Noruega ordena a Meta que deje de servir publicidad personalizada en Facebook durante tres meses
Datatilsynet, la autoridad de protección de datos noruega, acaba de abrir un nuevo frente al negocio esencial de Meta en Europa. Según ha adelantado POLITICO, acaba de exigirle que deje de servir publicidad a usuarios de ese país basada en la actividad en línea y ubicaciones estimadas en sus plataformas durante tres meses. Ese es el plazo máximo que puede abarcar una decisión “de urgencia” de un regulador de privacidad, tal y como establece el Reglamento General de Protección de Datos (RGPD). La prohibición será vigente desde el 4 de agosto y vetará campañas segmentadas que no cuenten con el permiso explícito de los noruegos para usar su información personal a través de la sección “acerca de” de sus perfiles. El regulador de privacidad escandinavo es el primero en aplicar la reciente sentencia del Tribunal de Justicia de la UE para aumentar el escrutinio sobre gigantes tecnológicos. Podría interesarle: El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE Si Meta no acata satisfactoriamente la orden afronta una posible multa de un millón de coronas noruegas (alrededor de 89.500 euros) por día en el que no haya cambiado su operativa tradicional. Este movimiento da continuidad al fallo del TribuEl manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUEnal de Justicia de la Unión Europea (TJUE), que el 4 de julio determinó que el gigante de la web social estaba recopilando ilegalmente datos de personas para hacerles llegar publicidad personalizada sin su consentimiento explícito y en base al concepto de “interés legítimo” de la empresa. El primer regulador europeo en reaccionar a la nueva jurisprudencia y advierte a Meta Datatilsynet se convirtió así en el primer regulador europeo de privacidad que reacciona a esa nueva jurisprudencia y además prevé solicitar una decisión vinculante de urgencia al Comité Europeo de Protección de Datos (CEPD). Ese organismo reúne a todos los que actúan en materia de control de privacidad en los países que forman parte de la Unión Europea y tiene abierto hasta el 21 de julio un proceso de recogida de impresiones sobre el fallo del TJUE. Lea también: Actualización de la Guía sobre el uso de cookies de la AEPD La comisión de protección de datos de Irlanda (DPC), que ejerce como autoridad delegada en la materia para toda la Unión Europea porque allí tienen su sede las empresas concernidas, está recibiendo esas evaluaciones y tendrá la capacidad de impulsar medidas finales. De hecho, DPC también impuso en enero una multa de 390 millones de euros a Meta por infringir la privacidad de los europeos mediante su actual modelo de negocio de publicidad personalizada e instó a la compañía a encontrar en un máximo de tres meses un sustento legal diferente para mantenerlo en territorio comunitario. Esa decisión se encuentra actualmente en proceso de apelación. FUENTE: Marketing Digital. »Noruega ordena a Meta que deje de servir publicidad personalizada en Facebook durante tres meses» Dircomfidencial.com. 19/07/2023. (https://dircomfidencial.com/marketing-digital/noruega-ordena-a-meta-que-deje-de-servir-publicidad-personalizada-en-facebook-durante-tres-meses-20230719-0400/).
