• Cómo ejercer el «derecho al olvido» y desaparecer de Internet

    Cómo ejercer el «derecho al olvido» y desaparecer de Internet (en la medida de lo posible)

    El «derecho al olvido«, también conocido como «derecho de supresión», es un derecho que un ciudadano puede ejercer para solicitar que sus datos personales sean suprimidos de una determinada entidad. Aunque existe desde hace décadas, la universalización de Internet, que combina una enorme capacidad de almacenaje con motores de búsqueda, ha complicado la manera de ejercerlo a pesar que las últimas normas legislativas lo han favorecido expresamente como un derecho en la era digital.

    El nuevo reglamento de protección de datos de la UE (GDPR), establece que cualquier ciudadano tiene derecho a solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de búsqueda en Internet realizada por su nombre. La norma está avalada por una sentencia del Tribunal de Justicia de la Unión Europea, que declaró el derecho a solicitar a los motores de búsqueda la retirada de determinados resultados de sus búsquedas.

    Sobre el papel, la norma obliga a los motores de búsqueda a suprimir cualquier dato personal con cuya publicación no esté de acuerdo la persona interesada y pueden vincularse con información desactualizada, errores de fuente mal documentada o de carácter malicioso. De hecho, los principales motores han puesto a disposición de los usuarios una serie de formularios con los que realizar sus peticiones

    Derecho al olvido - Ley organica de proteccion de datos

    Derecho al olvido en Internet

    La Oficina de Seguridad del Internauta (OSI) ha publicado un artículo práctico en el que recuerda el proceso.

    Motores de búsqueda

    Los principales proveedores han puesto a disposición de los usuarios una serie de formularios para ejercer el derecho al olvido.

    Adicionalmente, Google ofrece una web desde la que podremos comprobar las estadísticas de estas solicitudes. Los pasos son sencillos de seguir:

    1. Acceder al formulario correspondiente al buscador del que queramos eliminar esta información o URL. En este ejemplo, seguiremos el de Google.
    2. Rellenar todos los campos del apartado TU INFORMACIÓN: país de origen, nombre legal completo, dirección de correo electrónico de contacto, etc.
    3. Cumplimenta los datos referentes a la información personal que queremos eliminar y dónde se encuentra alojada (URL).
    4. Tras leer y confirmar que hemos entendido la explicación del tratamiento de datos, podremos firmar la petición y enviarla directamente a Google. Debemos tener en cuenta que la retirada de información no siempre es posible, ya que solo dejará de estar visible a través del buscador, y que puede tardar un tiempo en llevarse a cabo.

    Redes sociales

    Las redes sociales contienen una cantidad inmensa de información personal sobre nosotros. Por suerte, también podemos ejercer el derecho al olvido” en ellas y conseguir que se elimine toda la información que almacenan. Una opción sería eliminar de manera definitiva nuestra propia cuenta de usuario. Sin embargo, como esta acción borrará todas las imágenes, vídeos y comentarios que hayamos publicado, muchas redes sociales disponen de una opción para descargar toda la información de nuestro perfil. Así, aunque eliminemos nuestra cuenta, podremos tener acceso a todas nuestras publicaciones y a la información que no queramos perder.

    Si por el contrario, consideramos que hay información publicada sobre nosotros en otros perfiles y queremos reclamar su eliminación por falta de veracidad o porque afectan a nuestra imagen y reputación, siempre podemos ejercer nuestros derechos ARCO (acceso, rectificación, supresión, oposición) o pedir a los administradores del servicio que eliminen esta información a través de los mecanismos que faciliten para tal fin.

    Derecho al olvido en personas fallecidas

    Según la LODGDD, las personas vinculadas al fallecido, como familiares o pareja de hecho, o aquellas que hubiesen sido designadas previamente, podrán ejercer los derechos ARCO de los datos personales de la persona fallecida para su rectificación o supresión.

    Además, muchas redes sociales permiten designar un contacto de legado que podrá administrar la cuenta del fallecido, que pasará a ser conmemorativa, como es el caso de Facebook, aunque en la mayoría bastará con demostrar nuestra relación con la persona según lo establecido en la LODGDD (TwitterInstagramYoutube). Este contacto podrá además solicitar la eliminación total de la cuenta en nombre del fallecido.

    Derecho al olvido - Ley organica de proteccion de datos 2

     

    Fuente: Muyseguridad

     

  • Cómo mejorar la seguridad en Internet en 10 pasos

    Cómo mejorar la seguridad en Internet en 10 pasos

    La seguridad en Internet está amenazada por todo tipo de malware, el robo de datos o la invasión a la privacidad. La era de la movilidad, la domótica, el coche inteligente o la Internet de las Cosas, han aumentado enormemente los dispositivos conectados, la manera de alojar información y el modo de acceder a servicios y aplicaciones en línea de todo tipo con las que conectamos a diario centenares de millones de usuarios, aumentando los riesgos de seguridad para consumidores y empresas.

    El auge de fenómenos como el BYOD, a pesar de sus múltiples ventajas, es todo un desafío para los departamentos TI ante la multiplicación del número de dispositivos que se conectan a las redes empresariales y tienen acceso a los datos corporativos. Más aún, el aumento del teletrabajo y tele-estudio por la pandemia del coronavirus ha complicado la situación de la ciberseguridad al sacar fuera de las redes perimetrales empresariales (generalmente mejor protegidas que las caseras) millones de equipos.

    Seguridad en Internet

    Conseguir el 100% de seguridad y privacidad en una red global y en un mundo tan conectado es simplemente imposible a pesar de la mejora de la protección por hardware y software implementada por fabricantes de equipos y proveedores de sistemas y aplicaciones.

    Sin embargo, desde el apartado del cliente podemos y debemos aumentar la protección observando una serie de consejos como los que te vamos a recordar en este artículo y que incluyen el fortalecimiento de las cuentas on-line, aplicaciones, equipos y las precauciones debidas en el uso de Internet y sus servicios. Y mucho, mucho sentido común.

    1- Protege los navegadores

    Todos los navegadores web incluyen características avanzadas de seguridad cuya activación debemos revisar y configurar porque son las aplicaciones con las que accedemos a Internet y sus servicios. Además de revisar el cifrado de extremo a extremo en la sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los avisos sobre sitios inseguros. También debemos revisar las extensiones instaladas porque algunas son fuente frecuente de introducción de malware.

    Para mejorar la privacidad, nada mejor que usar el modo incógnito, una función que hoy ofrecen todos los grandes proveedores como sesión temporal de navegación privada que no comparte datos con el navegador, no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, borrando éstas u otros archivos temporales cuando finalizamos la sesión.

    seguridad en Internet

    2- Gestiona bien las contraseñas

    Las violaciones masivas de la seguridad de los servicios de Internet están a la orden del día y con ello millones de contraseñas quedan expuestas. La realidad es que las contraseñas son un método horrible tanto en seguridad como en usabilidad, pero hasta que no se consoliden métodos más avanzados que tienen que llegar de la identificación biométrica, tenemos que seguir utilizándolas.

    La regla de oro es tener una contraseña fuerte y distinta para cada sitio web. Las contraseñas largas y aleatorias previenen los ataques de fuerza bruta y el uso de una contraseña diferente para cada cuenta evita tener todas ellas comprometidas a la vez cuando se produce una violación de datos. Los gestores de contraseñas que sean capaces de generar y recordar decenas de contraseñas, son una buena herramienta para reducir los errores humanos.

    3- Usa la autenticación de dos factores

    La autenticación de dos factores (o en dos pasos) proporciona un nivel adicional de seguridad en las cuentas ya que no basta con vulnerar el nombre de usuario y contraseña. El servicio está disponible en la mayoría de servicios importantes de Internet y conviene utilizarlo siempre que podamos.

    Generalmente, utiliza un código de verificación servido mediante una aplicación móvil o SMS, como un mecanismo para confirmar la identidad del usuario pero añadiendo seguridad adicional al uso de las contraseñas. Este método, dificulta enormemente los ciberataques, especialmente los de ‘fuerza bruta’.

    4- Utiliza soluciones de seguridad

    Sistemas operativos como Windows incluyen la solución de seguridad nativa Windows Defender como protección básica para un consumidor. Es lo mínimo que debemos usar o -mejor- apostar por los proveedores especializados que ofrecen un buen número de soluciones de seguridad, muchas de ellos gratuitas. Usuarios avanzados o profesionales deberían valorar el uso de una suite de seguridad comercial integral y también otras herramientas de seguridad como un firewall.

    Sistemas de cifrado de datos como BitLocker, disponible en algunas ediciones de Windows, son de gran utilidad para usuarios empresariales, ya que permite cifrar o “codificar” los datos de un equipo para mantenerlos protegidos haciendo frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos.

    5- Actualiza sistemas operativos y aplicaciones

    Todos los sistemas operativos tienen mecanismos automáticos o manuales para instalar actualizaciones de seguridad. Son parches de seguridad que se entregan cada cierto tiempo contra amenazas conocidas y son de obligada instalación.

    Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa, con especial incidencia en algunas como Java, Adobe Flash o Reader.

