• La reforma de protección de datos es clave en el desarrollo del mercado único digital

    Proteccion de datos

    La reforma de protección de datos "incrementará la confianza en la economía digital" de Europa, según Vera Jourová, comisaria europea de justica, consumidores e igualdad de género.

    Vera Jourová se ha referido a la reforma de protección de datos que pretende aprobar la Comisión Europea a finales de este año, tras las negociaciones a tres (el Consejo Europeo, el Parlamento Europeo y la Comisión Europea) que comienzan esta semana. En este sentido, Jourová ha asegurado que ésta es “la clave” para la creación del mercado único digital y conlleva “una serie de beneficios tanto para los ciudadanos como para las empresas”.

    La reforma de protección de datos “incrementará la confianza en la economía digital” de Europa, “proveerá a las empresas de unas normas modernas y comunes que se aplicarán a todos los proveedores de servicio en la Unión Europea” y eliminará “formalidades innecesarias como los procedimientos de notificaciones, reduciendo los costes y aplicando conceptos modernos como la privacidad”. Será, además, “tecnológicamente neutral y no cierra la puerta a futuras innovaciones”.

    Vera Jourová ha remarcado el hecho de que ésta será una única normativa “que se aplicará en los 28 países de la misma manera, reforzando los derechos de los ciudadanos que tendrá el control total de sus datos”.

    La reforma de la protección de datos “continúa siendo tan urgente como lo fue hace tres años cuando la Comisión presentó por primera vez la propuesta”. Jourová ha recordado que “el uso de Internet se ha incrementado en los últimos años” algo que ha desembocado en que “la preocupación de los ciudadanos por la seguridad y la privacidad también haya crecido. La confianza es clave, se traduce en euros y en céntimos, tenemos que reconstruirla para que nuestro mercado único digital sea un éxito”.

     

    Fuente: ituser

  • Las autoridades de Protección de Datos alertan de los riesgos del uso de drones para la privacidad

    Las autoridades europeas de protección de datos han aprobado el primer Dictamen conjunto sobre drones, en el que se pone de manifiesto los riesgos que la utilización de estas aeronaves plantea para la privacidad y la protección de los datos personales dada su capacidad "para captar y procesar datos".

    Por este motivo, el dictamen contiene un conjunto de directrices para orientar a los Estados miembros sobre cómo interpretar las normas de protección de datos en el contexto de los drones.

    Así, el dictamen enumera una serie de obligaciones que deben cumplirse antes de utilizar un dron, como es la de verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo; o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cual se procesan, entre otras.

    El Grupo de Trabajo 29, como se denomina al conjunto de estas autoridades, ha alertado también de los riesgos que pueden surgir "como consecuencia de la captación y procesamiento de información (como son imágenes, sonido, o datos de geolocalización de una persona- llevados a cabo por un dron".

    Entre otros, el Dictamen señala los riesgos derivados de la "potencial falta de transparencia de su tratamiento debido a la dificultad tanto para divisar estos aparatos desde el suelo como para conocer si el dron incorpora el equipo necesario para procesar datos, con qué propósito se están recogiendo y por quién". Por ello, las autoridades consideran "de máxima importancia" el hecho de que el responsable del tratamiento de datos y el encargado del mismo estén claramente identificados para cada tipo de operación efectuada.

    Otro de los principales riesgos pasaría por la posibilidad de que estos aparatos se interconecten entre sí, facilitando "la posibilidad de establecer miradores únicos que permiten recoger fácilmente una amplia variedad de información incluso sin visión directa, por largos periodos de tiempo y abarcando grandes áreas".
    Tratamiento por servicios gubernamentales

    Pero también hablan las autoridades de la posibilidad de que los datos recogidos por los drones se procesen por servicios gubernamentales. En este sentido el documento es tajante y señala que "debe llevarse a cabo dentro de los fines establecidos en la legislación y no deben ser utilizados para la vigilancia indiscriminada, el tratamiento masivo de datos, o la puesta en común de datos y perfiles".

    En la misma línea, recuerdan a las autoridades de orden público que utilizan estos drones, que "en sus funciones de vigilancia y control no debe permitir el rastreo constante y, en caso de que este fuera necesario, debe quedar restringido al marco de las investigaciones encaminadas a garantizar el cumplimiento de las normas legales".

    Por último, el documento incluye recomendaciones dirigidas a todos los sectores implicados en la utilización de drones para que respeten los derechos fundamentales, como son los legisladores y reguladores, hasta los fabricantes -para que se adopten medidas de privacidad desde el diseño-. A este respecto sugiere la realización de evaluaciones de impacto en la protección de datos. También aconseja que se incluya información suficiente en los dispositivos relativa al "potencial intrusivo de estas tecnologías" así como "mapas que identifiquen claramente dónde está permitido su uso". Asimismo, insta a los operadores de estos aparatos que "eviten en lo posible volar sobre zonas privadas y edificios, incluso cuando esté permitido su uso".

    Eso sí, matiza que quedarían excluidas de la Directiva 95/26, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que se aplican al uso de drones, "las actividades que consistan en el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos".

    Fuente: eleconomista

  • Las Autoridades europeas de protección de datos aprueban el primer Dictamen conjunto sobre drones

     

    • El documento alerta de que la utilización de estas aeronaves plantea riesgos para la privacidad derivados de su capacidad para captar y procesar datos personales y recoge las obligaciones que deben cumplirse
    • Incluye recomendaciones a legisladores, reguladores del sector, fabricantes y operadores, así como a las autoridades que utilicen estas aeronaves en sus funciones de vigilancia y control
    • El Dictamen destaca la posibilidad de establecer “miradores únicos” desde los que recoger fácilmente una amplia variedad de información, por largos períodos de tiempo y abarcando grandes áreas
    • El uso de drones equipados con sensores en un entorno estrictamente personal y doméstico estaría excluido de los criterios del Dictamen

     

    Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29, del que forma parte la AEPD) han aprobado el primer Dictamen conjunto sobre drones, que analiza la incidencia y los riesgos que la utilización de estos vehículos no tripulados plantean para la privacidad y la protección de datos. El Dictamen evidencia los desafíos que supone el despliegue a gran escala de estas aeronaves equipadas con equipos de sensores, al tiempo que ofrece directrices para interpretar las normas de protección de datos en el contexto de los drones.

    El marco jurídico aplicable en relación con las implicaciones de protección de datos derivadas del uso de drones en los Estados miembros es la Directiva 95/46, en conexión con la Directiva 2002/58 de Privacidad y Comunicaciones Electrónicas. Asimismo, existen aspectos en las disposiciones legales nacionales aplicables a los sistemas de circuito cerrado de televisión (CCTV, por sus siglas en inglés) que también son de aplicación al uso de drones, en particular en el caso de que estos se utilicen con fines de videovigilancia.

    Las Autoridades ponen de manifiesto que hay actividades de los drones que estarían excluidas de la Directiva y, por tanto, de los criterios contenidos en este Dictamen. Entre ellas, el uso de drones en un entorno estrictamente personal y doméstico, teniendo en cuenta que, en todo caso, este no incluiría situaciones de monitorización constante que afecte, aunque sea parcialmente, a espacios públicos.

    El Dictamen recoge las obligaciones que deben cumplirse antes de utilizar un dron, como verificar si es necesaria una autorización específica de las autoridades de aviación civil; encontrar el criterio más adecuado para que el tratamiento sea legítimo, o cumplir con los principios de transparencia, proporcionalidad, minimización en la captura de datos o limitación del propósito para el cuál se procesan, entre otras.

    El GT29 alerta de los riesgos que pueden surgir como consecuencia de la captación y  procesamiento de información -imágenes, sonido o datos de geolocalización relacionados con una persona identificada o identificable- llevados a cabo por un dron. Entre ellos, destaca la potencial falta de transparencia de ese tipo de tratamiento debido a la dificultad tanto para divisar estos aparatos desde el suelo como para conocer si el dron incorpora el equipo necesario para procesar datos, con qué propósito se están recogiendo y por quién. Teniendo en cuenta la amplia gama de servicios ofrecidos basados en drones, el documento considera de “máxima importancia” el hecho de que el responsable del tratamiento de datos y el encargado del mismo estén claramente identificados para cada tipo de operación efectuada.

