Protección de Datos – La justicia europea invalida el acuerdo de protección de datos entre la UE y EE UU
El Tribunal de Justicia de la Unión Europea (TJUE) invalidó este jueves el acuerdo de protección de datos personales entre la UE y Estados Unidos, pero respaldó el sistema general de privacidad de datos europeos con terceros países a través de la normativa RGPD, que debe analizarse caso por caso. En una respuesta a una cuestión prejudicial, la corte con sede en Luxemburgo entiende que el Reglamento General de Protección de Datos (RGDP) debe interpretarse en el sentido de que las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión. En ese sentido, la evaluación debe de tener en cuenta tanto las condiciones contractuales de la firma en cuestión como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa. Sin embargo, el tribunal invalida lo relativo al llamado «escudo de protección» de datos entre la UE y Estados Unidos, al considerar que «la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense» posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Fuente: https://www.20minutos.es/noticia/4326102/0/la-justicia-europea-invalida-el-acuerdo-de-proteccion-de-datos-entre-la-ue-y-ee-uu/?utm_source=whatsapp.com&utm_medium=socialshare&utm_campaign=mobile_amp
Ciberseguridad – Piratas informáticos roban millones de dólares a usuarios en Twitter
Las cuentas de Twitter de los muy reconocidos multimillonarios Bill Gates, Elon Musk, fundador de Tesla y SpaceX, Jeff Bezos, fundador de Amazon, e incluso del rapero Kanye West, entre otras, fueron robadas por parte de piratas informáticos que las utilizaron para promover una estafa de la moneda virtual, Bitcoin. Entre los mensajes que estas cuentas difundieron en los perfiles de las importantes personalidades, resaltaban trinos prometiendo duplicar el dinero enviado por cualquier persona que les transfiriera dinero a través de Bitcoin en los próximos 30 minutos. La estafa se basaba en hacer creer a los usuarios de la red social que estos reconocidos personajes doblarían la cantidad de dinero que recibiera en una cuenta que supuestamente le pertenecía, señalando que quería ayudar a las personas en medio de la crisis. Joe Biden y Apple, entre otros usuarios importantes, también vieron comprometidas sus cuentas y publicaron tuits que parecían promover una estafa de criptomonedas. Las cuentas, junto con las cuentas de Wiz Khalifa, Warren Buffet y Mike Bloomberg, publicaron tuits similares solicitando donaciones a través de Bitcoin a sus perfiles verificados. Foto: Captura de Pantalla / EL TIEMPO Los usuarios de Twitter de Uber y Apple publicaron tweets similares con la estafa poco después. Algunos expertos en ciberseguridad hablan de cerca de 9 millones de dólares recaudados en los escasos minutos que los tuits estuvieron en línea. Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó Desde Twitter señalaron que están investigando el incidente de seguridad que impactó algunas cuentas de Twitter y que están trabajando para arreglarlos. «Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó«. Estamos al tanto del incidente de seguridad que está afectando cuentas en Twitter. Lo estamos investigando y tomando las medidas necesarias para corregirlo. Actualizaremos esta información en breve. https://t.co/7FKKksJqxV — Twitter Comms (@TwitterComms) July 15, 2020 En el momento, las acciones de Twitter disminuyeron 2,75 % después del problema en ciberseguridad. REDACCIÓN TECNÓSFERA / EL TIEMPO Fuente: https://www.eltiempo.com/tecnosfera/apps/piratas-informaticos-roban-millones-de-dolares-a-usuarios-en-twitter-en-hackeo-518484
Protección de Datos – Una empresa española desarrolla una tecnología capaz de verificar la identidad incluso con la mascarilla puesta
La compañía española FacePhi, especializada en soluciones biométricas para la verificación de identidad, ha desarrollado un algoritmo capaz de reconocer con más de un 99% de fiabilidad el rostro parcialmente tapado de una persona, es decir, identifica a alguien incluso con mascarilla. Este reconocimiento es posible gracias a un software especialmente entrenado para centrarse en la biometría periocular, es decir, en los rasgos diferenciales que presenta una cara en los ojos y su contorno. De esta forma, se evitan fallos en el reconocimiento y posibles suplantaciones de identidad, dando más garantías tanto a las empresas que utilizan este tipo de tecnología como a los