    6- Cuidado con las redes inalámbricas gratuitas

    Los puntos de acceso gratuitos se han extendido por múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o metro, hoteles y en todo tipo de negocios. Varios estudios han confirmado la inseguridad intrínseca de estas redes inalámbricas públicas y la facilidad de los ciberdelincuentes para aprovecharlas.

    Deben evitarse siempre que se puedan optando por redes de banda ancha móvil dedicadas de mayor seguridad y en su defecto solo usarse para navegación intrascendente y ocasional, sin emplearlas para accesos a servicios delicados como banca on-line o aquellos que requieran autenticación real de usuario.

    7- Usa VPN para mejorar la privacidad

    El uso de redes privadas virtuales es una opción para los que buscan una mayor privacidad  y con ello mayor seguridad en Internet, ya que ocultan la dirección IP del usuario y redirigen el tráfico a través de un túnel VPN cifrado.

    Ese grado de «invisibilidad» ofrece mejoras directas de seguridad contra ataques informáticos, de privacidad frente al robo de datos y la apropiación de identidades, y otras ventajas añadidas como proteger la identidad en línea, salvaguardar las transacciones electrónicas y compras por Internet o permitir seguridad en el uso de redes Wi-Fi públicas.

    seguridad en Internet

    8- Valora las llaves de seguridad hardware para cuentas vitales

    Para cuentas vitales, especialmente en entornos empresariales, conviene hacer una inversión adicional para proteger las cuentas usando un mecanismo de seguridad por hardware. Generalmente es un dispositivo en formato pendrive que se conecta a un puerto USB y contiene un motor de cifrado de alta seguridad.

    Todo el proceso se realiza dentro del hardware y aunque no se han mostrado totalmente infalibles cuando utilizando conexiones por Bluetooth, por lo general aumentan enormemente la seguridad que logramos mediante software.

    9- Utiliza copias de seguridad

    Ya decíamos que la seguridad al 100% en una red global no existe y no sólo por el malware, ya que un error en el hardware puede provocar la pérdida de la preciada información personal y/o profesional. La realización de copias de seguridad es por tanto altamente recomendable para un usuario y profesional que pretenda proteger la información personal y corporativa de un equipo informático. además de ser una tarea de mantenimiento que contribuye a la salud del hardware.

    Las copias de seguridad deben almacenarse en un dispositivo de almacenamiento externo al de nuestro equipo o en un servicio de almacenamiento en nube que ante cualquier ataque nos permita recuperar los datos.

    10- Sentido común

    La prudencia es una de las barreras preferentes contra el malware y conviene extremar la precaución contra ataques de phishing o ransomware que a poco que prestemos atención podremos prevenir, porque usan el descuido del usuario.

    Para ello, debemos evitar la instalación de aplicaciones de sitios no seguros; la apertura de correos electrónicos o archivos adjuntos no solicitados que llegan de redes sociales o aplicaciones de mensajería; la navegación por determinadas páginas de Internet; o usar sistemas operativos y aplicaciones sin actualizar, que contienen vulnerabilidades explotables por los ciberdelincuentes en las campañas de malware.

    Fuente: Muyseguridad

  • Condenan a Reino Unido por la interceptación masiva de datos

    Reino Unido tendrá que pagar 185.000€ a los demandantes

    El Tribunal Europeo de Derechos Humanos concluye que Reino Unido vulneró dos conceptos del artículo 8 del Convenio Europeo de Derechos Humanos que protege el derecho a la vida privada, familiar y a la privacidad de la correspondencia.

    El Tribunal Europeo de Derechos Humanos (TEDH) ha condenado a Reino Unido por la interceptación masiva de comunicaciones y la obtención de datos de empresas tecnológicas por sus servicios secretos, pero no por haber compartido esa información con otros estados. También que violó el artículo 10, sobre libertad de expresión, por la ausencia de garantías en la divulgación de la identidad de la fuente de un periodista. Pero al mismo tiempo, por cinco votos contra dos, ha dictaminado que Reino Unido no infringió el artículo 8 por compartir los datos con agencias de inteligencia extranjeras, en concreto de Estados Unidos. La sentencia hace referencia a tres casos presentados por 16 asociaciones, periodistas y activistas, entre ellas la ONG británica de defensa de los derechos civiles y la privacidad Big Brother Watch, en España el conocido progrma de televisión Gran Hermano.

    reino unido sentencia TEDH

    En su fallo, los jueces europeos imponen a Reino Unido el pago a los demandantes de 185.000 euros en concepto de costas. Al no haber reclamación por daños morales, no se ha atribuido ninguna cantidad por ese concepto. Aunque para el TEDH los servicios de inteligencia británicos "se toman en serio las obligaciones" con el Convenio Europeo de Derechos Humanos y "no abusan de sus poderes", sí se queja de que el proceso de selección y la búsqueda de comunicaciones interceptadas "no están sometidos a una vigilancia independiente adecuada". En la práctica, "no hay auténticas garantías en la selección de datos de comunicación pertinentes a examinar", y eso significa que esas informaciones "son susceptibles de revelar muchas cosas sobre los hábitos y los contactos de un individuo".

    El TEDH estima que la interceptación masiva "no supone en sí una vulneración del Convenio" y que "los gobiernos disponen de un amplio margen de apreciación para determinar qué tipo de sistema de vigilancia necesitan para proteger la seguridad nacional". De hecho, sostiene que ese carácter masivo era "adecuado", respecto al objetivo legítimo perseguido, en un contexto de amenaza del terrorismo global. Sobre el hecho de compartir datos con otras agencias extranjeras, la sala primera del tribunal dice que "nada indica la existencia de fallos importantes" en la aplicación de la normativa británica que recoge esa posibilidad, "ni elementos que atestigüen posibles abusos". En cuanto a la libertad de expresión, los jueces se inquietan porque "informaciones periodísticas confidenciales puedan ser seleccionadas deliberadamente para ser examinadas" y el "efecto disuasivo" de esa injerencia en las fuentes informativas.

    Las demandas se presentaron ante el TEDH entre 2013 y 2015, después de que el exagente de la CIA Edward Snowden revelara la existencia de programas de vigilancia e intercambio de información entre los servicios de inteligencia de EEUU y Reino Unido. Los demandantes denunciaban que sus comunicaciones pudieron ser interceptadas o recopiladas por los servicios secretos británicos.

    Fuente: expansion

  • Cuidado con el timo del radar, la DGT NO ENVIA sanciones por email

    Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **


    Es muy probable que en estos últimos días hayas oído hablar sobre el “timo de la multa del radar”. Si no sabes muy bien que es, debes estar atento porque todos los conductores estamos expuestos a esta nueva estafa. Coincidiendo con el aumento de los controles de velocidad que la DGT está llevando a cabo esta semana, los delincuentes envían mediante correo electrónico una supuesta multa por exceso de velocidad.

    La Guardia Civil ha informado por redes sociales de esta nueva estafa: “El ‘timo de la multa del radar” consiste en el envío de un correo electrónico con un supuesto boletín de denuncia y un enlace para descargar la fotografía. Si pinchas en este enlace se instalará en tu pc un programa que robará tus contraseñas y datos bancarios. Ojo al _“Phishing”.

    En un primer momento puede parecer real: la DGT aparece como remitente, la multa tiene todos los datos del infractor, y receptor del email, e incluye la foto tomada por el radar en el momento de la supuesta infracción. El problema está precisamente en la foto, a la que podremos acceder tras pinchar en un enlace que, aunque no lo sepamos, es malicioso. Tras hacer click en este, se descargará un archivo que permitirá a los estafadores acceder a todas nuestras contraseñas y claves, incluidas las que utilizamos para pagar con tarjeta y las de la cuenta bancaria.

    Lo primero que tenemos que saber es que la DGT no envía las multas por correo eléctronico, sino que utiliza el correo certificado para notificar las infracciones. Se trata, por tanto de un nuevo caso de phising cuyo objetivo es robar todos tus datos. Si recibes un correo electrónico de este tipo, no pinches y bórralo cuanto antes. Además, para ayudar a captar a los delincuentes, se recomienda que te pongas en contacto con el Grupo de Delitos Telemáticos de la Guardia Civil. Y recuerda que a través de la web de la DGT puedes consultar las multas pendientes de pago.

     

    TTCS - Proteccion de dato - Phising - Multa radar

     

    Fuente: Internautas

  • Cuidado con los juguetes conectados que pueden «espiar» a tus hijos

    La AEPD y OCU ya lo han advertido: Los juguetes que se conectan a internet, recopilan información sobre nuestros hijos 

    Un juguete conectado es aquel que intercambia información con otro soporte y que suele requerir la instalación de una aplicación en un móvil o tableta. Este producto suele registrar imágenes y sonidos y enviarlos directamente a internet con lo que esta información se procesa al otro lado de la Red y el resultado vuelve al propio juguete para crear así un mecanismo de interacción y respuesta a las acciones del niño. «Los juguetes conectados no son inseguros en principio, pero los padres deben comprobar qué datos recoge el juguete y para qué los va a utilizar», asegura la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, durante la presentación de unos serie de recomendaciones para impulsar la compra segura en internet con motivo del «Black Friday» y la próxima campaña navideña.

