Nelson Remolina Angarita Así va la regulación mundial de tratamiento de datos personales (julio 21 de2020): 121 países con regulación general. 84 Autoridades de Proteccion de Datos. 4624 millones de “ciber ciudadanos”. Novedades 2020: Egipto y Jamaica. Fuente: https://www.linkedin.com/feed/update/urn:li:activity:6691346479216431106/
Protección de Datos – LinkedIn y TikTok acceden continuamente al portapapeles del celular
Distintas aplicaciones, entre las que se incluyen LinkedIn y TikTok, acceden al portapapeles de los dispositivos móviles continuamente y de forma regular, según ha revelado el nuevo sistema operativo iOS 14 de Apple. La primera beta del sistema iOS 14, presentado durante el evento de desarrolladores de Apple WWDC20, ha añadido una función con la que alerta a los usuarios a través de una notificación cada vez que una aplicación accede al contenido almacenado en el portapapeles del móvil. El portapapeles es aquel que permite copiar textos e imágenes y pegarlos en otras aplicaciones. Allí se encuentra almacenado lo que un usuario copió en un momento determinado. Varios usuarios de la beta de iOS 14 han comenzado a advertir en Twitter, haciendo uso de esta función, que aplicaciones como la red social musical TikTok copian texto del portapapeles con mucha frecuencia, cada vez que el usuario escribe aproximadamente tres caracteres en el teclado. TikTok aseguró que este comportamiento se debía a una función para detectar fraudes y que el contenido del portapapeles no se robaba pero, como recoge The Telegraph, la compañía china se comprometió a eliminarlo en actualizaciones posteriores. Ahora, otros usuarios de iOS 14 han comenzado a advertir la presencia de las mismas notificaciones al utilizar la aplicación de la red social profesional LinkedIn. El vicepresidente de Ingeniería y Productos de Consumo de LinkedIn, Erran Berger, ha defendido que este problema se debe a “un camino de código que solamente realiza una comprobación entre el contenido del portapapeles y el texto ya escrito”. Asimismo, el ejecutivo de la red social profesional ha asegurado que la aplicación «no almacena ni transmite los contenidos del portapapeles». Entre el resto de aplicaciones para móviles en las que se ha descubierto el mismo problema con el portapapeles se encuentran también Call of Duty, Accuweather, AliExpress, Google Noticias, Overstock y Patreon. Fuente: https://www.elespectador.com/noticias/tecnologia/linkedin-y-tiktok-acceden-continuamente-al-portapapeles-del-celular/
