Ciberseguridad – Lo que nunca debes hacer si te conectas a una WiFi pública
Llega el verano y con él las vacaciones, una época en la que solemos pasar más tiempo fuera y conectarnos a redes inalámbricas en bares, hoteles o centros comerciales. Pero es algo que puede ser peligroso. El diario ABC recoge cinco cosas que no se deben hacer nunca al conectarse a a red WiFi pública. Banca en línea. Los expertos recomiendan no entrar en aplicaciones de banca online si estamos usando una red WiFi pública, porque posibles ciberdelincuentes podrían acceder a los datos bancarios sin ser detectados. Aplicaciones de pago. Por el mismo motivo, no se recomienda usar aplicaciones de pago con redes públicas. La información que contienen es susceptible de ser usada de manera maliciosa, como por ejemplo los datos de la tarjeta. Redes sociales y correo electrónico. Hacer uso de tus cuentas en redes sociales o de tu cuenta de e-mail con una red pública puede hacerlas vulnerables ante atacantes. Se recomienda cerrar la sesión tras su uso e incluso cambiar las contraseñas. Vigilar los clics. Hay que acceder sólo a páginas web fiables, por lo que hay que tener mucho cuidado a la hora de hacer clic en una página que puede ser fraudulenta. Antivirus. Los expertos recomiendan tener en el teléfono un antivirus de calidad, algo que es muy común en ordenadores pero no tanto con nuestros smartphones. Fuente: https://www.20minutos.es/noticia/4313543/0/nunca-debes-hacer-conectas-wifi-publica/
Protección de Datos – YouTube no puede facilitar el teléfono o el email de los usuarios que suben contenidos piratas
J. M. Barjola. – Datos como la dirección IP, el email o el número de teléfono de usuarios no pueden ser facilitados por plataformas como YouTube a terceros, aunque estos cometan infracciones en materia de propiedad intelectual. Así lo ha dictado el Tribunal de Justicia de la Unión Europea (TJUE) en el asunto Constantin Film Verleih GmbH contra Google Inc. y Youtube LLC. Constantin reclamó a Google los datos de un usuario que subió dos películas cuyos derechos de explotación disfrutaba en exclusiva, en concreto Scary Movie 5 y Parker. Los contenidos fueron vistos por varios miles de personas, pero Google se negó a compartir la información, ya que se trataban de de datos sensibles y consideró que no se cumplían los requisitos El TJUE da la razón a Google y dicta que cuando una película se sube de manera ilegal a una plataforma en línea como YouTube, su titular únicamente puede solicitar al operador, en virtud de la Directiva relativa al respeto de los derechos de propiedad intelectual, la dirección postal del usuario de que se trate, pero no su dirección de correo electrónico, ni la dirección IP, ni su número de teléfono, pues dichos datos son especialmente sensibles. La ley no ampara que se compartan sin la autorización de los afectados. La productora alemana exigía a Google los datos de los usuarios infractores, pues defendía que las autoridades judiciales pueden ordenar que se faciliten esta información cuando se infringen derechos de propiedad intelectual. Efectivamente, la Directiva 2004/48 prevé que se puedan compartir «direcciones» de los productores, distribuidores y suministradores de las mercancías o de los servicios litigiosos. Sin embargo, no especifica qué datos engloba dicho concepto, si son direcciones IP, telefónicas o domiciliarias. En este punto, el TJUE dicta que el concepto «direcciones» no engloba datos como el teléfono móvil, la dirección IP o el correo electrónico, ya que ley lo habría previsto específicamente. Así, el tribunal subraya que la ley pretende conciliar el respeto de diferentes derechos, en particular el derecho de información de los titulares y el derecho a la protección de los datos personales de los usuarios. Esto no implica que los piratas sean intocables, puntualiza el Alto Tribunal. Los Estados gozan de la potestad de autorizar concesiones de información más amplia sobre los perfiles que vulneren derechos de propiedad intelectual, esto es, sobre aquellos que suban contenidos ‘piratas’. En el proceso debe garantizarse un justo equilibrio entre los derechos en juego de las partes, y en el caso de la empresa alemana contra YouTube, dichos presupuestos no se cumplían, concluye el tribunal. Fuente: http://noticias.juridicas.com/actualidad/noticias/15381–youtube-no-puede-facilitar-el-telefono-o-el-email-de-los-usuarios-que-suben-contenidos-piratas/