    En este contexto, la AEPD recomienda que los progenitores investiguen qué datos recoge el juguete y cuál es su destino final, así como la forma en que se protegen esos datos, dónde se almacenan y si se van a enviar a terceros.

    Para que los usuarios puedan informarse antes de comprarlos, desde la AEPD aconsejan que se pregunte al personal del establacimiento donde se vaya a adqurir el juguete; revisar el manual de instrucciones y localizar la política de privacidad; descargar la aplicación y revisarla antes de hacer la compra y visitar la web del fabricante y buscar opiniones de otros consumidores sobre el juguete en la web. Tambien aconsejan optar por productos que ofrezcan información completa e identifiquen de forma clara cuándo se está grabando la voz del niño.

    Desde la OCU también han advertido en varias ocasiones sobre los riesgos de estos juguete ya que pueden contar con wifi propio a la que se accede sin contraseñas y «en según qué manos puede resultar peligroso». «Además, desgraciadamente hoy en día no existen leyes que regulen este tipo de seguridad y son los consumidores, en este caso menores de edad quienes resultan más perjudicados», alertan desde la asociación de consumidores.

    juguetes conectados kIUB 620x349abc

    Fuente: abc

  • Cumplo con el control horario pero, ¿vulnero la protección de datos al implantarlo?

    Cumplo con el control horario pero, ¿vulnero la protección de datos al implantarlo?

     

    Con motivo de la recién entrada en vigor de la normativa que obliga a registrar la jornada laboral de los trabajadores, nos encontramos que muchas empresas, debido a las prisas, están procediendo a implantar sistemas de control horario sin tener en cuenta la normativa vigente en materia de protección de datos, lo que podría suponerles importantes sanciones económicas.

    Entre los nuevos mecanismos para fichar, la mayoría de empresas se decantan por sistemas de recogida de huella digital. Esto conlleva un nuevo tratamiento de datos de los trabajadores que hasta ahora no se contemplaba por parte de las empresas, lo que implica varias cosas. Primero, la obligación de informar del nuevo tratamiento por parte del departamento de Recursos Humanos. Y, segundo, dependiendo de la tecnología empleada en la recogida de los datos, ver si ello supone la necesidad de realizar una Evaluación de Impacto, que debería realizarse previamente al tratamiento. Una obligación recogida en el artículo 35.1 del Reglamento General de Protección de Datos (RGPD).

    Precisamente, el pasado día 6 de mayo, la Agencia Española de Protección de Datos (AEPD) publicó el listado de tratamientos en los que es obligatorio realizar esa Evaluación de Impacto. En el punto 5 del listado incluye "tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física".

    La normativa de protección de datos no impide que se utilice este sistema como mecanismo de control de jornada. Pero lo que sí exige es que los tratamientos cumplan con el principio de minimización, limitación de la finalidad, proporcionalidad y, por supuesto, que se informe al trabajador del tratamiento de sus datos con la finalidad del control de su jornada.

    ¿Cuáles son los pasos necesarios?

    En primer lugar, si las empresas están valorando implantar un sistema de estas características, el proveedor del sistema debe informar de la tecnología empleada y documentar un análisis de necesidad de Evaluación de Impacto. Hay que documentar si el sistema almacena una copia de la huella del trabajador, o si la información sobre la huella se convierte en lo que se denomina "minucias". ¿Qué son las 'minucias'? Ciertas características del dibujo de la huella que se guardan en el sistema pero que no son como tal la huella digital original, sino un patrón de ésta sin que sea posible reconstruir la imagen original de la huella dactilar. Esto va a condicionar la necesidad o no de tener que hacer una Evaluación de Impacto.

    Pero resulta que estamos viendo cada día cómo las empresas ni siquiera están firmando los contratos de encargado de tratamiento que son obligatorios con estos proveedores que acceden a la información de nuestros trabajadores.

    El segundo paso es informar a los trabajadores. Con carácter general, la implementación del registro de jornada no precisa el consentimiento del trabajador, pero sí existe obligación en el momento de la recogida de la huella, al ser un dato personal, de informarle del nuevo tratamiento y su finalidad. Incluso en formatos en papel o Excel hay que informar de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.

    Apps para fichar con geolocalización

    Otros sistemas utilizados consisten en apps que el trabajador se puede descargar en su teléfono móvil en el que se habilita la opción de geolocalización. En Helas nos hemos encontrado con empresas que el lunes 13 activaron la geolocalización en los teléfonos propiedad de la empresa y no han informado a sus trabajadores. La nueva Ley de Protección de Datos considera que hay interés legítimo de la empresa para usar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de sus funciones (artículo 20.3 del Estatuto de los trabajadores) pero siempre y cuando se informe previamente de su existencia y características.

    Hay empresas que incluso han activado la geolocalización en teléfonos móviles personales de los trabajadores. Recordemos que la Audiencia Nacional ya declaró este sistema contrario a la normativa de protección de datos (por ejemplo, el caso de Telepizza que obligaba al repartidor a aportar su móvil para geolocalizarlo).

    Es decir, se puede dar la paradoja de que las empresas no afronten multas de la Inspección de Trabajo por el control horario, pero que la Agencia de Protección de Datos inicie más de un procedimiento sancionador por saltarse la normativa sobre protección de datos.

     

    RegistroHorario

     

    #controlhorario #controllaboral #controlhorariodeltrabajador #fichajehorario #protecciondedatos #aepd

    Fuente: Eleconomista

     

     

  • Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

    Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

     

    “22 millones de registros en total, de los cuales 1.060.000 son afectados de la Unión Europea y unos 17.792 de España”: son datos de un incidente de seguridad informática que afectó a Cafepress, una empresa dedicada a la venta de camisetas personalizadas en todo el mundo.

    Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos, con la que se archivan las actuaciones referentes al ese incidente en el que fueron sustraídos, para ser puestos a la venta, datos personales de varios miles de españoles.

    Datos de clientes a la venta en la “dark web”

    Todo comenzó el 6 de agosto de 2019. Ese día Cafepress (que tiene su sede en Shelbyville Road, Lousville, Kentucky, Estados Unidos) descubrió que dos conjuntos de registros de datos de clientes estaban disponibles a la venta en la “dark web”.

    Se denomina “dark web” aquella parte parte de la “deep web” o Internet profunda que está intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.

    En estas redes de “dark web” se llevan a cabo transacciones ilegales: drogas, armas, pornografía infantil, órganos humanos... se venden a través de él.

    Notificación a Protección de Datos

    La Agencia Española de Protección de Datos recibió un escrito de notificación de quiebra de seguridad remitido por Jones Day, un bufete de abogados que representaba a Cafepress INC.

    En el escrito se le informaba de que por fuentes externas habían tenido conocimiento de que Cafepress se había enterado “por fuentes externas que su base de datos de clientes había sido puesta a la venta en la ‘dark web’, un conjunto de un total de 22 millones de registros. Tras investigar el caso determinaron que una tercera persona no identificada obtuvo, sin autorización, la base de datos de clientes de Cafepress”.

    De esos 22 millones de registros por todo el mundo, más de un millón pertenecían a ciudadanos de la Unión Europea, y a su vez 17.792 eran de España.

    Al comprobar que había clientes de la empresa afectados, Cafepress notificó los hechos a la Agencia Española de Protección de Datos, que puso a la Subdirección General de Inspección de Datos a realizar unas actuaciones previas de investigación para el esclarecimiento de los hechos.

    Contraseñas, tarjetas de crédito...

    Uno de los problemas iniciales fue que tras recibir las notificaciones, algunas autoridades de control europeas se consideraron interesadas en el asunto. Pero otras, como la del Reino Unido, consideró que no había nada que investigar ya que Cafepress no cuenta con una sede física en la Unión Europea.

    En principio, sobre los datos robados a esta web de personalización de camisetas y puestos a la venta en la “dark web” la Agencia Española de Protección de Datos indica que “las categorías de datos afectados por la brecha son datos básicos y de contacto, datos identificativos como nombres de usuario y contraseñas y, solo en algunos casos, datos económico-financieros tales como información de tarjetas de crédito (cuatro últimos números y fecha de caducidad)”.

    Sí que hubo unos 15 afectados de la Unión Europea que vieron comprometidos datos más sensibles, como números de identificación fiscal o equivalentes, pero ninguno de ellos de España.

    La empresa cuyos datos fueron sustraídos recibió unas 80 solicitudes de información de afectados de la Unión Europea relacionadas con el caso, pero ninguna en la que se manifieste haber sufrido daños por el incidente. Y concluyó que “la probabilidad de que los afectados experimenten consecuencias significativas es neutral para las 15 personas cuyos identificadores fiscales se vieron comprometidos, e improbable para el resto”.

