CIBERSEGURIDAD
El ransomware lidera los ciberataques en el segundo trimestre del año
Los ataques del tipo ransomware, el robo de información y de credenciales acaparan la actualidad en el panorama de la ciberseguridad; convirtiéndose en las tácticas más utilizadas por los cibercriminales
Los datos del Informe trimestral de PandaLabs, el laboratorio anti-malware de Panda Security, recoge la espectacular cifra de 18 millones de nuevas muestras de malware creadas en el segundo trimestre del año, lo que supone la captura de 200.000 muestras diarias. Los troyanos siguen a la cabeza del ranking liderando las muestras de malware, incrementando los ataques del tipo ransomware- englobados dentro de la misma categoría- convirtiéndose en un negocio global que mueve miles de millones de dólares al año.
Ransomware y robo de información
Ganar dinero es la principal motivación del cibercrimen y esto puede conseguirse de varias maneras: a través del ransomware, robando información a usuarios y empresas o, en algunas ocasiones, atacando directamente a los bancos.
Team Skeet, sitio web de distribución de vídeos pornográficos perteneciente a la red de Paper Street Media, sufrió un ataque en el que le fueron robados los datos de 237.000 usuarios incluyendo sus direcciones físicas; información sensible que se ha puesto a la venta en el mercado negro a un precio desmesurado (400$ por credencial, alcanzando el total de credenciales casi 95 millones de dólares).
Otro sonado robo de información producido en los últimos meses lo ha sufrido la página de contactos beatifulpeople.com de la que 1.100.000 usuarios vieron como sus datos quedaban al descubierto; o el caso del conocido fabricante de hardware Acer, en cuya tienda online se han robado datos de 34.500 usuarios y han estado comprometidos un año sin haberse percatado hasta ahora.
Todos los ataques perpetrados tienen algo en común: una alta cifra a pagar por el rescate de la información robada y cuyo pago no garantiza la recuperación de la totalidad de los datos.
Auge de ataques a TPVs y entidades financieras
Uno de los robos más extendidos y populares en los últimos meses son los que afectan a los TPVs (Terminales de Punto de Venta) como el cometido por PunkeyPos, un malware analizado por PandaLabs que ha puesto en jaque a más de 200 restaurantes en Estados Unidos, robando información de las tarjetas de crédito utilizadas en dichos terminales de los establecimientos.
Y, ¿qué puede ser más suculento que cualquiera de los robos comentados? Robar directamente a los bancos como lo sucedido en el Banco Central de Bangladesh, donde los cibercriminales consiguieron llevarse 81 millones de dólares. Posteriormente se ha sabido que han ocurrido al menos 2 casos similares, uno contra un banco de Vietnam y otro contra un banco de Ecuador.
Brechas de seguridad en dispositivos móviles e IoT
Google ha llevado a cabo una de las mayores actualizaciones hasta la fecha en relación al parcheo de agujeros de seguridad en sus sistema operativo, con actualizaciones mensuales que corrigen todas las nuevas vulnerabilidades que van encontrando. No obstante, las mejoras introducidas por el gigante tecnológico no pueden evitar que el ecosistema Android se vuelva realmente peligroso y los ataques aumenten de forma exponencial.
De la misma manera, PandaLabs predice un aumento paulatino en el gasto de seguridad IoT por parte de las empresas. Datos aportados por Gartner que vaticina que en 2016 habrá 6.400 millones de dispositivos de este tipo conectados (un 30% más que en 2015) y que en el 25% de los ataques que sufrirán las empresas en 2020 estarán implicados estos dispositivos, hacen que esta inversión sea imprescindible.
El avance de la ciberguerra
En la mayoría de ocasiones, cuando hablamos de ciberguerra hablamos de ataques que supuestamente son patrocinados por diferentes naciones, aunque es raro encontrar pruebas que garanticen completamente la autoría del ataque. Sin embargo, en los últimos meses fuentes oficiales de los Estado Unidos han confirmado el uso de bombas cibernéticas en ciberataques contra objetivos del Daesh.
También en materia de ciberseguridad nacional ha sido destacado el mes de junio, cuando la policía de Corea del Sur hizo público un ataque proveniente de Corea del Norte.
Fuente de la información: Panda Security
¿Garantizan las redes sociales la seguridad de los datos de sus usuarios?
Cesión de datos de Whatsapp a Facebook ha vuelto a abrir el debate
El anuncio hecho público hace unos días de la cesión de datos de Whatsapp a Facebook ha vuelto a abrir el debate sobre la privacidad en redes sociales. Esta operación, a la que el usuario puede oponerse en un plazo de treinta días, ha generado de nuevo una discusión sobre si las redes sociales están preparadas para asegurar la privacidad de sus usuarios.
