Toyota confirma el robo de datos financieros y personales de sus clientes
El gigante automovilístico Toyota se ha visto envuelto en un importante incidente de ciberseguridad consistente en el robo de datos que ha puesto en riesgo la privacidad de sus clientes. La compañía ha confirmado un incidente significativo tras la filtración de un archivo de 240 GB de información robada en un foro de ciberdelincuencia. ¿Qué datos fueron robados? El 25 de diciembre de 2022, los atacantes lograron acceder a un servidor de respaldo donde se almacenaban datos críticos de Toyota Financial Services (TFS). Este ataque, confirmado por la compañía a Bleeping Computer, compromete tanto datos financieros como personales, ha sido reivindicado por el grupo de ransomware Medusa. El archivo robado contenía información sobre empleados, clientes, contratos y detalles financieros de la compañía. TFS es la rama financiera de Toyota Motor Corporation, encargada de proporcionar servicios como préstamos para automóviles, leasing y soluciones de seguros a nivel mundial. Entre los datos comprometidos se encuentran nombres completos, direcciones de residencia, información de contacto, detalles de arrendamiento con opción de compra y números de cuenta bancaria internacional (IBAN). Esta información es altamente sensible, ya que puede ser utilizada para fraudes financieros y suplantación de identidad, lo que agrava la situación para los afectados. La amenaza del grupo de ransomware Medusa El 17 de noviembre de 2023, el grupo de ransomware Medusa reclamó la autoría del ataque a Toyota y exigió un rescate de 8 millones de dólares para no filtrar la información robada. Además, ofrecieron una extensión del plazo por un costo adicional de 10.000 dólares por día. Lea también: ¿Cuál fue el error de la firma de ciberseguridad CrowdStrike que provocó la falla global de Microsoft? El grupo Medusa estableció el 26 de noviembre como fecha límite para el pago del rescate, y como prueba de su ataque, publicaron una muestra de los datos robados. Entre los documentos filtrados se encuentran documentos financieros, facturas, contraseñas cifradas, escaneos de pasaportes y más. Los documentos en alemán sugieren que gran parte de la información fue extraída de sistemas de la oficina de Toyota en Alemania. La vulnerabilidad de Citrix Bleed: el vector de ataque El experto en ciberseguridad Kevin Beaumont fue uno de los primeros en descubrir que la oficina de Toyota en Alemania tenía un Citrix Gateway vulnerable expuesto en línea. Los ciberdelincuentes probablemente aprovecharon la vulnerabilidad conocida como Citrix Bleed para obtener acceso inicial a la red de la empresa. Este tipo de vulnerabilidad en las infraestructuras digitales expone a las organizaciones a riesgos significativos, especialmente cuando se trata de grandes corporaciones con datos valiosos y sensibles. Citrix Bleed es una vulnerabilidad conocida que afecta a las puertas de enlace Citrix ADC, utilizadas comúnmente por grandes organizaciones para permitir el acceso remoto a sus redes. La explotación de esta vulnerabilidad permitió a los atacantes infiltrarse en los sistemas de Toyota y robar los datos críticos que posteriormente fueron utilizados para extorsionar a la compañía. La respuesta de Toyota Toyota ha intentado restar importancia al incidente, afirmando que la brecha de seguridad tiene un «alcance limitado» y que no afecta a todo su sistema. La compañía ha notificado a las personas afectadas y se ha comprometido a proporcionar asistencia si es necesario. Sin embargo, Toyota no ha ofrecido detalles técnicos sobre el ataque ni ha revelado cuántos clientes o empleados se vieron afectados. En un comunicado, Toyota declaró: «Somos conscientes de la situación. El problema es de alcance limitado y no afecta a todo el sistema. Estamos comprometidos con aquellos que se han visto afectados y proporcionaremos asistencia si es necesario». A pesar de estas declaraciones, la gravedad del incidente y la cantidad de datos filtrados han generado preocupación entre los expertos en ciberseguridad y los clientes. Toyota ha aconsejado a los clientes afectados que estén atentos a cualquier actividad sospechosa en sus cuentas y que informen de inmediato cualquier irregularidad a sus bancos. Además, la compañía ha ofrecido servicios de protección contra el robo de identidad a las personas afectadas, lo que incluye la monitorización de crédito y el acceso a asistencia legal en caso de fraude. FUENTE: Domínguez, MLuz. »Toyota confirma el robo de datos financieros y personales de sus clientes» 20/08/2024. Bitlifemedia.com. (https://bitlifemedia.com/2024/08/toyota-confirma-el-robo-de-datos-financieros-y-personales-de-sus-clientes/).