    Análisis forense

    En su resolución, la Agencia Española de Protección de Datos analiza las medidas adoptadas por Cafepress. Entre las barreras que tenía antes de la “brecha” señala que “constaban medidas de seguridad como Hashing para las contraseñas de los usuarios, segmentación de red, cifrado de credenciales en tránsito, política de claves robustas para empleados, firewalls perimetrales, controles de acceso físicos, formación anual en seguridad para los empleados, y protección con software antivirus. Existe otro grupo de medidas adicionales implementadas para mitigar riesgos relacionadas la mayoría con la migración a otros servidores en julio de 2019 de las tablas de registros de clientes”.

    Tras el robo de datos, Cafepress comunicó el suceso al Reino Unido (donde había una gran concentración de afectados) y al resto de las autoridades de control de la Unión Europea cuando determinó el número de afectados de cada país.

    Esta empresa estadounidense inició sus propios análisis, con expertos forenses externos. Éstos no pudieron confirmar realmente si la información de los clientes había sido obtenida de su base de datos, “ya que los logs que registran el tráfico en tiempo real no reflejan el incidente”.

    Ayuda del FBI

    Además, denunció los hechos y comenzó a cooperar con el FBI de Estados Unidos (el país de su sede), y notificó el problema a todos los afectados mediante correo electrónico.

    “En el presente caso, consta una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una posible brecha de confidencialidad, como consecuencia del acceso indebido por terceros ajenos a la base de datos del sistema de información de Cafepress”, establece la Agencia Española de Protección de Datos.

    También concluye que la empresa “disponía de razonables medidas técnicas y organizativas preventivas a fin de evitar este tipo de incidencias y acordes con el nivel de riesgo”, así como de “protocolos de actuación para afrontar un incidente como el ahora analizado, lo que ha permitido de forma diligente la identificación, análisis y clasificación del supuesto incidente de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, minimizar el impacto e implementar nuevas medias razonables y oportunas para evitar que se repita la supuesta incidencia en el futuro a través de la puesta en marcha y ejecución efectiva de un plan de actuación”.

    Como recomendación, Protección de Datos pide a Cafepress que realice un informe final sobre el incidente, que supondría “una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada causada previsiblemente por un error puntual”.

    Al considerar que Cafepress no había infringido la normativa sobre protección de datos personales, la autoridad española ha terminado archivando las actuaciones sobre este robo de información que afectó a más de 17.000 españoles.

     

    not. 16.07.20

    #robodeinformacion  #usoinapropiadodeinformacion #ventadeinformacionprivada #AEPD #agenciaespañoladeprotecciondedatos #protecciondedatos

    Fuente: Elconfidencialdigital

  • Denuncian otra vez a Uber y Cabify ante la AEPD

    Uber y Cabify denunciadas (otra vez) ante la Agencia Española de Protección de Datos

    La asociación para la defensa del sector del Taxi,Taxi Project ha presentado una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra las empresasUber y Cabify. La organización ha presentado varios informes en los que estudian y analizan el tratamiento de datos por parte de estas dos empresas. Según dichas investigaciones, Uber y Cabify incumplen variasinfracciones en cuanto a la legislación de protección de datos, así como sobre otros ámbitos que afectan a los derechos de los consumidores, como puedan ser normas para los Servicios de la Sociedad de la Información y el Comercio Electrónico, legislación de Consumidores y Usuarios o sobre la sentencia del TJUE del 20 de diciembre de 2017 en el que se reconocía a Uber como un servicio de transporte.

    Según la organización de taxistas, los informes entregados a la Agencia demuestran que se incumplen sistemáticamente hasta ocho artículos diferentes entre normativas europeas y estatales sobre protección de datos. La excusa para eximirse de toda culpa, según explica Taxi Project, es seguir defendiendo que la empresa es un mero intermediario en el caso de Uber o una agencia de viajes en el caso de Cabify. Pero ya existe una sentencia del Tribunal de Justicia de la Unión Europea que especifica que prestan un servicio de transporte, por lo que se deben hacer responsables de las infracciones o los datos del consumidor cuando contrata sus servicios.

    No es la primera vez que una denuncia de este tipo llega a la AEPD. La asociación FACUA-Consumidores en Acción presentó una denuncia similar en 2019. La Agencia dictaminó que había “indicios racionales” sobre la posibilidad de que Uber esté incumpliendo el artículo 7 del Reglamento General de Protección de Datos (RGPD).

    Pero la ingeniería fiscal de Uber, que traslada todos sus beneficios en Europa a los Países Bajos, también le ha venido muy bien para esquivar la denuncia por parte de FACUA. La AEPD, tras anunciar que veía indicios de que se estuviera incumpliendo la ley, trasladó el caso a las autoridades holandesas, donde Uber tiene su sede, al entender que debe ser dicho país quien estudie y dictamine sobre este caso, aunque los afectados estén repartidos por toda la Unión Europea o la denuncia haya salido del Estado español.

    Denuncia UBER ante AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #leyorganicadeprotecciondedatos #AEPD #denunciaUBER #facua

    Fuente: Elsaltodiario

  • Derecho al olvido, un derecho fundamental

    Derecho al olvido, un derecho fundamental

    Realmente no se llama derecho al olvido, si no derecho de supresión. Bajo ciertas condiciones tenemos derecho a suprimir enlaces que lleven a nuestros datos personales. De esta manera, estos datos no aparecerán si se busca nuestro nombre en Internet.

    El Tribunal de Justicia de la Unión Europea hizo pública una sentencia el 13 de mayo de 2014 en la que se reconocía este derecho. Sin embargo hay que tener en cuenta que esto no significa que podamos simplemente «eliminarnos de google». Hay una serie de condiciones de adecuación y pertinencia previstos en la sentencia. Por lo tanto, este derecho sólo lo podemos ejercer cuando la información que hay sobre nosotros sea obsoleta y carente de relevancia o interés público. Esto incluye información nuestro en boletines oficiales e informaciones amparadas en el derecho a la información y libertad de expresión.

    Pero, ¿ante quién acudir?

    Podemos ejercerlo ante la fuente original (un periódico, un boletín o un blog) o ante el buscador. Ambas fuentes utilizan tratamientos de datos y protocolos diferentes. Puede darse el caso, por lo tanto, que el editor de la fuente original no tenga por qué borrarlo pero sí el buscador. Esto se debe a que es la difusión universal la que tiene implicaciones en la privacidad.

    En el caso de tener que ejercerla ante el buscador, esto no significa que el artículo se tenga que eliminar ni que el editor tenga que desindexarlo. Simplemente significa que no aparecerán resultados al hacer la búsqueda del nombre del interesado. Es decir, que en caso de que la búsqueda que se haga sobre otro tema relacionado, puede aparecer el artículo con el nombre del interesado.

    Ejerciendo el derecho al olvido

    Desde hace cinco años de su existencia, sabemos que está pero no cómo ejercerla. Es imprescindible acudir a la entidad que gestiona dichos datos. Los buscadores tienen sus propios formularios (Google, Yahoo y Bing). En caso de que no se responda o la respuesta sea negativa, habría que abrir una reclamación ante la Agencia Española de Protección de Datos. La AEPD determinará si procede o no. En caso negativo, se puede apelar a los tribunales.

    Hay que tener en cuenta que en caso de tener cierta relevancia para el público, prevalece el derecho a la información. Esto significa que no siempre se puede ejercer derecho al olvido en casos concretos, ya que siempre se estudia caso por caso.

     

    derecho al olvido AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #derechoalolvido

    Fuente: medialabtoledo

  • Detenidas 22 personas, ocho en Mallorca, por estafar 108.000 euros con el método 'phishing'

    Detenidas 22 personas, ocho en Mallorca, por estafar 108.000 euros con el método 'phishing'

    Agentes de la Guardia Civil de Valencia, en el marco de la operación 'MUZIB', han detenido a 22 personas, 8 de ellas en Mallorca, por estafar presuntamente más de 108.000 euros a 61 perjudicados. Al parecer, los detenidos realizaban transferencias repetitivas, de no más de 500 euros en cada operación para no ser descubiertos, llegando incluso en algún caso a vaciar una cuenta con 8.000 euros en tan sólo 16 transacciones, según ha informado el Instituto Armado. 

    A los detenidos se les atribuyen los delitos de pertenencia a organización criminal, estafa continuada, falsedad documental, descubrimiento y revelación de secretos en diferentes puntos de la geografía española. La operación comenzó el año pasado, tras denuncia interpuesta en el Puesto de la Guardia Civil de Tavernes de la Valldigna (Valencia) por un delito de estafa a través de una plataforma de pago móvil. El modus operandi empleado por la banda consistía en emular las páginas web de diversas entidades bancarias, antes de la comisión del delito, donde en los correos "anzuelo" enviados,incluían esta URL.

    De este modo, los detenidos obtenían las claves, contraseñas o firmas digitales de la persona perjudicada para así poder acceder a sus cuentas bancarias y realizar cualquier tipo de transferencia bancaria sin su consentimiento, según las mismas fuentes. La investigación permitió identificar a las personas beneficiarias de los traspasos fraudulentos y así conocer la totalidad de las cuentas bancarias bajo su titularidad. En la investigación se analizaron también las interpuestas en el Cuerpo Nacional de Policía, Mossos de Escuadra, Policía Foral de Navarra, Ertzaina, y Policía Municipal de Madrid. Durante la operación, el equipo investigador averiguó, que en el entramado criminal se habían utilizado "mulas bancarias", las cuales prestaban sus cuentas a cambio de una remuneración económica.

