Protección de Datos – Zoom requerirá contraseñas por defecto para todas las videollamadas
La aplicación de videoconferencias Zoom ha anunciado una nueva actualización de seguridad que entrará en vigor este fin de semana y que activará por defecto el requisito de utilizar una contraseña para todas las videoconferencias. Una de las formas para unirse a una llamada en Zoom son los identificadores de reuniones personales (PMI, por sus siglás en inglés), que llevan a salas virtuales reservadas permanentemente para un usuario. «Dado que los PMI son siempre accesibles utilizando el mismo indicador o enlace de reunión, cualquiera puede unirse a la llamada a no ser que estén protegidas correctamente», como ha reconocido Zoom en un comunicado. Para evitar la entrada de intrusos en las llamadas, un fenómenos conocido como ‘zoombombing’, Zoom permitirá que los usuarios desactiven los indicadores PMI. La aplicación pasará a requerir siempre contraseñas para el acceso a las llamadas, e invalidará los enlaces e identificadores anteriores. Asimismo, las llamadas por PMI tendrán activada de serie la sala de espera y los privilegios de acceso a la función de compartir pantalla pasarán a estar habilitados por defecto solo para los anfitriones de la reunión. Los nuevos cambios, que se introducirán este sábado 9 de mayo para los usuarios de la versión gratuita de Zoom, estarán habilitados por defecto en todas las cuentas, aunque los administradores tendrán la posibilidad de modificarlos en los ajustes de la ‘app’. Fuente: https://www.elespectador.com/tecnologia/zoom-requerira-contrasenas-por-defecto-para-todas-las-videollamadas-articulo-918137
Ciberseguridad – La brecha de seguridad de GoDaddy que alerta a 19 millones de usuarios
Una preocupante brecha de seguridad fue revelada esta semana por el gigante de dominios de internet GoDaddy. Se trata de una falla descubierta en octubre del año pasado con la que terceros habrían accedido a las credenciales de cerca de 28.000 cuentas de hosting de usuarios (información como nombres de usuario) de clientes de la empresa, que a nivel global provee servicios a unos 19 millones de usuarios. El hecho se conoció públicamente después de que el sitio especializado en ciberseguridad Bleeping Computer publicara una carta de GoDaddy en la que la empresa informa a clientes afectados sobre la brecha. En la misiva que llegó a algunos clientes afectados de la compañía, GoDaddy aseguraba que «la investigación encontró que una persona no autorizada tenía acceso a la información de inicio de sesión utilizada para conectarse en su cuenta de alojamiento». No obstante, informaba también que aunque los atacantes habían tenido acceso a las cuentas de hosting, no lo habían tenido en las cuentas principales de los usuarios, por lo que los datos personales estarían a salvo. Así mismo, la empresa de dominios afirmó que «hemos restablecido de manera proactiva la información de inicio de sesión de su cuenta de hosting para ayudar a evitar cualquier acceso no autorizado». De igual manera, GoDaddy señaló que aunque no se tiene conocimiento del porqué de este incidente, da a entender que no fue culpa del cliente y precisó que están trabajando proactivamente para «restablecer la información de inicio de sesión de su cuenta de hosting para ayudar a evitar cualquier acceso no autorizado». «En nombre de todo el equipo de GoDaddy, queremos decir cuánto apreciamos su negocio y que lamentamos sinceramente que ocurriera este incidente» «En nombre de todo el equipo de GoDaddy, queremos decir cuánto apreciamos su negocio y que lamentamos sinceramente que ocurriera este incidente. Le brindamos un año de eliminación de malware de Website Security Deluxe y Express sin costo», se lee en la carta. Según explican, con estos servicios pueden ejecutar escaneos en los sitios web para identificar y alertar sobre posibles vulnerabilidades de seguridad a los usuarios. «Con este servicio, si surge un problema, hay una forma especial de contactar a nuestro equipo de seguridad y estarán allí para ayudarlo». Aunque según lo que informó GoDaddy en la carta, el atacante ya fue «bloqueado de nuestros sistemas», también son enfáticos en que continúan determinando cualquier impacto potencial en su entorno. REDACCIÓN TECNÓSFERA @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/brecha-de-seguridad-de-godaddy-expone-accesos-de-clientes-491896
Protección de Datos – Superindustria investiga si aplicación “TikTok” recolecta y trata adecuadamente datos de niños, niñas y adolescentes colombianos
