La Renta 2017 trae consigo una novedad de la Agencia Tributaria. Una aplicación móvil desde la que los usuarios podrán realizar su declaración de forma fácil, rápida y segura. Con esto la Agencia Tributaria pretende reducir el número de usuarios que acuden presencialmente a sus sedes.
Ahora bien, lo cierto es el uso de la tecnología app también será una nueva puerta para los ciberdelincuentes. Queremos con este post dar algunos consejos recomendaciones, y poner sobre la pista de las técnicas más usadas por los cibercacos para que nuestros usuarios no caigan en ellas.
¿Qué función tendrá la App de la Agencia tributaria Renta 2017?
La App de la Renta 2017 permitirá realizar la declaración desde nuestro teléfono móvil facilmente. A través la App se podrán efectuar trámites que no requieren de certificados de usuarios, como por ejemplo el cotejo de información o la presentación de documentación en el registro telematico.
Hacienda busca que este año que las personas que aún acuden en persona a las oficinas de empleo, se sumen al 88% de los ciudadanos que ya la presentan a distancia, casi 5 millones de contribuyentes harán la declaración de la renta desde su teléfono móvil.
¿Cómo descargar la App?
La aplicación está disponible en las tiendas oficiales de Apps. En concreto se puede encontrar en la Google Play y la Apple Store. Es importantísimo descargar la aplicación solo de sitios oficiales, puede llegar a ella desde el enlace que pone la Agencia Tributaria en su página web.
¿Cómo presentar la declaración de la renta a través de la App?
La aplicación es muy clara, y aquí puede encontrar las instrucciones de uso. Si tiene alguna duda, puede ponerse en contacto con la propia AEAT.
Presentar RENTA2017
Los ciberdelincuentes y la campaña de la renta
Las campañas de la declaración de la renta, siempre son un gancho usado por los ciberdelincuentes para atraer la atención de sus victimas. Claramente es más fácil llegar a más personas, cuando se trata de una obligación que nos afecta a todos.
Los ciberdelincuentes pretenden nuestros datos y nuestra identidad digital, que siempre se traduce en dinero para ellos. Dinero, bien porque vendan nuestros datos, bien porque los utilicen de forma maliciosa, o bien porque les valgan para suplantar nuestra identidad. También quieren nuestro dinero, y la campaña de la renta es una época maravillosa para conseguir estás cosas de nosotros. Le recomendamos nuestro artículo sobre el robo de datos, y el rastro digital.
Técnicas más habituales para engañar a los usuarios
Phishing. Como comentamos en un post del año pasado, esta es una de las técnicas más utilizadas por los delincuentes. Envían mensajes masivos utilizando como cebo la campaña de la renta, y en la mayoría de los casos solicitan información diciendo que hay una cantidad a devolver. Recuerda que la Agencia Tributaría nunca pide datos por correo; no confirma cantidades a través del correo electrónico, siempre es a través de su web, y ahora a través de App oficial.
Pharming. Otra técnicas más utilizadas por los ladrones digitales es el engaño relativo a las url de las web. Es decir, engañarnos para que entremos a una web errónea pero que se parece mucho, muchísimo, a la página oficial… es la única forma de que piquen los más listos.
Apps fraudulentas. Este año con el estreno de la aplicación de la Renta 2017, seguro nos encontraremos, con aplicaciones falsas que se hacen pasar por la de la AEAT. El INCIBE ya lo ha informado, y recomienda a los usuarios que solo descarguemos la App oficial, de las tiendas oficiales. Suena redundante, pero es necesario dejar claro que solo hay una App oficial, y que cualquier otra, que se parezca, que tenga errores en su nombre, o en la imagen, seguramente sea una aplicación falsa y por lo tanto hay que evitarla.
Conclusiones
La novedad de la AEAT con su App es estupenda para facilitar las gestiones de la declaración de la renta a los usuarios, pero también abren la puerta a una nueva forma de robo de datos o dinero, que puede ser aprovechada por los ciberdelincuentes. Está en las manos de los usuarios, ser precavidos, informarse, y usar siempre los canales, tiendas y aplicaciones oficiales.
Programa de radio
Este tema lo tratamos en el programa de Radio, Internet en Familia, de Radio Club SER Tenerife, el pasado 19/03/2018. Os ponemos el enlace por si queréis escuchar el programa, en el que explicamos muchas más cosas. Podéis escuchar el programa en directo todos los lunes, a las 11 am, hora Canaria.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Recomendaciones-para-una-Renta-2017-segura.jpg640960Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2018-05-02 08:15:552018-05-02 09:35:40Recomendaciones para una Renta 2017 segura
Bueno, como nuestros fans de Internet en Familia (jejeje) nos piden que subamos los audios de nuestra participación semanal en el Hoy por Hoy Tenerife, de Radio Club SER Tenerife. Nos encantaría hacer un post para cada participación, pero en muchos casos, ya con lo dicho en el programa vamos bien servidos, y en otros, las prisas del día a día nos lo impide.
Para compartir con vosotros, de forma casi inmediata, y sin perjuicio de que luego se puedan desarrollar publicaciones y se basen en los programas de radio, tachan, tachaaaaannnnnnnn: hemos decidido crear este post en el que iremos subiendo los audios, poniendo en primer lugar, el último programa emitido.
Programa 05/03/2018. Redes sociales, qué son, tipos y características.
Tema: Las redes sociales, sus características y tipos que podemos encontrar en la actualidad.