Protección de Datos – Superindustria multa por $702 millones a CIFIN por incluir sanciones políticas en historial crediticio
Bogotá D.C., 10 de julio de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos, impuso una multa por $702.242.400 a la Central de Información Financiera – CIFIN -, por incluir información que no era de carácter financiero o crediticio en el historial de 288.753 colombianos. El caso llegó a la SIC, remitido por la Sala de Casación Penal de la H. Corte Suprema de Justicia después de que un ciudadano denunciara que le había sido negado el derecho a un crédito porque luego de haber estado privado de la libertad se le había incluído en su historial crediticio la leyenda “suspensión por derec” (suspensión por derechos), un hecho que generó el rechazo de la Corte. “(…)Es una situación que merece el reproche de éste Cuerpo Colegiado, pues no es dable que dicha entidad mantenga en sus bases de datos información no relacionada con temas comerciales y financieros, cuando tal como se ha precisado en diversos precedentes jurisprudenciales, las bases de datos tienen una función específica de recaudar información de acuerdo a la órbita de sus competencias”, expresó la Alta Corte. Durante la investigación adelantada por la SIC se pudo determinar que CIFIN S.A.S había incluido la citada leyenda en la historia crediticia de 288.753 ciudadanos en la que se señalaba que aquellas personas tenían sus derechos políticos suspendidos por una orden judicial. Esta Autoridad consideró que en la historia de crédito de los ciudadanos no puede incluirse información que no sea financiera o crediticia, tal y como se ha sostenido la H. Corte Constitucional en la Sentencia T-167 de 2015, ya que se hace una diferenciación injustificada y discriminatoria, en tanto que la naturaleza de las bases de datos administradas por los operadores tienen como función recopilar, tratar y circular los datos con el fin de determinar el nivel de riesgo financiero de cada titular, situación que es determinada por su capacidad financiera y económica, y nada tiene que ver con la suspensión de derechos políticos. Además de pagar la multa, CIFIN S.A.S deberá suprimir de la historia de crédito de todos los titulares que aloja en el banco de datos de información financiera, crediticia y comercial la leyenda “suspensión por derec”. CIFIN tambíen deberá abstenerse de volver a incorporar en la historia de crédito de los titulares que aloja en el en el banco de datos de información financiera, crediticia y comercial la leyenda “suspensión por derec”. VER RESOLUCIÓN Fuente: https://www.sic.gov.co/slider/superindustria-multa-por-702-millones-cifin-por-incluir-sanciones-pol%C3%ADticas-en-historial-crediticio
Ciberseguridad – Desmantelada una red de cibercrimen que generaba 20 millones de euros anuales en estafas por toda Europa
La Policía Postal y de Comunicaciones de Italia (Polizia Postale e delle Comunicazioni) y la Policía Rumana (Poliția Română) concluyeron ayer una operación conjunta que se saldó con el desmantelamiento de una red de cibercrimen que generaba 20 millones de euros anuales en estafas por toda Europa. Los detenidos -ocho en Italia y cuatro en Rumanía- perpetraban fraudes financieros y ciberestafas a través de la venta de bienes y servicios inexistentes, phishing y clonación y suplantación de sitios web. Estas prácticas, que han afectado a ciudadanos de toda Europa, han dejado en España pérdidas de 97.000 euros entre falsas ventas online y fraudes de alquileres en los que se anunciaban propiedades también inexistentes, según los datos que ha facilitado Eurojust a EL PAÍS. Los crímenes perpetrados online se complementaban con una “amplia” red de lavado de dinero que centraba sus actuaciones en Italia y blanqueaba los beneficios obtenidos a base de transferencias a bancos italianos. De acuerdo con la información difundida por los agentes italianos, que califican el grupo como una de las redes de delincuencia transnacional más importantes descubiertas hasta ahora en el sector, todo comenzaba con un equipo de piratas informáticos “bien entrenados” que operaban desde Rumanía. Combinaban la compraventa de bienes y servicios en portales de comercio electrónico con anuncios de alquiler de casas de vacaciones, todo irreal; y el robo de contraseñas y datos personales a través de phishing. El eslabón analógico El brazo italiano de la operación entraba en acción en el momento de limpiar las ganancias ilícitas. Este equipo se encargaba de reclutar a personas de colectivos vulnerables para que