La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados
Una política de Meta proponía que los usuarios paguen para evitar que sus datos sean usados para anuncios personalizados. En 2023, la UE emitió una multa de 2,3 billones de euros a la compañía por violar leyes de privacidad. A Europa no le gustó la postura de Meta de ‘o pagas o usamos tus datos’. La Comisión Europea dijo este lunes 1 de julio que la empresa estadounidense está incumpliendo la ley de mercados digitales. Se refirió específicamente a la política de recopilación de datos personales de los usuarios, al obligarles a pagar si no quieren que la compañía los utilice para mostrar anuncios personalizados en Facebook e Instagram. «Meta ha forzado a millones de usuarios en la Unión Europea a una elección binaria: pagar o dar consentimiento. En nuestra conclusión preliminar, esto es una infracción de la ley de mercados digitales», dijo el comisario europeo de Mercado Interior, Thierry Breton. «Queremos dar la capacidad a los ciudadanos para que sean capaces de tener el control sobre sus propios datos y elegir una forma de anuncios menos personalizada», añadió la vicepresidenta de la Comisión Europea de la Era Digital, Margrehte Vestager, en un comunicado. Una multa millonaria en el horizonte Bruselas continuará con su investigación hasta marzo de 2025 y mientras tanto, espera que Meta proporcione una solución alternativa a su modelo publicitario, pero si confirma sus conclusiones iniciales, podría acabar imponiendo una multa a la empresa del 10 % de su facturación mundial. La sanción podría ascender hasta el 20 % en caso de incumplir reiteradamente la normativa y la Comisión podría obligar a Meta a vender una parte de su negocio. Lea también: La UE contra Meta: ¡Sus sucripciones pagas no bastan para anuncios! La ley de mercados digitales, en Europa, obliga a las grandes empresas de internet a obtener el consentimiento de los usuarios para poder usar sus datos personales y combinarlos entre sus distintas plataformas con el objetivo de mostrar anuncios personalizados. Y en caso de que los usuarios no den su consentimiento, deben darles la opción de acceder a un servicio equivalente que no use con tanta frecuencia esta información para fines publicitarios. No es el primer freno de Meta en Europa El 14 de junio de 2024, la Comisión de Protección de Datos de Irlanda exigió a Meta que retrase el entrenamiento de su Inteligencia Artificial usando el contenido publicado por adultos tanto en Facebook como en Instagram. «Estamos decepcionados con el pedido», expresó la compañía estadounidense, apenas cuatro días después que anunciaran la expansión de estos servicios al territorio europeo. En mayo de 2023, el Comité Europeo de Protección de Datos, con sede en Bruselas, exigió a Meta el pago de una multa histórica por 1.2 billones de euros por haber violado las reglas de privacidad de la región. La entonces presidenta de este comité, Andrea Kelinek, expresó que la infracción era «muy seria» y que la multa era una «fuerte señal para las organizaciones» para recalcar que las «infracciones serias tienen consecuencias de gran alcance» FUENTE: Redacción Primicias. »La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados» Primicias.ec. 01/07/2024. (https://www.primicias.ec/noticias/entretenimiento/tecnologia/meta-union-europea-incumplimiento-datos-personales/).