Puntos clave: Desde que saliera a la luz el proyecto www.sixdegrees.com, por allá en 1997, así como la que podríamos llamar la primer red social ryze.com, ha pasado muchísimo tiempo. Desde entonces han nacido múltiples proyectos de redes sociales, unos con más éxito que otros, por ejemplo, facebook (un éxito), myspace (murió), twitter que ahí va, y muchos más.
Hay redes sociales para todos los gustos, colores e intereses ¿Cuál es la tuya?
Recordatorio: Las redes sociales son maravillosas, si se usan de forma adecuada. Pueden ayudarnos a comunicarnos con otros, a compartir intereses, a encontrar trabajo, etc. pero hay que evitar perder de vista nuestra privacidad y no compartir cosas que afectar nuestra seguridad.
Programa 26/02/2018. Campaña no seas estrella de Unicef
Tema: Esta vez usamos el espacio Internet en Familia, para comentar el vídeo de la última campaña de Unicef. El vídeo refleja lo poco consientes que son los menores respecto a todo lo que comparten en internet.
Puedes ver el vídeo del que hablamos en este programa «¿Eres tan anónimo en la Red como te crees? Campaña #NoSeasEstrella de Unicef» pinchando aquí.
Puntos clave: Durante el programa, comentamos una realidad que a veces puede dar un poco de miedo, lo frágiles que son los menores; de lo mucho que comparten sobre ellos mismos y su familia, entorno, etc. en internet; de lo poco conscientes que son de que esa exposición puede ser lesiva para sus derechos, su seguridad y su privacidad.
Recomendaciones: por favor, compartid con los menores que os rodean este vídeo, y verlo vosotros mismos, es realmente revelador.
Programa 18/02/2018. Virus de facebook y oleada de estafas del CEO en Tenerife
Tema: En este programa tratamos dos temas:
El supuesto virus de facebook que roba cuentas de usuarios, publica y manda mensajes en su nombre.
La oleada de estafas del CEO que ha tenido lugar en Tenerife en el último mes. Esta noticia se coló en el programa debido a que salio en los periódicos de la isla ese día :).
Puntos clave: En los dos casos vemos como las comunicaciones electrónicas juegan un papel importante en la seguridad de nuestra información, identidad digital y seguridad financiera, física, lógica, etc. No podemos confiar en que los correos o los mensajes vienen de la fuente que dice ser, en muchas ocasiones según la situación debemos ser precavidos.
Recomendaciones:
Se precavido y confirma la identidad de los remitentes de los correos y mensajes que recibes.
No abras correos que te generen dudas, que no tengan claro el remitente o que el contenido parezca comprometido.
Pregunta antes de abrir, o de ejecutar cualquier acción.
Comprueba los protocolos empresariales para operaciones financieras de grandes cantidades.
Internet en Familia 22/01/2018. La madre italiana que debe borrar todo lo que ha publicado en redes sociales sobre su hijo
El siguiente audio corresponde al programa emitido el lunes 22/01/2018, en el que nuestra compañera Jeimy Poveda (la que siempre va a las colaboraciones) y Juan C. Castañeda trataron el tema:
Tema: «Un juez ordena a una madre italiana que borre todo el contenido relativo a su hijo, que ha subido a las redes sociales. Además le amenaza con sancionarla con 10000 € en caso de que vuelva a subir alguna información relacionada con el menor»
Puntos clave: Los padres son los garantes y valedores de los derechos de sus hijos. Debemos evitar exponerlos en las redes sociales, protegiendo así su derecho a la intimidad, a la privacidad personal y familiar.
Recordatorio: Todo lo que se sube a internet, queda en internet. Hoy el niño es pequeño y no le importa que subas a la red, pero cuando sea grande ¿Pensará igual?, ¿Y, si la foto le afecta negativamente en el futuro?
Cuidemos a nuestros niños, antes de publicar nada de ellos en las redes sociales hagamos una ponderación, entre nuestro orgullo de padres y sus derechos.
¿Cuándo es la emisión en vivo?
el programa es todos los lunes, en la franja del Hoy por Hoy Tenerife, de Radio Club SER Tenerife. El horario varia entre las 10:40 y las 11:10 a.m. hora Canaria.
Os esperamos cada lunes, pero si no podéis escucharnos en directo, prometemos empezar a subir aquí los programas. Sí, también es muy probable que vayamos desarrollando algunos de los temas. No dudéis en remitirnos vuestras preguntas, o sugerencias de temas para tratar.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Internet-en-Familia.-Programa-de-radio-SER-Tenerife-y-Dataseg.jpg5771000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2018-02-06 12:01:162023-03-16 01:19:27Internet en Familia. Colaboración semanal con Radio Club SER Tenerife
WhatsApp es la aplicación de mensajería instantánea que ha revolucionado las comunicaciones en la era de internet. Nació en el 2009, y desde entonces, se ha hecho parte de nuestra vida. Sus funcionalidades, usos y usuarios crecen día a día, así como la cantidad de datos personales que se tratan a través de ella.
Usarla con fines laborales o dentro de las empresas es un dulce harto apetecible para muchos, y para otros parte de su día a día. Este post nació con el fin de acercar las reglas que «rigen»/»regirían» el uso de la aplicación a nivel empresarial. Como más adelante decimos, no la recomendamos, pero si la va a usar, por lo menos tenga en cuenta unas cuantas «cosillas».