    Además, el documento destaca que la versatilidad de estos aparatos y la posibilidad de interconectarse entre sí facilitan la posibilidad de establecer “miradores únicos” que permiten recoger fácilmente una amplia variedad de información incluso sin visión directa, por largos períodos de tiempo y abarcando grandes áreas.

    En cuanto al procesamiento de datos mediante drones por servicios gubernamentales, el Dictamen especifica que este debe llevarse a cabo dentro de los fines establecidos en la legislación y no deben ser utilizados para la vigilancia indiscriminada, el tratamiento masivo de datos, o la puesta en común de datos y perfiles.
    Recomendaciones

    El documento también incluye recomendaciones específicas dirigidas a legisladores, reguladores del sector, fabricantes y a quienes manejen drones, así como para las autoridades que utilicen estos dispositivos para el ejercicio de sus potestades. A juicio de las Autoridades, los legisladores y reguladores del sector aéreo deben promover tanto en el ámbito nacional como en el europeo un marco que garantice no sólo la seguridad en vuelo sino el respeto por todos los derechos fundamentales.

    En relación con los fabricantes, incide en la necesidad de que estos adopten medidas de privacidad desde el diseño y por defecto, y sugiere realizar evaluaciones de impacto en la protección de datos como una herramienta adecuada para valorar el impacto de las aplicaciones de drones sobre este derecho fundamental. Para incrementar la concienciación entre los usuarios también aconseja que, en el caso de dispositivos de pequeñas dimensiones, se incluya información suficiente relativa al potencial intrusivo de estas tecnologías y, cuando sea posible, mapas que identifiquen claramente dónde está permitido su uso. En cuanto a los operadores de estos aparatos, las Autoridades aconsejan evitar en lo posible volar sobre zonas privadas y edificios, incluso cuando esté permitido su uso.

    Finalmente, las Autoridades recuerdan que la recolección de datos personales de drones por parte de autoridades de orden público que utilicen estas aeronaves en sus funciones de vigilancia y control no debe permitir el rastreo constante y, en caso de que este fuera necesario, debe quedar restringido al marco de las investigaciones encaminadas a garantizar el cumplimiento de las normas legales.

     

    Fuente: abogacia

  • Las empresas industriales españolas, indefensas frente a ciberataques

    Un desafío actual para el sector de la ciberseguridad es la protección de los entornos industriales. Los ciberataques han traspasado el mundo digital para tener impacto directo en el mundo físico. Por ejemplo, en los sistemas industriales, como la Industria 4.0 y las infraestructuras críticas.

    En palabras de Xavier Gonzalez, CTO & Cofundador de OpenCloud Factory, “venimos observando que las empresas industriales españolas están indefensas frente a ciberataques, y algunas desconocen los riesgos a los que se enfrentan. Los fabricantes de ciberseguridad estamos en la obligación de seguir investigando e innovando para que esas empresas puedan obtener una seguridad completa de sus sistemas industriales”.

    En este sentido, el fabricante de seguridad español OpenCloud Factory Industrial Cybersecurity, ha dado a conocer su participación dentro del programa acelerador Bind 4.0, que busca destacar empresas punteras en soluciones de seguridad para la industria 4.0., y se encargará de fomentar la innovación tecnológica en compañías vascas. El programa, promovido por el Gobierno Vasco, ha reunido las candidaturas de 524 empresas, de las que 32 startups han conseguido llegar a la final.

    Los retos de la ciberseguridad industrial

    Durante el año pasado, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), pronosticó las ofensivas cibernéticas contra instalaciones estratégicas españolas (centrales eléctricas y nucleares, transportes, agua, transportes o comunicaciones), que superaron los 700 incidentes. Un reto para las compañías y organizaciones, que deben potenciar la protección de estas infraestructuras e industrias.

    Este desafío para OpenCloud Factory pasa por mostrar una estrategia común de ciberseguridad que englobe tanto el ámbito de IT (InformationTechnology), como de OT (OperationalTechnology).

    Su objetivo es proporcionar visibilidad y control en el mundo de las Tecnologías Operacionales (OT). “Para ello nosotros hemos llevado a cabo el lanzamiento de Adaptive Digital Defense, una solución orientada a proporcionar un mapa de las redes corporativas del ámbito industrial, obteniendo una fácil lectura de los activos conectados a su red y sentando la base para futuras funcionalidades más avanzadas de seguridad digital en las redes”, explican desde la compañía.

    ciberseguridad 3

    Fuente: Bitlifemedia

     

  • Las llamadas de spam crecieron un 18% en 2019 ¿Cómo prevenir comunicaciones no deseadas, estafas y fraudes?

    Las llamadas de spam crecieron un 18% en 2019 ¿Cómo prevenir comunicaciones no deseadas, estafas y fraudes?

    El volumen de llamadas de spam a nivel mundial creció un 18% de enero a octubre de 2019 frente al año anterior, de acuerdo con el informe anual de la firma con sede en Estocolmo, Truecaller.

    Las llamadas de spam no solo son una auténtica molestia que termina por hacernos perder la paciencia ante las horas intempestivas y la insistencia de una oferta comercial que no deseamos, sino que en muchas ocasiones están destinadas a estafas, fraudes o acoso al receptor. Truecaller estima que se realizaron 26.000 millones de estas llamadas en los primeros nueve meses de año.

    Además del incremento en su número, una de las conclusiones del informe es cuán complejo es comprender la naturaleza de estas llamadas de spam. No hay un hilo común detrás de estas llamadas y por ejemplo Brasil, que encabeza el listado un año más, los culpables son los propios operadores de telecomunicaciones y proveedores de servicios de Internet, que en el último año han pasado de 32 al 48%. Las estafas han subido al 26% del total.

     

    TTCS Llamadas spam estadistica

    En otros países como Sudáfrica (que ocupa el sexto lugar en el informe), los spammers realizan principalmente llamadas de soporte técnico fraudulento y estafas de ofertas de trabajo. En otros mercados como Chile (séptimo lugar en el informe), los cobradores de deudas realizan el 72% de todas las llamadas de spam.

    En Perú, los usuarios recibieron más de 30 llamadas de spam mensuales de media. La mayoría de estas llamadas fueron realizadas por servicios financieros que buscan aumentar las ventas de tarjetas de crédito y préstamos. En los Emiratos Árabes Unidos, en el puesto 12 del informe, los operadores de telecomunicaciones fueron los que hicieron la mayoría de estas molestas llamadas.

    En otros países como Sudáfrica (que ocupa el sexto lugar en el informe), los spammers realizan principalmente llamadas de soporte técnico fraudulento y estafas de ofertas de trabajo. En otros mercados como Chile (séptimo lugar en el informe), los cobradores de deudas realizan el 72% de todas las llamadas de spam.

    En Perú, los usuarios recibieron más de 30 llamadas de spam mensuales de media. La mayoría de estas llamadas fueron realizadas por servicios financieros que buscan aumentar las ventas de tarjetas de crédito y préstamos. En los Emiratos Árabes Unidos, en el puesto 12 del informe, los operadores de telecomunicaciones fueron los que hicieron la mayoría de estas molestas llamadas.

    En Indonesia, el volumen de llamadas no deseadas se ha duplicado en un año. A medida que el país atraviesa tiempos difíciles, los estafadores han tratado de aprovecharlo, según el informe. “Una de las estafas más comunes es la llamada falsa de un hospital donde alguien llama y dice que un miembro de su familia está hospitalizado y necesita tratamiento inmediato, y debe enviarles dinero para que puedan tratar el paciente». 

    Un arco variado de estafas y fraudes que para países como Estados Unidos (octavo del listado) tienen cifras: 43 millones de usuarios afectados por estafas con un volumen de pérdidas que se eleva a 10.500 millones de dólares.