Violaciones de datos de empresas de alto perfil
La tasa de violaciones de la seguridad cibernética de lo datos en empresas grandes y pequeñas ha alcanzado niveles alarmantes. Con ataques de alto perfil dirigidos a la atención médica, las finanzas, el comercio minorista, el gobierno, la fabricación y la energía, está claro que el panorama de amenazas ha evolucionado significativamente en los últimos años. Según las proyecciones , se estima que los delitos cibernéticos costarán a la economía mundial 10,5 billones de dólares en 2025, lo que refleja un aumento anual del 15%. Las empresas nunca han sido más vulnerables; incluso las grandes empresas con importantes defensas de ciberseguridad pueden ser víctimas. Las lecciones aprendidas de estos ataques pueden ayudar a las empresas más pequeñas a preparar su estrategia de seguridad para cualquier eventualidad. En este artículo se analizan algunas de las violaciones de datos empresariales más notables en 2023 y 2024, sus causas, impactos y lo que debe hacer para mantenerse protegido. Violaciones recientes de datos de empresas de alto perfil Snowflake: mayo de 2024 Un ataque informático a la empresa de almacenamiento en la nube Snowflake ha desencadenado una ola de filtraciones que podría convertirse en “una de las mayores violaciones de datos de la historia”. Un número no revelado de bases de datos de clientes se vieron comprometidas en el ataque, lo que dio lugar a más violaciones en muchas otras empresas, incluidas Ticketmaster y Santander. Snowflake afirma que los piratas informáticos atacaron a los usuarios que dependían de la autenticación de un solo factor, utilizando credenciales robadas a través de malware. La empresa no aplica la autenticación de un solo factor , y opta por permitir que los usuarios administren su propia seguridad. En su divulgación inicial, afirmó: “Snowflake es un producto en la nube y cualquiera puede registrarse para obtener una cuenta en cualquier momento. Si un actor de amenazas obtiene las credenciales del cliente, es posible que pueda acceder a la cuenta”. Ticketmaster: mayo de 2024 En una de las infracciones más notorias vinculadas al ataque Snowflake, más de 500 millones de clientes de Ticketmaster vieron su información filtrada en la red oscura. Datos, incluidos nombres completos, direcciones, números de teléfono, direcciones de correo electrónico e historial de pedidos, se pusieron a la venta en un foro de piratería. El grupo “ShinyHunters” se atribuyó la fuga de información y, según se informa, intentó pedir un rescate antes de publicar los datos para su venta. La empresa matriz de Ticketmaster, Live Nation, confirmó la filtración en una presentación ante la Comisión de Bolsa y Valores de Estados Unidos y declaró: “Estamos trabajando para mitigar el riesgo para nuestros usuarios y la empresa, y hemos notificado y estamos cooperando con las autoridades”. AT&T: abril de 2024 Se estima que en abril se informó a 73 millones de clientes actuales y antiguos de AT&T de que sus datos personales habían sido vulnerados y publicados en la red oscura. Entre los datos filtrados se encontraban números de la Seguridad Social y códigos de acceso de clientes, con la posibilidad de que también se hubiera accedido a nombres, direcciones y fechas de nacimiento. Podría interesarle: Microsoft admite fallos que facilitaron ataque de espía chino a la ciberseguridad de EEUU En el momento del anuncio, AT&T declaró que no sabía si la violación de datos «se originó en AT&T o en uno de sus proveedores», pero que se estaban llevando a cabo investigaciones. Se cree que el ataque en sí tuvo lugar en 2019, pero no salió a la luz hasta 2021. Sin embargo, los clientes no fueron informados hasta que sus datos se localizaron en la red oscura en marzo de 2024. Desde entonces, se han presentado múltiples demandas colectivas contra AT&T como resultado de la violación de datos. American Express: marzo de 2024 A principios de marzo de 2024, se notificó a un número no revelado de clientes de American Express sobre una posible violación de sus datos. En un comunicado, American Express anunció que el incidente se debió a un acceso no autorizado a un procesador comercial externo, en lugar de a sus propios sistemas internos. Se informó a los clientes de que sus nombres, números de cuenta y datos de tarjetas podrían haber sido vulnerados en la vulneración de seguridad, y se les instó a que vigilaran sus cuentas para detectar actividades fraudulentas durante los siguientes 12 a 24 meses. También se animó a los usuarios de American Express a que habilitaran las notificaciones en tiempo real para alertarlos sobre compras o transacciones inusuales. Fujitsu: marzo de 2024 En marzo de 2024, Fujitsu confirmó la presencia de malware en su red corporativa, que podría haber dejado la