[Nota actualización 22/03/2018] El pasado 15/03/18 conocimos que la AEPD sancionó a Facebook y a WhatsApp con 300.000 c/u, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. A raíz de esto tenemos muchas consultas de nuestros clientes, y no clientes, y hemos decidido actualizar este post. Verá los cambios marcados con [Act 22/03/18]
¿Porqué hay que tener en cuenta la LOPD al usar WhatsApp?
WhatsApp fue concebida para uso personal. Pese a lo anterior, cada día hay más empresas, profesionales y comercios, que hacen uso de ella para tratar con sus clientes, comunicarse con el personal, etc.
Por otro lado tenemos la opción de crear grupos, y todo sea dicho, a esta función la carga el diablo. Muchas veces los integrantes del grupo no se conocen entre ellos, otras, no han dado su consentimiento para ser incluidos en el grupo, entre otras más vías de complicaciones.
Finalmente está lo más obvio, pero no menos importante ¡la información!. Los datos que se comparten, la tipología, el consentimiento para transmitirlos por esa vía, o incluso, si se ha informado o no de dicha posibilidad.
¿Usar o no usar whatsapp a nivel empresarial?
Hasta ahora habíamos recomendado no usar WhatsApp en las empresas –aún lo hacemos. [Act 22/03/18] No, no es recomendable usar whatsapp a nivel empresa, o para comunicarse con clientes, empleados padres, etc.– pero, ya no podemos decir que está absolutamente prohibido.
Básicamente no podemos decir que está prohibido por varias razones. La primera es que la Agencia Española de Protección de Datos empezó a usar esta App en el canal joven. [Act 22/03/18] Es más, la menciona en su «Guía centros educativos» pág. 26, y da recomendaciones para su uso; la segunda, que en sus sanciones e informes, no la prohíbe sino que habla de la protección de los principios de la protección de datos durante su uso; la tercera es que el cifrado end to end, da una cierta -no del todo- apariencia de seguridad; y ya la última y la guinda, que actualmente está en pruebas la versión para empresas, y seguramente cuando esté disponible muchas empresas se subirán al carro de whatsapp.
Total, que por lo dicho antes, no nos queda de otra, más que dar algunas directrices para que ya que se usa o se va a usar, se use de la forma más correcta y cumplidora posible.
La clave de las 5 claves: cumplir con los principios de la protección de datos
Si pretende usar WhatsApp en su empresa, institución o negocio, tenga en cuenta que debe cumplir los principios de la protección de datos. Hablamos del principio de calidad, información, consentimiento, confidencialidad, seguridad de los datos, entre otros.
Los principios de la protección de datos son críticos para que nuestro uso de whatsapp con fines laborales o comerciales sea relativamente correcto. Hablamos de los principios de calidad, información, consentimiento, datos especialmente protegidos, confidencialidad y seguridad de los datos. Hay más, y por esa razón no se debería usar para estos fines, pues por ahora no son fáciles de cumplir, en especial el relativo la firma del contrato de protección de datos con whatsapp. Hablamos de este contrato, aquí.
Clave 1. Informe a los usuarios que usará con ellos esa aplicación.
Antes de usar whatsapp para tratar datos personales de una persona, debe informarle de las finalidades de dicho tratamiento. El tratamiento en este caso puede ser, comercial, informativo, de confirmación de citas, de vía de comunicación, o de envío de datos. En cualquier caso, el titular de los datos debe saber del uso de esta herramienta y del fin para el cuál se prevé.
Clave 2. Pedir el consentimiento para tratar los datos por esa vía
Uno de los principios que más quebraderos de cabeza da a las empresas, es el consentimiento. Salvo excepciones, es necesario el consentimiento del cliente. Osea, que para tratar los datos del cliente por ese medio, hay que informar y pedir consentimiento.
Especialmente aquí haremos hincapié en la finalidad comercial. Para remitir información comercial, es necesario conforme al artículo 22 de la LSSI, solicitar el consentimiento expreso del afectado. El consentimiento expreso no es otra cosa que una acción clara afirmativa, informada, libre e inequívoca de que sí, quiere recibir publicidad. Por ese medio. Si no tenéis ese consentimiento, no enviéis publicidad por whatsapp.
Preguntas orientadorassobre su cumplimiento. Si una o todas es no, !póngase manos a la obra!
¿En caso de envío de publicidad. Tiene el consentimiento expreso de las personas?
Pide consentimiento a los interesados antes de incluirles en un grupo?
Solicita consentimiento para enviar información personal por esa vía?
Clave 3. Cuide la confidencialidad de los datos que trata en whatsapp
La confidencialidad es uno de los requisitos más especiales que se exigen a una empresa, negocio u organización. Debe garantizarse que esos datos que nos han facilitado, se mantienen a salvaguarda y confidenciales. Que solo los trata el personal autorizado y que no acceden a ellos terceras personas.
Preguntas orientadorassobre su cumplimiento. Si la respuesta a una o todas, es no, revise y actualice su cumplimiento.
¿Controla el uso profesional de esta app por parte de su personal?
¿Ha comprobado que el whatsapp desde el que se comunica su personal con el cliente es de la empresa y no desde su número personal?
¿Ha informado a su personal que en los grupos con clientes deben evitar compartir datos personales?
¿Tiene una política de tratamiento de datos vía online? en ella se debería describir las reglas de uso de estas y otras aplicaciones en el ámbito de la empresa.