Bogotá D.C., 12 de mayo de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de datos personales, inició de oficio una actuación administrativa con el propósito de establecer si TikTok Pte Ltd. (Singapur), cumple o no con la regulación colombiana relativa a la recolección y tratamiento de datos personales de niños, niñas y adolescentes. En Colombia, la Constitución ordena una protección especial y prevalente a los derechos de los menores de edad, por lo que, frente al uso mayoritario de menores de edad o adultos en compañía de menores de esta App en Colombia, la Superindustria inició una investigación de oficio para establecer si la compañía está utilizando de manera adecuada y conforme a la ley, los datos que son recolectados cuando se usa la aplicación TikTok Pte Ltd. por parte de niños, niñas y adolescentes. La Superintendencia busca establecer si TikTok Pte Ltd. ha implementado el principio de responsabilidad demostrada en el tratamiento de los datos de los ciudadanos colombianos que utilizan sus servicios. La aplicación TikTok Pte Ltd. está disponible en más de 150 países y tiene más de mil millones de usuarios, la mayoría de ellos personas entre los 13 y los 19 años. La aplicación, que tiene como fin crear y compartir vídeos cortos, fue lanzada bajo el nombre de Douyin en China en el año 2016. En el año 2019 la Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés) multó a la plataforma TikTok Pte Ltd. con $5,7 millones de dólares, luego de varias acusaciones relacionadas con recolección y tratamiento ilícito de datos personales de niños, niñas y adolescentes de ese país. Tanto la Superintendencia de Industria y Comercio como la FTC hacen parte de la red mundial de autoridades de protección de datos personales y privacidad. Fuente: https://www.sic.gov.co/slider/superindustria-investiga-si-aplicaci%C3%B3n-%E2%80%9Ctiktok%E2%80%9D-recolecta-y-trata-adecuadamente-datos-de-ni%C3%B1os-ni%C3%B1as-y-adolescentes-colombianos
Protección de Datos – India está obligando a los ciudadanos a usar su app de rastreo de COVID-19 si quieren «evitar represalias»
Hace apenas dos meses India lanzaba su propia app para rastrear contactos de coronavirus y hoy cuenta con más de 100 millones de usuarios. “Vencimos a Pokémon Go”, dice el responsable del servicio del Gobierno indio al MIT Technology Review. ¿Cómo es posible? En primer lugar, tras su lanzamiento Narendra Modi, el primer ministro, ‘invitó’ a los ciudadanos a descargar la aplicación, lo cual tuvo unos resultados considerables: alcanzó los 50 millones de descargas en sus dos primeras semanas de vida. Claro que para un país cuya población supera los 1.300 millones de personas, medio centenar de millones parecen calderilla. Así que fueron un poco más allá: hicieron saber a los indios que quien no instalase la app en su teléfono, podría perder su trabajo, recibir una multa o incluso ir a la cárcel. De esta forma, India se ha convertido en la única nación democrática a nivel mundial que obliga a sus residentes a descargar su aplicación de rastreo de COVID-19, según la base de datos global Covid Tracing Tracker del MIT Technology Review. Aunque, eso sí, la versión ‘oficial’ es que la descarga de la app es voluntaria. Las presiones para usar este sistema, además, no vienen solo del Gobierno -cuyos empleados, claro, están obligados a usarla-, sino que los principales empleadores privados y los propietarios también lo exigen. Es el caso de los vecinos de la ciudad de Noida, donde se está multando e incluso amenazando con arrestar a cualquiera que no instale la aplicación en su teléfono. Si te pillan sin la app instalada puedes enfrentar una multa de 1.000 rupias -unos 12 euros- o hasta seis meses en la cárcel, informa BuzzFeed. Así es la aplicación de rastreo del coronavirus en India.Aarogya Setu – Gobierno indio Privacidad cuestionable Por si esto no fuera poco en cuanto a vulneración de los derechos de los ciudadanos, el sistema que utiliza esta aplicación, llamada Aarogya Setu -‘un puente hacia la salud’ en hindi-, es mucho más intrusivo que el que se desarrolla en otros países: realiza un seguimiento de los eventos y la ubicación de los contactos por Bluetooth para avisar de posibles contactos con la enfermedad, como lo hacen muchas otras apps, pero también le da a cada usuario una ‘insignia’ codificada por colores que muestra el riesgo de infección y ofrece acceso a telemedicina, una farmacia electrónica y servicios de diagnóstico. Por seguir sumando, India no tiene una ley nacional de privacidad de datos, y por tanto no está claro quién tiene acceso a los datos desde la aplicación y en qué situaciones. Y además la lista de desarrolladores, compuesta en gran parte por voluntarios del sector privado, no es del todo pública. Fuente: https://www.20minutos.es/noticia/4251808/0/india-esta-obligando-a-los-ciudadanos-a-usar-su-app-de-rastreo-de-covid-19-si-quieren-evitar-represalias/