información de los clientes vulnerable a los piratas informáticos. En su declaración inicial, la empresa se negó a revelar el número de usuarios afectados o la naturaleza de los datos que podrían haberse visto comprometidos. Así mismo, Fujitsu afirma que, al descubrir el malware, “desconectó inmediatamente los ordenadores afectados… Además, seguimos investigando las circunstancias que rodearon la intrusión del malware y si se ha filtrado información”. Fondo Monetario Internacional: marzo de 2024 El Fondo Monetario Internacional (FMI) confirmó que se detectó un incidente cibernético en febrero de 2024 en el que se vieron comprometidas 11 cuentas de correo electrónico. En un breve comunicado , la organización dijo que trabajó con expertos en ciberseguridad para investigar la vulneración y volver a proteger las cuentas afectadas. Concluyó: “El FMI se toma muy en serio la prevención y la defensa contra los incidentes cibernéticos y, como todas las organizaciones, actúa partiendo del supuesto de que, lamentablemente, se producirán incidentes cibernéticos. El FMI cuenta con un sólido programa de ciberseguridad para responder con rapidez y eficacia a dichos incidentes”. Roku: marzo de 2024 Roku, una plataforma de transmisión de televisión utilizada por 80 millones de clientes, sufrió un ciberataque que afectó a 15.000 titulares de cuentas a principios de este año. La empresa afirmó que los piratas informáticos «probablemente habían obtenido ciertos nombres de usuario y contraseñas de consumidores de fuentes de terceros… Parece probable que las mismas combinaciones de nombre de usuario y contraseña se hayan utilizado
El 50% de los consumidores se siente cómodo confiando sus datos personales
La agencia Merkle España, especializada en Customer Experience Management y perteneciente al grupo dentsu, difunde la edición 2024 de los Customer Experience Imperatives. Un estudio que revela tanto las preferencias e intereses de los consumidores actuales como los desafíos a los que se enfrentan las marcas a la hora de enriquecer su estrategia comercial, guiar la transformación de CX y mejorar el día a día de los consumidores. El estudio toma como muestra a más de 2.000 consumidores de 18 países que hayan interactuado con una marca de distintos sectores en los tres últimos meses y a más de 800 profesionales senior con influencia en la toma de decisiones sobre la experiencia de cliente. Así, tras este profundo análisis, da a conocer las preferencias de los consumidores en cuanto a la experiencia con las marcas y su visión sobre el uso de sus datos; revelando que la mayor parte de los consumidores se sienten cómodos confiando sus datos personales a las marcas (48%), pero cada vez confían menos en que éstas estén interesadas en utilizar dicha información para mejorar la experiencia de sus clientes (38%). Cumplir con las expectativas del consumidor: el principal reto de las organizaciones Por su parte, las organizaciones se enfrentan a un reto claro: cumplir con las expectativas del consumidor. Este informe titulado ‘Engagement to empowerment – Alcanzando el éxito en la economía de la experiencia’ resulta de gran utilidad para las compañías al explorar las áreas de mejora a lo largo del “journey” del consumidor; destacando la preocupación de los clientes por la seguridad y la vigilancia en el uso que las marcas hacen de la Inteligencia Artificial. Asimismo, el estudio de Merkle Imperatives incide en que los especialistas en marketing optimicen la experiencia total del cliente a lo largo de todo el ciclo y no centrarse solo en la adquisición del producto. “El consumidor quiere sentirse escuchado, apoyado y valorado, y para conseguirlo, las compañías deben planificar acciones más allá de la conversión. Esto, además, ofrece mucho margen de mejora y creación de nuevo valor. La gente adquiere experiencias completas, no solo productos y servicios. La capacidad de una marca para comprender y anticipar las necesidades y los comportamientos variables de los usuarios puede ser el factor competitivo definitivo”. Por tanto, comprender qué está en juego en la práctica de CX con una cultura centrada en el cliente, utilizar los datos del consumidor para ofrecerles beneficios tangibles, satisfacer la necesidad del cliente de una interacción humana real y en vivo, concentrarse en la experiencia posterior a la compra, y experimentar con la tecnología emergente para diseñar nuevas formas de empoderamiento del cliente son las otras directrices claves para los profesionales que quieran liderar la estrategia de CX. FUENTE: Ramos, Diana »El 50% de los consumidores se siente cómodo confiando sus datos personales» Prnoticias.com. 24/06/2024. (https://prnoticias.com/2024/06/24/el-50-de-los-consumidores-se-siente-comodo-confiando-sus-datos-personales-a-las-marcas/).