Clave 4. Ponga medidas de seguridad para proteger los datos enviados o almacenados.
En este caso lo que se puede hacer es limitado, ya que la seguridad de la aplicación como tal, corresponde a WhatsApp. Eso sí, siempre podemos poner medidas de seguridad asociadas al procedimiento de custodia de los dispositivos, que almacenan los datos; del control del uso de la aplicación, etc.. También podrá hacerse a través de medidas de gestión asociadas a una política de uso de la aplicación y protección de los datos personales.
Estás preguntas le darán una idea de las opciones. No las eche en saco roto.
¿Usa la aplicación para remitir datos de carácter personal? Es mejor no hacerlo.
¿Ha dado instrucciones a su personal sobre el tipo de datos que pueden o no remitir a través de esta vía?
¿El número de whatsapp que se usa para comunicar con clientes, personal, u otros interesados es de la empresa, o de un empleado?
¿Ha dado instrucciones parano crear grupos sin consentimiento de la dirección?
¿Elimina el contenido de las comunicaciones cuando han dejado de ser necesarias?
¿Conoce de forma clara quién y qué grupos de trabajo, o comunicación con clientes hay creados en su empresa?
Sanciones y apercibimientos puestos por la AEPD por el uso de whatsapp
En principio como dijimos antes, la agencia todavía no ha sancionado por el hecho en sí de usar whatsapp. Lo que ha hecho hasta ahora ha sido en relación con los principios de la normativa de protección de datos, y del cumplimiento del artículo 22 de la LSSI, Ley de Servicios de la Sociedad de la información y comercio electrónico.
Primera sanción (Enero 2016). Incumplimiento del artículo 22 de la LSSI. Envío de publicidad sin consentimiento expreso del afectado. 600€.
Primer apercibimiento (octubre 2017). Inclusión en un grupo de whatsapp de un cliente, sin el consentimiento del mismo, incluso en su contra.
[Actualización 31/12/17] Declaración de infracción de AAPP (Noviembre 2017) Creación de un grupo de whatsapp por parte de un Ayuntamiento. En el grupo incluyó al denunciante y a todo el pueblo… Sin consentimiento, usando datos recabados para otros fines.
Actualizaciones importantes por hechos noticiosos
1ª. [Actualización 31/12/2017 con motivo de los apercibimientos y declaraciones de infracción por creación de grupos de whatsapp]
[1] En caso dado, no sería delito, sino una infracción de la normativa de #ProtecciónDeDatos
[2] Es una infracción de: (1) deber del secreto: en el grupo todos ven los datos de todos. Para añadir correctamente a alguien, se le deberá pedir el #Consentimiento, así no hay vulneracion del deber del secreto, ni del principio de #información y consentimiento.
[3] Esta infracción es exigible cuando el grupo NO entra en la EXCEPCIÓN doméstica. Es decir, si es un grupo personal, familiar, NO «salvo cosas raras» no sería sancionable.
[4] La LOPD y el RGPD/GDPR son exigibles a las empresas, negocios, profesionales, y demás tratamientos de datos, comerciales, filantrópicos, etc. que no tengan fines domésticos.]
2ª. [Actualización 22/03/18, con motivo de las noticias que hablan de no usar whatsapp en la empresa, debido a la sanción a Facebook y Whatsapp]
[1] Ya mencionamos más arriba algunas indicaciones dentro del texto
[2]Cuando hablamos de las otras razones por las que no es recomendable usar whatsapp, y mencionamos el contrato de protección de datos, ahí, dábamos en la diana de lo se menciona en muchos de los artículos que han estado saliendo estos días. Whatsapp no cumple con la normativa de protección de datos, no se reconoce como prestador de servicio, y no sigue instrucciones de ningún responsable de fichero. Y, aunque firmara el contrato lo estaría incumpliendo al dar los datos a Facebook, sin consentimiento de la empresa, ni de los usuarios.
[3] Ah sí, al usar whatsapp estamos haciendo una transferencia internacional de datos… otra cosa es que no se transmitan datos personales… depende de cómo y para qué se use.
Conclusiones
Usar las herramientas que trae la evolución de la tecnología está muy bien, pero debe hacerse con precaución. Con la actual LOPD parece que la AEPD, no está siendo especialmente exigente en cuanto al uso de whatsapp, pero, ¿será igual cuando inicie la aplicación del RGPD, Reglamento General de Protección de Datos? No lo sabemos.
La recomendación principal es que siempre, siempre, siempre, se cumpla con los principios de la normativa de protección de datos. Que se proteja el derecho del usuario, y se prime este por encima de todo. A partir de ahí, se debe crear una política de uso de estas herramientas, darlas a conocer al personal, y poner medios para su cumplimiento.
[Act 22/03/18] Esto puede ser un cambio claro de línea por parte de la AEPD. Así que si ha decidido usar whatsapp en su negocio/empresa, pregúntese la razón que le lleva a ello y si realmente es tan necesario; incluso puede buscar otras opciones menos «comprometidas»
Programa de radio asociado a este tema
El 16/10/2017, en el espacio «Internet en Familia» del Hoy por Hoy Tenerife, de Radio Club ser Tenerife, tratamos este tema. Os dejamos el audio, ya que ha algunas pinceladas que mencionamos durante el programa, y para no extener este post, aquí no las hemos tocado. Por ejemplo las implicaciones en protección de datos, del uso de whatsapp por parte de particulares… hay dato curioso, ¡avisamos!
