La AEPD lanza una nueva versión de su herramienta Gestiona RGPD
La AEPD ha lanzado una nueva versión de Gestiona RGPD, una herramienta que ayuda a gestionar tratamientos de datos personales, evaluar y gestionar los riesgos mediante un catálogo de medidas de privacidad y, en caso de que fuera necesario, asistir en la realización de evaluaciones de impacto. Gestiona RGPD está orientada a responsables y encargados del tratamiento, así como a delegados de protección de datos. La nueva versión amplía el catálogo de medidas de privacidad aplicables para mitigar los riesgos identificados en el tratamiento e incluye mejoras en la edición de los informes finales, entre otras posibilidades. El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben llevar un Registro de Actividades (RAT) e identificar y gestionar los riesgos que esos tratamientos pueden tener para los derechos y libertades de las personas cuyos datos se están tratando. El objetivo es seleccionar e implantar las medidas adecuadas para minimizar cada riesgo detectado. A la vez, cuando ese análisis revela que existe un riesgo alto para la protección de las personas, el RGPD establece que esas organizaciones deben llevar a cabo una evaluación de impacto en la protección de datos (EIPD). Podría interesarle: Bruselas ya tiene la opinión de empresas y expertos sobre cómo mejorar el RGPD tras 5 años en vigor, y muchas miradas se dirigen a Irlanda En la nueva versión de Gestiona se pasa de más de 500 medidas a casi 800 clasificadas en función de los factores de riesgo previamente identificados por la entidad, incluyendo también aspectos como la gobernanza, seguridad y brechas de datos. De esta forma, la selección factores de riesgo y medidas para mitigarlos constituyen un amplio punto de partida para los procesos de identificación y gestión del riesgo que son necesarios para cumplir con el enfoque de riesgos que recoge el RGPD. Asimismo, Gestiona es una herramienta de utilidad para aquellas organizaciones que necesitan iniciarse en la realización de Evaluaciones de Impacto en Protección de Datos personales cuando, del análisis de riesgos realizado se desprenda que el tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas cuyos datos se tratan. La gestión del tratamiento se realiza en el dispositivo del usuario a través de su navegador, sin instalar ningún tipo de aplicación, almacenando la información de forma local, permitiendo gestionar los datos de distintos responsables y sin transmitir información a la Agencia, o a terceros, garantizando la confidencialidad. La información se puede almacenar en un archivo en el ordenador del usuario y recuperar después de cada sesión, permitiendo distintas versiones. La nueva versión incluye mejoras en la edición de los informes que arroja la herramienta cuando se culmina el proceso. Además, la Agencia ha realizado un análisis de las consultas que le han planteado los responsables de tratamiento y ha incluido respuestas a todas ellas en una nueva guía de usuario que incluye cuestiones relacionadas con el alcance de la herramienta, el almacenamiento y conservación de la información procesada o las medidas para mitigar de los factores de riesgo identificados. FUENTE: »La AEPD lanza una nueva versión de su herramienta Gestiona RGPD » Merca2.es. 23/05/2024. (https://www.merca2.es/2024/05/23/aepd-herramienta-gestiona-rgpd-1683993/).
Google Utilizará Inteligencia Artificial en su Nueva Herramienta de Ciberseguridad
Alphabet Inc. GOOGL está aprovechando la inteligencia artificial (IA) generativa para aplicaciones prácticas, centrándose en la ciberseguridad con su nuevo producto, Google Threat Intelligence. Lo que pasó Según The Verge, Google está integrando su unidad de ciberseguridad Mandiant y VirusTotal con el modelo Gemini AI. El modelo de gran lenguaje Gemini 1.5 Pro permite una rápida ingeniería inversa de malware, como el virus WannaCry, identificando vulnerabilidades como un kill switch en solo 34 segundos. Además, Gemini ayuda a resumir los informes de amenazas en lenguaje natural, lo que ayuda a las empresas a evaluar las posibles repercusiones y priorizar las respuestas. Threat Intelligence ofrece una red de vigilancia preventiva de amenazas. Incorpora la experiencia de Mandiant en detección de amenazas y los indicadores de amenazas de VirusTotal aportados por la comunidad. La adquisición de Mandiant por parte de Google se extiende a la evaluación de las vulnerabilidades de seguridad en proyectos de IA a través del Marco de IA Segura. El objetivo de esta colaboración es proteger los modelos de IA de amenazas como el envenenamiento de datos, garantizando su integridad y resistencia frente a manipulaciones malintencionadas. Lea también: El Consejo de Europa adopta el primer tratado internacional sobre inteligencia artificial La eficacia de estas soluciones de ciberseguridad basadas en la IA aún está por ver. Mientras tanto, suponen una desviación significativa de las aplicaciones convencionales de la IA y demuestran un potencial que va más allá de las tareas superficiales. “Aunque no hay escasez de información sobre amenazas, el reto para la mayoría es contextualizar y hacer operativa la información relevante para su organización específica”, afirma Dave Gruber, analista principal de Enterprise Strategy Group, en un blog. FUENTE: Quarneti Franca. »Google Utilizará Inteligencia Artificial en su Nueva Herramienta de Ciberseguridad» Elplanteo.com. 19/05/2024. (https://elplanteo.com/google-inteligencia-artificial-ciberseguridad/).
