Entradas

, , ,

Día Internacional de la Ciberseguridad. El Binomio con Protección de datos.

Con motivo del día Internacional de la Ciberseguridad, el pasado 30 de noviembre, no viene mal recordar, de nuevo, la importancia que la seguridad de la información tiene.

Como hemos venido repitiendo en diferentes artículos, hoy en día, en un mundo cada vez más digitalizado, protección de datos y ciberseguridad forman parte de un mismo ámbito dentro del cumplimiento normativo de las empresas. La primera no se puede entender sin la segunda, pues podemos contar con todos los protocolos necesarios en cumplimiento del RGPD y la LOPDGDD, pero si no tomamos medidas encaminadas a proteger nuestra información automatizada posiblemente de nada servirán nuestros esfuerzos.

Directiva europea de ciberseguridad

Lo anterior se refuerza si tenemos en cuenta que está en camino la conocida como NIS2, o nueva Directiva Europea de Ciberseguridad, aún en fase de borrador, y que vendrá a sustituir, cuando se apruebe, a la Directiva NIS, adaptada en España mediante el Real Decreto 12/2018, desarrollado por el real Decreto-Ley 43/2021.

La nueva Directiva pretende ampliar los sujetos obligados, reforzar las medidas de control de los servicios de computación en nube,  homogeneizar la normativa en el ámbito de los Estados europeos, e implementar un proceso sancionador más restrictivo y exigente. 

Dentro de esta exigencia se contempla en la NIS2 que la ciberseguridad sea reconocida de forma expresa como una responsabilidad en la empresa al más alto nivel, involucrando a los altos directivos

No es extraño que se pretenda elevar el nivel de exigencia en ciberseguridad. Sabemos los datos que nos ha dejado la pandemia en este campo, duplicando, por ejemplo, los ciberdelitos y triplicando los ataques mediante ramsomware. Sin embargo, no parece que en las empresas esto haya supuesto un incremento de las medidas de seguridad en la misma proporción, lo cual es preocupante, no solo en aras a evitar sanciones, sino para no poner en juego la propia continuidad del negocio.

La cultura de la ciberseguridad en las empresas

Al igual que ocurre con el RGPD y la LOPDGDD, es fundamental, más allá del mero cumplimiento formal o “estético”, introducir en las empresas una verdadera cultura de la ciberseguridad, que permita, no solo adoptar medidas técnicas, sino concienciar al personal que tenga acceso a la información del importante papel que juegan en la prevención de posibles ataques informáticos.

A la espera de la NIS2, y con los medios y conocimiento de los que ya disponemos, uno de los puntos clave a la hora de implementar esta cultura de ciberseguridad que perdure en el tiempo sería el de “formación, formación, formación y después…más formación”. Fundamental en todos los campos, y especialmente importante en el de la seguridad informática. Los trabajadores deben tener conciencia de los riesgos y ser capaces de identificar cuándo se encuentran ante uno de ellos (páginas poco seguras, correos con virus malicioso, etc…), proporcionándoles por parte de la empresa los medios y herramientas adecuadas para obtener una capacitación y conocimientos mínimos en conceptos relacionados con la ciberseguridad.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Contacto

/por

Nuevo decreto ley de seguridad de las redes y sistemas de información

Según información del Portal de noticias sectoriales “Economist & Jurist”, el Consejo de Ministros ha aprobado el Real Decreto ley de seguridad de las redes y sistemas de información, por el que se transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

El citado Real Decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad, así como a los proveedores de determinados servicios digitales.

Los proveedores de estos servicios digitales deberán realizar una evaluación previa de riesgos y deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen.

También tendrán que notificar los incidentes que sufran al Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad.

Este Real Decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.

/0 Comentarios/por
comprar por Internet de forma segura

Guía para comprar por Internet de forma segura

La AEPD, el INCIBE, AECOSAN y la Policía Nacional han elaborado una guía para comprar por Internet de forma segura.