SIC investiga a Worldcoin Foundation por posibles infracciones en protección de datos personales en Colombia
Worldcoin Foundation, una organización sin fines de lucro, ha ganado notoriedad recientemente debido a su ambicioso proyecto de crear una infraestructura digital que pretende revolucionar la economía global. Su misión principal es establecer un sistema que permita a todas las personas, sin importar su ubicación geográfica o situación económica, verificar su identidad de manera única y segura. Para lograr esto, la fundación utiliza un innovador proceso de verificación biométrica, en el cual se escanea el iris de las personas para generar una identificación digital única. Es importante destacar que esta identificación no está vinculada a ninguna información personal sensible y no puede ser transferida a terceros. En línea con su objetivo de fomentar la inclusión financiera, la organización ha desarrollado una criptomoneda llamada WLD. Esta moneda digital se distribuye de manera gratuita a las personas que se registran en su plataforma. Según la fundación, WLD busca ser una herramienta que facilite la inclusión financiera y que aporte un valor adicional a la economía global. Podría interesarle: Número de cédula no está sujeta a reserva, dice la Corte Constitucional No obstante, el proyecto ha generado preocupaciones, especialmente en lo que respecta a la protección de datos personales. En este contexto, la Superintendencia de Industria y Comercio (SIC) de Colombia, como autoridad encargada de la protección de datos personales, ha formulado un pliego de cargos contra Worldcoin Foundation y Tools for Humanity Corporation. Estas acciones se deben a posibles infracciones al régimen de protección de datos personales en Colombia. La SIC está investigando si las organizaciones mencionadas han violado la legislación colombiana en la recolección y tratamiento de datos personales sensibles. Las acusaciones incluyen fallos en la implementación de políticas de tratamiento de datos, falta de autorización previa y clara de los usuarios, y posibles deficiencias en la implementación de políticas de seguridad y manuales internos de procedimientos. La SIC está investigando si las organizaciones mencionadas han violado la legislación colombiana en la recolección y tratamiento de datos personales sensibles. Las acusaciones incluyen fallos en la implementación de políticas de tratamiento de datos, falta de autorización previa y clara de los usuarios, y posibles deficiencias en la implementación de políticas de seguridad y manuales internos de procedimientos. La decisión se encuentra actualmente en trámite de notificación y, una vez sea conocida por las partes involucradas, se hará efectiva sin posibilidad de apelación. FUENTE: Villamil, Mauricio. »SIC investiga a Worldcoin Foundation por posibles infracciones en protección de datos personales en Colombia» 20/08/2024. Infobae.com. (https://www.infobae.com/colombia/2024/08/21/sic-investiga-a-worldcoin-foundation-por-posibles-infracciones-en-proteccion-de-datos-personales-en-colom
La IA está revolucionando la ciberseguridad en Colombia, para el 2027 se estima que este mercado alcanzará $USD 1.108 millones
En 2022, Colombia cerró el año ubicándose en el puesto 69 del ranking global de ciberseguridad, acorde al reporte de NCSI. El mercado de ciberseguridad en Colombia para el año 2027 alcanzará un valor de $USD 1.108 millones, partiendo de $USD 800 millones en 2024, lo que representa una tasa de crecimiento del 38%, según cifras de OlimpIA, empresa líder en inteligencia artificial. Este notable incremento va de la mano con la adopción de inteligencia artificial para proteger infraestructuras críticas y datos sensibles. La IA está revolucionando la ciberseguridad al procesar enormes volúmenes de datos y aprender de ellos al instante. Con algoritmos de machine learning, análisis predictivo y automatización, los expertos en esta tecnología han transformado la manera en la cual se detectan patrones inusuales, anticipándose a posibles amenazas cibernéticas. Simbad Ceballos, CEO de OlimpIA, destaca que: “La inteligencia artificial no solo responde a los ataques, sino que los prevé y neutraliza antes de que puedan causar daños significativos”. En 2022, Colombia cerró el año ubicándose en el puesto 69 del ranking global de ciberseguridad, acorde al reporte de la National Cyber Security Index (NCSI). De igual manera, es el segundo país con más ataques cibernéticos de la región. Podría interesarle: 8 estrategias avanzadas de ciberseguridad impulsadas por inteligencia artificial que debes conocer Dentro de los sectores más vulnerables en el país a ciberataques se encuentra el financiero con un 35%, donde se presentaron más de siete millones de ataques digitales durante el 2023, de los cuales 93% fueron detectado y resueltos en menos de 24 horas. Por su parte, está el legal 14%, Gobierno 11% y educación 8%. Las aplicaciones y casos de uso de la IA en ciberseguridad son diversos y están en constante evolución. Según Ceballos, algunos de los más destacados incluyen: FUENTE: La Nota Económica. »La IA está revolucionando la ciberseguridad en Colombia, para el 2027 se estima que este mercado alcanzará $USD 1.108 millones» 20/08/2024. Lanotaeconomica.com. (https://lanotaeconomica.com.co/movidas-empresarial/la-ia-esta-revolucionando-la-ciberseguridad-en-colombia-para-el-2027-se-estima-que-este-mercado-alcanzara-usd-1-108-millones/).