Mensajes de Whatsapp y protección de datos
La Agencia Española de Protección de Datos (AEPD) ya ha sancionado en varias ocasiones a empresas, particulares e incluso comunidades de propietarios por la difusión de imágenes, envío de datos personales sin consentimiento, entre otras, a través de WhatsApp. Son millones los mensajes enviados a través de esta aplicación y, como podemos observar, cada vez aumenta más la interacción entre los propios usuarios, e incluso las empresas con sus clientes. Se usa WhatsApp para establecer una conversación cotidiana con nuestros familiares y amigos y, actualmente, podemos hasta realizar trámites con nuestro banco, seguro, realizar pedidos a tiendas, pedir información, etc. Todo ello genera, consecuentemente, el envío y recepción de millones de datos que pueden ser considerados como datos de carácter personal. Por ello, no debemos olvidarnos y tener en cuenta el modo en el que usamos dicha aplicación y con qué finalidad tratamos los posibles datos que enviamos y/o recibimos. Y es que la Agencia Española de Protección de Datos (en adelante, AEPD) ya sancionó en varias ocasiones a empresas, particulares e incluso comunidades de propietarios por la difusión de imágenes, envío de datos personales sin consentimiento, entre otras, a través de esta aplicación. Caso: Comunidad de Propietarios y la difusión de imágenes del sistema de videovigilancia a través de WhatsApp Uno de los casos más recientes, es el caso en el que una Comunidad de propietarios sancionada debido a un acceso no autorizado a unas imágenes captadas por el sistema de videovigilancia y, posteriormente, su difusión, a través de un grupo de WhatsApp, de vecinos sin motivo aparente. La vulneración a la normativa de protección de datos la cometió por la Presidenta de la Comunidad, sin embargo, la AEPD establece en la Resolución del Proceso Sancionador (Expediente N.º: EXP202204461) que la responsabilidad recae en la comunidad en su conjunto al ser la misma responsable del tratamiento y, por otro lado, algunos de los miembros (participantes del chat) eran conocedores de tal situación. Por lo que comporta una negligencia grave en la conducta descrita imputable directamente a la propia Comunidad al no adoptar garantía alguna en la difusión a terceros, así como una insuficiente reacción desde el primer momento de tener conocimiento de los mismos. Lea también: El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE Por todo ello, la Agencia cuantificó la sanción en 2.000 € atendiendo no solo al acceso a las grabaciones, sino también a la difusión al resto de propietarios. Caso: Una abogada y una sentencia sin anonimizar enviada por WhatsApp Otro caso, es el de una abogada que fue sancionada, por la AEPD, debido a que envió una sentencia, a través de WhatsApp, donde figuraban datos personales, con la finalidad de poder promocionarse profesionalmente (Expediente nº: EXP202202963). En este caso, la AEPD sancionó a la letrada con dos multas de 2.000 € cada una (haciendo un total de 4.000 €) debido a la difusión, a través de WhatsApp, de los datos personales del afectado sin su consentimiento y, por consiguiente, vulnerando el principio de integridad y confidencialidad establecidos por ley. Caso: Compartir fotografías y pantallazos sin consentimiento del afectado Finalmente, está el caso en el que la AEPD sancionó a un hombre por difundir, en su estado de WhatsApp, fotografías íntimas y capturas de conversaciones de una mujer con su compañero de trabajo, y que fueron publicadas sin el conocimiento ni consentimiento de esta, tras haberle sido sustraídas de un pendrive que le ha desaparecido. Podría interesarle: Ya no pueden acceder a su información financiera sin orden judicial La AEPD impuso al hombre una multa de 10.000 € (Expediente nº: PS/00334/2019) por la difusión de las imágenes sin contar con el consentimiento de la afectada. Conclusiones En conclusión, WhatsApp tiene grandes beneficios, pero no debemos olvidar que, en ocasiones, al reenviar mensajes a otros usuarios, compartir capturas de conversaciones, difundir datos y/o imágenes, e incluso incorporar a gente a grupos de WhatsApp, podemos estar cometiendo una infracción de la normativa vigente. Por lo tanto, debemos siempre extremar las precauciones cuando tengamos en nuestros teléfonos información que se puede considerar personal y privada, evitando estas acciones y/o recabando previamente el consentimiento del interesado. FUENTE: Fernández, Rocío. »Mensajes de Whatsapp y protección de datos» Noticias.juridicas.com. 19/07/2023. (https://noticias.juridicas.com/actualidad/noticias/18195-mensajes-de-whatsapp-y-proteccion-de-datos/).