Microsoft admite fallos que facilitaron ataque de espía chino a la ciberseguridad de EEUU
Nueva York, 13 jun (EFE).- El presidente de Microsoft, Brad Smith, admitió hoy ante un comité de Seguridad Nacional de la Cámara Baja estadounidense la “responsabilidad” de su compañía por “deficiencias de ciberseguridad” que facilitaron ataques de espías chinos en 2023 para acceder a datos de altos funcionarios de EE.UU. Un informe publicado en abril por la Junta de Revisión de la Ciberseguridad de EE.UU (CSRB), formada por expertos del Gobierno y del sector privado en esta materia, apuntó contra Microsoft por una cadena de errores que “pudo haber evitado” y que, a la postre, permitieron a los ‘hackers’ acceder al sistema del gigante tecnológico y a cuentas de correo electrónico de altos mandos. “Microsoft acepta la responsabilidad de todos y cada uno de los problemas citados en el informe de la CSRB. Sin equívocos ni vacilaciones. Y sin ningún tipo de sensación de estar a la defensiva”, afirmó Smith ante los legisladores estadounidenses en la Cámara de Representantes. El presidente de la empresa fundada por Bill Gates también reconoció en el comité que lo interrogaba por sus implicaciones sobre la seguridad del país que pueden y deben implementar mayores medidas para que la situación no vuelva a repetirse. “Reconocemos que podemos y debemos hacerlo mejor, y pedimos disculpas y expresamos nuestro más profundo pesar a aquellos que se han visto afectados”, dijo Smith ante el Comité de Seguridad Nacional de la Cámara de Representantes. Lea también: Google revela un aumento del 75% en la actividad del ransomware, con más de 50 nuevas familias y variantes identificadas El ejecutivo de Microsoft también informó que ya están aplicando 16 de las 25 recomendaciones de seguridad que le ha trasladado la Junta -4 de ellas dirigidas específicamente a su empresa y otras 12 a sus proveedores de servicios en la nube- y que han agregado otros objetivos concretos para blindarse ante nuevos ataques. En el último año, Microsoft ha sido objeto de dos graves campañas de piratería informática presuntamente llevadas a cabo por espías de China y de Rusia para atentar contra la ciberseguridad de EE.UU. “En noviembre pasado lanzamos una iniciativa para toda la empresa, llamada Secure Future Initiative (SFI), para actuar en base a este aprendizaje. Ampliamos este trabajo en enero después de un ataque agresivo por parte de la Agencia Rusa de Inteligencia Exterior, o SVR, y luego lo ampliamos nuevamente en marzo después del informe CSRB”, añadió Smith. Durante su declaración ante la Cámara Baja estadounidense, Smith también hizo hincapié en el “papel único” que desempeña Microsoft en la protección de la ciberseguridad de Estados Unidos y en su “deber colectivo”: “En el mundo actual, la nación de Estados Unidos no puede protegerse sin proteger el dominio cibernético”, sintetizó. FUENTE: Hola News. »Microsoft admite fallos que facilitaron ataque de espía chino a la ciberseguridad de EEUU» Holanews.com. 13/06/2024. (https://holanews.com/microsoft-admite-fallos-que-facilitaron-ataque-de-espia-chino-a-la-ciberseguridad-de-eeuu/).
La AEPD convoca los ‘Premios Protección de Datos 2024’
La Agencia Española de Protección de Datos (AEPD) ha convocado los ‘Premios Protección de Datos Personales 2024’, que incluyen las siguientes categorías: Emprendimiento en protección de datos personales ‘Ángela Ruiz Robles’; Iniciativas y buenas prácticas para la protección de las mujeres frente a la violencia digital; Proactividad y buenas prácticas en el cumplimiento del RGPD y la LOPDGDD; Comunicación; Buenas Prácticas Educativas y Protección de Datos Personales para un uso responsable y seguro de internet por los menores; Investigación en protección de datos personales ‘Emilio Aced’ y Difusión del derecho fundamental a la protección de datos en redes sociales. La AEPD quiere reconocer con estas siete categorías el trabajo realizado para difundir este derecho fundamental en ámbitos como el educativo, el empresarial, la investigación científico-técnica, las redes sociales, el realizado por Administraciones Públicas, los medios de comunicación, así como las buenas prácticas de entidades públicas y privadas para la protección de las mujeres frente a la violencia digital. El plazo para la presentación de candidaturas finaliza el 15 de octubre. El Premio de Emprendimiento en protección de Datos Personales ‘Ángela Ruiz Robles’, dotado con 3.000 euros, tiene por objeto premiar el desarrollo de una actividad empresarial, producto o servicio original, creativo, innovador y con impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas. El jurado podrá, asimismo, proponer la concesión de un accésit dotado con 1.500 euros. Responsabilidad proactiva, prioridad en los Premios de la AEPD En esta edición se han priorizado, entre otras, aquellas actividades relativas a la aplicación de la responsabilidad proactiva establecida en el Reglamento General de Protección de Datos (RGPD) y la gestión de los riesgos cuando se utilizan tecnologías disruptivas; que traten sobre categorías especiales de datos; tratamientos