Telefónica investiga la supuesta filtración de datos de 120.000 clientes y empleados
Telefónica está investigando una posible filtración de datos de 120.000 clientes y empleados que se habría producido en marzo y que no habría afectado a datos sensibles. El incidente se ha conocido porque un usuario en un foro de hackers ha comenzado a ofrecer la base de datos, que incluye más de 2,6 millones de registros, entre ellos nombres completos, números de teléfonos y direcciones físicas y de mails de los afectados, tal y como destapó la empresa de ciberseguridad HackManac en sus redes sociales y recoge El Mundo. Desde la compañía han confirmado y se está tratando de determinar el grado de exactitud de las afirmaciones del hacker, así como dónde se habría producido la supuesta brecha de seguridad, que podría ser en un tercer proveedor. En cualquier caso, la información presentada por el cibercriminal no incluye ningún tipo de registro sensible, como podrían ser las cuentas bancarias de los afectados, y la empresa no se encuentra en estos momentos afectadas por ningún ciberataque. Podría interesarle: «Escalofriante»: Científicos de todo el mundo denuncian que la Unión Europea amenaza con impulsar la «vigilancia masiva» en Internet De confirmarse la vulneración de estos datos, el de Telefónica sería el segundo caso de un ataque informático que afecta a una empresa del Ibex en el último mes. A mediados de mayo, Santander comunicó que había sufrido un «acceso no autorizado» a datos de clientes, así como de todos los empleados y algunos exempleados del grupo de sus filiales en España, Chile y Uruguay. La entidad reaccionó implementado «de inmediato medidas para gestionar el incidente, como el bloqueo del acceso a la base de datos y un refuerzo de la prevención contra el fraude para proteger a los clientes». En cualquier caso, Santander subrayó que el acceso afectó a «una base de datos de la entidad alojada en un proveedor» y que en ella no había «información transaccional ni credenciales de acceso o contraseñas de banca por internet que permitan operar con el banco», por lo que los clientes pudieron seguir operando con seguridad en todo momento. FUENTE: Expansión – Madrid. »Telefónica investiga la supuesta filtración de datos de 120.000 clientes y empleados» Larepublica.co. 28/05/2024. (https://www.larepublica.co/globoeconomia/telefonica-investiga-una-supuesta-filtracion-de-datos-de-120-000-clientes-y-empleados-3869731).