    Asimismo, se determinó que los investigados utilizaron un total de 34 cuentas bancarias y 48 líneas de teléfono, no solo a su nombre como de terceros, incluso con identidades falsas para dificultar la labor de investigación. La investigación permitió detener a 22 personas en diferentes puntos de la geografía española: una persona en Tarragona, seis en Barcelona, ocho en Mallorca, una en Sevilla, tres en San Sebastián, dos en Oviedo y una en Pamplona. De los detenidos, 10 eran hombres y 12 mujeres, de edades comprendidas entre los 22 y 63 años, y de nacionalidades española, cubana, marroquí, portuguesa y senegalesa. En concreto, se les atribuyen 61 delitos de estafa continuada, pertenencia a grupo criminal, 61 delitos de falsedad documental, 61 descubrimientos y revelación de secretos.

     

    Pishing Mallorca

     

    Fuente: Ultimahora

  • EE UU lanzó este jueves un ciberataque a Irán autorizado por Trump

    EE UU lanzó este jueves un ciberataque a Irán autorizado por Trump

     

    El comando cibernético del Ejército de Estados Unidos lanzó el pasado jueves un ataque digital contra el sistema informático militar de Irán, aprobado por el presidente Donald Trump, al mismo tiempo que el presidente ordenaba abortar un ataque más convencional con misiles en respuesta al derribo de un dron de vigilancia estadounidense, según ha informado en primicia Yahoo News.

    Los ciberataques llevaban semanas, si no meses, planeándose, según mandos militares anónimos citados por Associated Press. El Pentágono, de hecho, habría propuesto lanzarlos después del ataque contra dos petroleros en el golfo de Omán, hace casi dos semanas, que EE UU atribuye a Teherán.

     

    ciberataque trump

     

     

    Las intrusiones dejaron supuestamente sin funcionar los sistemas utilizados para controlar los lanzamientos de misiles por la Guardia Revolucionaria, fuerza de élite iraní considerada por Washington una organización terrorista. La efectividad de un ataque así solo podría verificarse si Teherán tratara de lanzar un misil. Aunque, según Associated Press, Irán desconectó de Internet parte de su infraestructura militar después de un ataque a finales de la década pasada con un virus que aseguran fue una creación conjunta de EE UU e Israel.

    También fue atacado este jueves, según las mismas fuentes, el software utilizado por un grupo de la inteligencia iraní que supuestamente participó en la planificación de los ataques a los dos petroleros. La operación no habría causado ninguna víctima, civil o militar, en contraste con el ataque con misiles que Trump ordenó detener, según él mismo dijo, por el “desproporcionado” coste en vidas que habría implicado. "No quiero matar a 150 iraníes. No quiero matar 150 de nada ni nadie excepto si es absolutamente necesario", explicó Trump el sábado.

    El ciberataque fue autorizado, según The New York Times, porque se encuentra por debajo de lo que se entiende por el umbral del conflicto armado, la misma táctica empleada por Irán en sus recientes agresiones. En los últimos tiempos, los mandos militares estadounidenses han optado más a menudo por batirse con sus enemigos en el ciberespacio, donde cuentan con una capacidad militar cada vez más sólida, en vez de emprender acciones militares más ofensivas y costosas. Las operaciones online pretenden disuadir a Irán de cometer más agresiones dentro de esta guerra en la sombra que empiezan a librar ambos países.

    El presidente Trump advirtió el sábado de que la opción militar "está siempre sobre la mesa hasta que esto se solucione", y anunció que impondrá “sanciones adicionales” a Teherán. “Confío en que Irán sea listo y se preocupe por su gente”, dijo el presidente republicano, antes de partir a su residencia de descanso en Camp David, Maryland, para “trabajar en muchas cosas, incluido Irán”.

    trump ciberataque

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: Elpais

     

  • EE.UU estudia vetar a la empresa de sistemas de videovigilancia Hikvision

    EE.UU estudia vetar a la empresa de sistemas de videovigilancia Hikvision

     

    La presión del Gobierno de Trump contra las tecnológicas chinas va en aumento. Ahora, Estados Unidos estudia la posibilidad de adoptar medidas contra Hikvision, uno de los principales fabricantes de sistemas de videovigilancia del mundo, y limitar sus posibilidades de comprar tecnología estadounidense, según The New York Times.

    El movimiento pondría a esta compañía en la lista negra de Estados Unidos en una iniciativa similar a la anunciada contra el fabricante de móviles Huawei. Hikvision es uno de los mayores fabricantes de productos de vigilancia en el mundo y juega un papel fundamental en el objetivo que alberga China para convertirse en el principal exportador mundial de sistemas de vigilancia.

    Una sanción contra Hikvision sería el primer paso de la administración de Donald Trump para castigar a una empresa china por su papel en la vigilancia y detención masiva de la minoría étnica uigur, de lengua turca y religión musulmana residente en la región occidental de Xinjiang. El Gobierno chino se sirve de sus tecnologías para vigilar a este pueblo, que acusa a Pekín de discriminar su cultura y creencias.

    La tecnología desarrollada por Hikvision permite rastrear a las personas por todo el país a partir de sus rasgos faciales, sus características corporales y su forma de caminar. Además puede monitorizar movimientos que puedan ser considerados sospechosos por las autoridades, como por ejemplo reuniones de grandes grupos y gente corriendo.

    La combinación de los métodos tradicionales de vigilancia con la inteligencia artificial dan como resultado sistemas cada vez más precisos e intrusivos. Países interesados en mejorar la vigilancia de sus ciudadanos, como Ecuador, Zimbabue, Uzbekistán, Pakistán y Emiratos Árabes Unidos, ya exportan las tecnologías de China.

    Trump aprobó la semana pasada una orden ejecutiva para impedir a las empresas tecnológicas estadounidenses utilizar dispositivos elaborados por compañías que puedan suponer «un riesgo para la seguridad nacional», invocando la Ley de Poderes Económicos de Emergencia Internacional, que da al presidente la autoridad de regular el comercio en respuesta a una emergencia nacional que amenace al país.

    El Departamento de Comercio estadounidense incluyó a Huawei Technologies y a 68 filiales en más de una veintena de países en una lista de entidades a las que las compañías estadounidenses no pueden adquirir componentes tecnológicos sin permiso del Gobierno de Estados Unidos.

    Tras esta medida, Google decidió suspender los negocios con la empresa china que requieran la transferencia de productos de hardware y software, excepto aquellos cubiertos por licencias de código abierto. Asimismo, los fabricantes de microprocesadores Intel, Qualcomm, Xilinx y Broadcom habrían puesto en marcha planes para restringir sus suministros a la compañía china.

     

    Hikvision vetada por EEUU

    #ciberseguridad #ciberataque #videovigilancia  #camarasdeseguridad #inteligenciaartificial

    Fuente: Lavozdegalicia

  • El Curso “Ciberdefensa Y Tutela De Derechos En Las Redes” Reúne En Melilla A Responsables Militares Y Expertos En Seguridad

    El Curso “Ciberdefensa Y Tutela De Derechos En Las Redes” Reúne En Melilla A Responsables Militares Y Expertos En Seguridad

    El curso “Ciberdefensa y tutela de derechos en las redes”, que se celebra del 27 al 31 de julio de 2015 en los “XXIV Cursos Internacionales de verano Ciudad de Melilla”, reúne en Melilla a responsables militares y expertos en seguridad de toda España.

    Estos seminarios forman parte de los cursos internacionales de verano que dirige el profesor de la UGRManuel Ruiz Morales, y organizan la Universidad de Granada y la Ciudad Autónoma de Melilla (Consejería de Cultura y Festejos). Con sede en el Palacio de Exposiciones y Congresos de Melilla, y secretaría académica en los Centros Universitarios de Melilla, este curso está coordinado por Juan Cano Bueso (presidente del Consejo Consultivo de Andalucía), Blas J. Imbroda Ortiz (decano del Ilustre Colegio de Abogados de Melilla), y Luis Martínez Trascasa (general 2.º Jefe de la Comandancia General de Melilla).

    Afirman los coordinadores de este curso que “hablar de Ciberdefensa, es hablar de nuestras libertades, de nuestra calidad de vida, en fin, de nuestra seguridad. Debemos ser totalmente conscientes de que nuestros adversarios necesitan de nuestra tecnología, nuestros recursos, nuestros datos no solo para desarrollarse ellos y obtener pingües beneficios sino para influir en la toma de decisiones de una nación”.