    El informe de Truecaller también señaló que los usuarios de todo el mundo recibieron más de 8.600 millones de mensajes de spam este año, con el siguiente cuadro de países afectados:

    Cómo bloquear las llamadas de spam

    La mayoría de este tipo de llamadas son de ámbito comercial y los empleados obligados a realizar este marketing telefónico son los segundos en sufrirlas. No seas duro con ellos. A duras penas llegan al salario mínimo después de interminables jornadas de trabajo y de ser los primeros frustados ante un tipo de telemarketing que reduce su efecto de ventas al impedir el contacto visual y llega a poner de los nervios al usuario más tranquilo.

    La responsabilidad es de las empresas (seguros, financieras, telecomunicaciones…) que no respetan a sus potenciales clientes y de los organismos reguladores que siempre y en toda ocasión las defienden por encima de los que les pagan, los consumidores, en vez de optar por multas ejemplares para acabar con el telemarketing no deseado.

    Como podemos esperar sentados a que los reguladores hagan su trabajo y las empresas tengan un «ataque de responsabilidad», hoy vamos a revisar soluciones conocidas poniendo el foco en la plataforma móvil de Google, la más extendida del mercado.

    A partir de Android 6.0, Google implementó un sistema para facilitar la tarea mediante un par de clics, pulsando la función de bloqueo a un número determinado en los contactos. Un método simple, sencillo y efectivo, pero que tiene un problema, solo funciona en versiones de Android «puro» stock. Como todos los fabricantes usan capas propias a modo de interfaz de usuario, no existe un método único para bloquear llamadas en Android.

    Aunque no todos están tan a la vista como fuera deseable, la buena noticia es que el acceso al bloqueo de números se realiza casi de la misma manera en todos ellos. Por ejemplo, el fabricante que más vende, Samsung, lo coloca en el menú de los contactos/llamadas > configuración (pulsar sobre los tres puntos) > bloqueo de llamadas. Ahí puedes escribir el número que quieres bloquear o añadir el contacto al que corresponde dicho número. Es casi lo mismo en terminales de Huawei, LG, HTC o Sony.

     

    TTCS Llamadas spam

    #protecciondedatos #usofraudulentodedatos #llamadasspam #phishing

    Fuente: Muyseguridad

     

  • Las polémicas 6.100 cámaras que instalará Madrid en clase: ¿pueden negarse los profesores?

    Las polémicas 6.100 cámaras que instalará Madrid en clase: ¿pueden negarse los profesores?

     

    “Se están comprando 70.000 dispositivos electrónicos y 6.100 cámaras para instalar en las aulas”. Así lo ha anunciado este martes Isabel Díaz Ayuso, presidenta del gobierno de la Comunidad de Madrid en la rueda de prensa ofrecida para explicar la vuelta al cole en este territorio. Se aplicará esta medida -junto a un nuevo paquete de preceptos- para que los alumnos de los centros públicos que den positivo en Covid-19 puedan seguir las clases desde casa en streaming. También, desde 3º de la ESO hasta 2º de Bachillerato los estudiantes tendrán régimen de semipresencialidad, por lo que estas cámaras pueden servir, además, para que sigan sus clases online.

    Pese a ello, el Gobierno regional ha abierto un debate en el que hay voces discordantes: ¿Estas cámaras pueden atentar contra el derecho a la intimidad o a la protección de datos de los alumnos? De hecho, a este caldo de cultivo se añade que, salvo los profesores, por regla general, los estudiantes susceptibles a ser grabados son menores. De ahí que la abogada Noemí Brito, especialista en derecho digital y de protección de datos del despacho Ceca Magán, haya explicado que “cuando el tratamiento de las imágenes está relacionado con fines educativos y académicos, la Agencia Española de Protección de Datos legitima el uso de estas herramientas si lo que está en juego es el derecho fundamental a educación”.

    Pese a ello, la letrada puntualiza que eso no debe ser una “barra libre, ya que es una actividad intrusiva e invasiva” y que, jurídicamente, el gobierno de Díaz Ayuso tiene que desarrollar una normativa potente que “deje claro el fin educativo de la instalación de las cámaras; tiene que regular el tema de la conservación de las imágenes; o cómo se protegerán de los ataques digitales que pueda sufrir por parte de hackers”. De lo contrario, la aplicación de la medida podría volverse en contra de la Comunidad de Madrid.

    Y es que la cuestión ya empieza a dejar preocupados a los padres. Elena Núñez, miembro del AMPA del CEIP Navas de Tolosa, situado en el madrileño distrito de Villavarde, comenta que “la sensación que tenemos los padres es que Educación está improvisando todo. No siento que la Comunidad Madrid tenga en tan poco tiempo un sistema de seguridad contra los ataques digitales”. “No me gustaría que grabasen a mis hijas de cinco y seis años sin que las cámaras sean 100% seguras, ya que hay mucho pederasta en Internet experto en informática”, asevera esta madre.

    Agencia Espanola Proteccion Datos camaras de seguridad en colegios

    El choque padres-normativa

    “Con la nueva normativa sobre protección de datos, no se requeriría un consentimiento paterno si la Comunidad de Madrid logra argumentar bien que la grabación en streaming se hace para salvaguardar el derecho fundamental a la educación. Quedaría legitimado, pero a la hora de lanzar un proyecto se tiene que evaluar el riesgo y que se aplique con seguridad”, continúa la abogada Brito. Una circunstancia que a Elena no le hace gracia. “Me gustaría que el centro al que llevo a mis hijas me consultase, aunque no se exija. De hecho, creo que no le daría mi permiso”.

    Y es que el problema, de fondo, es la confrontación de dos derechos fundamentales. De ahí el difícil encaje legal que tiene que solucionar el gobierno madrileño. Por un lado, el derecho a la educación, que puede verse vulnerado si el niño contagiado da clases de manera intermitente. Y, por otro, el derecho a la protección de datos y a la intimidad.

    Una solución que plantea la abogada es que la cámara del aula sólo enfoque y grabe al docente y que, además, no tenga que ser de gran resolución. “No hace falta una cámara de última generación para que el estudiante pueda seguir la lección desde casa”, opina la especialista en derecho digital.

    Agencia Espanola Proteccion Datos camaras de seguridad en colegios 2

    ¿Y los profesores?

    Los otros damnificados de las grabaciones son los profesores, quienes se muestran “preocupados”, según desvela José Luis Carretero, docente del Instituto Escuela Superior de Hostelería y Turismo. “Muchos compañeros ven peligrar su libertad de cátedra, porque, al sentirse grabados pueden sentirse fiscalizados”, explica el profesor de Formación Profesional. En este sentido, cabría esperar que algunos docentes no vean con buenos ojos que los graben en streaming y que se nieguen a ello.

    Una problemática que ya ha previsto la Comunidad de Madrid y que la propia Díaz Ayuso ha solucionado este martes. “Nuestra propuesta, además, es que, si un alumno de primaria se ve obligado a confinarse en casa, el profesor pueda activar la cámara para que el alumno asista a clase desde su casa. Esto, por supuesto, se debe negociar con cada profesor”, decía la presidenta autonómica a los medios.

    Pero José Luis recela. “Lo que no ha explicado es que si un profesor se niega a dar clase en directo a un alumno confinado, tiene que tener luego un contacto con el estudiante y mandarle otras actividades. Son horas de trabajo que nadie cuenta”, explica el profesor.

    “Además, grabar esas clases implica que pueda afectar a la intimidad de profesores y alumnos. Una clase es un espacio en el que se interactúa todo el rato entre alumnos y profesor durante muchos meses, como una familia, e implica que muchas veces se hacen públicos datos, asuntos relativos a la intimidad, datos familiares... todo. ¿Y cómo vigilarán que eso no se filtre?”, se pregunta el docente.

    Cuatro cámaras por centro

    Los docentes -como en la última semana- se mueven, vigilan y calculan cada paso que da Educación. La directora del IES Juan de Mairena, situado en el municipio madrileño de San Sebastián de los Reyes, ha revelado a este periódico que los grupos son un hervidero y que, según los cálculos de su gremio “si instalan 6.100 cámaras en los centro de la Comunidad de Madrid, habría menos de cuatro en cada institución”.