propios usuarios. “El uso de esta tecnología va más allá de la convivencia actual con la COVID-19 y puede ser un gran aliado para hospitales, clínicas y laboratorios, entornos donde el uso de la mascarilla es constante y las soluciones de identificación contactless son las más recomendables para evitar contagios”, explican desde la compañía. El sistema se activa de forma voluntaria y previa autorización del usuario. “La autenticación o verificación de identidad con biometría facial sigue avanzando como la opción de acceso más segura para sectores en los que la protección de datos y la accesibilidad sencilla son claves, como ocurre en la banca o en la sanidad”, dicen desde la empresa FacePhi. La tecnología ya ha sido probada en el hospital Kangbuk Samsung de Corea del Sur: “Gracias a nuestros desarrollos, los pacientes de este hospital han cambiado sus tarjetas sanitarias y la introducción manual de registros por un sistema de reconocimiento facial con consentimiento previo. Con ello se está consiguiendo evitar fraudes en seguros médicos y se está ofreciendo una experiencia rápida y que limita mucho el contacto”, añaden. Fuente: https://www.20minutos.es/noticia/4323088/0/una-empresa-espanola-desarrolla-una-tecnologia-capaz-de-verificar-la-identidad-incluso-con-la-mascarilla-puesta/
Ciberseguridad – Google restringirá publicidad de tecnologías de rastreo y spyware
Google de Alphabet Inc. cambiará sus políticas el próximo mes para restringir la publicidad de spyware y otras tecnologías de seguimiento no autorizadas. Un spyware es un software espía que se instala en un navegador, dispositivo o aplicación sin el consentimiento del usuario para robarle sus datos personales. La política prohibirá la publicidad de spyware y malware “que se puedan usar para monitorear mensajes de texto, llamadas telefónicas o historial de navegación”, aseguró Google. También prohibirá los anuncios de rastreadores GPS comercializados específicamente para espiar o rastrear a alguien sin su consentimiento y de cámaras o grabadoras comercializadas con el expreso propósito de espiar. El cambio “prohibirá la promoción de productos o servicios que se comercialicen con el propósito expreso de monitorear a otra persona o sus actividades sin su autorización”, indicó la compañía. La nueva política se implementará globalmente el 11 de agosto y se suspenderán las cuentas de los anunciantes que la transgredan, informó la compañía. Fuente: https://www.elespectador.com/noticias/tecnologia/google-restringira-publicidad-de-tecnologias-de-rastreo-y-spyware/
Protección de Datos – Seguridad en internet: claves para proteger sus datos de ataques en cuarentena
Desde que se inició la cuarentena la mayoría de procesos se han tenido que trasladar de lo físico a lo virtual, lo cual ha facilitado y reducido los desplazamientos, pero al mismo tiempo ha generado un riesgo para los usuarios: el robo de sus datos personales, por ejemplo. Una de las principales motivaciones que tienen los ladrones para robar datos personales es la suplantación de identidad, que les permite cometer delitos a nombre de otras personas. Anualmente, en Colombia, se presentan cerca de 12.000 denuncias por este motivo, según datos oficiales, por lo que es importante estar alerta y ser precavido en este sentido. En principio, los expertos recomiendan utilizar el sentido común, como usar contraseñas seguras y nunca compartirlas con terceros. La directora jurídica de la firma MS Legal, Carolina González, explicó que, para evitar la usurpación de datos personales, únicamente deben digitarse en sitios web que sean seguros y que expliquen cómo y para qué se van a utilizar. “Conocer y entender los términos y condiciones de los sitios web en los que se entregan los datos personales, así como la política de datos personales que regula su tratamiento, por parte de la empresa titular de la página, evitará dolores de cabeza”, indicó la experta. Aunque pueda parecer evidente, la Superintendencia de Industria y Comercio recomienda no entregar información personal en llamadas telefónicas o mensajes de WhatsApp, que ofrecen premios, promociones u otras ofertas, pues usualmente son técnicas que usan los ladrones para apropiarse de los datos. El uso de redes públicas también constituye un factor de riesgo, pues los hackers pueden acceder a datos, debido a la poca seguridad que tienen estas conexiones. “Los cibercriminales suelen llevar a cabo