    En el curso se trata, pues, de Ciberdefensa, en la certeza de que la seguridad afecta no solo a las Fuerzas Armadas sino también a las Fuerzas y Cuerpos de Seguridad, a los Servicios de Inteligencia, a las Administraciones del Estado, al tejido industrial de España, a todo lo relacionado con I+D+I, al sector académico español y al final –como no puede ser de otra manera y como pieza clave–, a las personas. “Las amenazas –dicen los organizadores– son reales, no virtuales, y a nadie se le escapa este nuevo riesgo para nuestra civilización. Como veremos y oiremos en estos días, a veces, estas amenazas no están localizadas en estados ni personas en particular; la realidad puede ser mucho más compleja. Para dar respuesta a estas amenazas, en las Fuerzas Armadas se ha creado el Mando de Ciberdefensa para apoyar y formar parte en esa “lucha” que deben tener los estados para garantizar la seguridad de los ciudadanos. Además y durante estos días oiremos hablar de Acciones de Defensa,de cuestiones relacionadas con la Explotación (Ciberinteligencia) y, cómo no, de respuesta (acciones Ofensivas)”.

    Profesorado

    “Ciberdefensa y tutela de derechos en las redes”, que se celebra con la colaboración de la Comandancia General de Melilla, el Ilustre Colegio de Abogados de Melilla y el Consejo Consultivo de Andalucía, cuenta con el siguiente profesorado:

    • Juan Cano Bueso, catedrático de Derecho Constitucional de la Universidad de Almería, y presidente del Consejo Consultivo de Andalucía.
    • Joaquín Castellón Moreno, capitán de Fragata, director operativo del Departamento de Seguridad Nacional de la Presidencia del Gobierno.
    • Arturo Espejo Valero, coronel. Unidad de Ciberseguridad de la Jefatura de Información de la Guardia Civil.
    • Fernando García Sánchez, almirante General. Jefe de Estado Mayor de la Defensa (JEMAD).
    • Pedro García Teodoro, catedrático del Departamento de Teoría de la Señal, Telemática y Comunicaciones, Universidad de Granada.
    • Carlos Gómez López de Medina, general de División del Ejército del Aire, comandante Jefe del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas.
    • Luis Hernández García, teniente coronel de la Unidad de Ciberseguridad de la Jefatura de Información de la Guardia Civil.
    • Blas J. Imbroda Ortiz, profesor de la UNED. Decano del Colegio de Abogados de Melilla.
    • Manuel Llamas Fernández, coronel Jefe Comandancia Guardia Civil de Granada.
    • Luis Martínez Trascasa, general 2.º Jefe de la Comandancia General de Melilla.
    • Beatriz Méndez de Vigo Montojo, secretaria general del CNI.
    • Eugenio Pereiro Blanco, comisario jefe de Delitos Tecnológicos de la Comisaría General de la Policía Judicial.
    • Francisco Quereda Rubio, consejero delegado de ISDEFE (Ingeniería de Sistemas para la Defensa de España. Empresa pública de consultoría e ingeniería, adscrita al Ministerio de Defensa).
    • Miguel Rego Fernández, director general de INTECO (Instituto Nacional de las Tecnologías de la Comunicación).
    • José Luis Rodríguez Álvarez, profesor de Derecho Constitucional de la Universidad Complutense de Madrid, director de la Agencia Española de Protección de Datos (AEPD).
    • José Manuel Roldán Tudela, general de División, jefe de la Jefatura de los Sistemas de Información, Telecomunicaciones y Asistencia Técnica del ET.
    • Ángel Rodríguez-Vergara Díaz, catedrático de Derecho Constitucional de la Universidad de Málaga.
    • Fernando J. Sánchez Gómez, director del Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) del Ministerio del Interior.
    • Elvira Tejada de la Fuente, fiscal de la Sala coordinadora en materia de Criminalidad Informática.

     

    Fuente: granadaenlared

  • El Gobierno destina 15,3 millones de euros a la Agencia Española de Protección de datos

    El Gobierno ha aumentado la partida destinada a la Agencia Española de Protección de Datos (AEPD) en un 9,3% para 2019. Así aparece reflejado en los Presupuestos Generales de 2019 que destinan, en total, cerca de 15,55 millones de euros para el ente encargado de velar por la protección de nuestros datos. El año pasado la AEPD recibió 14,23 millones de euros para desempeñar sus funciones.

    El organismo independiente es el encargado de velar por la correcta aplicación de las leyes de protección de datos en nuestro país. También atiende peticiones de los ciudadanos relacionadas con el derecho al olvido o la reclamación de sus datos en Internet.

     
    presupuesto AEPD

    La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales permitirá a los partidos políticos elaborar bases de datos que detallen el perfil ideológico de los ciudadanos con información extraída de páginas web y redes sociales, así como enviarles propaganda electoral por medios electrónicos (SMS, WhatsApp, correo electrónico o mensajes privados a través de las redes sociales) sin su consentimiento previo.

    Precisamente por eso, la AEPD tuvo que salir al paso a finales de noviembre para acallar el ruido generado por la polémica nueva ley. Entonces, la institución que preside Mar España  ya dijo que no iba a permitir que los partidos hicieran perfiles ideológicos de los ciudadanos. Sin embargo, el regulador sí reconoce que los partidos podrán rastrear las redes para encontrar el número de teléfono o email de los ciudadanos para enviarles propaganda electoral sin consentimiento previo.

     

    presupuesto AEPD 2

     

    Fuente: Eldiario

  • El grupo de hackers La Nueve pone al descubierto datos de más de 40 millones de datos de clientes de la escuela de negocios IESE

    La Nueve hackea la web de la escuela IESE y destapa más de 40 millones de cuentas

     

    El grupo de hackers 'La Nueve' perteneciente a Anonymous ha publicado en su cuenta de twitter la incursión que ha llevado a cabo en los servidores de la web de la escuela de negocios IESE mediante la cual ha dejado al descubierto un enlace con miles de datos de clientes de la escuela

    LA NUEVE 2

    El grupo, que ya ha actuado en anteriores ocasiones contra El Corte Inglés, la Cámara de Comercio o incluso a la red interna de Acciona, ha ido retransmitiendo a través de la red social el proceso del hackeo a la web del IESE, dejando en evidencia la vulnerabilidad de la misma.  

    El grupo La Nueve retransmitió en la noche del domingo a través de su cuenta de Twitter como se coló en la parte de los servidores web del IESE. Un agujero en las bases de datos de los servicios de Microsoft ha sido la clave para que los autores del ciberataque pudieran hacerse con la información. 

    Este fallo puede dar lugar a una investigación por parte de la Agencia Española de Protección de Datos en caso de que la escuela de negocios no sea capaz de justificar. El instituto está analizando el alcance de dichos ataques informáticos, y está trabajando las medidas oportunas para denunciarlo antes las autoridades competentes.

    Desde el IESE confirman que el ataque ha afectado a su tienda online a través de la cual la escuela se encarga de vender casos de negocio en castellano. "La página web IESE Publishing, distribuidor de material docente del IESE, se ha visto afectada. El ataque ha alcanzado también al portal de conocimiento IESE Insight. Ambas páginas están ahora offline" explica la escuela a través de un comunicado. Este sector es un pilar importante del negocio que maneja información personal de una gran cantidad de clientes. En concreto con este ataque, piratas informáticos se han hecho con bases de datos que incluyen más de 40 millones correos electrónicos.

    TICBCN LOPD

    "Estamos en continuo contacto con la Agencia Española de Protección de Datos y trabajando lo mejor y más rápido posible ya que disponemos de 72 horas para elaborar el informe de lo sucedido" explicaban a este medio desde la escuela de negocio. Asimismo IESE se ha puesto en contacto con antiguos alumnos y clientes para informar sobre el alcance del ataque, ya que se ha producido un acceso no autorizado a datos de clientes, y ha desactivado las contraseñas de acceso de los potenciales afectados.

    LA NUEVE 1

     

    Fuente: cso.computerworld

  • El programa “Safe Harbor”en el asunto “Europe v. Facebook”

    Hoy día todo usuario de internet expone en gran medida datos concernientes a su vida privada, obviando qué implicación tiene y en qué grado está expuesto de cara a terceros que almacenan y hacen uso de dicha información. En este sentido, es necesario plantearse qué uso se da al “Big Data”y qué gestión de ella se realiza y es por ello que toda conciencia que tomemos sobre ello nunca es suficiente. Para ello, las siguientes líneas tratan de explicar qué ocurre con nuestros datos y qué relevancia tiene el concepto de “safe harbor” respecto a la exportación, almacenamiento y uso de los mismos, centrándonos, (i) por un lado, en la idea de qué mínimos son a los que deben adecuarse las compañías a la hora de realizar su gestión y, (ii) por otro lado, en que dichos datos son recabados en el seno de un país miembro de la Unión Europea o Suiza y pasan a formar parte de ficheros y bases de datos con sede en Estados Unidos.

    Para entederlo, es necesario saber que a diferencia de la estrica protección que existe en Europa respecto de los datos de carácter personal, en Estados Unidos nos encontramos con una protección laxa de los mismos. A consecuencia de ello, se da luz verde al programa “safe harbor” con la idea de que aquellos datos personales, sensibles o biométricos procedentes de Europa, que quieran ser almacenados o utilizados en EEUU, o viceversa, deberán contar previamente, al menos, con la misma protección de que gozan en el continente del que son recopilados. Este acuerdo es creado en Octubre del año 1998 entre el Departamento de Comercio de EEUU y la Comisión Europea, al que resulta de directa aplicación el artículo 25 de la Directiva 95/46/EC.