Ciberseguridad – Consejos para evitar que te hackeen las videollamadas
La obligación (o, al menos, la recomendación) de teletrabajar ha disparado las descargas de apps de videollamadas. Y estas aplicaciones, en muchos casos, son un terreno pintiparado para los ciberdelincuentes. En pos de pararlos es bueno tomar una serie de medidas con el objetivo de evitar el ‘hackeo’ de las videoconferencias. El Equipo de Respuestas a Incidentes del Centro Criptológico Nacional (CCN-CERT) –adscrito al Centro Nacional de Inteligencia (CNI)– ha publicado algunas recomendaciones de ciberseguridad: Descargar únicamente aplicaciones de markets oficiales, como Google Play o App Store, o de la web del proveedor (Microsoft, Google, Cisco, etc.). Mantener actualizadas las aplicaciones de videollamada que se usen. En la medida de lo posible, evitar pinchar en enlaces que se compartan en el chat de la sesión, sobre todo si no se conoce a la persona que lo ha compartido. Programar videollamadas con el número exacto de participantes. Cuando todos los usuarios entren en la sesión, cerrar el acceso a nuevos participantes. Todos los usuarios que accedan a la reunión deberán hacerlo con contraseña. En aplicaciones públicas, registrarse con contraseñas que no se utilicen en otros servicios y no compartir públicamente el ID de la reunión. El moderador de la videollamada gestiona si esta puede ser grabada. Si está siendo grabada, debe mostrarse a todos los usuarios un indicador visual y sonoro. No aceptar llamadas/chats de usuarios que no conozcas. Todos los usuarios deben de entrar con un nombre/nick reconocible para el administrador/moderador de la llamada en las conferencias privadas. Configurar la sesión para que un indicador visual o sonoro avise de la entrada o salida de usuarios y desactivar la respuesta automática a llamadas entrantes. Salir de la sesión de la aplicación si se sabe que no va a llamar nadie. Considerar las videollamadas un canal de comunicación inseguro, no dar datos sensibles como contraseñas. El moderador de la reunión debe poder gestionar la conexión de los participantes, cerrar micrófonos, deshabilitar contenidos o señal de vídeo. Los participantes no deberían acceder hasta que no se conecte el moderador. ¿Cómo impedir que los ciberdelincuentes entren en tus videollamadas de Zoom? Dentro de la avalancha de descargas de aplicaciones para realizar videoconferencias hay una clara beneficiada: Zoom, que ha pasado de 7 millones de descargas en el último trimestre de 2019 a 80 millones en el primero de 2020. No todo ha sido bueno, ya que esto ha permitido traslucir algunos fallos de seguridad que están tratando de solucionar. También desde el CCN se ha emitido una guía con recomendaciones para impedir que ‘hackeen’ una videoconferencia en Zoom: Generar un ID de reunión aleatorio y requerir contraseña para entrar en la reunión. Configurar la reunión para que el vídeo del anfitrión y de los participantes permanezca desactivado. Habilitar la sala de espera y no permitir que los invitados entren a la reunión antes que el anfitrión (organizador). Del mismo modo, si no es estrictamente necesario grabar la reunión, es mejor deshabilitar esta opción antes de iniciar la reunión. Permitir que sólo los participantes que hayan iniciado sesión en Zoom ingresen a la reunión. Deshabilitar la inclusión de contraseña en el enlace de invitación a la reunión. Silenciar a los participantes cuando ingresen a la reunión. Desactivar el chat privado entre los asistentes. Desactivar el guardado automático de los chats. Establecer el uso compartido de pantalla solo para el anfitrión. Activar indicador sonoro cada vez que un invitado entre o salga de la reunión. Fuente: https://www.20minutos.es/noticia/4248007/0/consejos-para-evitar-que-te-hackeen-las-videollamadas/
Protección de Datos – La AEPD recuerda que los exámenes online con reconocimiento facial sólo son válidos si se ofrecen alternativas
J. M. Barjola. – La situación extraordinaria que vivimos no exime de cumplir con la normativa de protección de datos. Así lo ha recordado la Agencia Española de Protección de Datos (AEPD) en un reciente informe, en el que ha recordado a los colegios y las universidades que deben cumplir con el Reglamento General de Protección de Datos (RGPD) a la hora de evaluar a sus alumnos, especialmente si lo hacen de forma telemática. La advertencia se lanza a las puertas de una avalancha de exámenes y evaluaciones online para el cierre de este curso como consecuencia del cierre general de las aulas, clausuradas desde marzo. El órgano administrativo ha recordado que las técnicas de reconocimiento facial están permitidas, y de hecho llevan años implementándose, pero las técnicas de identificación biométrica suponen un tratamiento de