ataques dirigidos a redes con protección deficiente, elevar sus permisos a nivel de administrador, y luego deshabilitar o desinstalar soluciones de seguridad para, finalmente, ejecutar programas maliciosos. Tal es el caso del ransomware, que cifra y secuestra datos que son cruciales para las víctimas”, explica la firma de seguridad informática ESET. Por tal razón, es importante “cerrar todas las sesiones que sean iniciadas en sitios web en los que se hayan entregado datos personales y proteger los equipos con programas de antivirus y firewall, configurándolos para su actualización; también ayudará a protegerse”, explicó González. La SIC, que ha alertado en las últimas semanas sobre estos casos, recomienda no abrir correos electrónicos de fuentes desconocidas o no confirmadas, no dictar por teléfono los datos personales, especialmente sus claves y cerrar adecuadamente las aplicaciones en los dispositivos móviles. Revisar centrales de riesgo Una de las estrategias para conocer si alguien lo ha suplantado o robado sus datos es revisar frecuentemente la información reportada sobre usted en las centrales de riesgo, un proceso que es gratis. Otra recomendación es verificar periódicamente con el operador de telecomunicaciones la cantidad de productos que tiene activos a su nombre, así como sospechar de cualquier llamada de verificación de datos o de casas de cobranza en la que pregunten por deudas que no ha adquirido. Denunciar En caso de sufrir un robo de datos, lo más importante es denunciar en las diferentes instancias. Según el portal Legalapp del Ministerio de Justicia, lo primero que debe hacer el afectado es un reclamo directo ante la entidad a la cual le fueron suministrados los datos; este puede ser de manera verbal, por escrito o través de medios electrónicos. “Esta tiene la obligación de recibir su reclamación y responder en un término máximo de 15 días hábiles; la respuesta deberá contener todas las pruebas y argumentos en que se fundamenta para negarse a acceder a la petición del usuario”, explicó la cartera. También puede acudir ante la Superintendencia de Industria y Comercio, si el objetivo es poner en conocimiento de las autoridades una situación de uso indebido de datos personales. En este caso, “el objetivo es proteger el interés general de la sociedad, para que la Superintendencia de Industria y Comercio inicie la investigación que corresponda e imponga las multas a que haya lugar”. Además, la persona debe radicar una alerta de suplantación de identidad ante centrales de información financiera como Cifin, Datacrédito o Procrédito. Fuente: https://www.dinero.com/empresas/articulo/como-proteger-los-datos-personales-en-medio-de-la-virtualidad/292875
Autenticación Digital – ¿Sabías que una firma digital y una firma electrónica no son lo mismo? Estas son sus diferencias
Internet nos ha traído nuevas formas de hacer negocios y cerrar contratos, pero al mismo tiempo también provoca confusión. Vamos a ver las diferencias entre una firma electrónica y otra digital, así como otros términos similares. Durante cientos de años, la firma manuscrita ha sido la principal forma de sellar un contrato, o un acuerdo de todo tipo: comercial, social, e incluso religioso. Pero como ha ocurrido en tantas otras cosas, Internet también está cambiando esta costumbre. La firma manuscrita ha sido sustituida por la firma digital, y otras variantes. Vamos a ver en qué se diferencian la firma digital, la firma electrónica, el certificado digital, y la firma digitalizada. Muchas personas confunden estos términos, y aunque a nivel coloquial se da por bueno, a nivel jurídico hay una gran diferencia, porque algunas de estas firmas tienen validez legal, y otras no. Por eso es importante distinguirlas. Firma digital Este tipo de firma es un conjunto de información encriptada que se añade al final de un documento o mensaje electrónico, para certificar que la persona que firma, ha aprobado ese documento. Para asegurar que es realmente esa persona, la firma digital está asociada a un certificado digital o electrónico que solo le pertenece a ella, como vamos a ver a continuación. Este certificado ha sido emitido por un organismo independiente que ha comprobado que la persona asociada al certificado, es realmente ella. Por tanto, una firma digital tiene incluso más validez que una firma manuscrita, porque demuestra inequívocamente que la persona real es la que firma (salvo que haya