Ministro TIC presenta la estrategia de cuatro puntos para hacer de Colombia una potencia en Ciberseguridad
Durante el evento ‘Cyber Summit‘, organizado por la embajada del Reino Unido en Colombia, el ministro TIC, Mauricio Lizcano, presentó la estrategia definida por el Gobierno del Cambio para hacer de Colombia un referente en Ciberseguridad entre los países de la región. Con esto, se mejorará la seguridad digital al interior del país y se les ofrecerán servicios a otras naciones. Lea también: La ciberseguridad llega al podio de las prioridades de los CEO de América latina «Si no hay seguridad digital no podemos construir una transformación real. La Ciberseguridad es un proyecto de política pública para que Colombia sea potencia mundial. Estamos abiertos a cooperar con el sector privado, la academia, las Fuerzas Militares y otros países del mundo que consideren que podemos trabajar juntos. Este tema es mundial y debemos actuar articulados para hacer frente a esta problemática, necesitamos que las familias y el Gobierno se sienta seguro en este ecosistema«, aseguró el ministro TIC, Mauricio Lizcano. ¿Cómo se desarrollará la estrategia en ciberseguridad que propuso en Ministro TIC de Colombia? La estrategia para fortalecer y consolidar la ciberseguridad en todo el país comprende cuatro acciones, que se complementan entre ellas, para ampliar las capacidades de Colombia en la materia y generar un modelo de protección integral. Una de las principales es la creación de la Agencia Nacional de Ciberseguridad que se presentará al Congreso de la República nuevamente, en la legislatura que inicia mañana 20 de julio. La segunda medida es el fortalecimiento al Colcert, el Grupo de Respuesta a Emergencias Cibernéticas de Colombia. Este es un equipo que es punto de contacto para coordinar la prevención, mitigación, gestión y respuesta ante incidentes de seguridad digital nacional tanto en el sector público como en el privado del MinTIC. El ministro Lizcano también hizo referencia a la creación de un centro de Ciberseguridad, también conocido como Hub, en Caldas. Para esto se ha definido una inversión que ronda los 10.000 millones de pesos, en parte dirigidos al Centro de Innovación Bios, para prender el supercomputador que está ahí y aprovechar sus capacidades y convertirlo en un gran formador de ciudadanos en temas de ciberseguridad. El último eslabón de esta estrategia es la capacitación y entrenamiento de especialidades en Ciberseguridad en el país, a través de diferentes instituciones, como el Sena y empresas del sector digital. FUENTE: Sala de prensa. »Ministro TIC presenta la estrategia de cuatro puntos para hacer de Colombia una potencia en Ciberseguridad» Mintic.gov.co. 19/07/2023. (https://www.mintic.gov.co/portal/inicio/Sala-de-prensa/Noticias/276939:Ministro-TIC-presenta-la-estrategia-de-cuatro-puntos-para-hacer-de-Colombia-una-potencia-en-Ciberseguridad).
Empresas de ciberseguridad duplican ingresos por aumento de 500% en ciberataques
En los últimos tres años, las empresas de ciberseguridad duplicaron sus ingresos año con año derivado del aumento de más de 500 por ciento en el número de intentos de ciberataques de los que fueron víctimas las empresas mexicanas. Previo a la pandemia de Covid-19, el número de delitos cibernéticos era de apenas 300.3 millones, sin embargo, para 2022, la cifra pasó hasta los 187 mil millones, que representó un incremento de más de 500 por ciento, lo que ha convertido a México en el país más atacado en toda América Latina. “La industria de ciberseguridad sigue apoyando para combatir los riesgos que representan el cibercriminal, esto ha permitido que las organizaciones de ciberseguridad estén duplicando, como mínimo, sus ingresos año contra año”, comentó Carlos Quijas, director de Servicios Avanzados de Onesec. Al respecto, Alberto Vargas, director ejecutivo de Onesec, afirmó que este crecimiento ha sido posible gracias a que cada vez más empresas son conscientes de que el riesgo de ser víctimas de un ciberataque es real, sobre todo porque muchos negocios se vieron obligados a digitalizar sus servicios, lo que los convirtió en potenciales blancos de ataque. “Cada año, vemos cómo las empresas aumentan entre 20 y 30 por ciento su presupuesto para defenderse de los intentos de ciberataques, lo que les permite estar protegidos ante los cibercriminales, quienes cada vez utilizan técnicas más sofisticadas como la Inteligencia Artificial”, aseguró Vargas. Sin embargo, señaló que el aumento de hasta 30 por ciento en los presupuestos de ciberseguridad se da en su mayoría en las grandes organizaciones, por lo que las Pymes aún tienen retos importantes en materia de ciberseguridad. Pymes deben invertir en ciberseguridad De acuerdo con datos de la firma de ciberseguridad Cisco, al menos un 76 por ciento de las Pymes mexicanas cree que puede sufrir un incidente de ciberseguridad en los próximos 12 a 24 meses, sin embargo, sólo 2 de cada 10 han tomado las previsiones necesarias. “Todavía hay muchas Pymes que no son conscientes de que el riesgo de ser víctimas de un ciberataque es real, lo que les ha impedido gestionar una estrategia de ciberseguridad que los proteja contra los ciberdelincuentes”, advirtió Carlos Quijas. Podría interesarle: EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables En este sentido, destacó que la ciberseguridad debe ser cada vez más un tema que preocupe a las empresas, pero también al sector público y a la sociedad en general porque deben tener protocolos de prevención y acción ante las amenazas cibernéticas que han venido creciendo a ritmos acelerados en los últimos 3 años. FUENTE: Calderón, Christopher. »México | Empresas de ciberseguridad duplica ingresos por aumento de 500% en ciberataques» Dplnews.com. 19/07/2023. (https://dplnews.com/mexico-empresas-de-ciberseguridad-duplica-ingresos-por-aumento-de-500-en-ciberataques/).
EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables
El gobierno de Estados Unidos pondrá en marcha el año que viene un programa de emisión de certificado de ciberseguridad para empresas que manufacturan o venden productos tecnológicos con el objetivo de que ayudar a los consumidores a elegir dispositivos menos vulnerables a los ataques. La iniciativa busca fomentar que los estadounidenses tomen decisiones “informadas” sobre los aparatos tecnológicos que usan en su día a día, ofreciéndoles un listado de productos que cumplen con ciertos requisitos de ciberseguridad, explicaron dos funcionarias de alto rango en una llamada con periodistas. Podría interesarle: La ciberseguridad llega al podio de las prioridades de los CEO de América latina “Hay muchos dispositivos en nuestros hogares, desde televisores hasta sistemas de seguridad, (…) que están conectados a internet” y que potencialmente son vulnerables a ciberataques, subrayó una de las funcionarias. Las empresas que ya se han sumado a la iniciativa del certificado de ciberseguridad del gobierno norteamericano La inscripción a este programa es voluntaria y más de una docena de empresas, entre ellas Amazon, Google, Samsung y Logitech, ya han confirmado su participación. Los “gadgets” que hayan recibido la certificación gubernamental estarán también marcados con un logo que indica que cumplen con los estándares de ciberseguridad establecidos por el Ejecutivo. Las empresas interesadas en que sus productos lleven esta marca deberán ajustar sus productos para cumplir con los requisitos. Esas exigencias serán definidas por el Instituto Nacional de Estándares y Tecnología, una agencia dentro del Departamento de Comercio. Lea también: Inteligencia artificial, ciberseguridad, robótica y transformación digital entre los empleos del futuro Entre los requisitos está exigir contraseñas “únicas y fuertes” a sus usuarios, tener políticas de protección de datos, actualización de softwares y capacidad para detectar ataques. “Hemos escuchado que los consumidores quieren comprar productos tecnológicos seguros y queremos construir un puente para cumplir ese deseo”, subrayó la funcionaria. En 2022, el FBI recibió más de 800.000 denuncias de ciberataques y delitos en línea, que supusieron pérdidas de 10.300 millones de dólares, según un informe publicado por esa agencia el pasado marzo. FUENTE: EFE. »EEUU lanza un certificado de ciberseguridad para ayudar a comprar dispositivos fiables» Sandiegouniontribune.com. 18/07/2023. (https://www.sandiegouniontribune.com/en-espanol/vida-latina/innovacion/articulo/2023-07-18/eeuu-lanza-un-certificado-de-ciberseguridad-para-ayudar-a-comprar-dispositivos-fiables).