Con el fin de aclarar esta cuestión, nuestra publicación ha contactado con Borja Adsuara, profesor, abogado y consultor, además de experto en privacidad y estrategia digital; Víctor Domingo, presidente de la Asociación de Internautas, Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP); y Víctor Salgado, socio director de Pintos & Salgado y de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC). Adsuara afirma que “empresas como Whatsapp reclaman más datos de los necesarios para prestar ese servicio al usuario”.
“Te regalan servicios a cambios de tus datos y hay que ser consciente de ello”, advierte.
Como otros de nuestros entrevistados advierte que el valor que se tiene de la privacidad por parte de los usuarios no es todo lo importante que se debiera, “salvo cuando surge un problema, casi siempre provocado por un exceso de visibilidad nuestro en las propias redes sociales”.
A juicio de este experto en privacidad, uno de los talones de Aquiles de las redes sociales es su capacidad de reacción ante reclamaciones por estos excesos.
“Una red como Facebook tiene una extensión superior o igual a cualquier país del mundo, si lo comparásemos con ellos. Los términos y condiciones de uso se han convertido en un nuevo derecho internacional por este motivo sin que tengan que decir nada los estados democráticos”, opina.
ES FUNDAMENTAL EL CONSENTIMIENTO EXPRESO
Otra cuestión que demanda es transparencia y cierta pedagogía en materia de privacidad que provenga de las redes sociales.
“Es fundamental que mejoren su aproximación al usuario en otro lenguaje más accesible para que se pueda entender realmente cuál es su política de privacidad”, asevera.
Sobre su seguridad, señala que “no podemos olvidar que algo que se hace público deja de ser seguro en muchas ocasiones”.
Desde el punto de vista de Adsuara, “sería bueno poder plantear una gobernanza en Internet que revisase todas las políticas de privacidad y estableciese unos mínimos en materia de protección de datos, control de contenidos o propiedad intelectual sería una especia de Constitución de Internet que tendría que ver con los Derechos Humanos”.
Para este experto, es fundamental el consentimiento expreso, informado y libre en este tipo de situaciones y no por defecto, como viene en las propias condiciones en Whatsapp si el usuario no quiere que intercambie datos con Facebook.
Por ello, las autoridades de consumo deberían vigilar qué es lo que hay en el mercado así como esos términos y condiciones que no contengan cláusulas leoninas para el usuario como se hace con los contratos bancarios....LEER NOTICIA COMPLETA.
Cien empresas cumplen requisitos del acuerdo de protección de datos UE-EEUU
Privacy Shield EU EE.UU.
El Departamento de Comercio de Estados Unidos (EEUU) ya ha certificado que 103 empresas del país cumplen con los requisitos necesarios para formar parte del nuevo acuerdo de protección de datos personales entre Washington y la Unión Europea (UE), informó hoy la Comisión Europea en un comunicado.
Desde el primero de agosto, las autoridades del estado norteamericano han comprobado si las políticas de privacidad de las empresas son acordes a los "elevados estándares de protección de datos" exigidos por la alianza conocida como "Escudo de la Privacidad", indicó el Ejecutivo comunitario.
Una vez obtenido el visto bueno, las compañías pueden recibir información personal desde la Unión Europea "en total conformidad" con las normas comunitarias de protección de datos.
El Departamento de Comercio de EEUU revisa en la actualidad las políticas de privacidad de 190 empresas más que se han unido al "Escudo de la Privacidad", mientras que otras 250 compañías están preparando el envío de su solicitud para integrarse.
Bruselas también manifestó su satisfacción con que un tercio de las compañías ya certificadas se hayan decantado por las autoridades comunitarias de Protección de Datos como su órgano de resolución de disputas, obligatorias para los datos relacionados con los recursos humanos pero opcionales para todos los demás.
De acuerdo con la CE, optar por el órgano comunitario permitirá a los ciudadanos acceder a compensaciones de forma rápida y sencilla si consideran que no se han respetado sus datos personales o si han sido mal utilizados.
Además, las organizaciones europeas pueden comprobar en la página web del acuerdo si sus filiales estadounidenses, a las que envían datos personales, ya han sido certificadas.
"El Escudo de la Privacidad entre la Unión Europea y Estados Unidos es un nuevo marco robusto para proteger los derechos fundamentales de los europeos, así como para facilitar la realización de negocios al otro lado del Atlántico", afirmó la comisaria europea de Justicia, Vera Jourova.