Esta Guía de compra segura en Internet tiene como objetivo proporcionar consejos prácticos para que la experiencia de compra online sea segura y no nos llevemos sorpresas desagradables como fraudes, robos de datos personales o estafas.

En la guía se ofrecen consejos a tener en cuenta antes de comprar, como por ejemplo identificar los comercios de confianza, navegar usando protocolos seguros, (como https), leer los términos y condiciones del servicio y las políticas de privacidad de la tienda online, asegurarnos de que el titular o responsable del comercio está claramente identificado.

Una vez que hemos hecho estas averiguaciones previas y hemos decidido comprar, nuestro siguiente paso es elegir medios de pagos seguro, darnos de alta como usuarios con contraseñas seguras, cuándo guardar la información de pago. También es importante informarnos sobre las garantías, las políticas de devolución y los gastos de envío.

La publicación disponible en las webs de la Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional se complementa con un decálogo de consejos básicos que recogen algunos de los aspectos más relevantes.

El DECÁLOGO DE LA SEGURIDAD en la forma de comprar online es:

  1. Realiza tus compras en páginas que te inspiren confianza.
  2. Asegúrate de que en la web aparece identificado el responsable de la tienda online y su ubicación.
  3. Comprueba que la tienda online es segura y te proporciona toda la información que necesitas sobre consumo y tratamiento de datos personales.
  4. A ser posible, utiliza una tarjeta de uso exclusivo para realizar pagos online.
  5. Desconfía de las ofertas demasiado atractivas, ya que podrías estar ante una web fraudulenta.
  6. No olvides comprobar que tus dispositivos están configurados correctamente y la conexión a Internet es segura antes de proporcionar tus datos personales o tus datos de pago.
  7. Nunca envíes dinero en efectivo para completar una compra. Elige con cuidado el medio de pago.
  8. Recuerda que los comercios con sellos de confianza ofrecen mayores garantías.
  9. Puedes desistir de una compra o contrato sin tener que dar explicaciones en los 14 días posteriores.
  10. Si desistes o haces uso de la garantía, ello no debe tener coste alguno para ti, y esto incluye los gastos de envío.

 

Además de estos 10 consejos básicos para comprar de forma segura en Internet, se han confeccionado una fichas que explican cómo proteger adecuadamente tu dispositivo y utilizar una red de confianza, utilizar los servicios de una tienda online de confianza, alertar ante posibles fraudes, qué medios de pago son los más seguros para comprar o contratar online, cómo configurar mi cuenta de usuario de una forma segura para comprar o contratar online, qué garantías y derechos me asisten como comprador online.

La guía no solo va enfocada a los clientes, también es de utilidad para los negocios online que pueden extraer conclusiones sobre sus obligaciones y sus condiciones de servicio.

 

/0 Comentarios/por
WannaCry

WannaCry el virus que ha puesto en jaque la Ciberseguridad española

WannaCry el virus que ha puesto en jaque la Ciberseguridad española

El pasado viernes 12 de mayo, fuimos testigos de uno de los mayores ataques de ransomware realizados de los últimos años.

Telefónica detectó un intruso en su red interna que estaba bloqueando sus archivos, encriptándolos y haciéndolos inutilizables. De igual manera, este ransomware se propagó por los diferentes equipos, infectándolos de manera que se hacía imposible su utilización. La problemática se amplió debido a que Telefónica proporciona soporte a un gran número de empresas y muchos servicios se vieron afectados por el ataque.

Este ransomware (programa malicioso que infecta archivos para luego pedir un rescate sobre los mismos), WannaCry, escanea tanto la red interna como la externa, realizando conexiones al puerto 445 (SMB) en busca de equipos no actualizados, para propagarse a ellos e infectarlos. Es decir, que tiene la peculiaridad de no solo afectar al ordenador, sino a todo dispositivo conectado y a la red que esté unido.

El Centro Nacional Criptológico publicó un post en el que pueden verse los remedios para tal ataque y un análisis más técnico. Piche aquí para ver enlace.