MinTic radicó un nuevo proyecto de Ley para transformar el uso de datos en el país
Este miércoles, el Ministerio de Tecnologías de la Información y Comunicaciones, radicó un nuevo proyecto de ley que busca transformar el uso de datos en el país. «Es un proyecto de ley muy importante para el país, realmente va a evolucionar todo el desarrollo tecnológico, porque la base para convertirnos en una potencia digital, pero en especial en ser un país líder en inteligencia artificial, tiene que tener un insumo muy importante que son, los datos», indicó el ministro, Mauricio Lizcano. De acuerdo con MinTic, es necesario contar con un acceso, uso y apropiación de la información y las tecnologías digitales, para avanzar en la formulación de políticas públicas, diseño de programas sociales, la investigación y el desarrollo social, económico y cultural. Podría interesarle: Estas son las estrategias nacionales de ciberseguridad de los países de Latinoamérica «Hoy presentamos un proyecto de Ley para desarrollar que todas las entidades públicas, tengan que producir datos: maestros, de referencia, geoespaciales y de otro tipo de que se necesitan para la toma de decisiones públicas, para la inteligencia artificial y para que sea un gobierno abierto de datos abiertos», agrega Lizcano. Según el ministerio, el objetivo de esta nueva ley es establecer normas para el uso y intercambio de la Infraestructura del Estado Colombiano, Idec, asegurar la interoperabilidad de los sistemas de información públicos, y gestionar la disponibilidad y gobernanza de la información básica, maestros, de referencia y abiertos del Estado. La Ley aplicará a las entidades que conforman la administración pública, según el artículo de la Ley 489 de 1998 y a los particulares que cumplen funciones administrativas, públicas o que administren recursos del Estado. Componentes para el uso e intercambio de datos y la interoperabilidad a) La estrategia y gobernanza de la infraestructura de información del Estado.b) Las herramientas técnicas y tecnológicas.c) La interoperabilidad de la infraestructura de la data.d) La seguridad y privacidad de la infraestructura de datose) El aprovechamiento de los datos Beneficios: FUENTE: »MinTic radicó un nuevo proyecto de Ley para transformar el uso de datos en el país» Larepublica.co. 22/05/2024. (https://www.larepublica.co/economia/mintic-radico-proyecto-de-ley-del-uso-de-datos-3865910).
«Escalofriante»: Científicos de todo el mundo denuncian que la Unión Europea amenaza con impulsar la «vigilancia masiva» en Internet
La privacidad en la Unión Europea (UE) podría tener los días contados. Así lo denuncian un total de 254 científicos e investigadores de 33 países, que advierten en una carta abierta publicada este jueves de que la nueva ley contra el abuso sexual infantil negociada en secreto por los Estados miembros amenaza con impulsar la «vigilancia masiva» de los ciudadanos en Internet. De aprobarse, advierten, tendrá «consecuencias catastróficas» que pueden afectar negativamente «a las democracias de todo el planeta». A mediados de 2022, la Comisión Europea propuso que la mejor forma de combatir la circulación de material pederasta en la red era obligar a las grandes plataformas, desde TikTok a WhatsApp, a escanear la comunicaciones encriptadas de sus usuarios en busca de imágenes o vídeos delictivos contra menores. «Sería como colocar una cámara dentro de tu casa, un espía que no sabes qué está buscando, y decirte que no te preocupes, que no se usará mal», lamenta Carmela Troncoso, una de las impulsoras de la carta, en declaraciones a EL PERIÓDICO. Tras meses de polémica, a finales de octubre el Parlamento Europeo votó en contra del escaneo de las telecomunicaciones de los ciudadanos, un importante revés a las intenciones de Bruselas. Sin embargo, los países siguieron negociando y, el pasado 13 de marzo, la presidencia belga del Consejo de la UE introdujo una nueva propuesta de ley pretendidamente más específica y segura con los datos cifrados. Para los expertos, esos cambios son «cosméticos», una «decepción» que «no cambia nada». Vigilancia masiva La carta publicada hoy alerta de que el nuevo plan de Bruselas creará «capacidades sin precedentes para la vigilancia y el control de los usuarios de Internet» y «socavará por completo la seguridad de las comunicaciones y los sistemas», poniendo en peligro