La titular europea expresó su alegría por la inscripción de "muchas compañías" y la adaptación de sus políticas de privacidad a los principios del "Escudo de la Privacidad".
"Animo a otras muchas a seguir el mismo camino y asegurar que los europeos puedan tener total confianza en la protección de datos personales cuando sean transferidos a los Estados Unidos", añadió Jourova....LEER NOTICIA COMPLETA.
AUGE DE LAS CÁMARAS PARA PROTEGER PROPIEDADES
La videovigilancia crece casi un 50% en Córdoba en los dos últimos años
Los que más recurren a este sistema son comercio, turismo-hostelería y comunidades de propietarios. Los ficheros inscritos en Protección de Datos han pasado de 2.856 en el 2014 a los 4.130 de ahora
Los sistemas de videovigilancia se han disparado en Córdoba. En solo dos años se han instalado un 50% más, sobre todo en el comercio, el turismo y la hostelería, y las comunidades de propietarios. El motivo no es otro que empresas y particulares buscan garantizar la seguridad de sus propiedades y evitar robos y hurtos, pero también es cierto que a este aumento han contribuido el abaratamiento de los equipos y los avances tecnológicos, que permiten controlar estos sistemas desde un simple móvil, explican expertos del sector de seguridad.
Según los datos facilitados por la Agencia Española de Protección de Datos, en la actualidad hay 4.130 ficheros de videovigilancia activos en Córdoba, cuando hace dos años, en el 2014, la cifra era de 2.856. El número de cámaras instaladas en estos más de 4.000 espacios es, no obstante, muy superior. Y es que desde la Agencia de Protección de Datos explican que a un fichero pueden estar adscritas una o más cámaras. El ejemplo sería el de unos grandes almacenes de varias plantas, donde habría decenas de cámaras pero a efectos de registro solo se contabilizaría un fichero.
Los datos señalan, además, que el 99% de los sistemas de cámaras de vigilancia son de titularidad privada. A 1 de agosto de este año, de los 4.130 ficheros de videovigilancia activos en Córdoba, 4.082 eran de titularidad privada y solo 48 de pública.
SECTORES Y REQUISITOS // Por sectores, el comercio, el turismo y la hostelería, y las comunidades de propietarios son los que más recurren a este tipo de sistemas, según la estadística nacional de la Agencia Española de Protección de Datos. De hecho, casi la mitad del total de ficheros registrados en España (280.256) pertenecen a estos tres ámbitos, que suman 120.107. Tras estos se encuentran los de la sanidad, las actividades relacionadas con productos alimenticios, bebidas y tabacos, y la construcción.
En todos los casos, la instalación de estos equipos implica el cumplimiento de una serie de requisitos. Entre estos, las cámaras instaladas en espacios privados no pueden obtener imágenes de espacios públicos. Desde la Agencia Española de Protección de Datos explican que solo podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible o imposible evitarlo.
Por ejemplo, si una cámara se ubica en la puerta de entrada de una entidad bancaria debería orientarse de modo que la parte de la calle que recoja se limite al acceso vigilado...--->NOTICIA COMPLETA:http://www.diariocordoba.com/noticias/temadia/videovigilancia-crece-casi-50-cordoba-dos-ultimos-anos_1074855.html
WhatsApp, Facebook y nuestro número: ¿están respetando las leyes de protección de datos?
La semana pasada Zuckerberg ocupaba titulares de manera indirecta dado que una decisión que atañía a los usuarios de dos de sus principales servicios era noticia. WhatsApp pasa a compartir el número de teléfono de sus usuarios con Facebook, de modo que la red social podría usarlo con el fin de ofrecer un contenido (publicitario y de sugerencias) más ajustado a cada caso.
El aviso salía en forma de pop-up en la popular app de mensajería advirtiendo del movimiento y con una opción un tanto escondida de desactivar el consentimiento. Pese a la notificación, la decisión implica la transferencia de un dato personal y tanto por el hecho en sí como por el procedimiento algunas autoridades están empezando a cuestionar la legalidad de esta maniobra. ¿En qué países no se ha visto con buenos ojos? A las autoridades no les gusta esto
Según las políticas de las compañías se está cumpliendo con las leyes de todos los países, si bien tanto WhatsApp como Facebook (y la totalidad de empresas del imperio de Zuckerberg) son estadounidenses. Esto, sin embargo, no es ningún colchón con respecto a la situación legal allí, y según leemos en Bloomberg la U.S. Federal Trade Commission está revisando el asunto tras haber recibido quejas de al menos dos organizaciones de consumidores del país, la CDD (Center for Digital Democracy) y EPIC (Electronic Privacy Information Center) (en un escrito conjunto).