considerados de alto riesgo o que afecten a una parte significativa de la sociedad o a grupos vulnerables como menores, personas con discapacidad o personas en situaciones de violencia de género o acoso. El Premio a las Iniciativas y buenas prácticas para la protección de las mujeres frente a la violencia digital está orientado a reconocer, por parte de la AEPD, una actividad, producto o servicio del ámbito público o privado que tenga como características la originalidad, creatividad, innovación y el impacto social en relación con la protección de datos y la garantía de los derechos y libertades de las personas frente a la violencia digital por razón de género. Lea también: La AEPD lanza una nueva versión de su herramienta Gestiona RGPD Se considerarán de mayor interés aquellas actividades, productos o servicios destinados a la sensibilización y prevención de las distintas formas de violencia digital por razón de género, como apps, guías, herramientas o materiales desarrollos por entidades públicas o privadas. El premio consistirá en una dotación económica de 3.000 euros (1.500 para el accésit) si el proyecto ganador corresponde a una persona física o entidad privada. En el caso de que la candidatura ganadora del premio o el accésit fuese una entidad pública, se concederá una mención honorífica. Comunicación en Protección de Datos, otros de los premios El Premio Comunicación de Protección de Datos, que incluye una dotación de 3.000 euros para el premio y 1.500 euros para el accésit, tiene por objeto reconocer los trabajos periodísticos de medios de comunicación que supongan una aportación destacada a la difusión y promoción de los principios de protección de datos entre los ciudadanos y/o fomenten la concienciación de quienes manejan información personal. Podrán optar al mismo los trabajos individuales difundidos en un medio de comunicación −como un editorial, noticia, reportaje, o programa de radio o televisión− o los proyectos periodísticos y campañas audiovisuales que definan un compromiso editorial con la promoción de la protección de datos. Las candidaturas podrán ser presentadas tanto por periodistas (por sus trabajos publicados en un medio de comunicación) o por el medio de comunicación, incluyendo los blogs integrados en los mismos, como una campaña global. En esta edición se priorizarán los trabajos que hayan contribuido a difundir en mayor medida la protección de datos desde un plano social, y especialmente a fomentar la protección efectiva de la infancia y adolescencia en el uso que realizan de Internet y sus servicios, promoviendo tanto la concienciación de las familias como de los diferentes actores públicos y privados que pueden contribuir con sus acciones a esa protección, así como la difusión de las propuestas, herramientas y materiales lanzados por la Agencia en este sentido. El Premio a las Buenas prácticas educativas en privacidad y protección de datos para un uso responsable y seguro de internet por los menores tiene por objeto premiar las buenas prácticas que promuevan el conocimiento del derecho fundamental a la protección de datos entre los alumnos de Educación Primaria, Secundaria, Bachillerato, Formación Profesional y centros educativos que impartan enseñanzas regladas no universitarias y cuyos proyectos se dirijan a alumnado menor de edad. El galardón −al que pueden presentarse proyectos, acciones de promoción y concienciación, talleres o materiales de difusión, entre otros− se convoca en dos modalidades: El Premio a la proactividad y buenas prácticas en el cumplimiento del RGPD y la LOPDGDD reconoce las acciones llevadas a cabo para cumplir con el RGPD y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que contribuyan a reforzar las garantías del derecho a la protección de datos. Se tendrán en cuenta las propuestas que presenten una especial dificultad para el cumplimiento de la normativa por incluir tratamientos de datos de alto riesgo. El premio, que consiste en una mención honorífica, se convoca en dos modalidades: Premio de Investigación ‘Emilio Aced’ El Premio de Investigación en protección de datos personales ‘Emilio Aced’ que incluye un premio de 3.000 euros y un accésit de 1.500 euros, reconoce trabajos y proyectos realizados en el contexto de la investigación científico-técnica en el que se estudie, analice o desarrolle de forma práctica la aplicación de los principios de protección de datos. Se considerarán por parte de la AEPD, especialmente los trabajos relativos a la aplicación de la responsabilidad proactiva establecida en el RGPD y la
Google revela un aumento del 75% en la actividad del ransomware, con más de 50 nuevas familias y variantes identificadas