los procesos democráticos dentro y fuera de Europa. Los expertos lamentan que la ley confía la detección de material pederasta a una tecnología «defectuosa«, «fácil de eludir» y «de bajo rendimiento». Advierten que, de usarse, se traducirá en «miles de millones de falsas alarmas», como que el sistema categorice como abuso sexual las fotos que unos padres puedan mandar (entre ellos, a familiares, al médico…) de sus hijos en la playa o en el baño. «Mucha gente inocente puede ser acusada», asegura Troncoso, profesora en la Escuela Politécnica Federal de Lausana. ¿Adiós a la privacidad? El año pasado, más de 500 académicos denunciaron que el método de escaneo planteado por la UE abriría un agujero en los sistemas de cifrado de extremo a extremo, el único método que garantiza esa privacidad de las comunicaciones. Incluso el Comité Europeo de Protección de Datos también pidió retirar la propuesta. Lea también: El Consejo de Europa adopta el primer tratado internacional sobre inteligencia artificial La oleada de críticas obligó a los países a cambiar la ley, pero esta sigue contemplando el escaneo de todas las comunicaciones. «Sienta un precedente para el filtrado de Internet, e impide a la gente utilizar algunas de las pocas herramientas disponibles para proteger su derecho a una vida privada en el espacio digital», apunta la carta. «Tendrá un efecto escalofriante, en particular para los adolescentes que dependen en gran medida de los servicios en línea para sus interacciones (…) Todos los usuarios están en peligro». Además, el nuevo texto reza —al mismo tiempo— que permitirá el rastreo de los mismos datos cifrados que busca «proteger«, promesa que los expertos denuncian como un contrasentido. «Es como decirte que un sobre protege mucho una carta, pero que alguien va a leerla antes. Entonces, ¿para qué quiero el sobre?», compara Troncoso, reputada experta en privacidad. Lamentable Los más de 230 científicos e investigadores consideran «esencial» que tanto los gobiernos como los proveedores de servicios digitales «asuman una gran responsabilidad» para combatir los «delitos graves» que son el abuso y la explotación sexual infantil. Sin embargo, abogan no por una solución tecnocéntrica, sino por aumentar la inversión en medidas ya probadas como la educación sexual y sobre el consentimiento, las líneas directas de denuncia o la alfabetización digital. La carta concluye que los cambios propuestos no agilizarán la detección de contenido pederasta ni pondrán trabas a los agresores y, en cambio, generan nuevos problemas como la falta de transparencia algorítmica. Es por eso que solicitan que la ley «no salga adelante». Además, consideran «bastante lamentable» que los políticos europeos no hayan consultado a expertos en privacidad y ciberseguridad antes de presentar una propuesta «que no puede funcionar tecnológicamente». FUENTE: Planas Bou, Carles. »»Escalofriante»: Científicos de todo el mundo denuncian que la Unión Europea amenaza con impulsar la «vigilancia masiva» en Internet» Elperiodico.com. 02/05/2024. (https://www.elperiodico.com/es/internacional/20240502/cientificos-denuncian-union-europea-privacidad-vigilancia-abuso-sexual-infantil-gdpr-datos-101799229).
El Consejo de Europa adopta el primer tratado internacional sobre inteligencia artificial
El Consejo de Europa ha adoptado el primer tratado internacional jurídicamente vinculante destinado a garantizar el respeto de los derechos humanos, del Estado de derecho y las normas jurídicas democráticas en el uso de los sistemas de inteligencia artificial (IA). El tratado, que también está abierto a países no europeos, establece un marco jurídico que abarca todo el ciclo de vida de los sistemas de IA y que se ocupa de los riesgos que pueden plantear, a la vez que promueve la innovación responsable. El convenio adopta un enfoque basado en el riesgo para diseñar, desarrollar, usar y decomisar sistemas de IA, que exige considerar cuidadosamente cualquier posible consecuencia negativa del uso de sistemas de IA. El Convenio Marco del Consejo de Europa sobre Inteligencia Artificial y derechos humanos, democracia y Estado de derecho, ha sido adoptado en Estrasburgo durante la reunión ministerial anual del Comité de Ministros del Consejo de Europa, que reúne a los ministros de Asuntos Exteriores de los 46 Estados miembros del Consejo de Europa. Podría