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/5-Claves-para-cumplir-la-LOPD-al-usar-whatsapp.jpg6001000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-11-24 07:08:552018-04-05 08:38:23WhatsApp, LOPD y empresas. 5 Claves para cumplir
El pasado lunes fue el primer día de la semana del Black Friday. Se supone que debería ser solo el viernes,»Viernes Negro», pero la teoría de la relatividad reinventada por el Corte Inglés -Su semana loca dura 15 días, y sus 24 horas de rebajas una semana- es ahora de aplicación general.
Esta iniciativa comercial estadounidense se ha expandido a nivel mundial, y en España desde hace unos años los comercios se aprovechan especialmente de ella. Aquí no es un día, es relativo, son dos, o tres, una semana. En general está plagada de ofertas, promociones, eventos, y mucha propaganda cierta y no tan cierta, por eso «hay que ir con cuidado» si no queremos ser blanco de un timo, un engaño o una mala compra.
¿Qué peligros hay en el black friday?
Además de quedarte sin un duro por andar comprando cosas que puede que no necesites (peligro de ausencia de planidificación) hay otros peligros asociados a la #seguridad online, la #privacidad, la gestión de la #identidad, entre otros.
Este post ha sido escrito como ayuda para que los usuarios eviten los peligros al hacer compras online. En el caso específico del Black Friday, el hándicap es que supuestamente todo son ofertas o promociones y eso hace que los delincuentes lo tengan muchísimo más fácil para lanzar sus cebos -nadie sospecha de los megachollos en estos días… ojala lo hicieran-.
¿De qué forma nos engañan?
A través de ofertas y megachollos que no existen -a veces sí, pero con mucha trampa- con los que pretenden lo más básico que cualquier delincuente quiere, robarnos el dinero, los datos, la identidad, infectar nuestros dispositivos de virus, etc. La pasta sabemos para qué la quieren, pero ¿Y para qué quieren nuestros datos? pues para un motón de cosas, os hablamos de ello en este post anterior así que ojo, que es mejor ser precavidos.
Tres pasos para una compra segura durante el Black Friday
Para que este black friday sea realmente una oportunidad para realizar compras estupendas os hemos preparado uan lsita de 3 pasos super sencillos de . En general, os daréis cuenta que caen de cajón, pero a veces la emoción de una mega oferta, nos ciega.
1. Confirma que la oferta es real.
En cuanto encuentres una megaoferta -que te podrá llegar por cualquier vía, redes sociales, google, páginas web, etc.- revisa los siguientes puntos:
El idioma y la ortografía. Si hay errores de ortografía llamativos, errores con las tildes o de formación de frases, huye. En estos casos es bastante fácil ver como es una traducción burda. Un gancho echado por algún ladrón de pasta o datos. Evita pinchar en enlaces de este tipo de publicaciones.
Revisa el precio. Si bien estamos en una semana de descuentos, los precios de las cosas no se bajan a una tercera parte así porque sí. Compara precios con otras tiendas online.
Verifica costos adicionales. Aunque es desleal, algunas páginas usan el truco de poner menos precio al artículo y más a los costos de envío, manipulación, aduanas, etc. Que no te engañen con los gastos adicionales.
2. Conoce a tu vendedor
En internet puede vender cualquiera, no solo hay tiendas honestas también hay delincuentes, y por eso hay que estar atentos y verificar que nuestro ofertante es quien dice ser, o es un vendedor realy seguro:
Dominio web. Desconfía de dominios demasiado complicados, y especialmente de aquellos que intentan imitar un dominio de una marca o empresa conocida. En la mayoría de casos se trata de ofertas maliciosas.
Verifica que es quién dice ser. Toda tienda online, debe facilitar por Ley –hablamos de ello aquí– unaserie de datos, tales como nombre e identificación fiscal, datos de contacto, ubicación geográfica, entre otros. Si no dispone de esa información, ni el apartado de contacto, ni en su aviso legal, condiciones de venta, etc. No es una página de fiar.
Revisa sus condiciones de venta. Toda tienda o negocio que venda o permita contratar a través de internet debe facilitar unas condiciones de compra o contratación. En ellas se establecen las reglas aplicadas a la venta; los derechos del usuario; los costos de envío; los plazos de entrega; el derecho de desistimiento, entre otros. Si una página no tiene este contenido, tampoco es de fiar,o dará problemas al ejercitar los derechos del consumidor.
3. Medidas de seguridad durante el proceso de compra.
Puede que estemos comprando en tiendas legítimas, legales, y que además tienen megachollos reales, pero si no ponemos ciertas precauciones, los malos que siempre están al acecho se podrían beneficiar de esa transacción. Ten en cuenta las siguientes recomendaciones de seguridad:
No compres estando conectado a redes wifi públicas. Más claro el agua. Las redes wifi públicas suelen ser el río en el que pescan los ciberdelincuentes. En ellos pescan nuestros datos personales, bancarios, etc. Si vas a comprar hazlo desde casa, a través de una vpn, o usando una red segura.
Usa contraseñas seguras. Si tienes que crear un perfil en la tienda online no subestimes la seguridad de la contraseña que pongas, al fin y al cabo te estás creando un perfil en un portal, y estás almacenando ahí tus datos. Usa contraseñas seguras, y apunta en una libreta, que ahora tienes un nuevo perfil en esa tienda. Más info sobre contraseñas seguras, aquí.
