Agentes de la Guardia Civil de Oliva (Valencia) han desarticulado una organización criminal formada por un hombre y una mujer que presuntamente perpetraron un ciberataque a una empresa de La Safor para acceder a sus operaciones financieras y así hacer que transfirieran a su cuenta corriente unos pagos que estaban destinados a un proveedor, una supuesta estafa que supera los 24.000 euros.

Se trata de una operación bautizada como ‘Cacau’ y desarrollada por la Guardia Civil de Oliva en colaboración con miembros de la oficina de Análisis e investigación en Seguridad Aeroportuaria (Odaisa) del aeropuerto Adolfo Suárez Madrid- Barajas. La investigación se ha saldado con la detención de un hombre de 56 años en dicho aeródromo, a su llegada de un vuelo procedente de Rumanía, y con la investigación de una mujer de 30 años, según ha detallado la Benemérita en un comunicado.

Las pesquisas comenzaron cuando una empresa de La Safor denunció un ciberataque a sus servidores. Alguien había conseguido vulnerar las medidas de seguridad de la mercantil y había obtenido información de las operaciones financieras pendientes a realizar.

Con esta información, los autores de la estafa simularon datos de correo, logotipos, facturas y otros elementos distintivos de una empresa que provee mercancías a la mercantil. Utilizaron estos datos para “interponerse” entre la compañía estafada y su proveedora. De esta forma, en lugar de pagar a la empresa suministradora, el dinero recaía en la cuenta corriente del estafador.

Agentes especializados en nuevas tecnologías iniciaron las primeras averiguaciones y consiguieron identificar a dos sospechosos: el hombre español que ha sido detenido y la mujer que figura como investigada.

OPERACIONES DESDE RUMANÍA

Los efectivos analizaron multitud de datos bancarios de los presuntos autores del ciberataque. Verificaron que parte de las operaciones se habían realizado en Albacete, pero que los movimientos bancarios más recientes se estaban produciendo en la ciudad de Aisa, en Rumanía.

Las investigaciones se centraron entonces en Rumanía. La “inmediatez” en la investigación permitió averiguar que el hombre iba a desde el país balcánico para regresar a España. Por ello, se estableció un dispositivo de vigilancia. Los agentes arrestaron a su llegada al Aeropuerto de Madrid-Barajas. La mujer permanece investigada. Se les acusa de varios delitos de intrusión a la informática y estafa.

Se ha intervenido a los sospechosos “numerosos” medios de pago que, según el Instituto Armado, los “incriminaban en mayor medida con los ilícitos delitos investigados”. También se han incautado de 2.350 euros en metálico que el hombre llevaba entre sus objetos personales. Las diligencias han pasado a disposiciónjudicial.

Fuente: eldigitaldealbacete

Videovigilancia, una de las reclamaciones planteadas con mayor frecuencia ante la AEPD

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria 2021, que recoge de forma exhaustiva las actividades realizadas, las cifras de gestión, los informes y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La actividad de organismo en 2021 ha estado centrada de forma prioritaria en una doble vertiente: dar respuesta a los desafíos de protección de datos relacionados con la pandemia y seguir impulsando que aquellos que tratan datos se comprometan con la protección de la privacidad.

En el primer bloque, la Agencia ha continuado participando en articular garantías para proteger los datos personales en los tratamientos relacionados con las medidas contra la COVID-19, tanto en un plano nacional como en el europeo a través del Comité Europeo de Protección de Datos (CEPD). En el segundo, en 2021 se puso en marcha el Pacto Digital para la Protección de las Personas, una iniciativa que ya cuenta con casi 400 entidades adheridas y que promueve la privacidad y la ética digital como un activo que las organizaciones deben tener en cuenta a la hora de diseñar sus políticas y sus estrategias.

13.905 reclamaciones se presentaron ante AEPD en 2021

En cuanto a las cifras de gestión, en 2021 se han presentado ante la AEPD 13.905 reclamaciones, un aumento de un 35% respecto a 2020. Esta cifra asciende a las 14.571 incluyendo los casos transfronterizos, los casos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección.

En 2021 las reclamaciones resueltas han aumentado un 35% (14.098) respecto al año anterior (10.443), una cifra muy destacable que ha permitido resolver reclamaciones pendientes de ejercicios anteriores sin que hayan aumentado significativamente los tiempos medios de resolución.

En esos tiempos de tramitación de las reclamaciones hay que hacer una referencia a los traslados, una previsión recogida por la LOPDGDD para facilitar la resolución rápida de las reclamaciones y que ha permitido que estas se resuelvan en menos de dos meses.