interesarle: Dictamen del Comité Europeo de Protección de Datos sobre la validez del consentimiento en los modelos de pago para las grandes plataformas en línea El convenio es el resultado de dos años de trabajo de un órgano intergubernamental, el Comité sobre Inteligencia Artificial (CAI por sus siglas en inglés), que reunió para redactar el tratado a los 46 Estados miembros del Consejo de Europa, la Unión Europea y 11 Estados no miembros (Argentina, Australia, Canadá, Costa Rica, Estados Unidos, Israel, Japón, México, Perú, la Santa Sede y Uruguay), así como a representantes del sector privado, la sociedad civil y el mundo académico, que participaron como observadores. El tratado cubre el uso de sistemas de Inteligencia Artificial en el sector público -incluidas las compañías que actúan en su nombre- y en el sector privado. El convenio ofrece a las partes dos formas de cumplir sus principios y obligaciones a la hora de regular el sector privado: las partes pueden optar por quedar obligadas directamente por las disposiciones pertinentes del convenio o, como alternativa, adoptar otras medidas para cumplir con las disposiciones del tratado a la vez que se respetan plenamente sus obligaciones en materia de derechos humanos, democracia y Estado de derecho. Este enfoque es necesario dadas las diferencias entre los sistemas jurídicos de todo el mundo. Las demandas con el nuevo convenio sobre IA El convenio establece requisitos de transparencia y supervisión adaptados a contextos y riesgos específicos, incluida la identificación de contenidos generados por sistemas de IA. Las partes tendrán que adoptar medidas para identificar, evaluar, prevenir y mitigar posibles riesgos y evaluar la necesidad de una moratoria, una prohibición u otras medidas apropiadas en relación con el uso de sistemas de IA, cuando sus riesgos puedan ser incompatibles con las normas de los derechos humanos. También tendrán que garantizar la rendición de cuentas y la responsabilidad por el impacto negativo, y que los sistemas de IA respeten la igualdad, incluida la igualdad de género, la prohibición de la discriminación y el derecho a la intimidad. Además, las partes del tratado tendrán que garantizar la disponibilidad de recursos legales para las víctimas de violaciones de los derechos humanos relacionadas con el uso de sistemas de IA y de garantías procesales, incluida la notificación a todas las personas que interactúen con sistemas de IA de que están interactuando con estos sistemas. En cuanto a los riesgos para la democracia, el tratado requiere a las partes que adopten medidas para garantizar que los sistemas de IA no se utilicen para minar las instituciones y procesos democráticos, incluido el principio de separación de poderes, el respeto de la independencia judicial y el acceso a la justicia. Lea también: Las autoridades de control de protección de datos publican unas orientaciones para tratamientos que incorporen tecnologías de seguimiento Wi-Fi Las partes del convenio no estarán obligadas a aplicar las disposiciones del tratado a las actividades relacionadas con la protección de los intereses de la seguridad nacional, pero sí a garantizar que estas actividades respetan el derecho internacional y las instituciones y procesos democráticos. El convenio no se aplicará a asuntos de defensa nacional ni actividades de investigación y desarrollo, excepto cuando las pruebas de los sistemas de IA puedan interferir potencialmente con los derechos humanos, la democracia o el Estado de derecho. Para garantizar su aplicación efectiva, el convenio establece un mecanismo de seguimiento en forma de Conferencia de las Partes. Por último, el convenio exige que cada parte establezca un mecanismo de supervisión independiente para vigilar que se cumple con el convenio, que se sensibilice y estimule un debate público informado, y que se lleven a cabo consultas con múltiples partes interesadas sobre cómo debería ser utilizada la tecnología de la IA. El convenio marco se abrirá a la firma en Vilna (Lituania) el 5 de septiembre, coincidiendo con una conferencia de ministros de Justicia. FUENTE: Comité de Ministros. »El Consejo de Europa adopta el primer tratado internacional sobre inteligencia artificial» Coe.int. 17/05/2024. (https://www.coe.int/es/web/portal/-/council-of-europe-adopts-first-international-treaty-on-artificial-intelligence).