Pero, ¿este ataque de ransomware que tiene de relación con la protección de datos?

Tiene mucho que ver, en primer lugar debido a la que el Nuevo Reglamento Europeo de Protección de Datos (que entrará en funcionamiento en mayo de 2018) crea la obligación de notificar a la Agencia Española de Protección de Datos de cualquier quebrantamiento de seguridad en un plazo de 72 horas.

Este nuevo requisito, se impone como medida dirigida justamente a casos como el actual.

Estos ataques de ransomware, por desgracia, nos van resultando más actuales cada vez y seguramente en los próximos años con la evolución tecnológica sean parte de nuestra vida cotidiana.

Los objetivos de estos ataques informáticos son archivos con datos valiosos, aquellos que contengan datos personales (cualquier tipo dato que sirva para identificar a una persona física).

Resulta lógico que si el objetivo de la Ley Orgánica de Protección de Datos, es su salvaguarda, se pongan en funcionamiento estos procedimientos para asegurar al ciudadano que los datos que tienen las empresas van a gozar de un nivel de seguridad óptimo. Y, en el caso de que exista cualquier tipo incidente, le sea comunicado para que pueda estar informado de la situación y estado de esa información que tiene la empresa de él.

Este requisito como tal, es novedoso, sin embargo la idea ya se encontraba implantada en el Real Decreto 1720/2007, de 21 de diciembre de aplicación de la LOPD. En su artículo 90 relativo a las medidas de seguridad (nivel básico) se recoge que “Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas”.

De igual manera, en el artículo 100 relativo a las medidas de seguridad de nivel medio se especifica que: “En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación”.

Desde Equal, siempre hemos optado por una adaptación minuciosa a estos extremos en los que la Protección de Datos tiene una gran conexión con la ciberseguridad. Una adaptación correcta junto con unos procedimientos adecuados de gestión de la información, va a provocar que la empresa se encuentre protegida, y en el caso de que el ataque llegue a producirse, tenga las medidas necesarias para saber cómo actuar para mitigar los posibles daños que pueda provocar.

Javier Arnaiz Vidella.

Abogado en Nuevas Tecnologías.

/0 Comentarios/por
Filtración Wikileaks sobre ciberseguridad
,

Filtración Wikileaks sobre ciberseguridad

Filtración Wikileaks sobre ciberseguridad. Wikileaks es una de las grandes culpables de todo este aluvión de información “top secret” que en los últimos tiempos está saliendo a la luz. Desde las filtraciones de Snowden, que hicieron cancelar el acuerdo de puerto seguro con Estados Unidos, con cierta periodicidad nos han estado informando de datos muy sensibles sobre nuestra seguridad.

Esta filtración de información confidencial, comenzó este martes tras la publicación de miles de documentos que atribuye a la CIA. Estos archivos, en el caso de ser verdaderos,  serían un gran programa de ciberespionaje con el que los servicios de inteligencia de Estados Unidos son capaces de piratear teléfonos, ordenadores y televisores con Internet y convertirlos en micrófonos para espiar a sus usuarios.

Desde Wikileaks, se asegura que se trata de la mayor filtración de documentos de la historia de la CIA, “recientemente perdió el control de la mayoría de su arsenal de hacking, incluyendo software, virus maliciosos, troyanos, sistemas de control remoto y documentación asociada”. “El archivo parece haber estado circulando de forma no autorizada entre antiguos hackers y proveedores del Gobierno, uno de los cuales le ha proporcionado fragmentos a Wikileaks”, añade en un comunicado.

Parte de la filtración, identificada como «Año cero», consiste en 8.761 documentos y archivos de una red de alta seguridad aislada y situada en el centro que la CIA tiene situado en Langley, Virginia. El llamado programa «Año Cero» incluiría toda una serie de armas informáticas para poder hackear teléfonos y dispositivos producidos por compañías estadounidenses, como los iPhone de Apple, el sistema Android de Google, el Windows de Microsoft o los televisores Samsung con conexión a Internet, que se convertían en micrófonos encubiertos a través de los cuales espiar a sus usuarios.