Privacidad ante todo: X detiene el uso de datos de usuarios no autorizado para su IA
En un movimiento sin precedentes que pone de relieve la importancia de la protección de datos en la era digital, la Comisión de Protección de Datos de Irlanda (DPC) ha llegado a un acuerdo con la plataforma X (anteriormente conocida como Twitter) para suspender el procesamiento de datos personales de usuarios de la Unión Europea (UE) recopilados sin su consentimiento. Este acuerdo se produce después de que la DPC iniciara un procedimiento de denuncia ante el Tribunal Superior de la Unión Europea contra la compañía. La DPC, la autoridad independiente de Irlanda responsable de la protección de datos personales de los ciudadanos de la UE, señaló que millones de usuarios europeos habían sido víctimas de la recopilación de datos por parte de X sin su consentimiento. Según la DPC, la plataforma había utilizado estos datos personales para entrenar su modelo de inteligencia artificial (IA) conocido como Grok, sin ofrecer a los usuarios una opción realmente efectiva para que la red social dejara de acceder libremente a su información, tal como exige el Reglamento General de Protección de Datos (RGPD). La denuncia de la DPC y el acuerdo con X En su demanda, la DPC señaló que X había rechazado las solicitudes para dejar de procesar los datos personales de los usuarios y denegado el aplazamiento del lanzamiento de la próxima versión de Grok. Sin embargo, tras un «amplio compromiso» entre la DPC y X, se ha llegado a un acuerdo para suspender el procesamiento de los datos personales de los usuarios de la UE recopilados entre el 7 de mayo y el 1 de agosto de 2024 con el objetivo de entrenar a la IA de la plataforma. La DPC ha destacado que esta solicitud «urgente» presentada ante el Tribunal Superior se realizó «para proteger los derechos y libertades de los usuarios de la Unión Europea en X». Este acuerdo representa un importante avance en la lucha por la privacidad y el control de datos de los ciudadanos europeos en el entorno digital, estableciendo un precedente significativo para las plataformas tecnológicas que buscan utilizar datos personales sin el consentimiento expreso de los usuarios. Implicaciones y lecciones aprendidas Este caso pone de manifiesto la creciente preocupación y el mayor escrutinio de las autoridades reguladoras en torno al uso de datos personales por parte de las empresas tecnológicas, especialmente en el desarrollo de soluciones de IA. Las compañías deben comprender que la confianza de los usuarios y el cumplimiento de las normas de protección de datos son factores clave para mantener su sostenibilidad y reputación en el mercado. Además, este acuerdo subraya la importancia de que las plataformas digitales implementen políticas de privacidad sólidas y transparentes, que brinden a los usuarios un control efectivo sobre sus datos personales. La rápida adopción de estas prácticas se vuelve crucial en un entorno cada vez más regulado y consciente de la necesidad de proteger la privacidad de los ciudadanos. En resumen, el acuerdo alcanzado entre la DPC y X representa un hito en la lucha por la protección de datos y los derechos de los usuarios en el entorno digital. Este caso servirá como un llamado de atención para que otras empresas del sector tecnológico adopten un enfoque más responsable y respetuoso con la privacidad de sus usuarios, estableciendo así un nuevo estándar en la industria. FUENTE: Servente, Diego. »Privacidad ante todo: X detiene el uso no autorizado de datos de usuarios para su IA» 09/08/2024. Que.es. (https://www.que.es/2024/08/09/privacidad-ante-todo-x-detiene-el-uso-no/).