cedieran su identidad en procedimientos de apertura de cuentas corrientes a cambio de una pequeña compensación económica. Las cuentas eran luego administradas por los jefes de la organización para la recepción de las transferencias electrónicas que llegaban de toda Europa como resultado del conjunto de fraudes informáticos. Como último eslabón entraba en juego una red de money mules -mulas de dinero- que se encargaba de retirar el dinero de los bancos y esconderlo para finalmente transportarlo físicamente hasta Rumanía. Durante dos años y bajo la coordinación de Europol y Eurojust, los investigadores trazaron minuciosamente los rastros informáticos y financieros dejados por los delincuentes e interceptaron comunicaciones entre ellos. La operación de ayer se saldó con la incautación de ordenadores personales, tarjetas de crédito, propiedades, vehículos y otros activos por un valor estimado de más de un 1,5 millones de euros. Fuente: https://elpais.com/tecnologia/2020-07-08/desmantelada-una-red-de-cibercrimen-que-generaba-20-millones-de-euros-anuales-en-estafas-por-toda-europa.html
Protección de Datos – Los rasgos de la cara también son datos personales
Una imagen vale más que mil palabras. A este dicho hay que sumarle que en la sociedad actual, las imágenes se convierten en datos (digitales) y los datos son el nuevo petróleo de la economía. En un día cualquiera, pasamos ante una enorme cantidad de cámaras sin ser conscientes de ello: cámaras de videovigilancia de comercios, bancos, cámaras de tráfico en las calles. No podemos olvidarnos tampoco de las cámaras de móviles y ordenadores frente a las que trabajamos o leemos artículos como este. Si me permite un consejo, ponga una pegatina delante de ella para evitarle disgustos o problemas en caso de que programas espía puedan acceder a su ordenador y activarla sin su consentimiento. Más tecnología, más riesgo Además, a lo anterior se suma que de una simple foto o vídeo se pueden obtener nuestros rasgos o datos biométricos. Por decirlo de alguna forma, sería como nuestra huella dactilar pero con los rasgos de, en este caso, la cara. Por ello, la biometría se está convirtiendo en el gran caballo de batalla por nuestra privacidad. La biometría supone nuevos riesgos y retos. La tecnología nos facilita la vida, nos otorga mayor seguridad en todos los aspectos, pero debemos ser conscientes del riesgo añadido que cada nuevo uso o mejora supone para la pérdida de privacidad e intimidad. Escalones que, dicho sea de paso, una vez subidos, difícilmente volveremos a descender. Por ello, el empleo o la elección de una tecnología no es una cuestión baladí. Las decisiones deben tomarse tras realizar un estudio sobre la proporcionalidad y necesidad. Biometría en aeropuertos y supermercados Volviendo a la biometría, estamos encontrando nuevos escenarios para su empleo. Sus nuevos usos van desde la seguridad en los aeropuertos a la identificación de los estudiantes en el ámbito educativo online para verificar que no existe suplantación de identidad en un examen, la Agencia Española de Protección de Datos (AEPD) ya ha publicado un informe al respecto. El último ejemplo es el anuncio de la implantación de esta tecnología por una gran compañía de supermercados española en decenas de sus establecimientos. El objetivo es detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra la empresa o sus trabajadores que les prohíba entrar a las tiendas. La decisión de la cadena de tiendas está generando discusiones y dudas. Por su parte, la AEPD ya ha abierto una investigación para comprobar que su sistema de reconocimiento facial cumple las normas. ¿Se pueden tratar nuestros datos biométricos? Las características faciales, datos personales Lo primero que hay que decir es que los datos biométricos son datos de carácter personal. Por ello, están regulados y protegidos por la normativa europea de protección de datos de carácter personal, tanto por el Reglamento Europeo de Protección de datos (RGPD) como por su adaptación española, la Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD). Los datos biométricos pueden ser datos básicos (por así decirlo) o datos especialmente protegidos si, como dice el reglamento, están dirigidos a identificar de manera unívoca a una persona física. Esta distinción no es baladí. El tratamiento y la tipología de los datos no solo determinará cuál es la legitimación para el procesamiento de los mismos, sino también las obligaciones y garantías que tendrá que aplicar