datos especialmente sensibles, como el rostro o la voz, y por tanto deben cumplirse con los requisitos y garantías reforzadas que exige el Reglamento en caso de evaluar a los alumnos así. De esta manera, la AEPD establece que el consentimiento del alumno debe es esencial: no puede existir coacción a realizar el examen por esta vía, y deben existir alternativas reales y equivalentes. Las opciones deben ser iguales en duración y dificultad. «Si las actividades alternativas ofrecidas fueran más gravosas o implicaran una mayor dificultad, el consentimiento no podría considerarse libremente prestado» resalta la Agencia. No se puede obligar al alumno De esta manera, las universidades y demás órganos no pueden obligar a sus estudiantes a someterse a técnicas para garantizar la identidad de los alumnos durante el examen. Si estas precisan de «datos especialmente sensibles», como el rostro, deben darse todas las garantías propias del Reglamento. La única manera de que una administración obligue a un alumno a pasar por estos exámenes es a través de una norma con rango de ley. Al tratarse de datos especialmente sensibles sólo un texto normativo de esta categoría podría hacer coactiva esta vía, siempre que se razone que prevalece un «interés público esencial». Sólo en este caso el reconocimiento facial podría imponerse por encima de otras opciones. Y en la actuaidad, apunta la Agencia, no existe ninguna ley que permita este escenario. En este sentido, y ante la ola de exámenes que se viene -entre ellos el de acceso a la profesión de la abogacía, señalado para el 5 de julio y que será online- el informe de la AEPD llama a la prudencia. Recuerda que la propia comunidad universitaria ya ha planteado medidas alternativas y menos intrusivas que el reconocimiento facial y subraya que el Gobierno ya ha comenzado la desescalada educativa, por lo que no sería extraño que finalmente pudiera realizarse ciertas pruebas presenciales, si las condiciones sanitarias lo permiten. En todo caso, apunta, cualquier centro que utilice técnicas de identificación biométrica, como el reconocimiento facial, para evaluar a sus alumnos debe analizar los riesgos de los datos a tratar, la privacidad de los estudiantes y el ejercicio de las garantías recogidos en el RGPD. Y en caso de duda, concluye la AEPD, es preciso elevar una consulta a la autoridad de control. El informe completo de la AEPD está disponible en este enlace. Fuente: http://noticias.juridicas.com/actualidad/noticias/15144-la-aepd-recuerda-que-los-examenes-online-con-reconocimiento-facial-solo-son-validos-si-se-ofrecen-alternativas/
Protección de Datos – Superindustria investigará a plataforma de videoconferencias Zoom para establecer si protege adecuadamente datos de los colombianos
Bogotá D.C., 24 de abril de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de datos personales, inició de oficio una actuación administrativa con el propósito establecer si ZOOM VIDEO COMMUNICATIONS INC, cumple o no con la regulación colombiana relativa a los principios de seguridad, acceso y circulación restringida. Adicionalmente, la Entidad busca establecer si dicha empresa ha implementado el principio de responsabilidad demostrada en el tratamiento de los datos de los ciudadanos que usan sus servicios. La decisión de iniciar esta actuación fue tomada por la Superindustria tras evidenciar que, como consecuencia de la pandemia del COVID-19 que está impactando el mundo entero, la gran mayoría de ciudadanos se han visto forzados a usar aplicaciones de software de videoconferencia para seguir comunicandose para fines laborales y personales. En este contexto, la Autoridad encontró además que los servicios de la plataforma Zoom, que incluyen conferencia remota, reuniones en línea, chat y colaboración móvil, tuvieron un abrupto crecimiento en el último trimestre, pasando de 10 millones de usuarios a finales de 2019, a más de 200 millones en la actualidad según la Revista Forbes. Paralelo a este crecimiento exponencial, la Autoridad encontró que han surgido cuestionamientos sobre aspectos de seguridad y privacidad de la plataforma tecnológica que ofrece Zoom, tales como los que expuso recientemente el profesor de la Universidad de Harvard, y experto en seguridad digital, Bruce Schneier, quien ha manifiestado que “los problemas de Zoom se dividen en tres grandes categorías: (1) malas prácticas de privacidad, (2) malas prácticas de seguridad y (3) malas configuraciones de usuario”. Dado lo anterior, la Superindustria inició de oficio una investigación para establecer la veracidad de la información y determinar si se están tratando de manera correcta y conforme a la ley los datos que son recolectados cuando se usan los servicios de Zoom. ¡Superintendencia de Industria y Comercio, confianza que construye progreso! Fuente: https://www.sic.gov.co/slider/superindustria-investigar%C3%A1-plataforma-de-videoconferencias-zoom-para-establecer-si-protege-adecuadamente-datos-de-los-colombianos