Irlanda denuncia a X por uso indebido de datos de usuarios en su IA Grok
La Comisión de Protección de Datos de Irlanda (DPC) ha iniciado un procedimiento de denuncia ante el Tribunal Superior de la Unión Europea contra X (antes Twitter) por utilizar datos personales de usuarios europeos sin su consentimiento para entrenar su modelo de inteligencia artificial (IA) Grok. Esta acción se basa en la sospecha de que X no cumple con las obligaciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, abriendo un debate crucial sobre la privacidad y la ética en el desarrollo de la IA. La DPC es la autoridad independiente de Irlanda responsable de la protección de los datos personales de los ciudadanos de la Unión Europea, un rol que ya ha desempeñado al investigar plataformas como Instagram por la administración y el uso de datos de los usuarios. Sin embargo, la situación con X presenta un nuevo desafío, dado que la compañía, propiedad de Elon Musk, ha sido acusada de recopilar datos personales de usuarios europeos a través de sus publicaciones en la red social sin su consentimiento explícito. El caso de la privacidad y la IA en X: un debate abierto X activó una nueva opción de privacidad y seguridad en las cuentas de los usuarios a finales del pasado julio, con la que se otorgaba permiso a la compañía para utilizar las publicaciones e interacciones con el ‘chatbot’ para entrenar a su modelo de lenguaje Grok. Sin embargo, la DPC considera que este mecanismo de exclusión voluntaria no es suficiente para garantizar el consentimiento previo de los usuarios, lo que abre un debate fundamental sobre la ética en el desarrollo y la utilización de la IA. Lea también: Histórica sentencia sobre Google advierte a empresas sobre la protección de datos La DPC ha expresado su preocupación por la posibilidad de que millones de usuarios europeos hayan sido, y sigan siendo, víctimas de esta recopilación de datos por parte de X, dado que no se les ha brindado una opción realmente efectiva para que la plataforma deje de acceder libremente a su información, tal y como exige el RGPD. Además, la DPC ha mostrado su inquietud por el lanzamiento de la próxima generación del ‘chatbot’ Grok, que, según cree, ha sido entrenado con datos personales de usuarios de la Unión Europea. Un paso legal para proteger la privacidad y el futuro de la IA Ante la negativa de X a detener el procesamiento de datos personales de los usuarios y a aplazar el lanzamiento de la próxima versión de Grok, la DPC ha decidido iniciar un procedimiento judicial, denunciando a Twitter International Unlimited Company (la división de X en Irlanda) por su uso de datos personales de usuarios europeos sin consentimiento. Con esta acción legal, la DPC busca una orden que suspenda, restrinja o prohíba procesar los datos personales de los usuarios de X para desarrollar, entrenar o refinar cualquier aprendizaje u otros sistemas de IA utilizados por X. Además, la DPC ha destacado la urgencia del incidente y ha anunciado que remitirá la denuncia al Comité Europeo de Protección de Datos, el organismo independiente encargado de supervisar el RGPD en la UE. Este movimiento refleja el compromiso de la Unión Europea con la protección de la privacidad de los ciudadanos en la era digital y sienta un precedente importante en el desarrollo y la utilización ética de la IA. FUENTE: Rodríguez, Ana Carina. »Irlanda denuncia a X por uso indebido de datos de usuarios en su IA Grok» 07/08/2024. Moncloa.com. (https://www.moncloa.com/2024/08/07/irlanda-denuncia-x-datos-2813016/).