¿Está en riesgo la información de las personas en Colpensiones? Procuraduría prende las alarmas por problemas de seguridad digital
Un fuerte reclamo y advertencia, por el manejo de los datos de millones de pensionados y cotizantes, acaba de hacer la Procuraduría General de la Nación ante la falta de soporte y mantenimientos de la información y bases de datos en Colpensiones. Por este motivo, la Procuraduría solicitó al presidente de Colpensiones, Jaime Dussan Calderón, y al superintendente financiero, César Ferrari, que expliquen cómo están manejando los riesgos operacionales y problemas de seguridad digital por la falta de renovación del servicio de soporte, mantenimiento y actualización de software. Un asunto que no es de poca monta. La advertencia de la Procuraduría va directamente a la información personal y de sus ahorros de millones de afiliados, que incluso podría ser atacada por delincuentes informáticos. El Ministerio Público indicó que es crucial tener procedimientos adecuados para manejar las pensiones de millones de colombianos, con prestación definida y el programa de Beneficios Económicos Periódicos (Beps). Estos incluyen procesos como la atención al cliente, asesoramiento, reconocimiento de derechos de pensión, gestión de registros laborales, manejo de pagos de pensiones, asuntos legales y médicos, entre otros. Lea también: Habeas Data: ¿Qué sabemos sobre nuestros datos en esta era digital? Al parecer, muchos de estos procesos están desactualizados, como se ha señalado en varios informes de la Procuraduría Delegada para Asuntos del Trabajo y Seguridad Social. Por estas razones, la Procuraduría advierte que podrían surgir problemas con la información y los datos de los trámites realizados por los afiliados y pensionados. Además, la demora en operaciones y la antigüedad del sistema podrían aumentar el riesgo de fraudes o disminuir la eficiencia en la respuesta a los pensionados. Y es que según las indagaciones de la Procuraduría, justamente, los sistemas de Colpensiones son viejos y obsoletos y no tienen las protecciones y tecnología necesarias para custodiar la información y para mantenerla al orden y al día. Este panorama que plantea la Procuraduría se convierte en un campanazo de alerta ante el trámite de la reforma pensional, que dejaría en manos de Colpensiones casi todo el manejo y monopolio de las pensiones, pues advierte: “Se enfatiza que Colpensiones no está técnica ni administrativamente preparada para implementar un nuevo modelo pensional, según lo planeado”. Un llamado similar al realizado con el cambio en el modelo de salud de los maestros, en el cual la Procuraduría advirtió una y otra vez que el Estado no estaba en condiciones de prestar el servicio y, sin presentar soluciones, cambiaron el sistema de un plumazo y el caos ha sido total. FUENTE: Nación. »¿Está en riesgo la información de las personas en Colpensiones? Procuraduría prende las alarmas por problemas de seguridad digital» Semana.com. 14/05/2024. (https://www.semana.com/nacion/articulo/esta-en-riesgo-la-informacion-de-las-personas-en-colpensiones-procuraduria-prende-las-alarmas-por-problemas-de-seguridad-digital/202423/).
El ciberataque más grave al sistema de salud de EE UU terminó en un desastre de filtraciones
Change Healthcare, la empresa de soluciones especializadas para el sistema de salud de EE UU, reconoció demasiado tarde que había pagado a los ciberdelincuentes que la extorsionaban y que, a pesar de ello, los datos de los pacientes acabaron en la dark web. Más de dos meses después del inicio de una debacle de ransomware cuyo impacto se cuenta entre los peores de la historia de la ciberseguridad, la compañía médica Change Healthcare, dedicada al procesamiento de transacciones financieras entre pacientes y hospitales, confirmó finalmente lo que los ciberdelincuentes, los investigadores de seguridad y la blockchain de Bitcoin ya habían dejado bastante claro: que efectivamente pagó un rescate a los hackers que atacaron a la empresa en febrero. Sin embargo, sigue corriendo el riesgo de perder grandes cantidades de información médica confidencial de sus clientes. En una declaración enviada a WIRED y a otros medios de comunicación el lunes por la noche, Change Healthcare escribió que entregó un rescate a un grupo de ciberdelincuentes que extorsionaba a la compañía, una banda de hackers conocida como AlphV o BlackCat. “Se pagó un rescate como parte del compromiso de la empresa de hacer todo lo posible para proteger que los datos de los pacientes fueran difundidos”, se lee en el comunicado. La admisión tardía de ese pago por parte de la compañía acompañó a un nuevo post en su sitio web en la que advierte de que los hackers podrían haber robado información