robado las claves del certificado digital). Firma electrónica La firma electrónica es un concepto más amplio, pero también más genérico que la firma digital. En este caso se trata de un conjunto de datos electrónicos asociados a un documento. Estos datos suelen ser la firma de una persona mediante lápiz óptico o ratón, la fecha y la hora. Esta firma tiene validez en ámbitos relacionados con la aprobación de documentos o transacciones sencillas, como facturas o recepción de paquetes, pero no tiene validez legal en documentos importantes porque no hay prueba de que quien ha realizado la firma es la persona real, como ocurre en la firma digital. Es el equivalente a la firma manuscrita. Se acepta en muchos acuerdos, pero en documentos importantes pueden obligarte a demostrar que esa es tu firma, o comprobar que no ha sido falsificada. Firma digitalizada La firma digitalizada una simple digitalización de una firma manuscrita. Por ejemplo, hacer una foto o escanear una firma en papel. Es válida para documentos básicos como facturas o cartas, pero no tiene validez legal en documentos importantes, porque cualquiera podría haber escaneado la firma. Certificado electrónico o digital Al contrario que la firma, este término se usa indistintamente con la palabra electrónico o digital, y significa lo mismo. Un certificado digital es una clave encriptada que demuestra que la persona que usa ese certificado, es realmente ella. Para obtener este certificado debes presentarte en persona en un organismo oficial como la Fábrica Nacional de Moneda y Timbre o la Policía, e identificarte con el DNI u otro documento, para demostrar que eres tu. Una vez que el organismo certifica tu identidad, te entrega una clave que solo conoces tu. Instalas el certificado en tu PC o móvil, y cuando quieres demostrar tu identidad con una firma digital, activas el certificado con tu clave personal. El DNI electrónico también tiene un chip con un certificado digital a tu nombre en su interior. Es la razón de que la firma digital tenga validez legal y la firma electrónica no, porque has demostrado tu identidad con el certificado. Fuente: https://computerhoy.com/noticias/tecnologia/diferencias-firma-digital-firma-electronica-certificado-digital-681755
Protección de Datos – Países con Regulación General de Protección de Datos Personales
Nelson Remolina Angarita Así va la regulación mundial de tratamiento de datos personales (julio 21 de2020): 121 países con regulación general. 84 Autoridades de Proteccion de Datos. 4624 millones de “ciber ciudadanos”. Novedades 2020: Egipto y Jamaica. Fuente: https://www.linkedin.com/feed/update/urn:li:activity:6691346479216431106/
Protección de Datos – LinkedIn y TikTok acceden continuamente al portapapeles del celular
Distintas aplicaciones, entre las que se incluyen LinkedIn y TikTok, acceden al portapapeles de los dispositivos móviles continuamente y de forma regular, según ha revelado el nuevo sistema operativo iOS 14 de Apple. La primera beta del sistema iOS 14, presentado durante el evento de desarrolladores de Apple WWDC20, ha añadido una función con la que alerta a los usuarios a través de una notificación cada vez que una aplicación accede al contenido almacenado en el portapapeles del móvil. El portapapeles es aquel que permite copiar textos e imágenes y pegarlos en otras aplicaciones. Allí se encuentra almacenado lo que un usuario copió en un momento determinado. Varios usuarios de la beta de iOS 14 han comenzado a advertir en Twitter, haciendo uso de esta función, que aplicaciones como la red social musical TikTok copian texto del portapapeles con mucha frecuencia, cada vez que el usuario escribe aproximadamente tres caracteres en el teclado. TikTok aseguró que este comportamiento se debía a una función para detectar fraudes y que el contenido del portapapeles no se robaba pero, como recoge The Telegraph, la compañía china se comprometió a eliminarlo en actualizaciones posteriores. Ahora, otros usuarios de iOS 14 han comenzado a advertir la presencia de las mismas notificaciones al utilizar la aplicación de la red social profesional LinkedIn. El vicepresidente de Ingeniería y Productos de Consumo de LinkedIn, Erran Berger, ha defendido que este problema se debe a “un camino de código que solamente realiza una comprobación entre el contenido del portapapeles y el texto ya escrito”. Asimismo, el ejecutivo de la red social profesional ha asegurado que la aplicación «no almacena ni transmite los contenidos del portapapeles». Entre el resto de aplicaciones para móviles en las que se ha descubierto el mismo problema con el portapapeles se encuentran también Call of Duty, Accuweather, AliExpress, Google Noticias, Overstock y Patreon. Fuente: https://www.elespectador.com/noticias/tecnologia/linkedin-y-tiktok-acceden-continuamente-al-portapapeles-del-celular/