el responsable de dichos tratamientos. – Si los datos biométricos son considerados como datos de categoría especial, su tratamiento requeriría el consentimiento explícito del usuario. – Si los datos biométricos son considerados como básicos, el responsable del tratamiento podría ampararse en un interés legítimo. En un principio, la cadena de supermercados parece acogerse a este último supuesto. Sin embargo, no sabemos los detalles del proyecto. Necesitamos conocer el sistema que se va a emplear para saber si quien va a tratar esos datos (ya sean los supermercados, la compañía de seguridad o la universidad) va a procesar datos básicos o especialmente protegidos. Un estudio previo que evalúa los efectos En cualquier caso, antes de implantar un sistema de biometría, los responsables de tratamiento deben realizar lo que se denomina una evaluación de impacto en protección de datos. El objetivo de este estudio es analizar la necesidad y proporcionalidad del sistema y los riesgos asociados. En definitiva, se trata de una autoevaluación para determinar que el sistema no afecta de forma grave a la privacidad de las personas a las que va dirigido y para detectar los riesgos para la seguridad, reputación, privacidad, etc. que puede tener el uso de la tecnología. Si esa autoevaluación sale negativa, la propia normativa obliga a consultar a la agencia de protección de datos correspondiente a fin de determinar si se puede o no sacar a la luz el sistema. Cuestiones éticas: ¿Y si el sistema falla? Tampoco debemos olvidar el aspecto ético de esta tecnología y los problemas asociados en la actualidad a los denominados sesgos de la inteligencia artificial. ¿Qué puede pasar con los falsos positivos? ¿Es tan fiable la tecnología para instalar ya estos sistemas? Aunque es normal que no queramos renunciar a la facilidad de uso y disfrute que nos proporciona la tecnología, no debemos tirar la toalla sobre la protección de la privacidad ante la multiplicación de sistemas. Nos podríamos encontrar con que hemos permitido una sociedad panóptica perfecta. Fuente: https://cadenaser.com/ser/2020/07/13/ciencia/1594629055_925984.html
Protección de Datos – La justicia europea invalida el acuerdo de protección de datos entre la UE y EE UU
El Tribunal de Justicia de la Unión Europea (TJUE) invalidó este jueves el acuerdo de protección de datos personales entre la UE y Estados Unidos, pero respaldó el sistema general de privacidad de datos europeos con terceros países a través de la normativa RGPD, que debe analizarse caso por caso. En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo entiende que el Reglamento General de Protección de Datos (RGDP) debe interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión. En ese sentido, la evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa. Sin embargo, el tribunal invalida lo relativo al llamado «escudo de protección» de datos entre la UE y Estados Unidos, al considerar que «la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense» posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Fuente: https://www.20minutos.es/noticia/4326102/0/la-justicia-europea-invalida-el-acuerdo-de-proteccion-de-datos-entre-la-ue-y-ee-uu/?utm_source=whatsapp.com&utm_medium=socialshare&utm_campaign=mobile_amp
Ciberseguridad – Piratas informáticos roban millones de dólares a usuarios en Twitter
Las cuentas de Twitter de los muy reconocidos multimillonarios Bill Gates, Elon Musk, fundador de Tesla y SpaceX, Jeff Bezos, fundador de Amazon, e incluso del rapero Kanye West, entre otras, fueron robadas por parte de piratas informáticos que las utilizaron para promover una estafa de la moneda virtual, Bitcoin. Entre los mensajes que estas cuentas difundieron en los perfiles de las importantes personalidades, resaltaban trinos prometiendo duplicar el dinero enviado por cualquier persona que les transfiriera dinero a través de Bitcoin en los próximos 30 minutos. La estafa se basaba en hacer creer a los usuarios de la red social que estos reconocidos personajes doblarían la cantidad de dinero que recibiera en una cuenta que supuestamente le pertenecía, señalando que quería ayudar a las personas en medio de la crisis. Joe Biden y Apple, entre otros usuarios importantes, también vieron comprometidas sus cuentas y publicaron tuits que parecían promover una estafa de criptomonedas. Las cuentas, junto con las cuentas de Wiz Khalifa, Warren Buffet y Mike Bloomberg, publicaron tuits similares solicitando donaciones a través de Bitcoin a sus perfiles verificados. Foto: Captura de Pantalla / EL TIEMPO Los usuarios de Twitter de Uber y Apple publicaron tweets similares con la estafa poco después. Algunos expertos en ciberseguridad hablan de cerca de 9 millones de dólares recaudados en los escasos minutos que los tuits estuvieron en línea. Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó Desde Twitter señalaron que están investigando el incidente de seguridad que impactó algunas cuentas de Twitter y que están trabajando para arreglarlos. «Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó«. Estamos al tanto del incidente de seguridad que está afectando cuentas en Twitter. Lo estamos investigando y tomando las medidas necesarias para corregirlo. Actualizaremos esta información en breve. https://t.co/7FKKksJqxV — Twitter Comms (@TwitterComms) July 15, 2020 En el momento, las acciones de Twitter disminuyeron 2,75 % después del problema en ciberseguridad. REDACCIÓN TECNÓSFERA / EL TIEMPO Fuente: https://www.eltiempo.com/tecnosfera/apps/piratas-informaticos-roban-millones-de-dolares-a-usuarios-en-twitter-en-hackeo-518484
Protección de Datos – Una empresa española desarrolla una tecnología capaz de verificar la identidad incluso con la mascarilla puesta
La compañía española FacePhi, especializada en soluciones biométricas para la verificación de identidad, ha desarrollado un algoritmo capaz de reconocer con más de un 99% de fiabilidad el rostro parcialmente tapado de una persona, es decir, identifica a alguien incluso con mascarilla. Este reconocimiento es posible gracias a un software especialmente entrenado para centrarse en la biometría periocular, es decir, en los rasgos diferenciales que presenta una cara en los ojos y su contorno. De esta forma, se evitan fallos en el reconocimiento y posibles suplantaciones de identidad, dando más garantías tanto a las empresas que utilizan este tipo de tecnología como a los propios usuarios. “El uso de esta tecnología va más allá de la convivencia actual con la COVID-19 y puede ser un gran aliado para hospitales, clínicas y laboratorios, entornos donde el uso de la mascarilla es constante y las soluciones de identificación contactless son las más recomendables para evitar contagios”, explican desde la compañía. El sistema se activa de forma voluntaria y previa autorización del usuario. “La autenticación o verificación de identidad con biometría facial sigue avanzando como la opción de acceso más segura para sectores en los que la protección de datos y la accesibilidad sencilla son claves, como ocurre en la banca o en la sanidad”, dicen desde la empresa FacePhi. La tecnología ya ha sido probada en el hospital Kangbuk Samsung de Corea del Sur: “Gracias a nuestros desarrollos, los pacientes de este hospital han cambiado sus tarjetas sanitarias y la introducción manual de registros por un sistema de reconocimiento facial con consentimiento previo. Con ello se está consiguiendo evitar fraudes en seguros médicos y se está ofreciendo una experiencia rápida y que limita mucho el contacto”, añaden. Fuente: https://www.20minutos.es/noticia/4323088/0/una-empresa-espanola-desarrolla-una-tecnologia-capaz-de-verificar-la-identidad-incluso-con-la-mascarilla-puesta/
Ciberseguridad – Google restringirá publicidad de tecnologías de rastreo y spyware
Google de Alphabet Inc. cambiará sus políticas el próximo mes para restringir la publicidad de spyware y otras tecnologías de seguimiento no autorizadas. Un spyware es un software espía que se instala en un navegador, dispositivo o aplicación sin el consentimiento del usuario para robarle sus datos personales. La política prohibirá la publicidad de spyware y malware “que se puedan usar para monitorear mensajes de texto, llamadas telefónicas o historial de navegación”, aseguró Google. También prohibirá los anuncios de rastreadores GPS comercializados específicamente para espiar o rastrear a alguien sin su consentimiento y de cámaras o grabadoras comercializadas con el expreso propósito de espiar. El cambio “prohibirá la promoción de productos o servicios que se comercialicen con el propósito expreso de monitorear a otra persona o sus actividades sin su autorización”, indicó la compañía. La nueva política se implementará globalmente el 11 de agosto y se suspenderán las cuentas de los anunciantes que la transgredan, informó la compañía. Fuente: https://www.elespectador.com/noticias/tecnologia/google-restringira-publicidad-de-tecnologias-de-rastreo-y-spyware/