    “Es algo totalmente insuficiente. Mira, no me parece mal si garantiza la educación de los alumnos, pero con tan pocas cámaras no se hace nada”, se queja la directora. “Ahora bien, a ver qué herramientas nos dan para garantizar la protección de datos y para garantizar el acceso a estas plataformas a todos los alumnos de la Comunidad”, sentencia. De momento, la Comunidad de Madrid ha anunciado sus medidas a los medios, pero a los centros no les ha indicado nada.

    Agencia Espanola Proteccion Datos camaras de seguridad en colegios 3

     

    #agenciaespañoladeprotecciondedatos #grabacionesenlasaulas #alumnosgrabados #leyorganicadeprotecciondedatos #AEPD #polemicaenlasaulas

    Fuente: Elespanol

  • Legislación aplicable en materia de protección de datos sobre borrado seguro de información

    Legislación aplicable en materia de protección de datos sobre borrado seguro de información

     

    Proteccion de datos

    En primer lugar corresponde manifestar que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), instaura una serie de principios y garantías, respecto al derecho fundamental reconocido constitucionalmente a la protección de datos personales (artículo 18.4 de la Constitución Española). Dicha ley impone un mandato legal de seguridad (artículo 9 LOPD), a todas aquellas empresas o entidades que intervengan en el tratamiento de datos y les obliga a custodiar la información de modo que no pueda ser accedida por personas o terceros no autorizados debidamente. Hace referencia a la legislación aplicable en cuanto al tratamiento y revelación de datos personales de un tercero sin previa autorización de la persona afectada o interesada (por ejemplo, publicar fotografías de un cliente en la página web de la empresa o difundir datos personales de un empleado de la empresa sin previa autorización de éstos, entre otros muchos casos).

    Es necesario asimismo resaltar la doctrina jurisprudencial contenida en la STC 292/2000, de 30 de noviembre, que fija con claridad, precisión y exactitud el derecho a la protección de datos de carácter personal contemplado en el artículo 18.4 de la Constitución como un derecho fundamental diferente y autónomo de los derechos al honor y a la intimidad personal amparados en el artículo 18.1 de la propia Carta Magna Española.

    También, es importante tomar en consideración que las empresas y entidades ya sean de naturaleza pública o privada y con independencia de su tamaño o volumen de sus recursos humanos, son responsables del total de los datos informatizados almacenados en sus equipos informáticos. Cada vez es más frecuente, que los trabajadores almacenen enormes cantidades de información en los discos duros de sus equipos informáticos, que en la mayoría de los casos, contienen asimismo datos personales o de carácter privado que les atribuyen cualidades de naturaleza confidencial. La eliminación de forma no segura de la información puede acarrear una posterior recuperación no autorizada, originando enormes perjuicios comerciales, de imagen y, también como no responsabilidades de tipo legal.

    El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD) se encarga de desarrollar de forma completa la LOPD.

    En concreto en el artículo 92.4 (gestión de documentos y soportes informáticos) se estipula lo siguiente: “siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior”.

    El artículo 44. 3. h) de la LOPD tipifica como infracción grave mantener los ficheros, locales, programas informáticos o equipos informáticos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

    Este precepto es reproducción literal del antiguo artículo 43.3.h) de la Ley Orgánica 5/1992 y debe ponerse en relación tanto con el artículo 9 de la LOPD (que recoge la vital necesidad de que de modo reglamentario se fije el catálogo de medidas de seguridad) como con el título VIII del Reglamento de la LOPD, en el cual se recogen las disposiciones generales sobre Medidas de Seguridad, como el catálogo de medidas aplicables a ficheros y tratamientos en relación directa a cada uno de los distintos niveles de seguridad: básico, medio y alto.

    Las sanciones o multas por el incumplimiento de obligaciones legales en materia de protección de datos sobre borrado seguro de información pueden variar entre 40.001 a 300.000 euros (infracción grave), siendo la Agencia Española de Protección de Datos la entidad pública encargada de su aplicación. Por las diversas razones expuestas anteriormente, es de gran importancia realizar un borrado seguro de datos, no solamente porque atente directamente contra la privacidad de las personas (interesados o afectados) y la seguridad interna de las empresas, sino que, además, constituye una medida de seguridad de obligatorio cumplimiento cuando hace referencia a datos de carácter personal, según lo estipulado en la LOPD y el RDLOPD.

    Por último comentar que diversas sentencias de la Sala de lo Contencioso de la Audiencia Nacional han contemplado supuestos de aparición de documentación en distintos tipos de soportes de empresas en contenedores de basura, y se ha sancionado por la aplicación del artículo 44.3.h) de la LOPD sobre la base del siguiente argumento: “resulta evidente que si documentos de uso interno de la entidad recurrente conteniendo datos personales y a los que sólo ella podía tener acceso, fueron encontrados en la vía pública y en un contenedor al alcance de cualquier viandante, es porque no se prestó la diligencia necesaria en orden a la efectiva observancia de las medidas de seguridad que se pretenden haber tomado, con lo que la protección en orden a la seguridad de los datos no fue eficaz, vulnerándose el artículo 9 de la LOPD y en definitiva el bien jurídico protegido por la infracción apreciada que es la seguridad de los datos”.

    Mencionar que los tres únicos métodos existentes de borrado seguro de información (documentos o soportes informáticos) son los siguientes:

    • La destrucción física del soporte.
    • La desmagnetización del soporte.
    • La sobre-escritura de la información.

     

    Fuente: elderecho

  • Los calendarios de Google filtran información privada y la responsabilidad es de los usuarios

    Los calendarios de Google filtran información privada y la responsabilidad es de los usuarios

    Si alguna vez has compartido los calendarios de Google debes volver a revisar la configuración de Calendar porque los datos incluidos pueden ser accesibles al público en general, como ha alertado un investigador de seguridad indio de la firma de comercio electrónico, Grofers.

    Es importante aclarar que no existe una vulnerabilidad real en los calendarios de GoogleLo que está en cuestión es la facilidad de cometer un error de privacidad al configurar la aplicación al compartirlo con terceros. El investigador Avinash Jain asegura que la configuración no advierte lo suficiente a los usuarios que compartir un calendario con otras personas a través de un enlace puede exponer ese calendario al público, y también hacer que el enlace esté disponible para ser indexado por el mismo motor de búsqueda de Google. Y cualquier puede encontrarlo con una búsqueda avanzada en Google Search.

    «Pude acceder a calendarios de varias organizaciones que filtraban detalles confidenciales como sus identificadores de correo electrónico, el nombre del evento, los detalles del mismo, la ubicación, enlaces de la reunión, al chat hangout de Google, enlaces a la presentación interna y mucho más», explica el investigador.

    No se puede culpar directamente a Google por los datos expuestos y más cuando la compañía lo advierte específicamente«Hacer público su calendario hará que todos los eventos sean visibles en todo el mundo, incluso a través de la búsqueda de Google. ¿Estás seguro?».  Sin embargo, el investigador aconseja mayor información de lo que puede suceder«Si bien esto es una configuración prevista por el servicio, el problema principal aquí es que cualquiera puede ver un calendario público, agregar cualquier cosa en él, simplemente con una sola consulta de búsqueda sin conocer el enlace del calendario».

    «Los usuarios aparentemente lo ignoran o no entienden las implicaciones de privacidad que conlleva este tipo de configuración», comenta el investigador de seguridad que ha encontrado vulnerabilidades anteriores en plataformas como la NASA, Google, Yahoo! y otras.

    Este no es el mismo caso, pero podría llevar a usuarios y empresas exponer inadvertidamente al público lo que ellos pensaban que era un calendario privado. La cuestión no es nueva. Han surgido problemas similares en torno a la configuración de datos en portales web y sitios de redes sociales como Facebook y otros. El hilo común es que incluso los usuarios de Internet más experimentados pueden pasar por alto fácilmente la configuración de privacidad y dejar involuntariamente expuestos datos privados.

    Te aconsejamos revisar la configuración de Google Calendar y asegurarte si realmente quieres compartir públicamente los calendarios. Si quieres compartir un Calendario con alguien en privado, Google permite a los usuarios invitar a usuarios específicos agregando sus direcciones de correo electrónico en la configuración en lugar de hacerlos accesibles al público.