Ciberseguridad: aumentan ataques de bots maliciosos a las API de empresas por falta de protección
La rápida proliferación de las interfaces de programación de aplicaciones (API) está encabezando la transformación digital, ya que ayudan a los desarrolladores a unir aplicaciones de forma rápida y eficiente, al tiempo que proporcionan una mejor experiencia de usuario. En ese sentido, a medida que crece el volumen de estas aplicaciones, ampliando la vulneración de la ciberseguridad. Por lo tanto, cabe esperar que, en los próximos años, las API se conviertan en uno de los principales objetivos de los ciberdelincuentes. Además de ampliar la superficie de ataque al proporcionar más puntos de entrada a los cibercriminales, también son más susceptibles al abuso de la lógica empresarial y al fraude, lo que las convierte en un objetivo ideal para los ataques automatizados, por lo que estos están aumentando a un ritmo alarmante. Como se indica en el informe “Bad Bot Report 2023” compartido por Imperva, empresa enfocada en la ciberseguridad, el 17 % de todos los ataques dirigidos a API en 2022 procedían de bots, y el 21 % eran otros tipos de amenazas automatizadas. No debería sorprendernos que la falta de protección sea uno de los desafíos del 2023. Pero, ¿por qué las API son un vector cada vez más atacado? Se vulnera ciberseguridad por las API en las organizaciones Imperva indica que las organizaciones deben identificar y documentar todas sus API. Muchas existen y están expuestas públicamente, pero las instituciones no han hecho el inventario ni las conocen activamente. Son las denominadas “API en la sombra”. Los ejemplos incluyen: antiguos puntos finales de API que están obsoletos, pero nunca se eliminaron, nuevos puntos finales de API que no están documentados, o cuando un desarrollador realiza un cambio que expone puntos finales de API no públicos a Internet. Esto nos lleva a preguntare: ¿Cómo se puede proteger lo que no se sabe que está ahí? También está el reto de distinguir entre el tráfico humano y de bots, y también diferenciar los bots buenos y maliciosos. El problema radica en el hecho de que para una API todo parece un bot, ya que están diseñadas para clientes automatizados. Esto hace que sea difícil para las organizaciones proteger sus API contra los ataques de bots. Estas manejan grandes volúmenes de peticiones, pero carecen de mecanismos de defensa incorporados, lo que dificulta la detección y el bloqueo del tráfico de bots maliciosos, permitiendo a los atacantes utilizar la automatización sin riesgo de que salten las alarmas. Las API proporcionan acceso directo a datos sensibles Las API son una vía directa de acceso a datos confidenciales, funcionalidades empresariales, recursos y otra información sensible. Un análisis reciente descubrió que el 13 % de las API manejan información altamente sensible, como números de tarjetas de crédito, números de la seguridad social, direcciones de particulares, etc. Podría interesarle: ¿Qué es un exploit, cómo funciona y qué métodos existen para protegerse de él? Si un atacante consigue acceder a una API que maneja datos, podría obtener potencialmente esta información, lo que daría lugar a una violación de datos. La lógica empresarial suele pasarse por alto la ciberseguridad Según Postman, el 44 % de los desarrolladores de API tienen menos de 2 años de experiencia. Cuando se trata de protegerlas, los desarrolladores suelen aplicar un conjunto estándar de reglas. Incluso si los desarrolladores intentan mitigar el tráfico de bots, a menudo utilizan herramientas y técnicas de seguridad tradicionales. Entre ellas se encuentran la limitación de velocidad, la detección basada en firmas, los protocolos de bloqueo, etc. Estas técnicas suelen ser ineficaces contra los sofisticados ataques de bots que se dirigen a las API. En conclusión, las organizaciones dependen cada vez más de las API, lo que lleva a un rápido crecimiento en su adopción y uso. A su vez, la superficie de ataque que las empresas deben ser capaces de proteger hoy en día ha aumentado significativamente. Los bots, cada día más sofisticados, y la facilidad con la que pueden atacar la logística empresarial, suponen un riesgo significativo. FUENTE: Neira, Juan. »Ciberseguridad: aumentan ataques de bots maliciosos por falta de protección» Valoraanalitik.com. 18/07/2023. (https://www.valoraanalitik.com/2023/07/18/ciberseguridad-aumentan-ataques-de-bots-maliciosos-por-falta-de-proteccion/).