Ciberseguridad – Cuidado con este cebo de Netflix: es una estafa para conseguir tus datos
El mensaje que se ha difundido por WhatsApp con falsas promesas de Netflix gratis. Muchos son los cibercriminales que han aprovechado la actual situación mundial para lanzar sus ataques y estafas, usando como gancho novedades sobre la crisis sanitaria, posibles remedios o curas para la enfermedad e incluso supuestos resultados médicos. Una de las últimas estafas sobre las que ha alertado el Instituto Nacional de Ciberseguridad -Incibe- es un ciberataque tipo pishing difundido a través de WhatsApp. El mensaje asegura que, por solidaridad en este delicado momento, Netflix está regalando una suscripción gratis durante el aislamiento. Después aparece un enlace, que, claro, no es el auténtico de la plataforma de streaming. Y para que no te lo pienses mucho, el mensaje apremia: “¡Ejecútelo en el sitio porque terminará rápido!”. Una vez pinchas en él, te redirige a una página que simula ser legítima para robar tus datos personales y/o bancarios. ¿Cómo lo hace? Primero, al hacer clic, el enlace te lleva a una pequeña encuesta y, una vez finalizada, te insta a difundir el mensaje entre tus contactos para poder disfrutar de la promoción. Tras compartir el enlace, te será notificado que, además, has sido ganador de una tarjeta regalo para canjear en algún supermercado u otro servicio, y para poder disfrutar de esta promoción se te solicitarán datos personales y bancarios. Te piden hacer una encuesta y compartirla entre tus contactos, y después te informan de que has ganado una tarjeta regalo y te piden datos para disfrutarla. Aunque por ahora solo se ha detectado en WhatsApp, desde el Incibe advierten que “este fenómeno podría extenderse a otras plataformas de entretenimiento y/o a través de otros canales, como el correo electrónico”. A quienes hayan recibido un mensaje de estas características, accedido al enlace y facilitado sus datos personales y bancarios -número de tarjeta, fecha de caducidad y código de seguridad-, el Incibe les recomienda contactar lo antes posible con su entidad financiera para informarles de lo sucedido. Fuente: https://www.20minutos.es/noticia/4256829/0/cuidado-con-este-cebo-de-netflix-es-una-estafa-para-conseguir-tus-datos/
Protección de Datos – Marriott investiga robo de datos que afecta a 5,2 millones de clientes
Marriott International está investigando un robo de datos que ha expuesto la información personal de hasta 5,2 millones de clientes, lo que supone al menos el tercer incidente cibernético para la mayor cadena hotelera del mundo en los últimos 18 meses. Según informa este miércoles EFE Dow Jones, que se remite a un comunicado de la compañía, los nombres de los clientes, sus direcciones, fechas de cumpleaños, correos electrónicos, números de teléfono y números de sus programas de fidelización, tanto de la cadena hotelera como de las aerolíneas asociadas, podrían estar comprometidos. No obstante, Marriot «actualmente no tiene motivos para creer» que esté afectada otra información más sensible, como claves, datos de los pasaportes o números de los carnets de conducir. La noticia se hace pública en un momento devastador para Marriott y la industria hotelera en su conjunto. El grupo, con sede en Maryland (EE.UU.), ha tenido que suspender temporalmente el empleo de miles de sus trabajadores ante las medidas adoptadas en muchos países para contener la propagación del Covid-19. A la información expuesta se accedió utilizando las credenciales de acceso de dos empleados de un hotel franquiciado en Rusia, según ha explicado el portavoz del grupo Brendan McManus, que no concretó si dichos trabajadores son sospechosos de haber cometido irregularidades o si sus cuentas se vieron comprometidas. «Nuestra investigación sigue abierta y es demasiado pronto para hacer comentarios», ha añadido McManus sobre el que es, al menos, el tercer robo de datos que sufre la cadena en los últimos 18 meses. Las autoridades de Europa y EE.UU. han implementado nuevas normativas en los últimos años para proteger los datos de este tipo de violaciones de la privacidad. McManus reiteró que Marriott sigue comprometida con la mejora de sus mecanismos de protección de la intimidad y que la compañía está trabajando con sus aseguradoras para evaluar el coste del incidente, que no prevé que sea muy significativo. Fuente: https://www.elespectador.com/tecnologia/marriott-investiga-robo-de-datos-que-afecta-52-millones-de-clientes-articulo-912413