     

    TTCS Proteccion de datos Calendarios Google

     

    #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro  #ciberseguridad

    Fuente: Muyseguridad

  • Los clientes de ING en peligro de robo de datos

    Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **

    Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo phishing que suplantan a la entidad bancaria ING, con el objetivo de robar las credenciales de acceso de los usuarios que pinchen en el enlace. Para ello, utilizan como excusa que el usuario debe actualizar sus datos personales para poder continuar usando la banca electrónica.

    Personas afectadas

    Todos los usuarios clientes de ING que reciban el correo electrónico, y hagan clic en el enlace y faciliten los datos de acceso a su banca online.

    Solución

    Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de sesión, así como información personal y bancaria, debes contactar lo antes posible con ING para informarles de lo sucedido.

    Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

    1. No abras correos de usuarios desconocidos que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.
    2. Ten precaución al pinchar en enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.
    3. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
    4. En caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI).

    De manera adicional, ten en cuenta SIEMPRE los consejos que facilitan los bancos en su sección de seguridad:

    1. Cierra todas las aplicaciones o programas antes de acceder a la web del banco.
    2. Escribe directamente la URL del banco en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
    3. Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate que descargas la aplicación oficial.
    4. No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.

    Detalles

    En esta ocasión, los correos electrónicos detectados que suplantan a ING se identifican porque llevan el siguiente asunto: “Verificación de datos personales”. Es posible que se puedan estar utilizando otros asuntos de características similares. El contenido del correo informa al usuario de que es necesario que actualice los datos personales asociados a su cuenta. Para ello, debe hacer clic en «Área de clientes» que le redigirá a una página web:

    TTCS proteccion de datos

     

     

    Si accede al enlace, el usuario será redirigido a una página que suplanta a la web legítima. En dicha página se le pedirá introducir su documento de identificación y su fecha de nacimiento, su clave de seguridad, su telefono móvil, y además que les envíe una foto con la tarjeta de coordenadas de seguridad. Realizados todos los pasos anteriores, al usuario se le redirige a la página web legítima del banco. Llegados a este punto, los ciberdelincuentes ya contarán con todos los datos del usuario para llevar a cabo distintos tipos de acciones delictivas.

    #protecciondedatos #usofraudulentodedatos #datosrobados #ingrobodedatos #phising

    Fuente: Digitaldeleon

  • Los españoles son pioneros en el derecho al olvido, según la AEPD

    Los españoles son pioneros en el derecho al olvido, según la Agencia Española de Protección de Datos.

     

    El sector de actividad en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, según la Agencia Española de Protección de Datos.

    AEPD

    Según la Agencia Española de Protección de Datos (AEPD), en  2014 se incrementó, en un 15%, el número de reclamaciones y denuncias alcanzando las 12.173 peticiones. De ellas, 10.074, un 17,04% más, correspondieron a denuncias, y 2.099 (5,11% más) fueron reclamaciones. “El nuevo incremento producido en 2014, que se suma a los de años anteriores, supone la constatación de que los ciudadanos son cada vez más conscientes de sus derechos” afirma la AEPD. En los últimos cuatro años se ha producido un crecimiento del 81,6% en el número de reclamaciones presentadas.

    La videovigilancia, la contratación fraudulenta, la inclusión en ficheros de morosidad, las cuestiones relativas al recobro de deudas y las comunicaciones comerciales centran la mayor parte de las denuncias que se plantearon ante la Agencia en 2014. A su vez, de las casi 100.000 consultas que han realizado los ciudadanos a través de la web de la Agencia, más de un 12% han estado relacionadas con ficheros de solvencia y recobro de deudas.

    La AEPD destaca que los españoles “han sido pioneros” en ejercitar el derecho al olvido. De las 210 reclamaciones que se presentaron a la Agencia, el 83,33% (175) fueron presentadas tras la sentencia del Tribunal de Justicia de la Unión Europea.

    En cuanto a la resolución de las denuncias y reclamaciones interpuestas por los ciudadanos,  se ha producido un crecimiento de 4,48% (11.222 frente a 10.741 en 2013). El ejercicio de la potestad sancionadora se ha incrementado en un 10,92%, si bien el volumen total de las sanciones económicas impuestas en 2014 ha disminuido un 23,89% (17.002.622 euros) con respecto a 2013, a pesar del incremento (1,04%) en el número de sanciones económicas. Ello es consecuencia de una disminución  (5,37%) en el número de sanciones graves declaradas y de la aplicación de los criterios de moderación y atenuación previstos en la LOPD (66,50%).

    El sector de actividad en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, con un importe total de 10.750.502 euros, suponiendo más de un 63,23% del volumen total. El segundo lugar lo ocupan las entidades financieras (2.018.501 euros), seguidas de las empresas de suministro y comercialización de energía y agua (1.862.900 euros). El sector de la publicidad y las comunicaciones electrónicas comerciales (spam) ocupan el cuarto y quinto puesto respectivamente (751.411 y 645.506 euros) en los sectores más sancionados.

    En lo referente a las resoluciones de procedimientos de apercibimiento del sector privado (en los que se declara infracción pero no se impone sanción económica) estos han recaído mayoritariamente en la actividad de videovigilancia (55,87%). A gran distancia se encuentran los servicios de internet (10,79%).

    En el caso de las Administraciones Públicas, se ha producido una disminución de un 10,53% en el número de infracciones declaradas, si bien se ha producido un incremento del 3,45% en los procedimientos resueltos.

     

    Fuente: ituser

  • Los ladrones ya no quieren copiar tu tarjeta en el cajero, ahora lo hacen por Internet

    Los ladrones ya no quieren copiar tu tarjeta en el cajero, ahora lo hacen por Internet

    El robo de tarjetas bancarias es una de las principales amenazas con las que tienen que lidiar los bancos. Al año, en todo el mundo, esto genera billones de euros en dinero robado que acaba en manos de delincuentes, y que por suerte los bancos devuelven al usuario afectado por la estafa. Una manera típica de copiar tarjetas es en los cajeros, pero ahora se están robando cada vez más tarjetas por Internet cuando se usan para realizar pagos.

    El E-skimming no para de crecer en todo el mundo

    Ha sido el FBI el que ha alertado de un aumento del E-skimming. El skimming clásico de tarjetas se hace en los cajeros, pero el e-skimming se hace a través de Internet mediante la inyección de código malicioso y scripts en las pasarelas de pago de las tiendas online, los cuales registran los datos que los usuarios introducen en la web. Una vez un hacker tiene los datos, o los vende en la Dark Web, o los utiliza él mismo para realizar compras fraudulentas. La primera técnica suele ser la más común, ya que es otra persona la que va a cometer el delito de realizar el robo de dinero, y el hacker no deja huella en el proceso.

    Entre las recomendaciones que el FBI recomienda seguir a empresas y negocios se encuentran:

    • Actualizar y parchear sus sistemas a la última versión de software, además de tener antivirus y firewall

    • Cambiar las credenciales por defecto y tener contraseñas únicas y seguras

    • Tener autenticación en dos o más pasos

    • Educar a los trabajadores en la importancia de la ciberseguridad, y evitar que hagan click en enlaces de phishing

    • Segmentar los sistemas de red para evitar que los criminales puedan acceder a la red completa al hackear una parte.

    También se pueden activar elementos como el Content Security Policy que sólo permite ejecutar elementos JavaScript de un listado de dominios fiables que tenga en la base de datos. Ese es uno de los principales vectores de entrada, donde también los enlaces de phishing que reciben los trabajadores suelen hacer que los hackers se hagan muy fácilmente con las contraseñas. Otro elemento que se puede activar es el Subresource Integrity, que evita que se cargue código JavaScript modificado y cuenta con verificación mediante hashes. Los usuarios son los que menos opciones tienen a sus disposición más allá del sentido común.

    Billones de dólares anuales se pierden por el crimen en la red

    El grupo Magecart es uno de los más prolíficos de los últimos años en esta actividad de robo online de tarjetas. Sus operaciones llevan teniendo gran éxito desde 2015, aunque llevan operando desde 2010, cuando lo hacían a menor escala. Tanto es así, que por cada ataque que realizan que llega a los medios, se han detectado miles que no se publican, y que afectan a plataformas de pago de terceros.