Google ha hecho público un nuevo informe realmente alarmante del enorme crecimiento que ha tenido el ransomware el año pasado. Técnicamente, lo ha elaborado Mandiant, una empresa de ciberseguridad de la compañía de Mountain View desde 2022, que revela un aumento del 75% en la actividad de este tipo de ataques informáticos en 2023. Además, han detectado más de 50 nuevas familias y variantes, que dejan claro que este tipo de atacantes se están volviendo cada vez más sofisticados usando incluso herramientas legítimas como ScreenConnect para infiltrarse en las víctimas y recurriendo a tácticas como el «swatting» para extorsionar pagos. En el informe, la compañía explica que más o menos un tercio de los ataques de ransomware se producen durante las primeras 48 horas tras la infección de un equipo y que el 76% tienen lugar fuera del horario laboral. Lea también: Google Utilizará Inteligencia Artificial en su Nueva Herramienta de Ciberseguridad Esto es peligroso, sobre todo, por su alcance global, ya que organizaciones de más de 110 países se han visto afectadas, impulsadas por modelos de ransomware como servicio (RaaS). Nuevas herramientas legítimas y comerciales para facilitar intrusión Además, los expertos han descubierto más de 50 familias y variantes nuevas, entre las que aproximadamente un tercio de ellas eran variantes de familias ya identificadas. En esyte sentido, se han identificado 5 familias de ransomware dominantes: ALPHV, LOCKBIT, BASTA, REDBIKE y PHOBOS. Más allá de estos acrónimos, lo grave es que se han aplicado nuevas tácticas para tratar de robar información, como herramientas legítimas y comerciales para facilitar su intrusión. En particular, se ha observado una disminución en el uso de Cobalt Strike BEAN y un aumento en el uso de herramientas legítimas de acceso remoto. Algunos actores recurren a métodos como el «swatting» y las denuncias falsas. El informe también revela que Monero sigue siendo la criptomoneda preferida por los atacantes en sus extorsiones. Ahora, con tal de ayudar a las organizaciones a hacer frente a este tipo de ataques, Mandiant ha lanzado un libro blanco titulado Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints, en el que encontrarás multitud de consejos a tener en cuenta para a mitigar el riesgo y contener los ataques de ransomware. FUENTE: Bonsoms Cruz – Ferrer, Carlos. »Google revela un aumento del 75% en la actividad del ransomware, con más de 50 nuevas familias y variantes identificadas» Businessinsider.es. 03/06/2024. (https://www.businessinsider.es/google-revela-aumento-75-actividad-ransomware-50-nuevas-familias-variantes-identificadas-1389356).
Emcali logró en tiempo récord bloquear gran ataque cibernético: ¿cómo lo hicieron? Detalles de una operación de alto nivel
Mientras la mayoría de caleños disfrutaban de una tranquila mañana de domingo, un gigantesco equipo de Emcali, principal empresa pública de la capital del Valle, batallaba contra un agresivo ataque cibernético que amenazaba con afectar a varios sistemas comerciales, de facturación y de información. SEMANA conoció los detalles de esta megaoperación que evitó un problema mayúsculo para los caleños. El ataque inició hacia las 9:30 a.m. de este domingo, 9 de junio, como primera medida afectó la página web de Emcali y pretendía llegar al software de facturación. Rápidamente, decenas de profesionales de la Gerencia de Tecnologías de la Información le hicieron frente y en menos de dos horas lograron contener y bloquear el asalto. Roger Mina, gerente de Emcali, le contó a SEMANA que el ataque, al parecer, iba dirigido a los sistemas de información asociados a la función comercial. “Esto es todo preliminar porque aún nos encontramos adelantando las investigaciones del caso. Se logró, a través de maniobras, bloquear y contraer la expansión del ataque y en este momento nos encontramos recolectando y poniendo otra vez en funcionamiento los paquetes de software que tuvimos que aislar producto de los ataques”. Lea también: Bayer y otras 12 grandes farmacéuticas afectadas por pérdida de información en Cencora El funcionario subrayó que el objetivo de los hackers “era intervenir todo lo asociado a la función comercial, seguramente para bloquear la página web de la empresa y otros aplicativos comerciales, muy probablemente con fines extorsivos o de saboteo. Lo que usualmente se observa en este tipo de acciones es que paralizan algunos aplicativos de la empresa y, a cambio de eso, piden recursos económicos como condición para liberar esos sistemas”. Y aunque el ataque se contuvo en menos de dos horas, aún los profesionales de Emcali continúan trabajando a esta hora (6:30 p.m. del lunes festivo) en una jornada maratónica de más de 35 horas. “Aún hay una amenaza latente, debemos estar muy vigilantes. Lo que hicimos fue aislar los sistemas de la empresa, pero luego debemos reconectar esos sistemas y encenderlos, pero en el momento de encenderlos se pueden presentar riesgos de nuevo. Este proceso también es delicado”, puntualizó Roger Mina. Así las cosas, Emcali y sus técnicos le ganaron la partida a quienes buscaban, con hazañas tecnológicas, sembrar zozobra entre la ciudadanía, al secuestrar varios sistemas de información de la empresa. FUENTE: Redacción Semana. »Emcali logró en tiempo récord bloquear gran ataque cibernético: ¿cómo lo hicieron? Detalles de una operación de alto nivel» Semana.com. 10/06/2024. (https://www.semana.com/nacion/cali/articulo/emcali-logro-en-tiempo-record-bloquear-gran-ataque-cibernetico-como-lo-hicieron-detalles-de-una-operacion-de-alto-nivel/202442/).