    El citado programa o “framework” engloba a aquellas empresas o compañías que se adhieren al mismo de forma voluntaria. La lista de empresas que forman parte del mismo, así como el medio del que obtienen los datos, pueden ser observados en la web habilitada para el programa . Una vez adherido a este, la empresa quedará vinculada al cumplimiento de la normativa sobre protección de datos de carácter personal relativa al continente del que son extraídos. Si bien, siendo Europa más proteccionista que Estados Unidos, son las empresas con sede en EEUU las que infringen en mayor medida la misma. Así mismo, es de resaltar que aquella organización adherida al programa podrá retirarse del mismo cuando lo solicite formalmente, pero no queda exenta la aplicación de la normativa para dicha empresa y, especialmente, respecto a aquellos datos que fueron recabados en el tiempo en que se formó parte del programa.

    Caso “Europe v Facebook”

    Amparándose en el incumplimiento del programa, en 2011 se presenta demanda por un ciudadano natural de Viena contra “Facebook Ireland Ltd”., cuya sede reside en Dublín, tras ser constatado por el mismo la falta de correlación entre la política de privacidad que supuestamente desarrolla la compañia, y el efectivo uso que en la realidad hace de los datos, una vez recabados en Europa y almacenados en la sede estadounidense. Previo a la interposición de la demanda, el joven requiere a la compañía para que le sea enviada toda la información que de él maneja la misma. Tras recibirla, este observa que incluso las comunicaciones privadas que habían sido borradas por él, eran aún almacenadas y utilizadas por Facebook, es decir, a ojos del gigante no existía ningún tipo de idea que tuviera relación con el concepto de privacidad. La lista de datos almacenados abarca todo aquello que un usuario vuelca en la red social 

    El contenido de la citada demanda refleja la falta de transparencia de la compañía, así como el incumplimiento de la política de privacidad, haciendo responsable de su gestión a la sede situada en Dublín y, por ende, quedando sujeta a toda la legislación europea en materia de protección de datos. Sin embargo, Facebook alega que es única y exclusivamente su sede principal en EEUU la que ostenta la legitimación pasiva, y no la sede Europea. Por consiguiente, no cabe asumir que los tribunales de los estados miembros sean competentes para enjuiciar el caso. En ese momento, la táctica de la compañía va a centrarse en dilatar el procedimiento el máximo tiempo posible. En este sentido, la contestación a la demanda por parte de Facebook se centra en que:

    -        Existe falta de jurisdicción, y como consecuencia los tribunales europeos no son competentes, siendo inaplicable la regulación de la directiva de Protección de Datos.

    -        El grupo que entabla la demanda no actúa como consumidor, sino como empresa, toda vez que recibe recibe financiación para asumir los costes del proceso. Sin embargo, estos afirman que actúan como movimiento sin ánimo de lucro.

    Tras este procedimiento -aún vigente-, la inciativa empieza a tener enorme trascendencia, interponiéndose demanda colectiva por unos 25.000 ciudadanos europeos -asunto “PRISM” y, consecuentemente, nace el movimiento “Europe v Facebook”. En la citada demanda se reflejan los mismos hechos que en la presentada por el joven austriaco: el incumplimiento de la normativa europea de protección de datos. A diferencia de la anterior demanda, esta es interpuesta ante la Comisión de Protección de Datos (CPD) de Irlanda, habida cuenta que la sede de “Facebook Ireland Ltd” se encuentra en Dublín. Inicialmente, la demanda es rechazada por entenderse que era frívola e insostenible. El siguiente paso procesal fue la interposición de recurso de revisión ante el Alto Tribunal irlandés. Este eleva cuestión prejudicial al TJUE en Junio de 2014,  planteando al alto tribunal europeo:

    -        Si el “safe harbor” es insuficiente y, por consiguiente, debe aplicarse por la CPD la Decision 2000/250/EC , así como los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea, en concordancia con el artículo 25.6 de la Directiva 95/46/EC de Protección de Datos. En definitiva, si debe mirarse más allá del programa y debe entenderse que se vulnera el artículo 8 de la Carta de Derechos Fundamentales, relativo a la protección de datos de carácter personal, dado que hay una transferencia de datos a terceros países.

    -        O, por el contrario, la demanda debe ser archivada, puesto que la compañía forma parte del programa “safe harbor” y ello es suficiente para entender que existe una adecuada protección de los datos de carácter personal recabados en Europa y enviados a EEUU.

    El juicio oral tras la cuestión prejudicial tuvo lugar el pasado mes de Marzo. En el mismo, la discusión del asunto se centró en determinar si hay algo que mejorar acerca de la práctica de protección de datos, sin entrar a valorar el fonde del asunto. Así las cosas, la resolución del TJUE podría marcar un hito en materia de protección de datos, para perjuicio de las compañías al frente de las redes sociales, limitando el uso de los mismos; por contra, podría entenderse que es adecuada, tal y como establece la actual normativa, sin producirse cambio alguno. Ahora bien, como ya ocurrió en el asunto del “derecho al olvido”, lo que de este caso puede deducirse es que es necesario plantearse la efectividad de la regulación actual sobre protección de datos, en aras de salvaguardar la expectativa razonable de intimidad que, por encima de todo, y sea en el medio que sea, toda persona debe tener.

     

    Fuente: abogacia

  • Encriptar o no encriptar

    La protección y el anonimato garantizan la privacidad y la seguridad necesarias para la libertad de expresión en la era digital

     

    Existe desde hace tiempo una sutil guerra de posiciones en torno a la privacidad. Por una parte, gobiernos y agencias de inteligencia; por otra, organizaciones de la sociedad civil y de defensa de los derechos humanos. Es una guerra larga, en la que la ventaja inicial de los segundos se convirtió en sonora derrota por KO después de los atentados del 11-S en Nueva York, con una lenta, difícil pero continua recuperación de estos segundos desde que Snowden confirmara públicamente la existencia de un programa de la NSA de vigilancia global de las comunicaciones llamado PRISM. En el último round, los segundos han conseguido limitar los poderes de la NSA y que la ONU se posicione a favor de la encriptación y el anonimato online.

    Ha llovido mucho ya desde 2001, cuando el Parlamento Europeo inició una investigación sobre la existencia de un sistema global de intercepción de las comunicaciones privadas y comerciales, llamado entonces ECHELON. Las investigaciones habían empezado en el año 2000, con el objetivo de descubrir si Estados Unidos y sus aliados estaban espiando ilegalmente las comunicaciones globales en lo que algunos llamaron un “Gran Hermano sin causa”. En la primavera de 2001 una delegación de la UE viajó a Washington para hacer indagaciones, pero sus contrapartes estadounidenses cancelaron todas las visitas y EE. UU. volvió a negar, a pesar de las evidencias, la existencia del programa. En julio la delegación presentó su informe, que fue aceptado por el Parlamento el 5 de septiembre de 2001. Días después caían las Torres Gemelas.

    Las consecuencias políticas del ataque de Al-Qaeda son de sobra conocidas: la Patriot Act, PRISM y la creación de “puertas traseras” en los sistemas de comunicación de grandes empresas para acceder a los datos de los usuarios de todo el mundo sin ningún tipo de supervisión judicial.

    Snowden inauguró en 2013 el tercer round de este combate particular, permitiendo a las organizaciones de defensa de los derechos humanos recuperar la iniciativa y entonar un largamente silenciado “¿lo veis?”. Desde entonces, todos los actores del combate se encuentran en un cuerpo a cuerpo que a menudo ampara el inmovilismo. Los gobiernos europeos quieren explicaciones de EEUU, pero sin romper relaciones. América Latina se posiciona para liderar la iniciativa legislativa en protección de la privacidad, pero Dilma Rousseff anuncia junto a Mark Zuckerberg una controvertida iniciativa para proporcionar wifi gratuito en las favelas en unas condiciones que algunos han denunciado por vulnerar el principio de la neutralidad de la red, la libertad de expresión y la igualdad de oportunidades. Y mientras, el largamente anunciado reglamento europeo de protección de datos se eterniza entre pasillos y presiones inconfesables.

    El último gancho, no obstante, se lo han apuntado las organizaciones de la sociedad civil. El relator especial de las Naciones Unidas para la promoción y la protección de la libertad de expresión acaba de publicar un informe dedicado exclusivamente a defender el anonimato online y la encriptación como requisitos para el disfrute de la libertad de opinión y expresión. La posición del relator sorprende porque hasta ahora en general se hablaba de la encriptación como algo negativo, propio de quien tiene algo que esconder.

    Encriptar es el proceso matemático por el que un mensaje o cualquier tipo de información es convertido a un formato que sólo puede leer (desencriptar) la persona a quien va dirigido el mensaje, impidiendo o dificultando la intercepción. Países como Brasil, Venezuela, Rusia, Australia y algunos europeos ponen impedimentos legales a la encriptación, llegando incluso a prohibirla en sus constituciones e ignorando así que la mayor parte de nuestras conversaciones ya son secretas y no utilizables con fines policiales. En esto consiste la democracia, online y offline.