    En total, se estima que han robado datos bancarios de millones de usuarios, con más de 2 millones de detecciones en los últimos años donde se han infiltrado en más de 1.000 plataformas de pago, incluyendo tiendas como Newegg. De hecho, tienen un script que automáticamente roba los datos de 57 pasarelas de pago y que puede implementarse en casi cualquier sistema de pago de una web.

    No hay cifras aproximadas de cuánto dinero han podido llegar a robar, pero a nivel mundial se estima que el crimen cibernético es responsable de más de 5 billones de dólares anuales; más de tres veces el PIB de España.

     

    TTCS Robo tarjetas webb

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Adslzone

  • Los ministros de Justicia de la UE refuerzan la protección de datos

    Los ministros de Justicia de la UE han aprobado el Reglamento Europeo de Protección de Datos, con el que se pretende proteger la intimidad y los derechos fundamentales de las personas físicas frente al riesgo que supone la recopilación y uso indiscriminado de esos datos en el mundo digital.

    Proteccion de datos

    ​El objetivo es mantener un marco normativo único para toda la Unión Europea uniformando el régimen jurídico actual, así como facilitar la libre circulación de datos personales en el marco de la UE y con otros países e instituciones internacionales respetando el derecho a la libertad de expresión, prensa y las condiciones necesarias para la investigación científica. Todo ello en el contexto de la estrategia de mercado único digital que impulsa la Comisión Europea., según un comunicado del Ministerio de Justicia.

    La norma se aplicará a empresas europeas y a extracomunitarias que ofrezcan sus servicios a usuarios de la UE, de manera que solo podrán procesar información personal si cuentan con el consentimiento de los consumidores. Se simplifican así los trámites para las empresas que procesen datos personales, con lo que Bruselas calcula que se ahorrarán 2.000 millones de euros al año en cargas burocráticas. Los Estados miembros han reconocido además el derecho de los ciudadanos a ser olvidados en la red, de manera que cualquier usuario tendrá derecho a que se borren sus datos personales si así lo demanda.

    Entre las disposiciones novedosas de este Reglamento, se incluye la protección especial para los menores y la protección frente a técnicas de perfilado (profiling). Se refuerza igualmente la seguridad de los datos incluyendo la necesidad de comunicar al ciudadano afectado un régimen de responsabilidad que le garantice la reparación de los daños sufridos y una especial ponderación de la libertad de expresión que favorezca el trabajo de los medios de comunicación.

    El ministro de Justicia, Rafael Catalá, ha destacado que el apoyo de España a esa norma persigue contribuir a la obtención cuanto antes de una reforma general en materia de protección de datos personales que va a aumentar el control de los ciudadanos sobre sus propios datos y reducir los costes para las empresas, evitando trámites innecesarios de notificación. Catalá lo ha calificado como un Reglamento importante que permitirá la tutela de los derechos de los ciudadanos en toda Europa, dotando a las empresas de normas armonizadas en esta materia, lo que favorecerá la competitividad entre ellas.

    España ha defendido en esta reunión del Consejo de Ministros de Justicia e Interior de la UE (JAI) la necesidad de mantener una protección elevada de los derechos de los individuos, especialmente en el ámbito de internet, dotando de cierta flexibilidad a los Estados miembros para obtener la mejor adaptación del Reglamento a determinados sectores, principalmente el público, al que se quiere facilitar el cumplimiento de las obligaciones con especial apoyo a las micro, pequeñas y medianas empresas.

    En la reunión de ministros de Justicia e Interior de la UE se ha debatido también la simplificación de la libre circulación de ciudadanos y empresas en la Unión Europea y la creación de la Fiscalía Europea.​

     

    Fuente: elderecho

  • Los ministros europeos hacen el ridículo con la nueva ley de protección de datos y el derecho al olvido

    La nueva ley de protección de datos europea ha empezado con mal pie, después de que los representantes europeos no hayan decidido reglas concisas.

    Después de la reunión en la que han participado los 28 estados miembros de la Unión Europea, se ha llegado a la conclusión de que sí, que proteger los datos de los usuarios está muy bien, pero que la definición de “proteger” varía de un sitio a otro.

    Por lo tanto el resultado ha sido un documento con una gran cantidad de modificaciones respecto al presentado inicialmente, en el que se han incluido todo tipo de provisiones para no quitar poder a los gobiernos. Y esto es sólo el principio.
    Así será la nueva ley de protección de datos europea

    Cuando el Tribunal de Justicia Europeo decidió que los usuarios tenían el llamado “derecho al olvido”, la Unión Europea se dio cuenta de que tenía que actualizar sus textos para legislar este y otros apartados relacionados con los datos de los europeos.

    Proteccion de datos

    El nuevo texto reconoce que los nuevos desarrollos tecnológicos necesitan un nivel superior de protección de datos personales, y un marco más fuerte y coherente que permita crear confianza en la economía digital. Y a continuación, el texto se desdice y permite todo lo contrario.

        “Esta Regulación también provee un margen de maniobra para que los estados miembros especifiquen sus reglas” Propuesta para la regulación de protección de datos europea.

    Prácticamente todo el texto añadido en la última reunión (subrayado en el documento (pdf)) tiene que ver con las leyes nacionales de cada país, y de cómo los estados pueden modificar e incorporar elementos según crean conveniente.

     

    Proteccion de datos

     

    En otras palabras: cada país podrá tener las reglas de privacidad, gestión de datos y derecho al olvido que considere necesarias, fragmentando el mercado europeo.

    En lo que respecta al llamado “derecho al olvido”, simplemente tipifica lo que ya decidió el Tribunal Europeo, que los ciudadanos tienen derecho a que se borren o rectifiquen datos incorrectos o que ya no sean válidos, aunque este derecho al olvido no es absoluto, y está limitado por otros como la libertad de expresión e información.

    ¿No hay nada de bueno en este texto? Pues la verdad es que sí. El principal punto positivo es que la portabilidad de datos se hace ley; las empresas tendrán que facilitar que los usuarios descarguen sus datos, para poder ser usados en otro servicio, por ejemplo.

    También se eliminan muchos procesos como autorizaciones y notificaciones, que permitirá ahorrar 2.000 millones de euros al año, sólo en burocracia.

    Este texto tendrá que ser debatido en la Eurocámara para convertirlo en ley, y para eso como mínimo tendremos que esperar a finales de año.

     

    Fuente: omicrono

  • Microsoft se niega a revelar cuantas cuentas de correo Outlook han sido hackeadas

    ienes cuenta de correo electrónico en Outlook? Entonces esto te interesa: El viernes pasado Microsoft empezó a enviar alertas a usuarios de la plataforma de correo Outlook, avisándoles de que se había producido un acceso no autorizado y, por tanto, la información de carácter privado estaba comprometida. Lo curioso es que el hackeo de Outlook no se había producido el mismo viernes, ni durante la semana pasada, sino en enero. Exactamente desde el 1 de enero al 28 de marzo de 2019… Sí, una brecha de seguridad que duró tres meses y terminó hace dos semanas, pero que no ha sido hecha pública hasta ahora.

     

    ttcs ciberseguridad abril 19

     

    Outlook hackeado en enero 


    A través de Reddit, un usuario ha compartido un mensaje de la oficinna de protección de datos de Microsoft en la Unión Europea en el que advierte sobre un acceso no autorizado, obtenido por medio de unas credenciales comprometidas del soporte de Outlook. Según la propia Microsoft, ninguno de los atacantes ha podido obtener ni contraseñas de seguridad de los usuarios de Outlook ni tampoco leer ninguno de sus emails. Y las credenciales usadas en el ciberataque ya están desactivadas.

    Entre los datos que han resultado expuestos se encuentran datos relacionados con la cuenta como la dirección de correo, los nombres de archivos adjuntos, los asuntos de los correos electrónicos y los nombres y direcciones de otros usuarios con los que se ha escrito. Pero la web Motherboard de de Vice tiene otra historia sobre este punto, y señala que Microsoft le envió una notificación diferente al 6% de los usuarios afectados, admitiendo que los atacantes sí podrían haber visto el contenido de los correos Outlook a los que tuvieron acceso.