Bayer y otras 12 grandes farmacéuticas afectadas por pérdida de información en Cencora
En febrero de 2024, Cencora, un importante mayorista de fármacos en Estados Unidos, sufrió una brecha de seguridad que resultó en el robo de datos e información de más de Bayer y otros grandes proveedores farmacéuticos. Cencora, una compañía valorada en 250 mil millones de dólares y anteriormente conocida como AmerisourceBergen, es socio de algunas de las principales empresas del sector como GlaxoSmithKline, Novartis, Genentech, Bayer, Regeneron y Bristol Myers Squibb. Información personal comprometida Recientemente, estas empresas y al menos otras siete comenzaron a notificar pérdidas de datos al Fiscal General de California, atribuyendo todo el robo de datos al incidente de seguridad en Cencora. Las notificaciones emitidas a los afectados indican que la información personal comprometida podría incluir nombres, apellidos, direcciones, fechas de nacimiento, diagnósticos de salud y/o medicamentos recetados. Aunque no se ha demostrado que esta información haya sido o vaya a ser divulgada públicamente o utilizada para fines fraudulentos, las compañías han empezado a comunicar a los individuos afectados para que tomen medidas de protección. Lea también: Telefónica investiga la supuesta filtración de datos de 120.000 clientes y empleados Según un archivo de Formulario 8-K presentado ante la SEC en febrero de 2024, Cencora descubrió la intrusión en su sistema informático el 21 de febrero, revelando que los datos filtrados podrían contener información personal. Hasta la fecha de esta presentación, el incidente no ha tenido un impacto material en las operaciones de la compañía y sus sistemas de información siguen siendo operativos. Sin embargo, la empresa aún no ha determinado si el incidente podría tener un impacto material en su condición financiera o en los resultados de operaciones. La cantidad exacta de detalles personales y de salud de los individuos robados sigue siendo incierta, ya que el Fiscal General de California no exige a las empresas afectadas divulgar esa cifra. Medidas de contención Ante la seriedad del incidente de seguridad que resultó en la filtración de datos personales, Cencora ha tomado medidas para mitigar los posibles daños a los individuos afectados. Conscientes del riesgo elevado que esta brecha representa para la seguridad de la información personal, la empresa ha decidido ofrecer dos años de servicios gratuitos de protección de identidad y monitoreo de crédito. Estos servicios serán proporcionados a través de Experian, una de las principales agencias de crédito, asegurando así un nivel de soporte y seguridad de alta calidad. Esta oferta está disponible hasta el 30 de agosto de 2024, permitiendo a los afectados inscribirse y activar el servicio en cualquier momento dentro de este periodo. Con este paso, Cencora busca no solo rectificar en parte el impacto del incidente, sino también reforzar la confianza con sus clientes al demostrar un compromiso firme hacia la protección de su información. Esta iniciativa es un esfuerzo por asegurar que los riesgos de fraude e identidad sean minimizados y gestionados eficientemente, ofreciendo a las víctimas del robo de datos una herramienta vital para supervisar y salvaguardar su información financiera y personal ante futuras amenazas. Las farmacéuticas en el punto de mira de los ciberdelincuentes Las empresas farmacéuticas se encuentran en el punto de mira de los ciberataques por diversas razones críticas que las convierten en objetivos atractivos para los ciberdelincuentes. Primero, estas compañías manejan una cantidad considerable de datos sensibles, que no solo incluyen información financiera, sino también datos personales y médicos de millones de pacientes. La naturaleza confidencial y valiosa de esta información la convierte en un tesoro para los ciberdelincuentes que buscan ganar dinero mediante la venta de datos en el mercado negro o utilizarlos para el fraude de identidad. Además, la industria farmacéutica es central para