Actualización de la Guía sobre el uso de cookies de la AEPD
La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD). La nueva versión de la Guía realizada por la Agencia ha contado, tal y como ocurrió con versiones anteriores, con la participación de los sectores afectados (las asociaciones ADIGITAL, Anunciantes, AUTOCONTROL e IAB Spain). Podría interesarle: El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE El Comité Europeo de Protección de Datos publicó en febrero de 2023 las Directrices 03/2022 sobre patrones engañosos en redes sociales. La Agencia incorpora a la nueva versión de la Guía el criterio del Comité Europeo, que recoge que las acciones de aceptar o rechazar cookies tienen que presentarse en un lugar y formato destacados, y ambas acciones deben estar al mismo nivel, sin que sea más complicado rechazarlas que aceptarlas. La Guía incluye nuevos ejemplos sobre cómo deben mostrarse estas opciones ofreciendo indicaciones sobre, entre otros, el color, tamaño y lugar en el que aparecen. En paralelo a esa incorporación, se han realizado una serie de modificaciones: En el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas (por ejemplo, la elección del idioma de la web o la moneda en la que desea realizar transacciones), se trata de cookies técnicas que no requieren de consentimiento, sin que puedan ser utilizadas para otras finalidades. Sin embargo, cuando es el editor el que adopta este tipo decisiones sobre las cookies de personalización basándose en la información que obtiene del usuario deberá informar sobre ello ofreciendo de forma destacada la opción de aceptarlas o rechazarlas. En este caso, el editor tampoco podría utilizarlas para otras finalidades. Por otro lado, en cuanto a los muros de cookies, la Guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Por tanto, podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. La nueva versión de la Guía aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita. Los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies. Descargue la guía, aquí: Guía sobre uso de Cookies – AEPD FUENTE: »Actualización de la Guía sobre el uso de cookies de la AEPD» Elderecho.com. 11/07/2023. (https://elderecho.com/actualizacion-de-la-guia-sobre-el-uso-de-cookies-de-la-aepd).
Rappi, en lío jurídico por el manejo de datos de sus usuarios
Si alguna vez ha estado suscrito a Rappi, es probable que le hayan llegado mensajes de texto, correos electrónicos y hasta chats de WhatsApp con promociones, descuentos y regalos por parte de la plataforma. Aunque parece un beneficio, esa estrategia de mercadeo tiene a la empresa envuelta en un lío jurídico por el presunto mal manejo de datos personales, el mismo tema por el que la Superintendencia de Industria y Comercio le ha impuesto por lo menos dos millonarias multas. Resulta que contra la empresa corre una batalla legal, específicamente una acción constitucional de grupo, luego de que se lograran reunir por lo menos 20 casos de personas a las que en su celular les notificaron los anuncios de Rappi sin una autorización o consentimiento explícito para ese fin publicitario. Podría interesarle: El manejo de datos de Facebook es contrario al reglamento de la Unión Europea, según el TJUE Por eso, los abogados Juan David Mesa y Camilo Araque, en representación de ese grupo de afectados, le están pidiendo a Rappi que reconozca y pague por los daños y perjuicios materiales e inmateriales causados. Y específicamente los que han entregado sus datos personales, pero que no han sido tratados de conformidad a la Ley 1581 de 2012, lo que para los abogados se traduce en una vulneración al estatuto del consumidor. Los objetivos de Rappi y sus estrategias de mercadeo le tienen en problemas legales Y es que según el objeto social de Rappi, dedican su trabajo al comercio electrónico a través de plataformas tecnológicas, para lo cual es necesaria la captura de algunos datos del consumidor como: nombre, identificación, dirección física, dirección electrónica, número de celular, estrato socioeconómico, preferencias de consumo, ubicación en tiempo real, y otras. Sin embargo, la demanda radicada apunta a la resolución 9800 de la Superintendencia de Industria y Comercio (SIC) emitida el 25 de abril de 2019. Con ella, se dio paso a un proceso sancionatorio en contra de la plataforma y se logró determinar que, para ese momento, no tenía autorización para la utilización de datos de sus usuarios. Además les negó a los usuarios el derecho de supresión de datos. Ese proceso por parte de la SIC terminó con una sanción económica de 298 millones de pesos y le