    Como plantea el informe de Naciones Unidas, la encriptación y el anonimato proporcionan la privacidad y la seguridad necesarias para el ejercicio del derecho a la libertad de expresión en la era digital, posibilitando así el ejercicio de derechos económicos, el derecho de asociación y manifestación, el desarrollo del Estado de derecho y el derecho a la vida y a la integridad física. Son el prerrequisito de la democracia.

    Deberían tomar nota los de la Ley Mordaza, pero también los que hacen bandera de los derechos humanos: sin tecnologías respetuosas con la privacidad, otras conquistas pueden quedar en papel mojado.

     

    Fuente: elpais

  • Escándalo en Amazon con sus cámaras de vigilancia Ring

    Escándalo en Amazon con sus cámaras de vigilancia Ring

    La marca de cámaras de seguridad Ring, propiedad de Amazon, tuvo que despedir a cuatro de sus trabajadores por violar los términos de la compañía al ir más allá del acceso requerido en su trabajo a la hora de ver videos grabados en las cámaras de sus clientes.

    Amazon envió una carta a varios senadores estadounidenses como respuesta a múltiples preguntas sobre la seguridad de los sistemas Ring. En esta misiva, fechada el 6 de enero, reconoce que la empresa había sufrido una serie de quejas sobre el acceso de miembros de su equipo a los datos de video de los dispositivos en los últimos cuatro años.

    "Aunque cada una de estas personas estaba autorizada a ver los datos de video, su intento de acceso fue más allá de lo que necesitaban para llevar a cabo a su trabajo", como asegura en la carta el vicepresidente de Políticas Públicas de la empresa, Brian Huseman. Ring investigó los casos y, después de determinar que habían violado las políticas de la compañía, los cuatro trabajadores fueron despedidos.

    La empresa defendió que actualmente no existe nadie en su equipo que tenga acceso ilimitado a las informaciones de las cámaras. El equipo de I+D solo puede acceder a los videos de acceso público y a los videos de empleados de Ring, amigos y familiares que hayan dado su consentimiento previo.

    Además los clientes pueden dar su consentimiento expreso para dar un acceso temporal a la cámara en vivo mientras se soluciona el problema. Aparte de esto, solamente tres empleados tienen la posibilidad de acceder a los clips de los clientes almacenados.

    Este problema afecta a todas las compañías tecnológicas que trabajan con datos e informaciones personales de sus clientes. Con el fin de evitar cualquier tipo de ataque, Ring incluyó nuevas funciones de seguridad como la autenticación de dos factores o los mensajes de advertencia cuando alguien inicia sesión desde una nueva ubicación.

     

    TTCS Camaras Ring

    #videovigilancia  #camarasdeseguridad #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Clarin

  • Europa avanza hacia una nueva normativa de protección de datos

    Las negociaciones tripartitas con el Parlamento y el Consejo darán comienzo en el mes de junio. El propósito común es alcanzar un acuerdo definitivo a finales de 2015.

    Los ministros, reunidos en el Consejo de Justicia, han fijado un planteamiento global acerca de la propuesta la Comisión sobre el Reglamento general de protección de datos. “Unas normas de protección de datos armonizadas y modernas contribuirán a una Europa preparada para la era digital y representan un avance hacia el mercado único digital de la UE” destaca la Comisión Europea.

    En palabras de Andrus Ansip, vicepresidente responsable del mercado único digital, “me anima este avance hacia unas normas de protección de datos mejoradas y armonizadas. La protección de datos es un aspecto central del mercado único digital y aporta una base sólida para ayudar a Europa a aprovechar mejor servicios digitales innovadores como los macrodatos y la computación en nube”.

    Por su parte, Vĕra Jourová, comisaria de Justicia, Consumidores e Igualdad de Género, asegura que “hemos dado un gran paso hacia una Europa apta para la era digital. Los ciudadanos y las empresas merecen unas normas sobre protección de datos modernas que sigan el ritmo de la evolución tecnológica más reciente. Unos altos niveles de protección de datos reforzarán la confianza de los consumidores en los servicios digitales y las empresas se beneficiarán de un único conjunto de normas en los 28 países. Estoy convencida de que podremos alcanzar un acuerdo definitivo con el Parlamento Europeo y el Consejo antes de finales de año”.

    A grandes rasgos, el nuevo reglamento establecerá un único conjunto de normas en materia de protección de datos válido en toda la UE. “Las empresas se ajustarán a una ley, no a 28, lo que les supondrá un ahorro de casi 2.300 millones de euros al año”. Además, la Comisión Europea considera que esta nueva normativa beneficiará “especialmente” a las pequeñas y medianas empresas que verán reducir la burocracia. “Se eliminarán los requisitos administrativos innecesarios, como los de notificación para las empresas. Tan solo esta medida les ahorrará 130 millones de euros al año”.

    El derecho al olvido se consolidará. “Cuando los ciudadanos ya no deseen que se traten sus datos y no existan motivos legítimos para conservarlos, el responsable del tratamiento los suprimirá, a menos que se pueda demostrar que siguen siendo necesarios o pertinentes. Los ciudadanos también estarán mejor informados de si sus datos han sido pirateados. El derecho a la portabilidad de datos facilitará a los usuarios la transferencia de datos personales entre proveedores de servicios”.

    Además se dará mayores poderes a las autoridades nacionales independientes de protección de datos, que tendrán la potestad de multar a aquellas empresas que vulneren las leyes, y se creará una ventanilla única. “Las personas solo tendrán que tratar con la autoridad nacional de protección de datos y en su propia lengua, aun cuando sus datos personales se traten fuera de su país de origen”.

     

    Fuente: ituser

  • Expertos piden cumplir leyes de privacidad para crear "Bid Data marca España"

    Las empresas españolas deben apostar por el cumplimiento de las normas de privacidad para generar "un Big Data marca España" que se presente "al mundo como algo seguro y de confianza", según ha afirmado el director de la Asociación Profesional Española de Privacidad (APEP), Ricard Martínez.

    En declaraciones a EFE, el director de APEP ha asegurado que las pequeñas y medianas empresas (PYMES) que empiezan a usar esta nueva tecnología para ofrecer sus servicios deben ceñirse a la legalidad e incorporarla en sus diseños y productos ya que eso supondría "una oportunidad" en lugar de un "inconveniente".

    Las Jornadas "Big Data", celebradas hoy en el Ateneo Mercantil de Valencia, también han contado con la participación del experto en derecho informático y coordinador de APEP Valencia, Lucas Espuig, y el consultor especializado en nuevas tecnologías Raúl Costa.

    La tecnología Big Data se usa para procesar grandes volúmenes de datos y encontrar información útil para conocer gustos y costumbres de los clientes para así satisfacer sus necesidades.

    Big Data, que permite analizar el tipo de mercado y encontrar un nicho en él, ofrece la oportunidad de "optimizar los recursos" y "mejorar la productividad", ha señalado Espuig.

    De esta misma opinión es Ricard Martínez: "Big Data no tiene por qué estar reñido con la privacidad de una persona" si se introducen herramientas en el diseño del negocio como establecer qué datos se van a estudiar, con qué finalidad y cómo evitar que terceras personas acceden a ellos.

    No obstante, Espuig ha apuntado que la empresa que se valga de esta tecnología "debe ser transparente en la información" y avisar a los clientes de para qué va a usar su datos, además de que siempre debe apostar por la "opción menos invasora" y no requerir el nombre y apellidos de los consumidores si estos datos no son necesarios para el desarrollo del negocio.

    Esta tecnología no cuenta todavía de una normativa propia desarrollada, pero eso no exime a las empresa de responsabilidades puesto que, según Martínez, deben regirse por las normas de la protección de datos, de la protección del derecho de los consumidores y de la protección de la propiedad intelectual industrial entre otras.

    "Lo que no se puede hacer es desarrollar primero el proyecto Big Data y aplicar la ley después porque eso casi siempre funciona mal", ha remarcado Martínez.

    Para empezar un negocio con seguridad, ha subrayado el director de la APEP, hay que contar con asesoramiento jurídico: "Lo que resulta caro es no hacerlo (acudir a los juristas) porque si después se incumple la ley de protección de datos nos podemos enfrentar a multas desde 900 a 600.000 euros".

    El asesor del grupo Agrupa Consultores Raúl Costa ha destacado entre las malas prácticas del Big Data no utilizar la información de forma anónima, usarla para finalidades que no son las que se marcaron en la recogida de datos, no haber solicitado el consentimiento para esos tratamiento o ceder la información a terceras entidades sobre las que no se tiene el consentimiento del titular e los datos.

    Costa ha declarado que siempre se debe velar por "la seguridad y la disponibilidad de la información en caso de que se recaben datos personales a través de las redes sociales".

    El jurista ha remarcado que muchos ciudadanos no son conscientes de la importancia de sus datos y que, ante cualquier problema, deben dirigirse a la empresa para que le informen de los usos que han hecho de ellos y, si la respuesta no es satisfactoria, deben optar por acudir a la Agencia Española de Protección de Datos.

     

    Fuente: abc