Manten actualizado el software de tus equipos. Sí, la recomendación típica, pero necesaria para evitar que por el camino los delincuentes te roben los datos.
Compra en tiendas que como mínimo, usen el protocolo https. Este protocolo cifra los datos para evitar que sean accedidos por terceros durante su transmisión.
Usa plataformas de pago seguras, o tarjetas de compra online segura. Hoy en día los bancos dan muchas opciones para que los usuarios hagan compras online de forma segura. Consulta con tu banco, puede que tengan alguna opción que evite que te expongas menos.
Y la recomendación final
Está claro que todos tenemos un sexto sentido, y la mayoría del tiempo suele funcionar. Si dudas de la legitimidad de una oferta, busca, comprueba, no te lances, porque en lugar de un mega-chollo te lleves una megaestafa.
También, recuerda que la seguridad de tus datos está en tus manos. Que depende de a quién le das tus datos, de dónde se encuentra ubicado -por tanto que legislación le aplica- y especialmente, de las precauciones que pones para evitar disgustos.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Black-Friday.-3-pasos-para-una-compra-segura-e1574856133146.png5891000Jeimyhttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngJeimy2017-11-21 07:12:272019-11-27 13:07:05Black Friday. 3 pasos para una compra segura
Los bulos, por desgracia, ahora son parte del pan nuestro de cada día. Ya en su momento os hablamos de ellos en este post. Ahora bien, si además de ser parte de nuestro día a día, cada vez son más escabrosos y dañinos. Ahora mismo nos sobran bulos que alimentan el odio separatista, nacionalista, etc. Nos sobran bulos avisando de terremotos, o en los que se hace el linchamiento de personas.
¿Quién crea los bulos?
Siempre son creados por una persona. Aún las maquinas no tienen capacidad para hacer tal cosa. Eso sí. ¿qué motiva a alguien para crear y difundir un bulo? pues según la persona y su motivación. Claramente hay motivaciones de toda clase, políticas, económicas, diversión, de todo. Aunque sinceramente es difícil no preguntarse qué pasa por la cabeza de una persona que difunde un bulo sobre terrorismo, o sobre desastres naturales.
¿Consecuencias de los bulos en la sociedad?
Pues siempre generan una reacción en las personas que los reciben y se los creen. Por este motivo, un bulo anunciando un atentado inminente, o un terremoto, o una zona de robos, genera una acción- reacción entre la generalidad de personas que lo reciben, alterando su forma de actuar, y de forma indirecta el orden público.
Posibles consecuencias legales para los creadores
Encajes en el código penal
La creación y difusión de un bulo puede, según el tema que trate, o el afectado al que se refiera, encajarse de la siguiente manera:
Como un delito contra el honor. Código penal, Titulo XI:
Puede ser una calumnia: la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad.
Puede ser una injuria: la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación.
Como un delito de desordenes públicos.
Artículo 561: Quien afirme falsamente o simule una situación de peligro para la comunidad o la producción de un siniestro a consecuencia del cual es necesario prestar auxilio a otro, y con ello provoque la movilización de los servicios de policía, asistencia o salvamento, será castigado con la pena de prisión de tres meses y un día a un año o multa de tres a dieciocho meses.
¿Cárcel por crear y difundir un bulo?
La semana pasada conocimos la noticia que hablaba de una mujer detenida en Malaga, como presunta creadora y difusora de un audio en whatsapp, en el que alertaba a la comunidad de la presencia de 2 Yihadistas en la ciudad. Pues bien, eso fue pocos días después de los atentados de Las Ramblas, en Barcelona. Debido a esa cercanía de las situaciones, se armó un revuelo social, se entró en pánico, y hubo una movilización de las fuerzas y cuerpos de seguridad del estado. ¿Porqué lo hizo, quién lo hizo? Ni idea, no tiene lógica. Pero para eso están las investigaciones, y por eso la detención de esta personal.
No es el primer caso, hace un par de años, 4 jóvenes en Estepona manipularon la portada de un periodico de tirada nacional, justo unas horas del atentado en Charli Hebdo. También cuando la crisis del Ebola, un chico madrileño hizo correr un bulo, y así. A todos la broma les ha costado como poco el susto de ser detenidos. Estaría bien saber en qué han terminado los ditintos procedimientos.
Y, ¿a colación de qué viene todo esto?
Básicamente de la siguiente noticia. Y de la amable invitación de Radio club SER – Tenerife para comentarlo en el programa de radio, la «Ventana de Canarias».
La noticia, por si no puede ver enlaces:
El presidente del Cabildo de Gran Canaria, Antonio Morales, ha asegurado este lunes que los servicios jurídicos están analizando los bulos vertidos en las redes sociales… sobre el origen del fuego, que han relacionado con la quema controlada de rastrojos del Cabildo…
“No tiene nada que ver con las quemas. Lo vamos a perseguir porque genera una alarma”
No queda claro cual es en definitiva la motivación por la que quieren buscar responsables de los comentarios en las redes sociales, ya que si se trata de un tema de desordenes públicos que es donde encaja lo de la «alarma social», pues es que el incendio existió, y los comentarios, nacieron a raíz de dicho incidente. Otra cosa es que quieran encajarlo en defensa de la institución. Ya veremos como se desarrolla el tema.
Os compartimos el audio de nuestra participación. Que conste ante notario, que se trata de una participación distendida y para todos los públicos -es decir, expresamente nos pidieron que no nos pusiésemos con tecnicismos-
En conclusión.