relacionada con la salud que “abarcaría a una proporción significativa de personas en Estados Unidos”. Uno de los mayores secuestros de información médica en EE UU Investigadores en materia de ciberseguridad y criptomonedas declararon a WIRED el mes pasado que Change Healthcare parecía haber pagado ese rescate el 1 de marzo, apuntando a una transacción de 350 bitcoins o aproximadamente 22 millones de dólares enviados a un monedero digital asociado a los hackers de AlphV. Esa operación se hizo pública por primera vez en un mensaje de un foro ruso de ciberdelincuentes conocido como RAMP, en el que uno de los supuestos socios defraudados por AlphV se quejaba de que no había recibido su parte del pago de Change Healthcare. Sin embargo, durante las semanas siguientes a esa transferencia, que era abiertamente visible en la cadena de bloques de Bitcoin y que tanto la firma de seguridad Recorded Future como la consultoría de análisis de blockchain TRM Labs indicaron a WIRED que había sido recibida por AlphV, Change Healthcare se negó repetidamente a confirmar que había pagado el rescate. Lea también: Una asociación demanda a OpenAI por infringir la ley de protección de datos de la Unión Europea La confirmación del pago de la extorsión por parte de Change Healthcare refuerza los temores del sector de la ciberseguridad de que el ataque, y las ganancias que AlphV obtuvo de él, lleve a las bandas de ransomware a seguir atacando a las empresas de atención sanitaria. “Esto anima totalmente a otros actores a atacar a las organizaciones de asistencia médica”, destacó a WIRED Jon DiMaggio, investigador de la firma de ciberseguridad Analyst1 que se centra en el ransomware, cuando se descubrió la transacción en marzo. “Y es una de las industrias que no queremos que los autores del ransomware tengan como objetivo, sobre todo cuando afecta a hospitales”. Para agravar la situación, un conflicto entre hackers en el ecosistema del ransomware llevó a que un segundo grupo asegure poseer los datos robados de Change Healthcare y amenace con venderlos al mejor postor en la dark web. A principios de este mes, esa segunda organización, conocida como RansomHub, envió a WIRED supuestas muestras de la información obtenida que parecían proceder de la red de Change Healthcare, incluidos expedientes de pacientes y un contrato con otra compañía médica. El pago de un rescate por un ciberataque de ransomware, sin garantías La confirmación por parte de Change Healthcare del pago parece demostrar que gran parte de esas catastróficas consecuencias para el sistema de salud estadounidense se produjeron después de que ya hubiera desembolsado a los hackers una suma exorbitante: un pago a cambio de una clave de descifrado para los sistemas que los ciberdelincuentes habían encriptado y la promesa de no filtrar los datos robados. Como suele ocurrir en los ataques de ransomware, el bloqueo por parte de AlphV parece haber sido tan generalizado que el proceso de recuperación de Change Healthcare se ha prolongado mucho después de que obtuviera la clave de descifrado diseñada para liberar sus sistemas. En lo que respecta a los pagos por ransomware, 22 millones de dólares no es lo máximo que ha entregado una víctima. Pero está cerca, resalta Brett Callow, un investigador de seguridad especializado en esta clase de ataques que habló con WIRED sobre el supuesto pago en marzo. Podría interesarle: Aumentan un 35% las denuncias a los negocios por incumplir la protección de datos con sus empleados Solo algunos casos excepcionales, como los 40 millones de dólares pagados a los hackers por CNA Financial en 2021, superan esa cantidad. “No carece de precedentes, pero desde luego es muy inusual”, mencionó Callow sobre la suma desembolsada por Change Healthcare. Esa inyección de fondos de 22 millones de dólares al ecosistema del ransomware alimenta aún más un círculo vicioso que ha alcanzado proporciones epidémicas. La firma de rastreo de criptomonedas Chainalysis descubrió que, en 2023, las víctimas pagaron a los hackers 1,100 millones de dólares, un nuevo récord. Quizá el rescate de Change Healthcare represente solo una pequeña porción en esa canasta, pero premia a AlphV por sus ataques altamente dañinos y sugiere a otros grupos de ransomware que las compañías de atención médica son objetivos particularmente rentables, dado que son muy sensibles tanto al alto costo económico de esos ciberataques como a los riesgos que suponen para la salud de los pacientes. El problema de Change Healthcare se ve agravado por una aparente doble traición en la clandestinidad del ransomware: AlphV, según parece, fingió su propio desmantelamiento policial tras recibir el pago de Change Healthcare, en un intento de evitar compartirlo con sus supuestos afiliados, los hackers que se asocian con el grupo para atacar a las víctimas en su nombre. El segundo grupo de ransomware que amenaza a Change Healthcare, RansomHub, alega ahora a WIRED que los ciberdelincuentes obtuvieron los datos robados gracias a ellos, que siguen queriendo que se les retribuya por