Durante el año 2021 se ha seguido trabajando en el Canal Prioritario para solicitar la retirada urgente de contenido sexual o violento publicado en internet sin el permiso de las personas que aparecen en ellos. Así, se han recibido 377 peticiones a través del Canal Prioritario, de las cuales 215 han entrado a través del canal de menores.

En cuanto a las reclamaciones ordinarias, las planteadas con mayor frecuencia por los ciudadanos en 2021 corresponden a servicios de internet (16%), videovigilancia (12%), recepción de publicidad (excepto spam) (11%) e inserción indebida en ficheros de morosidad (9%). En cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).

Se han realizado 264 resoluciones que han finalizado con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros). Estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros.

En cuanto a los casos transfronterizos, la AEPD ha iniciado 16 en 2021 y se ha declarado autoridad interesada en más de 300. Asimismo, se han recibido 1.070 peticiones de otras autoridades europeas, solicitudes de asistencia y consulta, y proyectos de decisión.

En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 66 dictadas en 2021, 56 (el 85%) fueron desestimatorias o inadmitidas. Por su parte, el Tribunal Supremo ha dictado 4 sentencias, todas ellas favorables a la Agencia.

Ciberincidentes, filtrado de datos…

En cuanto a las notificaciones de brechas de datos personales realizadas ante la AEPD, estas son inicialmente recibidas por la División de Innovación Tecnológica (DIT), que realiza un primer análisis. La DIT ha recibido y analizado 1.647 notificaciones en 2021, de las que poco más del 4% (76) se han remitido a la Subdirección de Inspección por requerir de una investigación en profundidad. Las brechas de datos personales más frecuentes son las causadas por ciberincidentes de origen externo/malintencionado y, dentro de este tipo de incidentes, el ransomware es el más repetido. En paralelo, siguen en aumento los casos en los que el cifrado de los datos y/o los sistemas van precedidos de una filtración de información y su puesta a la venta en internet/darkweb.

En lo relativo a las cifras de delegados de protección de datos (DPD) notificados ante la Agencia, 2021 se cerró con 82.249 DPD frente a los 65.040 DPD de 2020. De la cifra del año pasado, 74.033 corresponden al sector privado y 8.396 al sector público. Por lo que respecta a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, se han recibido casi 670 consultas a través del Canal del DPD, que da respuesta a las consultas que plantean los Delegados de Protección de Datos previamente notificados a la Agencia.

Fuente: Cuadernosdeseguridad

Visa alerta del robo de datos de tarjetas en gasolineras

Visa ha alertado de un grupo de delincuentes cibernéticos que están explotando activamente una vulnerabilidad en las redes de puntos de venta de estaciones de servicio de combustible para robar los datos de tarjetas de crédito.

Los equipos contra el fraude de la compañía financiera están investigando varios incidentes en los que un grupo conocido como Fin8 defraudó a los propietarios de dispensadores de combustible.

Los atacantes obtuvieron acceso a las redes de punto de venta (POS) a través de correos electrónicos maliciosos y otros medios desconocidos. Luego instalaron un software que explotó las vulnerabilidades de seguridad en las tarjetas de banda magnética que carecen de chip.

El ataque no parece afectar a las tarjetas con chip más seguras, pero no todos los consumidores las tienen, por lo que las estaciones de servicio a menudo también trabajan con lectores de banda magnética. Aparentemente, los datos se envían sin cifrar a la red principal del proveedor, donde los rateros han descubierto cómo interceptarlos. El otro problema es que los sistemas POS no están protegidos por un cortafuegos, lo que permite a los atacantes obtener acceso lateral una vez que se rompe la red.

Los titulares de tarjetas no pueden hacer mucho para evitar los ataques, pero Visa ha aconsejado a los comerciantes de combustible que cifren los datos mientras migran a una política de chip y PIN. «Los comerciantes de dispensadores de combustible deben tomar nota de esta actividad e implementar dispositivos que admitan tarjetas con chip siempre que sea posible, ya que esto reducirá significativamente la probabilidad de estos ataques», dice la alerta de Visa.

A principios de este año, Visa anunció que todos los comerciantes deben implementar lectores de chips antes de octubre de 2020. Después de eso, cualquier estación de servicio sin la nueva tecnología será responsable de cualquier fraude. El problema es que muchos de estos negocios tienen tecnologías muy antigua y al parecer tendrían que cambiar una buena parte de los surtidores.

No es el modelo principal de todos los países y todas las zonas, pero, cuidado, mejor evitar este tipo de estaciones de servicio con pagos no seguros.

#protecciondedatos #usofraudulentodedatos #robodedatos #robovisa #POS

Fuente: Muyseguridad