Desde la CIA han señalado que no harían comentarios sobre la autenticidad o contenido de dichos documentos, aunque distintos expertos consultados por medios estadounidenses les han dado credibilidad.

Estas supuestas técnicas, permiten a la CIA sortear el encriptado de plataformas de mensajería como Whatsapp, Telegram, Signal, Confide y Cloackman al entrar en ellos y obtener contenidos antes de que el encriptado se active.

Los documentos abarcan el periodo de 2013 a 2016 y, según Wikileaks, se han eliminado algunos elementos identificativos para llevar a cabo un análisis profundo. Entre estos elementos eliminados figurarían objetivos y maquinaria de ataque a lo largo de Estados Unidos, América Latina y Europa.

En cuanto a las consecuencias de esta filtración, habría primero que analizar que en la filtración de 2010, supuso una condena de 35 años para la exanalista militar Chelsea Manning (entonces Bradley), que robó y entró la información. Esta condena desencadenará una serie de investigaciones para averiguar la veracidad de esta información y sus consecuencias.

Lo que sí sabemos es que esta filtración nos hace ver aún más la importancia de la seguridad de la información, así como de los datos personales que compartimos en redes sociales y dispositivos electrónicos. Como siempre hemos recomendado desde Equal, es muy importante tener configurado correctamente la configuración de privacidad, pero más importante aún es el análisis de la información que queremos que sea compartida en las redes y dispositivos.

Filtración Wikileaks sobre ciberseguridad

/0 Comentarios/por
,

Videojuego para concienciar sobre ciberseguridad

Videojuego para concienciar sobre ciberseguridad. La ciberseguridad va a ser uno de los grandes temas a tratar este año en Equal, creemos que el mejor remedio para evitar riesgos futuribles para la información en las empresas y más importante, riesgos para el negocio.

Y es que además nos encontramos en un ecosistema dado a estos ciberataques, ya que España se encuentra dentro de los 3 países que más ciberataques sufren en el mundo, solo por detrás de Reino Unido y Estados Unidos.

En nuestro país, se producen más 70.000 ataques al año, además de que esta tendencia va en aumento día tras día. Estas amenazas se dirigen en su mayoría contra las multinacionales y la Administración pública, pero cada vez son más las pequeñas y medianas empresas que sufren robos de información e infecciones por virus informáticos.

Según Symantec (proveedor de servicios antivirus), en un estudio de 2013, en España las pérdidas anuales solo por robos de información alcanzan los 482 millones de euros.. A esto hay que añadir los sabotajes en la red, accesos sin autorización, descubrimiento y revelación de secretos y falsificación de documentos, que son otros delitos cada vez más comunes.

En 2015, las compañías de uno a 250 empleados fueron las principales dianas para los ataques de spear phishing, una estafa focalizada por correo electrónico cuyo principal objetivo es obtener acceso no autorizado a datos confidenciales como propiedad intelectual, datos financieros y secretos comerciales o militares para después venderlos.

El Instituto Nacional de Ciberseguridad (Incibe), actualmente, se encuentra  desarrollando distintas medidas para la concienciación de las empresas, entre ellas la creación de un videojuego que enseña a las pymes a detectar sus vulnerabilidades y lo importante que es protegerse y evitar fugas de información.

Hackend: Se acabó el juego, es este videojuego. En él, Max, un pequeño empresario que se enfrenta a nueve situaciones que imitan la vida real en las que se ve comprometida la seguridad de su empresa. A lo largo de las pantallas los jugadores pueden descubrir cuáles son las principales vías de acceso de los hackers en el sistema informático de su negocio y la importancia de, por ejemplo, cambiar las claves de forma habitual, invertir en antivirus o no conectarse a redes wifi sin protección.