Una asociación demanda a OpenAI por infringir la ley de protección de datos de la Unión Europea
La organización de derechos digitales Noyb afirma que ChatGPT de OpenAI viola el Reglamento General de Protección de Datos de la UE porque genera información falsa sobre las personas. ChatGPT de OpenAI sigue generando información falsa sobre las personas, según reclama la organización de derechos digitales Noyb, lo que infringe las disposiciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Por ello, Noyb, con sede en Austria, interpuso una denuncia contra OpenAI ante la Autoridad Austriaca de Protección de Datos (DSB, por sus siglas en alemán), pidiéndole que tome medidas contra la empresa estadounidense para que cumpla la normativa europea. Información personal inventada, cortesía de ChatGPT De acuerdo con el RGPD, toda la información sobre las personas que se difunda en internet tiene que ser exacta y precisa, y debe garantizar a los usuarios el pleno acceso a ella, así como a las fuentes de las que procede. A pesar de ello, según Noyb, OpenAI reconoció abiertamente que no es capaz ni de corregir los datos incorrectos proporcionados por ChatGPT, los llamados “delirios”, ni de determinar de dónde vienen. Es más, ni siquiera sabría qué información personal almacenó su chatbot de inteligencia artificial (IA). Como se informa en el sitio web de Noyb, OpenAI se limita a declarar que “la precisión de los hechos en los grandes modelos de lenguaje”, como los chatbots de IA, “sigue siendo un área de investigación activa”. En otras palabras, con esta frase, OpenAI explica que aún no tiene control sobre lo que ChatGPT expresa. Pero facilitar datos erróneos, engañosos o incluso completamente inventados resulta bastante perjudicial, sobre todo si estos conciernen a las personas. Una encuesta de The New York Times revela que los chatbots inventan información entre el 3 y el 27% de las veces. “Inventar información falsa ya es problemático de por sí. Pero cuando se trata de datos falsos sobre las personas, las consecuencias son graves. Está claro que actualmente las compañías no son capaces de hacer que los chatbots como ChatGPT cumplan la legislación de la UE cuando se trata de información sobre individuos. Si un sistema no brinda resultados precisos y transparentes, no debe emplearse para generar información acerca de la gente. La tecnología tiene que seguir los requisitos de la ley, y no al revés”, manifestó Maarje de Graaf, abogada especializada en protección de datos de Noyb. Lea también: La Unión Europea amenazó a TikTok por poner en riesgo la protección al consumidor e infringir el mercado único digital La organización de derechos digitales sostiene que “si bien la información inexacta llega a ser tolerable cuando un estudiante usa ChatGPT para que le ayude con sus deberes, es inaceptable cuando se trata de información sobre individuos”. Y hace hincapié en que la legislación de la Unión Europea (UE) exige que los datos personales sean exactos, lo que contempla el artículo 5 del RGPD, así como que las personas de la región tienen derecho a la rectificación en virtud del artículo 16 del mismo reglamento si la información es incorrecta y pueden solicitar que se elimine cuando sea falsa. También entre las quejas que reclama Noyb, destaca la incapacidad de OpenAI para detener los “delirios” de su famoso chatbot: “Aunque la empresa dispone de numerosos datos de entrenamiento, no hay forma de garantizar que ChatGPT muestre a los usuarios información correcta. Por el contrario, se sabe que las herramientas de IA generativa suelen “delirar”, es decir, se inventan las respuestas”. Por ello, Noyb pidió a la DSB que tomara acciones contra OpenAI, abriendo una investigación que conduzca a la imposición de medidas correctivas, sanciones y una decisión final sobre los “delirios” de ChatGPT. La organización también dirigió su denuncia contra una de las ramificaciones con fines comerciales de OpenAI, la OpenAI OpCo ubicada en Estados Unidos, alegando que la sede europea de la misma, en Irlanda, es únicamente una fachada y que las decisiones se toman solo en la oficina estadounidense. FUENTE: Carboni, Kevin. »Una asociación demanda a OpenAI por infringir la ley de protección de datos de la Unión Europea» Es.wired.com. 30/04/2024. (https://es.wired.com/articulos/asociacion-demanda-a-openai-por-infringir-ley-de-proteccion-de-datos-de-union-europea).