Histórica sentencia sobre Google advierte a empresas sobre la protección de datos
La histórica sentencia del lunes que determinó que Google monopoliza ilegalmente las búsquedas en Internet, vino acompañada de una reprimenda al gigante tecnológico por ocultar posibles pruebas en el caso y de una advertencia a otras empresas sobre la protección de datos. Amit Mehta, juez del distrito de Washington, arremetió contra la empresa norteamericana, propiedad de Alphabet, por no preservar los chats internos y abusar de la protección de las comunicaciones legales, pero se negó a sancionar formalmente a la empresa. El Departamento de Justicia de Estados Unidos había pedido a Mehta que sancionara al gigante tecnológico por lo que el gobierno calificó de «destrucción sistemática» de los mensajes de los empleados y «abuso flagrante» del privilegio abogado-cliente que protege las comunicaciones con los abogados. Lea también: Whatsapp fue denunciada en Argentina por usar datos privados para entrenar su IA El juez dijo que no era necesario pronunciarse sobre la manipulación de pruebas por parte de Google para decidir si la empresa violó la legislación antimonopolio. «Aun así, el tribunal se siente sorprendido por el empeño de Google en evitar la creación de un rastro de papel para los reguladores y los litigantes», escribió Mehta. La empresa «entrenó a sus empleados, con bastante eficacia, para no crear evidencia «negativa», dijo. Google y el Departamento de Justicia declinaron hacer comentarios sobre la decisión de Mehta de no sancionar a Google por sus salvaguardias en materia de pruebas. Google ha negado haber infringido la legislación antimonopolio y el lunes dijo que recurrirá la decisión del tribunal. También ha negado haber manejado mal la evidencia. El gigante norteamericano llevaba mucho tiempo eliminando automáticamente los mensajes de chat de sus empleados después de 24 horas, a menos que la persona pulse el botón «historial activado» para conservarlos. El año pasado cambió esta política para salvaguardar mejor los chats. Mehta también criticó a la empresa por su iniciativa «comunicar con cuidado», que consistía en que los empleados de Google añadieran abogados a los mensajes y los marcaran como «confidencial entre abogado y cliente». Podría interesarle: La demanda de Google a Colombia por la protección de nuestros datos personales La lucha por los registros de chats de Google se ha extendido a otros casos que cuestionan las prácticas empresariales de la empresa tecnológica. Un juez federal de California dictaminó el año pasado que Google no guardó «deliberadamente» pruebas relevantes de los chats en una demanda presentada por Epic Games, desarrollador de «Fortnite«. Epic se impuso en ese juicio, en el que se acusaba a Google de controlar excesivamente el mercado de aplicaciones de Android. A finales de este mes, un juez federal de Virginia escuchará los argumentos sobre la destrucción de pruebas en la demanda del Departamento de Justicia contra el gigante norteamericano por sus prácticas de publicidad digital. El mes que viene se celebrará un juicio sin jurado. Mehta dijo que su decisión de no sancionar a Google no era una exoneración. «Cualquier empresa que haga recaer en sus empleados la responsabilidad de identificar y conservar las pruebas pertinentes lo hace por su cuenta y riesgo«, escribió Mehta. «Google evitó las sanciones en este caso. Puede que no tenga tanta suerte en el próximo». FUENTE: Reuters. 06/08/2024. Histórica sentencia sobre Google advierte a empresas sobre la protección de datos. Eleconomista.com.mx. (https://www.eleconomista.com.mx/tecnologia/Historica-sentencia-sobre-Google-advierte-a-empresas-sobre-la-proteccion-de-datos-20240806-0048.html).