la infraestructura de salud pública global, y cualquier interrupción en su operatividad puede tener consecuencias graves para la salud y bienestar de la población. Esto les da a los ciberdelincuentes una ventaja de negociación considerable si deciden perpetrar ataques de ransomware, donde bloquean el acceso a sistemas críticos a cambio de un rescate. Otro factor es el valor competitivo de la propiedad intelectual que poseen estas empresas, como fórmulas de medicamentos y resultados de investigaciones innovadoras. El espionaje industrial en este sector es especialmente lucrativo, ya que permite a competidores y estados nacionales obtener ventajas significativas en un mercado altamente competitivo y lucrativo. FUENTE: Dominguez, MLuz. »Bayer y otras 12 grandes farmacéuticas afectadas por pérdida de información en Cencora» Bitlifemedia.com. 27/05/2024. (https://bitlifemedia.com/2024/05/bayer-y-otras-12-grandes-farmaceuticas-afectadas-por-perdida-de-informacion-en-cencora/)
La UE contra Meta: ¡Sus sucripciones pagas no bastan para anuncios!
El EDPB, el Comité Europeo de Protección de Datos, ha solicitado al garante de privacidad irlandés que imponga a Meta una prohibición del uso de datos personales para alimentar la llamada publicidad basada en comportamientos, es decir, la exhibición de anuncios dirigidos basados en los hábitos de navegación del usuario. La solicitud se envió a Irlanda porque Meta tiene su sede legal europea en Dublín, y se solicita que la disposición se ponga en marcha en un plazo de dos semanas. Ya en septiembre, la autoridad noruega para la protección de datos, Datatilsynet, había enviado una solicitud al EDPB para extender la prohibición ya vigente en Noruega a todo el Espacio Económico Europeo (EEE). De esta forma, Meta no podría usar los datos personales para mensajes dirigidos en Facebook e Instagram, lo que crearía un enorme obstáculo en los planes de redes sociales de la empresa. Ya en diciembre de 2022, el EDPB aclaró que el contrato de Meta con el usuario final no constituye una base jurídica adecuada para el tipo de procesamiento de datos personales realizado por Meta para la publicidad basada en comportamientos. Una posición diametralmente opuesta a la de la empresa de Mark Zuckerberg, quien sostiene que el contrato de Términos y Condiciones, que los usuarios de sus servicios aceptan, representa una base jurídica válida para manejar los datos personales y proporcionar anuncios publicitarios dirigidos basados en comportamientos. Sin embargo, según algunos tribunales europeos que se han pronunciado sobre el asunto, bajo el Reglamento General Europeo de Protección de Datos de 2018, los usuarios deben dar un consentimiento específico antes de que se les muestren anuncios personalizados. Podría interesarle: La protección de datos, un elemento clave para las elecciones europeas Nos encontramos en medio de un largo pulso entre la Unión Europea y Meta, que parecía haber llegado a una conclusión con el anuncio de la semana pasada sobre las suscripciones de pago para Facebook e Instagram, cuya entrada en vigor está prevista para noviembre. Meta ha introducido esta medida, de hecho, porque cree que una reciente sentencia del Tribunal de Justicia de la Unión Europea (TJUE) ha reconocido expresamente que un modelo de suscripción representa una forma válida de consentimiento para un servicio financiado por la publicidad. En una declaración a The Register, un portavoz de Meta parece sorprendido por la prohibición de recopilación de datos del EDPB. El gigante de la publicidad cree que, si pide consentimiento a los usuarios, se le permitirá continuar procesando la información personal para los anuncios dirigidos. Meta, además, sigue afirmando que cree firmemente en una internet libre y respaldada por la publicidad. FUENTE: Portillo, Lucas. »¡ESCÁNDALO! LA UE CONTRA META: ¡SUS SUSCRIPCIONES PAGAS NO BASTAN PARA ANUNCIOS!» Tecnologizados.com. 27/05/2024. (https://www.tecnologizados.com/escandalo-la-ue-contra-meta-sus-suscripciones-pagas-no-bastan-para-anuncios/).