ordenaron adoptar medidas para proteger los derechos de las personas respecto del tratamiento de su información como lo son, entre otros, el derecho de supresión de sus datos y la exigencia de que exista autorización previa para el tratamiento de los mismos. Podría interesarle: Ley 2157 del 2012: ¿Cómo reclamar si no me eliminan del reporte negativo en datacrédito? Así mismo, la SIC concluyó que Rappi no respetó el derecho a suprimir los datos cuando son utilizados por la compañía para fines de publicidad y tampoco demostró la existencia de la autorización para poder recolectar y usar los datos. Las razones detrás de las acusaciones contra Rappi por mal uso de los datos personales En esa línea, y teniendo en cuenta la sanción previa, la demanda apunta a que cuando los afectados quisieron conocer el alcance de las autorizaciones otorgadas a Rappi, “la empresa no estaba en capacidad de satisfacer ese derecho y cumplir con su deber de facilitar dicha información, vulnerando gravemente el derecho de habeas data”. Así las cosas, lo que los abogados esperan que surja con la demanda, es que se repare “la confianza, la buena fe, la honra y dignidad del consumidor” y al tratarse de un acción de grupo masiva, eso quiere decir que cualquier persona que demuestre ser usuario de Rappi y le hayan llegado ese tipo de mensaje sin previa autorización, se verán beneficiados en el proceso. Es decir, “el grupo de consumidores que se hayan registrado como usuarios de Rappi S.A.S., inicialmente desde fecha anterior al 25 de abril de 2019, fecha en la cual se profirió órdenes genéricas a la sociedad demandada por parte de la SIC para ajustar su recaudo de datos personales a las leyes estatutarias de habeas data y de protección al consumidor”. Para ello, los demandantes han pedido a Rappi que entregue la identificación plena de los usuarios inscritos y registrados de la aplicación y página web de la compañía, debidamente numerados, señalando su fecha de alta dentro del sistema de la empresa, solicitud que ya fue aprobada por el juzgado donde corre el recurso. Sin embargo, para la defensa de Rappi en cabeza del abogado Alberto Acevedo Rehbein, la demanda interpuesta por Mesa y Araque no tiene procedencia puesto que considera superó los límites de caducidad establecidos dentro de un proceso legal. En este punto, cabe anotar que la demanda de Mesa y Araque, tiene su fecha de radicación de junio del año 2020. Por eso, lo que alegó la defensa de la plataforma de ventas a domicilio es que tiene que declararse la caducidad del proceso, porque desde que empezó la investigación de la SIC ya pasaron dos años. Y los dos años deben contarse desde 2017 y no desde que la SIC tomó una decisión en 2019. “Bajo este entendido, las acciones que pudieran surgir en relación con los hechos objeto de la referida investigación debían presentarse dentro de los dos años siguientes a estas dos fechas, esto es el 9 de febrero de 2019 o, a más tardar, el 23 de octubre de 2019”, defendió el abogado de Rappi en su respuesta frente a esta demanda. FUENTE: »Rappi, en lío por delicado tema con usuarios de la ‘app’; ya ha recibido multas por eso.» Pulzo.com. 10/07/2023. (https://www.pulzo.com/economia/rappi-lio-juridico-delicado-tema-con-usuarios-manejo-sus-datos-PP2898856A).
¿Qué es un exploit, cómo funciona y qué métodos existen para protegerse de él?
El exploit es una herramienta utilizada por los ciberdelincuentes para aprovechar vulnerabilidades en sistemas informáticos y obtener acceso no autorizado o control sobre ellos. Es hora de ver en qué consiste. Los usuarios a menudo ignoran las advertencias de seguridad de sus sistemas operativos con el pretexto de que no tienen tiempo ni paciencia para actualizar el software. Esto los expone a más ciberataques, algunos más sofisticados que otros. Esto le da al ciberdelincuente acceso total a los datos y el software instalado en tu dispositivo. En un mundo perfecto, las aplicaciones, sistemas y programas funcionarían sin fallos y sin bloqueos repentinos en medio de una tarea. Sin embargo, en la vida real, la complejidad del software a menudo deja espacio para buscar errores, encontrarlos y usarlos en contra del usuario. Les lleva meses o incluso años investigar el funcionamiento interno de las aplicaciones de software más populares y encontrar formas de obligarlas a comportarse de forma inesperada.Para que te hagas una idea, los expertos en ciberseguridad siempre son cautelosos cuando escuchan la palabra «exploit«, y por una buena razón. ¿Qué es un ‘exploit’? Un exploit es una pieza de software, un fragmento de datos o una secuencia