Ciberseguridad – Una empresa india espió a políticos y activistas de todo el mundo
Una hasta ahora desconocida empresa india especializada en servicios de piratería informática ha sido acusada de intentar acceder a más de 10.000 cuentas de correo electrónico de dirigentes políticos, activistas e, incluso, periodistas de todo el mundo en los últimos siete años. La firma de espionaje patrocinado, conocida como BellTroX InfoTech Services, tiene sede en Nueva Delhi. Entre sus objetivos se encontraban autoridades gubernamentales europeas, magnates e importantes inversores estadounidenses como el fondo de capital riesgo Kohlberg Kravis Roberts o la empresa de inversión Muddy Waters Research. Así lo recoge una investigación de Citizen Lab, grupo de ciberseguridad adscrito a la Universidad de Toronto (Canadá), que avanza algunas de las técnicas empleadas por los cibermercenarios. Fuentes de Reuters han revelado que algunas actividades que afectaron a víctimas estadounidenses ya están siendo investigadas por la policía de EE.UU. Las técnicas empleadas fueron la suplantación de identidad (« phishing», en el argot informático) para engañar a las víctimas incitándoles a hacer clic en enlaces fraudulentos. La polémica empresa se fundó por Sumit Gupta, que describe al proyecto como una consultoría especializada en estrategia digital creado en 2013. El equipo de investigación vinculó los intentos de «phishing» con un acortador de direcciones URL personalizado, que se utilizó para disfrazar los enlaces fraudulentos. «Debido a que los acortadores crearon URL con códigos cortos secuenciales, pudimos enumerarlos e identificar casi 28,000 direcciones que contienen el correo electrónico de los objetivos», añaden los investigadores. Para la elaboración del estudio, los investigadores pasaron más de dos años analizando y siguiendo el rastro de la infraestructura utilizada por los piratas informáticos. «Es una de las operaciones de espionaje a sueldo más grandes que se han conocido», apunta en un comunicado el investigador de Citizen Lab, John Scott-Railton. «Nuestra investigación encontró que ningún sector es inmune», añade. La investigación detalla que se diseñaron decenas de miles de mensajes con contenido maliciosos para engañar a las víctimas para que desvelaran sus contraseñas en una campaña teledirigida organizada entre los años 2013 y 2020. Algunos de esos mensajes fraudulentos se hacían pasar por personas cercanas o familiares a los afectados, mientras que en otros de esos emails incluían solicitudes para iniciar de sesión en redes sociales como Facebook o notificaciones para darse de baja de páginas web de pornografía. En la lista de víctimas se encuentran desde jueces de Sudáfrica, políticos de México, juristas de Francia y grupos de activistas de Estados Unidos. Según informa «El País», también hay víctimas españolas, aunque no han trascendido sus nombres. El propietario de la empresa india ya fue acusado en un trama de ciberespionaje en 2015. Dos investigadores privados estadounidenses admitieron haberle pagado para intentar «hackear» las cuentas de ejecutivos de departamentos de marketing de grandes compañías. Gupta ha negado estar detrás de las actividades de ciberespionaje. «No los ayudé a acceder a nada, simplemente los ayudé a descargar los correos y me dieron todos los detalles», apunta el empresario en declaraciones a Reuters. «No sé cómo obtuvieron estos detalles, pero solo los estaba ayudando con el soporte técnico». Reuters no pudo determinar por qué los investigadores privados podrían necesitar a Gupta para descargar correos electrónicos. Gupta no devolvió los mensajes de seguimiento y se negó repetidamente a hablar cuando un periodista de Reuters lo visitó en su oficina el lunes. Los portavoces de la policía de Delhi y el Ministerio de Asuntos Exteriores de la India no respondieron a las solicitudes de comentarios. Fuente: https://www.abc.es/tecnologia/redes/abci-empresa-india-espio-politicos-y-activistas-todo-mundo-202006101432_noticia.html