5 Directrices estratégicas de ciberseguridad para 2024
En el actual entorno empresarial, la ciberseguridad se ha convertido en una prioridad ineludible para los líderes empresariales. Las crecientes amenazas y la complejidad del ecosistema digital exigen una estrategia sólida y proactiva. Aquí te presento cinco directrices estratégicas que KPMG nos comparte en su Informe de Consideraciones en ciberseguridad 2024 que los empresarios deben considerar para asegurar la continuidad y resiliencia de sus negocios en 2024. Modernizar la Seguridad en la Cadena de Suministro El enfoque tradicional de ciberseguridad en la cadena de suministro ha quedado obsoleto en el complejo ecosistema empresarial global. Las relaciones con los proveedores ya no se basan únicamente en transacciones aisladas, sino que están interconectadas mediante una red de interfaces de programación de aplicaciones (APIs) y servicios en la nube (SaaS). Para enfrentar estos desafíos, las empresas deben establecer asociaciones estratégicas más sólidas con sus proveedores. Esto implica monitorear y gestionar continuamente los perfiles de riesgo en constante evolución y fortalecer la resiliencia operativa. Implementar tecnologías de monitoreo avanzado y realizar evaluaciones de riesgos periódicas son pasos esenciales para asegurar que todos los eslabones de la cadena de suministro estén protegidos contra las amenazas cibernéticas. Liberar Cuidadosamente el Potencial de la IA La inteligencia artificial (IA) está revolucionando la forma en que las empresas operan, transformando no solo los procesos, sino también quién y cómo se realiza el trabajo. Actualmente, la IA generativa es el tema dominante, pero otras ramas como la robótica y el aprendizaje automático también están haciendo avances significativos. Lea también: 8 estrategias avanzadas de ciberseguridad impulsadas por inteligencia artificial que debes conocer El desafío para las organizaciones radica en calibrar las implicaciones de seguridad, privacidad y ética inherentes a estas tecnologías. Para abordar esto, es crucial establecer marcos de gestión de riesgos y gobernanza que aseguren la implementación segura y responsable de la IA. Estos marcos deben incluir evaluaciones de impacto, políticas claras de uso y la integración de medidas de seguridad desde el diseño (Security by Design). Reforzar la Ciberseguridad mediante Automatización Con la creciente adopción de sistemas en la nube y el aumento del trabajo remoto, la superficie de ataque cibernético se ha expandido drásticamente. Esto ha generado un volumen masivo de datos y alertas que los equipos de seguridad deben gestionar, creando un entorno ruidoso y complejo. La automatización se presenta como una solución crucial para este problema. Al automatizar la recopilación, correlación y escalado de señales, las empresas pueden reducir el ruido en los centros de operaciones de seguridad (SOC) y enfocarse en las amenazas verdaderamente críticas. Las herramientas de automatización también pueden ayudar a reducir los falsos positivos y mejorar la eficiencia operativa, permitiendo a los equipos de seguridad responder más rápidamente a los incidentes. Hacer que la Identidad sea Individual, no Institucional El modelo tradicional de gestión de identidad y accesos (IAM) ha sido diseñado para gestionar identidades digitales y el acceso de usuarios dentro de empresas individuales. Sin embargo, en un entorno informático cada vez más descentralizado, este modelo necesita evolucionar. Las nuevas soluciones de IAM están siendo reconceptualizadas para ofrecer un nivel de resiliencia adecuado en entornos multicloud, tanto públicos como privados. Esto elimina la necesidad de verificaciones de identidad repetitivas y permite a los usuarios interactuar con nuevas instituciones de manera más eficiente, ya sea como clientes o colaboradores. La implementación de tecnologías como la autenticación sin contraseñas y el uso de identidades federadas puede simplificar enormemente este proceso. Alinear la Ciberseguridad con la Resiliencia Organizacional En un entorno empresarial volátil, la resiliencia organizacional se ha convertido en una prioridad. Durante un incidente cibernético, las organizaciones necesitan una respuesta medida en minutos y horas, no en días y semanas. Integrar la ciberseguridad con la resiliencia organizacional implica enfatizar la protección, detección, respuesta rápida y recuperación. Las empresas deben desarrollar planes de respuesta a incidentes que incluyan simulaciones regulares y capacitación para los empleados, asegurando que todos sepan cómo actuar en caso de una emergencia. Esta integración no solo protege las operaciones diarias, sino que también mantiene la confianza de los clientes y minimiza el impacto de futuros ataques. Para los empresarios y líderes tomadores de decisiones, estas directrices no son meras recomendaciones, sino imperativos que deben ser adoptados con urgencia. En un mundo VUCA y BANI, la seguridad informática no es solo una función técnica, sino una estrategia empresarial crítica que debe integrarse profundamente en todos los aspectos de la organización. Tomar medidas claras e inmediatas en este sentido permitirá a las empresas no solo proteger sus activos y asegurar la continuidad de sus operaciones, sino también mantener y fortalecer la confianza de sus clientes y socios. No espere a que una crisis golpee su negocio. Actúe ahora y adopte estas prácticas esenciales de ciberseguridad para garantizar un futuro seguro y próspero. Para alcanzar estos logros y metas, acerquese a un profesional de la seguridad cibernética que pueda guiarlo en este camino. FUENTE: Cobos, Guillermo. 05/08/2024. 5 Directrices estratégicas de ciberseguridad para 2024. Heraldodepuebla.com. (https://heraldodepuebla.com/2024/08/05/5-directrices-estrategicas-de-ciberseguridad-para-2024/#google_vignette).