Cuidado, las redes sociales a veces juegan malas pasadas y no siempre traen noticias verdaderas, no creas todo lo que te llega por whatsap. Que un mensaje venga con la voz de una persona real, que parece comprometida, no significa que sea cierto, sino, en muchos casos, que finge bien. Tampoco creas todo porque parezca una portada de un periódico conocido, ve a fuentes oficiales y contrasta la información.
Y por otro lado, no os olvidéis que en internet todo es trazable, que una investigación de los cuerpos y fuerzas de seguridad del estado puede resultar en detenciones gracias a las direcciones IP, a un número de teléfono, entre otros. No juguéis, ¿qué necesidad?
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Los-bulos-y-las-consecuencias-de-crearlos-y-difundirlos.jpg8531280Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-09-26 12:30:342017-09-26 12:19:25Los bulos y las consecuencias de crearlos y difundirlos
En este post hablaremos del robo de datos en internet, pero ojo, que aunque en esta oportunidad nos centremos en la red, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC, móvil, tablet, etc. sea usado -sin permiso- por cualquiera que los tenga a mano, para eso no hace falta internet, solo un dispositivo desprotegido.
Internet es a gran herramienta que nos acerca a una amplia gama de conocimientos, noticias en tiempo real, cultura, lugares remotos, personas en otros países, etc. Pero, también es la puerta a través de la cual los ciberdelincuentes pueden hacerse con nuestros datos. Les permite acceder a nuestra vida, la privada y la pública, a nuestra información bancaria, laboral, social, etc. a todos loss aspectos de nuestra vida que se pueden gestionar vía online. Y todo sea dicho, unas veces entran por la puerta de atrás, y otras por la principal que parece señalada con luces de neón. Sí, así de inconscientes podemos llegar a ser.
Pero ¿Cómo puede realizar un robo de datos un ciberdelincuente?
De muchas formas, y en la mayoría de ellas, por desgracia, el factor «usuario» es el principal coladero de males. Las siguientes, son las formas más habituales:
Campañas de phishing. Funcionan porque el usuario abre y sigue las instrucciones de un correo SPAM. La mayoría de veces piden datos, o facilitan un enlace emulando alguna entidad o marca conocida, hablan de un supuesto sorteo, las opciones son variadas. Pero al final siempre hay un pedido de datos, -incluidos los bancarios- y un usuario inocente que larga todo sin preguntar.
Estafas tipo pharming. Suele ser habitual en temas bancarios, cuando en lugar de teclear directamente la dirección electrónica del banco, el usuario la busca por google y el malo te tiene listo un resultado, que logra engañarle y capta los daros de usuario. También funciona mucho con redes sociales, y cuentas de correo electrónico.
Usuando apps y juegos que recolectan datos. Cuando en el móvil o en las redes sociales el usuario instala apps y juegos que roban datos, o los venden.
Interpretación de correossin cifrar.
Cuando el usuario se apunta a concursos, megachollos, y demás ofertas demasiado buenas para ser verdad, pero aún así da todos los datos sin verificar quién está detrás, y si es una oferta legítima.
¿Qué puede hacer un ciberdelincuente con mis datos?
Hacer, puede hacer de todo. Dependerá del tipo de atacante y de ataque. Hay ataques generalizados y ataques personalizados:
En el caso de un ataque generalizado, no hay una víctima concreta, sino, una generalidad de blancos. Esto es lo que pasa con las campañas de phishing o malware realizadas a través de SPAM. En estos casos se pretende conseguir información real de las personas, credenciales, datos bancarios, etc. Luego los venden en el mercado negro, o bien realizan fraudes bancarios, o compra de productos usando esas identidades.
Por otro lado un ataque específico estará diseñado de forma clara para hacer que una persona concreta caiga en él. Puede usarse cualquier modalidad de las descritas en el punto anterior, solo que el gancho estará diseñado con exquisito cuidado. Usan información del blanco -de redes sociales, en su trabajo, etc.- garantizándose la efectividad del ataque. En este caso, la finalidad será también muy específica, pudiendo querer suplantar a esta persona, usar sus permisos de acceso en algún sitio concreto, o estafarle -pero bien-.
Total, que en resumen, algunas opciones de lo que puede hacer un ciberdelincuente con nuestros datos, son:
Venderlos en el mercado negro
Estafarnos, robarnos -y no solo en internet, sino también físicamente-
Usar nuestros dispositivos para redes zombie
Contratar / compraren nuestro nombre productos online, o ilegales y endosarnos la factura o la culpa.
Usar nuestros permisos de acceso a algún sistema o lugar.
Etc. Estamos seguros que los expertos en ciberseguridad pueden darnos una laaaaarrrrga lista de cosas más.
¿Cómo evitar que roben mis datos?
Lo primero es ser conscientes que en este mundo hiperconectado en el que vivimos, las puertas de acceso a nuestros datos son muchas; que la seguridad absoluta no existe, y pese a implementar medidas de seguridad, en cualquier momento podemos ser víctimas de un robo de datos. Los delincuentes evolucionan día a día, y sus herramientas también.