Cada misión que se presenta simula una situación en el día a día de una pyme: la elaboración de un presupuesto, el uso del correo electrónico y la presentación de un producto en un congreso, entre otras. La compañía sufre ataques como el robo de la base de datos de clientes, se infecta con un troyano, acceden a sus sistemas sin permiso y reciben cargos en el banco sin haber comprado nada. En cada caso el jugador tendrá que identificar lo que ha fallado, poner remedio y capturar al hacker.

Este sistema de aprendizaje ha recibido el premio al mejor serious game del año en el Fun & Serious Game Festival de Bilbao. Está disponible tanto en una versión web como para smartphones y ordenadores de Windows y Mac.

Esta aventura gráfica, vemos como trata de una manera muy sencilla y clara los ciberataques, para  concienciar a los pequeños empresarios de la importancia de protegerse ante los ciberataques. El problema no es la inversión económica o la falta de recursos tecnológicos, sino que muchas empresas aún no ven la necesidad de escudarse.

 

/0 Comentarios/por
La ciberseguridad y la protección de datos

La ciberseguridad y la protección de datos

La ciberseguridad y la protección de datos se encuentran muy ligadas. El incremento de ataques a los sitios webs tanto gubernamentales como privados y a instituciones o grandes empresa, hacen de la seguridad informática una de las principales preocupaciones de los empresarios.

El Instituto Nacional de Ciberseguridad (INCIBE), destaca como zonas de frecuentes ataques Madrid, Barcelona y Andalucía.  La labor de este instituto es vigilar desde este mapa qué sucede diariamente en España en el ciberespacio. Qué ataques reciben empresas, infraestructuras críticas y usuarios de a pie.

Según este instituto: “Tenemos dos maneras de engañar a los posibles ciberdelincuentes para identificarlos. Gracias a que somos compañeros de Red.es, creamos una serie de emails falsos que jamás responden a nadie. Así captamos las direcciones de spam y las marcamos, por si acaso tras ellas hay cibercriminales. Otra manera que tenemos es crear webs falsas de instituciones o grandes empresas que colaboran con nosotros para cogerle la matrícula a los atacantes”.

La coordinación entre entes públicos y privados es constante para mantener alto el escudo de la ciberdefensa en España. Los operadores de telefonía, por ejemplo, juegan un papel crucial. “Imagina que detectamos que una serie de IP –por así decirlo, la matrícula que identifica en a nuestros dispositivos conectados a Internet– están infectadas por algún tipo de amenaza. Gracias al contacto directo con empresas como Vodafone o Telefónica, podemos pasarles estas IP. Ellos contactan con el cliente al que se corresponde ese número y le mandan un mensaje para que nos contacte y podamos desinfectarlo”, explica González.

En España, más de siete millones de direcciones IP se encuentran comprometidas diariamente con algún problema de ciberseguridad, según datos del informe anual del INCIBE. Solo en 2015 se detectaron más de 60.400 ataques.

El cibercrimen proporciona al delincuente anonimato y permite que con poca inversión se pueda hacer mucho daño u obtener grandes beneficios. Los ciberdelincuentes desarrollan el malware para los dispositivos con el que puedan obtener el mayor beneficio. Ahora, los smartphones se han extendido muchísimo y por lo tanto los programas para perjudicarlos también.

El último pilar clave para la España segura en Internet es la comunicación con el usuario, con el internauta de a pie. Desde 2010, la Oficina de Seguridad del Internauta se encarga de traducir la formación en ciberseguridad en ciudadano.

“Lo que queremos es que un usuario sin conocimientos de este mundo entienda lo fundamental. Qué es el phising, el malware dirigido, etcétera… Hacerle accesible la información de prevención y de solución de los problemas”, explica Marcos Gómez Hidalgo, subdirector de operaciones del INCIBE. Vía web, por redes sociales o telefónica, cualquier español puede contactar con la Oficina para informarse. Lo importante, como recuerda el director general de este organismo, es recordar que “los crímenes son los mismos. Extorsión, abuso, robo de datos, suplantación de identidad. Solo cambia el medio”.

/0 Comentarios/por