El escrito es una serie de puntos que repasan el asunto desde que la FTC ya se dirigiese a WhatsApp y a Facebook en relación a los datos de los usuarios en 2014. En dicha carta, la FTC detallaba que la política de WhatsApp reflejaba de manera clara que "la información de los usuarios no será usada con fines comerciales o vendida a un tercero sin el consentimiento de los mismos". Según el presidente de EPIC, Mark Rotenberg, justo esto es lo que no se ha cumplido con el movimiento del pasado viernes.
WhatsApp se comprometió con sus usuarios, con la FTC y con las autoridades en privacidad de cada país a no divulgar datos a Facebook. Ahora ellos [WhatsApp y Facebook] han roto ese compromiso.
En Europa la novedad tampoco ha pasado desapercibida y en algunos países ya se está revisando el movimiento con el fin de determinar que, como asegura WhatsApp en su renovada política, tanto su actividad como la gestión de la información (por ejemplo esta compartición del número de teléfono) respeta las leyes de protección de datos a nivel global. La app de hecho ya tiene en su historial choques con la legislación europea en lo respectivo a la protección de datos, como en 2013 en el caso de Holanda.
Las autoridades estadounidenses, italianas y británicas están revisando el cumplimento de las leyes de protección de datos del consentimiento
El organismo italiano relativo a la protección de datos, la Autorità Garante per la Protezione dei dati personali, también se halla revisando dicho movimiento explicando que "la cuestión será examinada en conjunto con las autoridades europeas", con las cuales ya se encuentran trabajando, como refleja Prima Pagina Italy. El ICO (Information Commisioner's Office de Reino Unido) también está revisando el asunto en cuestión. Pero, ¿qué ocurre en España?
Una situación a aclarar
Nos hemos puesto en contacto con la Agencia Española de Protección de Datos para consultarles acerca de si se había iniciado algún tipo de vigilancia o revisión de este movimiento por parte de WhatsApp. Lo que nos han respondido en dicha institución es que WhatsApp y Facebook (y dicho movimiento) no estaban amparados bajo la Ley Orgánica de Protección de Datos, que "no es legal ni ilegal" y que al menos actualmente no existía ninguna revisión.
No hay una situación de vacío legal en este caso
Para intentar profundizar un poco más en el asunto, hemos recurrido al asesoramiento de dos abogados, David Maeztu y Sergio Carrasco, y ambos nos han detallado algo más la situación legal de las empresas y, concretamente, de este movimiento. Ambos nos han confirmado que no hay una situación de vacío legal en este caso, pero ¿por qué no ampara la LOPD esta compartición de un dato personal por parte de dichas empresas?
Según David Maeztu, abogado, la forma en la que se explican y redactan los términos y condiciones, así como la manera en cómo se recaba el consentimiento, podrían plantearse dudas en lo concerniente a la situación legal en España
Nos explica David que es algo difícil de evaluar en la actualidad, pero que el hecho de que no esté amparado puede ser debido a aspectos relativos al proceder y al permiso en sí. La LOPD refleja en su artículo número 11 que el consentimiento puede realizarse pero sólo "para fines relacionados con las funciones legítimas del cedente y del cesionario". Según él, la forma en la que se explican y redactan los términos y condiciones, así como la manera en cómo se recaba el consentimiento, podrían plantearse dudas en lo concerniente a la situación legal en España.
Aquí, además, apunta otro aspecto. WhatsApp es una empresa estadounidense y con ello podrían no aplicarse las normativas de la Unión Europea o de cada uno de los países (como la LOPD española), pero Facebook tiene su sede principal en Irlanda (desde 2009), por lo que puede que no quede del todo al margen de esta normativa, recordando aquí la sentencia impuesta a Google en el caso Mario Costeja, en la que la UE reconocía el llamado "derecho al olvido".
Por su parte, Sergio ya nos recordaba ayer que no se trata sólo de algo que afectase a la red de redes, sino que se extendía a todas las empresas de la familia (las cuales os incluíamos en un enlace al mencionarlo al principio). Lo hacía aludiendo al hecho de que, aunque desactivemos la casilla que se incluía en el susodicho comunicado, estaríamos aceptando que la información se use con otros propósitos....LEER NOTICIA COMPLETA.