de comandos que aprovecha un error o una vulnerabilidad en una aplicación o un sistema para provocar que ocurra un comportamiento no deseado o imprevisto. El nombre proviene del verbo inglés to exploit, que significa «usar algo para beneficio propio». Básicamente, esto significa que el objetivo del ataque tiene un fallo de diseño que permite a los piratas informáticos crear los medios para acceder a él y utilizarlo en su interés. El período de tiempo entre el primer uso del exploit y el lanzamiento de un parche para solucionarlo se denomina «ventana de vulnerabilidad» y representa el período durante el cual el usuario puede ser atacado sin poder corregir la falla explotada. En los foros clandestinos, los exploits de día cero se venden entre 10.000 y 500.000 dólares, según la plataforma afectada y su popularidad en el mercado. ¿Cómo funcionan estos ataques? Al igual que con la mayoría de los ataques, los exploits a menudo se producen a través de ataques de malware. Estos incluyen correos electrónicos de phishing, ataques de phishing por SMS —smishing—, phishing selectivo y otros. Después de interactuar en un intento de phishing, como hacer clic en un enlace malicioso o descargar un archivo adjunto infectado, el código o programa de explotación ingresa a tu ordenador y lo escanea en busca de vulnerabilidades. Lea también: Consejos de ciberseguridad para trabajadores independientes: así puede estar protegido sin un equipo de IT Si se encuentran lagunas, el programa puede aprovecharlas y enviar malware. Por lo tanto, las brechas de seguridad juegan un papel clave en el éxito de este tipo de ataque. Dos tipos, conocidos y desconocidos o de día cero Los exploits informáticos se clasifican en una de 2 categorías: conocidos y desconocidos o de día cero y su explicación es realmente muy sencilla. En el primer caso y como sugiere el nombre, los expertos en ciberseguridad conocen los exploits existentes. Ya se han identificado las lagunas de seguridad de la red, ordenador o el afectados y los desarrolladores han publicado las correcciones y parches pertinentes.software A pesar de todo esto, los exploits conocidos pueden continuar persistiendo en el dispositivo o la red afectados. Esto se debe a que los propietarios y usuarios de los ordenadores no siempre actualizan el software con la regularidad que deberían, lo que genera más vulnerabilidades. Por el contrario, los desconocidos son exploits que los expertos en ciberseguridad aún no han descubierto. Estos tipos de exploits también se conocen como ataques de día cero o exploits de día cero debido a la rapidez con la que se llevan a cabo. Los ciberdelincuentes atacan a las víctimas el mismo día que descubren una vulnerabilidad. Por lo general, se mueven demasiado rápido para los expertos en seguridad, que deben trabajar día y noche para identificar y reportarlos. Mejor prevenir que curar: métodos a seguir Los exploits a los que hoy se enfrenta la sociedad son más agresivos y se propagan por todo el sistema en cuestión de minutos, en comparación con los de principios de los 90, que eran más lentos y pasivos debido a la falta de conectividad a Internet. Ahora los kits de explotación están ampliamente disponibles para su compra en la Dark Web convirtiendo a cualquier novato en un verdadero ciberdelincuente. El problema con los exploits es que son parte de un ataque más complejo, lo que los convierte en una molestia: nunca vienen solos y siempre infectan el dispositivo con algún tipo de código malicioso. Podría interesarle: El virus troyano que desvela a especialistas en ciberseguridad y que ataca a cualquier teléfono Aunque los especialistas en seguridad y los proveedores trabajan juntos para detectar vulnerabilidades lo más rápido posible y emitir parches para corregirlas, no siempre pueden proteger a los usuarios de las vulnerabilidades de día cero. Peor aún, no pueden proteger a los usuarios contra su propia negligencia. Puedes tomar cartas en el asunto y siempre hacer una copia de seguridad de tus datos, evitar contraseñas débiles y actualizar constantemente todo el software. Nunca ejecutes versiones vulnerables de los complementos, navegadores o reproductores multimedia. Recuerda que cualquier minuto que «desperdicies» actualizando tu sistema operativo le ahorrarás horas de mantenimiento del ordenador cuando ocurra el desastre. FUENTE: Valenzuela González, Valentina. »¿Qué es un exploit, cómo funciona y qué métodos existen para protegerse de él?» Computerhoy.com. 09/07/2023. (https://computerhoy.com/ciberseguridad/exploit-como-funciona-metodos-existen-protegerse-1260582).