    Cambiar la contraseña… otra vez 



    Como suele pasar en estos casos, l

a compañía recomienda cambiar la contraseña como medida de precaución a los usuarios afectados, y advierte también sobre que los datos accedidos pueden utilizarse en campañas de 'phishing' o 'spam' a través de remitentes inseguros. Pero un dato que Microsoft aún no ha revelado es la cantidad de cuentas Outlook que han sido comprometidas, lo que serviría para hacerse una idea del alcance del ataque. 



    Fuente: As

     

  • Mozilla publica parche de emergencia para Firefox

    Mozilla publica parche de emergencia para Firefox 

    Mozilla ha lanzado una alerta en el que insta a los usuarios a instalar un parche de emergencia para Firefox incluido en las nuevas versiones del navegador a partir de las 67.0.3 y ESR 60.7.1.

    La alerta viene motivada por la explotación de una vulnerabilidad 0-Day clasificada bajo el código CVE-2019-11707 y descubierta inicialmente por el equipo de seguridad Project Zero de Google. Es la primera vulnerabilidad de «día cero» detectada desde 2016 en el navegador web de Mozilla.

    El error es lo que se conoce como una «vulnerabilidad de confusión de tipos», que en pocas palabras es un fragmento de código que no verifica el tipo de objeto o recurso y luego utiliza un objeto incompatible que causa el bloqueo del programa.

    En la práctica, se reproduce al manipular objetos de JavaScript debido a problemas con la instrucción Array.pop y permite a un atacante ejecutar código arbitrario y tomar el control del equipo una vez que un usuario de Firefox visite una página web con un código malicioso oculto y especialmente preparado para explotar la vulnerabilidad.

    «Somos conscientes de ataques dirigidos que están explotando este problema», alertan desde Mozilla recomendando la actualización inmediata a Firefox 67.0.3 y Firefox ESR 60.7.1, versiones que han parcheado esta vulnerabilidad crítica.

    Puedes descargar las nuevas versiones desde la página web de Firefox o si ya tiene instalado el navegador asegurarse que se ha actualizado automáticamente o hacerlo manualmente desde el menú de configuración > Ayuda > Acerca de Firefox.

     

    TTCS seguridad en internet - firefox

    #ciberseguridad #protecciondedatos #usofraudulentodedatos

    Fuente: Muyseguridad

  • Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

    Multa de 12.900 euros a un salón de belleza que grababa a sus empleadas

     

     

    La Agencia Española de Protección de Datos (AEPD) ha multado con 12.900 euros a un  salón de belleza por vulnerar la privacidad de sus trabajadoras. La Guardia Urbana de Barcelona denunció a un establecimiento hotelero, donde se constata la presunta “realización de actividades de naturaleza sexual”, por no disponer de carteles informativos sobre la presencia de cámaras de video-vigilancia en su interior. Las Fuerzas del orden público certificaron que estas cámaras obtenían imágenes de las zonas de descanso de las trabajadoras y carecían de formulario e inscripción de fichero en la AEPD.

    TICBCN LOPD

    La instalación de cámaras de vídeo-vigilancia en el lugar de trabajo no requiere del consentimiento por parte de los empleados, pero sí deben estar informados en todo momento de su presencia y de que éstas no invadan las zonas de descanso o reservadas a la intimidad.

    El sistema de vídeo-vigilancia debe estar dado de alta (según la normativa vigente en aquel momento) en la Agencia de Protección de Datos y debe informarse mediante distintivos colocados, al menos, en el acceso a las zonas vigiladas. Además, el establecimiento debe disponer de un impreso que informe de la existencia de las grabaciones y disponible por si un afectado quiere ejercitar sus derechos. Las grabaciones solo podrán mantenerse por un periodo máximo de 30 días.

    La empresa demandada reconoció su culpabilidad ante la ausencia de estos carteles informativos por motivos de obras en la instalación, aunque procedió a reinstalarlos y ubicarlos con posterioridad en las zonas de acceso.


    La Ley Orgánica de Protección de Datos recoge como principio fundamental el deber de informar a las personas de las cuales se vaya a obtener cualquier tipo de datos personales. La AEPD señala que “la captación de imágenes de personas mediante cámaras de video vigilancia y su trasmisión a un monitor, donde es visionada, aun cuando el sistema se limite a posibilitar su visualización, y su grabación, mediante la reproducción de la imagen de los individuos, constituye un acto de tratamiento de datos de carácter personal que proporciona información de personas físicas identificables acerca de su imagen personal, lugar en que se encuentran y actividad que desempeñan”.


     Por lo tanto estos hechos, debido a la infracción de su artículo 5.1, la Agencia impone una sanción de 900€ al carecer de los preceptivos carteles informativos, de tal manera que no es posible ejercitar los derechos de la LOPD ni haber informado a los clientes del establecimiento.

    En relación a la segunda infracción, desde la empresa alegaron que las cámaras se instalaron por motivos de seguridad para las trabajadoras y que las imágenes obtenidas no son de la zona de descanso de las empleadas, una zona con mesa y sillones desde donde pueden conectarse con sus ordenadores portátiles.

    Sin embargo, tras las comprobaciones pertinentes, ha quedado demostrada la presencia de cámaras de video-vigilancia en espacios privativos de las empleadas sin causa justificada y con una intencionalidad de control excesiva, como las zonas de la cocina y el vestidor, y las entradas/salidas de las habitaciones donde la empleadora asegura que las trabajadoras desempeñan sus funciones calificadas como “masajes”.


    El Tribunal Constitucional establece que el derecho a la propia imagen “pretende salvaguardar un ámbito propio y reservado, aunque no íntimo, frente a la acción y conocimiento de los demás; un ámbito necesario para poder decidir libremente el desarrollo de la propia personalidad y, en definitiva, un ámbito necesario según las pautas de nuestra cultura para mantener una calidad mínima de vida humana”.


     En lo referente a la seguridad de las empleadas, la AEPD estima que ésta se cumple con la presencia de cámaras en los principales puntos de acceso al establecimiento, lo que permite la grabación de los clientes que acceden al local, por lo que la obtención de imágenes de las empleadas en sus zonas de descanso es excesiva.

    De hecho, el control laboral de las trabajadoras se lleva a cabo mediante el fichaje que realizan ellas mismas tanto a la entrada como a la salida del establecimiento, en donde queda registrado el número de horas que dedican a su jornada laboral.

    Por tanto, las pruebas aportadas concluyen la infracción del artículo 4.1 de la Ley Orgánica de Protección de Datos al haber instalado una cámara de vídeo-vigilancia en una zona de descanso, afectando así a la intimidad personal,  y se impone una multa de 12.000 euros.

    Fuente: eprivacidad

  • Multa de 205 millones a British Airways por el robo de datos de los clientes

     

    GDPR en acción: British Airways recibe una sanción récord de más de 200 millones por su brecha de datos

    La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) ha comunicado a British Airways, perteneciente al grupo IAG, su intención de multar a la aerolínea con 183,39 millones de libras (204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea.

    La propuesta de sanción se produce después de que la compañía de IAG, a la que también pertenece Iberia, sufriera un ataque informático en el verano de 2018 con el robo de datos de clientes, "incluyendo su información financiera" de sus tarjetas de crédito. La compañía informó en un principio que el incidente afectó a 380.000 clientes, que luego rebajó a 244.000 pasajeros. Sin embargo, el ICO eleva ahora a 500.000 el número de potenciales afectados.

    En concreto, los robos de datos afectaron a las reservas realizadas en la página web de la aerolínea entre los días 21 de agosto al 5 de septiembre de 2018, pero los clientes afectados son aquellos que realizaron sus reservas de billetes, utilizando sus tarjetas de crédito, entre el 21 de abril y el 28 de julio de ese año.