Whatsapp fue denunciada en Argentina por usar datos privados para entrenar su IA
La presentación de la denuncia a WhatsApp se hizo ante la Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación de la Ley de Protección de Datos Personales de Argentina (Ley 25.326). Los abogados especialistas en protección de datos personales, Facundo Malaureille y Daniel Monastersky, formalizaron la presentación contra Meta, la empresa matriz de Facebook, WhatsApp e Instagram, por el uso de datos personales en Argentina para el entrenamiento de IA, según publicó Ciberseguridad Latam. Consta de 22 puntos, en los que solicita a Meta Argentina explicaciones sobre sus prácticas de recolección y uso de datos personales a través de WhatsApp. Entre los puntos más relevantes de la denuncia a WhatsApp, figuran: También piden a la AAIP realizar una auditoría independiente de los procesos de Meta en el país y establecer directrices sobre los estándares de anonimización aceptables en Argentina, en el marco de sus facultades como autoridad de aplicación de la Ley 25.326. “Con esta presentación, buscamos que Argentina tome una posición proactiva en la regulación del uso de datos personales para el entrenamiento de IA“, comentó Facundo Malaureille, quien puso de relieve que “es crucial que no nos quedemos atrás en la protección de los derechos digitales de nuestros ciudadanos“. Monastersky agregó: “Esta denuncia busca establecer un precedente legal que guíe futuras regulaciones y prácticas en el ámbito de la IA y la protección de datos en nuestro país”. Lea también: La demanda de Google a Colombia por la protección de nuestros datos personales Ambos firmantes sostienen que “la ausencia de una legislación actualizada en este campo coloca a los ciudadanos en riesgo de sufrir abusos potenciales por parte de empresas multinacionales que manejan grande volúmenes de información personal”. E instaron a los diputados y senadores a tomar conciencia de la situación crítica en la que se encuentra la protección de datos personales en el país. El texto de la presentación advierte que “la falta de acción legislativa al no tratar el proyecto de reforma de la ley 25.326 deja a los ciudadanos argentinos en una posición vulnerable, expuestos a las decisiones unilaterales de corporaciones tecnológicas de gran envergadura, como Meta”. Quejas en Europa La corporación global Meta Platforms ya venía recibiendo desde junio 11 quejas presentadas en Austria, Bélgica, Francia, Alemania, Grecia, Italia, Irlanda, Países Bajos, Noruega, Polonia y España por los cambios propuestos en la forma en que utiliza datos personales para entrenar sus modelos de inteligencia artificial sin obtener consentimiento. Las quejas afirmaron que los recientes cambios en la política de privacidad de Meta, que entraron en vigor el 26 de junio, permitirían a la compañía utilizar años de publicaciones personales, imágenes privadas y datos de seguimiento en línea para su tecnología de inteligencia artificial. Debido a los cambios inminentes, NYOB pidió a las autoridades de protección de datos en los 11 países que inicien una revisión urgente. Según una declaración de NYOB, la recientemente actualizada política de privacidad de Meta cita un interés legítimo en usar los datos de los usuarios para entrenar y desarrollar sus modelos de IA generativa y otras herramientas de IA, las cuales pueden ser compartidas con terceros. El cambio de política impacta a millones de usuarios europeos, impidiéndoles eliminar sus datos una vez que están en el sistema. Amenazas de multas NYOB ha presentado previamente varias quejas contra Meta y otras grandes empresas tecnológicas por presuntas violaciones del Reglamento General de Protección de Datos (GDPR) de la UE, que amenaza con multas de hasta el 4% de la facturación global total de una empresa por violaciones. En tal sentido, el fundador de NYOB, Max Schrems, señaló en una declaración que el Tribunal de Justicia de la Unión Europea ya tomó una decisión histórica sobre este tema en 2021, la cual debería servir como punto de referencia para abordar el uso propuesto por Meta de los datos personales. Dijo: “El Tribunal de Justicia de la Unión Europea (CJEU) ya ha dejado claro que Meta no tiene un ‘interés legítimo’ para anular el derecho de los usuarios a la protección de datos cuando se trata de publicidad… Parece que Meta una vez más está ignorando descaradamente los fallos del CJEU”. Contexto internacional Esta denuncia en Argentina se produce en un contexto internacional de creciente escrutinio sobre las prácticas de las grandes tecnológicas en materia de IA y protección de datos. La comunidad tecnológica y legal del país observa atentamente el desarrollo de este caso, consciente de que el resultado podría tener un impacto significativo en la innovación en IA y la protección de datos personales en Argentina en los próximos años, habida cuenta del creciente poder y alcance de las plataformas digitales en la vida cotidiana. FUENTE: Sociedad. »WhatsApp fue denunciada en el país por usar datos privados para entrenar su IA» Laciudadavellaneda.com.ar. 30/07/2024. (https://laciudadavellaneda.com.ar/whatsapp-fue-denunciada-en-el-pais-por-usar-datos-privados-para-entrenar-su-ia/).