    Durante ese periodo, los pagos con tarjeta fueron interceptados y los atacantes pudieron hacerse con nombres, apellidos, direcciones físicas y de correo electrónico, números de tarjetas y sus fechas de expiración y códigos de seguridad, datos suficientes para realizar compras o vaciar cuentas.

    En este sentido, la ICO señaló ayer que en su investigación ha encontrado que una variedad de información se vio comprometida por “la falta de seguridad en la empresa”, incluidos el inicio de sesión, la tarjeta de pago y los datos de reserva de viaje, así como la información del nombre y la dirección.

    “Los datos personales de las personas son solo eso, personales. Cuando una organización no puede protegerla de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”, señaló ayer en una nota la directora de la ICO, Elizabeth Denham. No obstante, el organismo admite que British Airways ha cooperado en la investigación y ha hecho mejoras en sus medidas de seguridad desde que se conoció el incidente.

    El presidente y consejero delegado de la aerolínea británica, Alex Cruz, mostró su “sorpresa” y “decepción” por la propuesta de sanción inicial de la ICO. El directivo español destacó que la compañía respondió rápidamente al robo de datos de sus clientes, “sin encontrar evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con la sustracción”.

    Por su parte, el consejero delegado de IAG, Willie Walsh, anunció que British Airways efectuará las alegaciones pertinentes ante el ICO, incluyendo un recurso si se confirma la sanción. “Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que considere necesaria”, puntualizó Walsh.

    La multa propuesta por la autoridad británica equivale al 1,5% de los ingresos globales de British Airways en 2017. Se trata de la primera multa desde que entró en vigor, el pasado mes de mayo, la nueva legislación europea sobre protección de datos.

     

    TTCS CIBERSEGURIDAD AEROLINEA BRITISH AIRWAYS

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: Elpais

     

     

  • Multa de 5,29 millones de euros contra España por no cumplir la directiva de protección de datos

    Multa de 5,29 millones de euros contra España por no cumplir la directiva de protección de datos

    La Comisión Europea ha propuesto este jueves al Tribunal de Justicia de la Unión Europea (TJUE) que imponga una multa de 5,29 millones de euros contra España por no incorporar a su ordenamiento jurídico una directiva europea de protección de datos.

    La norma debería haberse incluido en la legislación nacional en mayo de 2018 por lo que nuestro país lleva más de un año de retraso. Y la multa puede ser aún más grande ya que la CE pide, además, una multa de 89.548,2 euros por cada día de retraso que acumule España después del día en el que el TJUE dicte sentencia.

    Cuando el Consejo y el Parlamento Europeo llegaron a un acuerdo sobre la directiva, cerraron el 6 de mayo de 2018 como el último día para incorporar la nueva norma a la legislación nacional. España, que es un alumno aventajado de la UE en lo que a retrasos se refiere, vio cómo se abría expediente contra ella en julio de 2018, pero desde entonces no ha cumplido con los plazos.

    España no está sola en este trance. La Comisión Europea también ha propuesto una multa, significativamente menor por el tamaño del Estado miembro, a Grecia, que es el otro país europeo que ha incumplido la transposición.

     

    TTCS proteccion de datos españa UE

     

    Fuente: Elconfidencial

  • Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle

    Multada con 4.000 euros por poner cámaras de vigilancia escondidas enfocando a la calle

    Una vecina de La Línea de la Concepción (Cádiz) deberá pagar una multa de 4.000 euros por instalar dos cámaras de video-vigilancia en su vivienda que enfocaban a la calle y captaban imágenes de la vía pública.

    La Ley Orgánica de Protección de Datos no permite que los sistemas de videovigilancia capten imágenes de las personas que se encuentren fuera del espacio privado. En lugares públicos es algo que sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado, según ha recordado la Policía Nacional.

    Agentes de la Policía Nacional detectaron dos cámaras de vigilancia en una vivienda particular situada en la calle Pedreras. Estaban camufladas en dos salidas al exterior de unas falsas chimeneas y captaban imágenes de gran parte de la vía pública.

    La Policía procedió a la proponer una sanción por infracción administrativa de la citada ley. El expediente fue elevado a la Agencia Española de Protección de Datos, que ha impuesto una sanción de 4.000 euros a la propietaria de la vivienda por vulnerar el derecho a la protección de datos de carácter personal al estar afectando un espacio público sin causa justificada. También se le obliga a que retire dichas cámaras.

    La Ley Orgánica de Protección de Datos prohíbe la instalación de videocámaras en fachadas de propiedades particulares que capten imágenes de espacios públicos y/o privados, salvo excepciones contempladas en esa Ley, pudiendo ascender las sanciones por la realización de estas conductas hasta los 20 millones de euros como máximo o, tratándose de un negocio, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, según ha recordado la Policía Nacional.

     

    camaras de seguridad en fachadas

      

     Refuerza la seguridad de tu negocio o vivienda con TTCS

    Visita nuestro apartado de productos, para conocer todas las soluciones de seguridad que TTCSte ofrece. O puedes llamarnos al 971607952, o pedirnos información por correo electrónico a nuestro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..Tenemos soluciones de seguridad adaptadas para cada tipo de cliente.

     

     #videovigilanciamallorca #camarasdeseguridadmallorca #sistemadeseguridadmallorca #leyorganicadeprotecciondedatos #AEPD #instalacionseguradesistemasdeseguridad

     Fuente: Sevilla.abc

     

  • Nueva estafa via SMS a usuarios de Bankia

    Cuidado con el SMS de Bankia del 610928472: es una estafa

     

    Una nueva oleada de SMS está distribuyéndose a gran escala a través del número 610928472 (+34610928472 para residentes fuera de España). A pesar de que los primeros reportes nos llevan hasta noviembre de 2019, lo cierto es que el envío de mensajes no ha cesado desde entonces. El mensaje en cuestión se limita a anunciar la suspensión temporal del usuario de Bankia por motivos de seguridad a todos aquellos usuarios que son clientes de la mencionada banca online. La realidad es que nos encontramos ante un nuevo tipo de estafa telefónica que ya ha sido puesta en mano de las autoridades.

    No pinches en el link del SMS de Bankia: podrían robar tus datos

    Así lo confirmaba FACUA el pasado mes de noviembre, y así lo hemos podido comprobar tras acceder al enlace que se adjunta con el supuesto mensaje de Bankia. El SMS suele rezar lo siguiente:

    ** “Bankia-ES”: Usuario deshabilitado por razones de seguridad. www.bit.do/clientesapp-6544c activar ahora **

    La página enlazada imita a la perfección la pasarela de acceso que Bankia proporciona a los clientes de la banca online. Basta con echar un vistazo al dominio de la web para comprobar que nos encontramos ante un caso de phising, o lo que es lo mismo, suplantación de identidad.

    TTCS Robo datos sms bankia

    Aspecto de la página web enlazada. El propio navegador da un aviso de seguridad “El dominio no es seguro”.

    El objetivo de la web no es más que el de hacerse con los datos de los clientes del banco español para realizar extracciones fraudulentas de efectivo. Como podemos apreciar en la imagen, el formulario solicitará a los clientes el DNI, NIF o número de pasaporte junto con la clave de acceso, datos imprescindibles para acceder a la web de Bankia. Desde tuexperto.com recomendamos desechar el SMS cuanto antes para evitar acceder al enlace adjunto.

    Cómo bloquear los SMS del +34610928472 y otros números spam

    En Android y iOS bloquear un SMS es tan sencillo como acceder al mensaje en cuestión y acto seguido pulsar sobre las Opciones de SMS, que usualmente vienen representadas por tres puntos.

    TTCS Robo datos sms bankia 2

     

    Acto seguido pulsaremos sobre la opción Bloquear número. Automáticamente se bloqueará la recepción de cualquier SMS procedente de todos aquellos números que hayamos bloqueado previamente. Algunas capas de personalización permiten incluso crear listas de exclusión donde podemos agregar distintos números de teléfono. Lo ideal es crear una lista para las siguientes numeraciones:

        • 610928470
        • 610928471
        • 610928472
        • 610928473
        • 610928474
        • 610928475
        • 610928476
        • 610928477
        • 610928478
        • 610928479

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Tuexpertomovil