¿Cuál fue el error de la firma de ciberseguridad CrowdStrike que provocó la falla global de Microsoft?
Una actualización defectuosa de la plataforma de seguridad informática CrowdStrike es el origen del fallo sufrido en los sistemas de Microsoft que ha afectado a empresas de todo el planeta, desde aeropuertos hasta el Servicio Nacional de Salud (NHS) del Reino Unido. La empresa ha admitido que un fallo en una actualización de su plataforma CrowdStrike Falcon, uno de los sistemas de protección de Windows, ha provocado el caos, y asegura que ya trabaja para revertir estos cambios. Según explican a EFE expertos informáticos, la última actualización de controladores de Falcon contenía errores; inmediatamente colapsó Azure, la plataforma de computación en la nube creado por Microsoft para construir, probar, desplegar y administrar aplicaciones y servicios utilizando su infraestructura global. Ello provocó la aparición de los pantallazos azules o “de la muerte” que en todo el mundo mostraban que los sistemas habían dejado de funcionar, y que había que reiniciar los servidores. Lea también: Falla de Microsoft, así afectó a Colombia, según el Ministerio TIC La sugerencia de CrowdStrike para superar el fallo CrowdStrike sugiere eliminar un fichero sys -archivos de sistema de Windows-, pero ello no garantiza de momento la recuperación de todas las funciones, ya que, según explican expertos a EFE, todos los servidores de una empresa están conectados entre sí, de modo que aunque uno “se levante” el resto puede no funcionar. Además, los propios servidores de CrowdStrike están caídos, con lo que es imposible saber con seguridad cuándo se recuperarán los sistemas afectados. Fundada en 2011 con un capital inicial de 26 millones de dólares, y proveedora de servicios para algunas de las mayores empresas del mundo, como Microsoft o el fabricante de ordenadores Dell, CrowdStrike ofrece servicios de seguridad en el ámbito tecnológico, y su plataforma CrowdStrike Falcon detecta fallos de seguridad en tiempo real. CrowdStrike Falcon supuso la primera solución de seguridad inteligente, nativa de la nube y multiinquilino, capaz de proteger cargas de trabajo en entornos locales, virtualizados y basados en la nube que se ejecutan en una variedad de puntos finales, como portátiles, de sobremesa, servidores, virtuales, máquinas y dispositivos de internet de las cosas. A través de 28 módulos en la nube, la plataforma Falcon ofrece, a través de un modelo SaaS que abarca múltiples mercados de seguridad – incluidos terminales corporativos, seguridad y operaciones de IT-, servicios de seguridad administrados, detección de amenazas, seguridad en la nube, protección de identidad, protección de datos y generación de ciberseguridad. El fundador de CrowdStrike, George Kuntz, ha desarrollado durante 30 años su carrera en el mundo de la tecnología, y antes de crear la empresa trabajó para la compañía de antivirus informáticos McAfee y para GM. FUENTE: (19 de julio 2024). Cuál fue el error de la firma de ciberseguridad CrowdStrike que provocó la falla global de Microsoft. Monumental.co.cr. https://www.monumental.co.cr/2024/07/19/cual-fue-el-error-de-la-firma-de-ciberseguridad-crowdstrike-que-provoco-la-falla-global-de-microsoft/).