Recomendaciones esenciales:
Usar contraseñas seguras. las contraseñas son las llaves de nuestra vida digital, deben ser contraseñas seguras, es una de las principales claves para proteger nuestra vida digital. Podemos usar claves nemotecnicas, un repositorio online de claves, un generador automático, etc. Son mil las opciones, pero siempre con el objetivo de ponérselo difícil a los ciberdelincuentes, cotillas, etc. Y claro, deben ponerse en todos los dispositivos, cuentas de correo, redes sociales, nubes, y todo sitio al que subáis información.
Ojo con el SPAM. No se debe acceder a enlaces que vengan en correos sospechosos; tampoco contestar facilitando la información que solicitan.
Descargar apps y software de sitios oficiales. Es una de las formas más seguras de contar con apps sin malware. Que oye, no es que todas las apps oficiales sean buenas, pero suelen pasar un mínimo de controles de privacidad.
Mantener la confidencialidaden internet. Este es un punto difícil para muchos usuarios, tanto les gusta publicar su vida privada que se niegan a ver el peligro que ello conlleva. Cada cosa que publicamos es un detalle que un delincuente puede usar para engañarnos, o para engañar a nuestras familias. ¿No habéis oído de los secuestros virtuales? pues una de las claves de su funcionamiento es la información que publican los propios usuarios.
Limitar los permisos que se dan a apps y software. Otra vez estos dos, pero es que al descargarlos o les decimos que no pueden acceder a todo, o lo harán. Y si lo hacen, pues ya que venga dios y reparta suerte, porque se harán con cuanto haya a su paso.
Para cerrar
Evitar que nos roben datos, o de mitigar el daño de un incidente de este tipo, está en nuestras manos. Somos los usuarios quienes debemos ser responsables activos de la seguridad, confidencialidad y disponibilidad de nuestros datos.
En internet hay muchos ojos, tantos que es imposible imaginarlo. Os recomendamos el video de TEDX Madrid en el que la periodista, Marta Peirano, habla de «¿Por qué me vigilan, si no soy nadie?».Esperamos que entre este post y esa charla de 9 minutitos, os quedéis con la idea de que vuestra información vale, y debéis protegerla.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Robo-de-datos-en-Internet-1.jpg6511000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-08-31 07:00:012017-08-31 22:50:50Robo de datos en Internet
Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.
Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.
Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.
Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.
¿Qué leyes se tienen en cuenta en una adecuación legal web?
El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.
Relativas al producto/servicio y actividad económica
Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)
Para transacciones B2B (negocio con negocio) pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.
En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.
Pero, ¿cuáles son las leyes que debo cumplir en MI web?
Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.
Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.
Y, ¿De esas Leyes qué tengo que hacer?
Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.
Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.
Principio de información y transparencia.
En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.
En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento. NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal. Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.
Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:
El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.
Conclusiones
Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.
El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.
Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.
PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.
Ayer inicio el segundo gran ciberataque de ransomware. La seguridad de muchas empresas, y estados se ha visto comprometida. Por desgracia se repite lo sucedido el pasado 12 de mayo, cuando wannacry afectó a más de 200 mil equipos en todo el mundo.
Al ataque de ayer y hoy, se le ha llamado #NotPetya o #Petya. Parece que la motivación de los delincuentes que han iniciado esta oleada de ransomware, es distinta a los que lanzaron wannacry (solo les importaba el dinero). Petya no cifra .png, y se centra en archivos de extensiones de programación específicas. No es por ponernos paranoicos pero podría ser que la intención de obtener información, más que dinero, es mayor en este ciberataque. Y esto ¡uy! todavía es más peligroso. Y si publican usan los datos para chantajearnos, no a cambio de perderlos, sino de publicarlos? Da que pensar.
Al final os dejamos enlaces a post recomendados, por si queréis más información sobre Petya.
Medidas de seguridad
La seguridad total no existe y menos cuando estamos los humanos de por medio. Es que es tan fácil pinchar el enlace equivocado, o caer ante la oferta de un cotilleo «bueno». La forma más sencilla de protegernos es poniendo medidas de seguridad para evitar incidentes, así como para mitigar el impacto en caso de vernos infectados por un ransomware.
¿Cómo evitar ser víctima de un ataque de ransomware?
Siendo precavidos y poniendo medidas de seguridad técnicas y administrativas. Debemos ponerselo difícil a los ciberdelincuentes, y sobre todo, procurar que en caso de que lleguemos a vernos afectados, tener salvaguardas que nos ayuden a salir relativamente airosos del ataque.
Puedes encontrar más recomendaciones en la lista que hicimos en nuestro primer post sobre el ataque de wannacry. Ahí, listamos de forma exhaustiva las recomendaciones de prevención, así como de actuación en caso de ser víctima. Por añadir, y ya que lo comentabamos con nuestro amigo @Seguridadyredes en twitter, os recomendamos instalar alguna herramienta antiransom, tenéis la de INCIBE, la del CCN-CERT, o la de nuestro amigo y gran experto en ciberseguridad, @YJesus: Anti Ransom V.3
Después de lo anterior, solo nos queda decir…
Aplicaros, poned las medidas de seguridad preventivas, técnicas y de formación que os hagan falta. Ya van dos grandes ciberataques, no tientes la suerte, no vaya a ser que caigas en el tercero.
No se puede ir por la vida sin copias de seguridad, sin antivirus, y pensando queeso solo le pasa a las grandes empresas, porque es¡mentira!
El oro de nuestra generación son los datos, los de todos. Todos somos el blanco.
Enlaces a post recomendados
Si queréis saber un poco más sobre este episodio con Petya, estos post os ayudarán: el de Xacata muy resumido y claro; Merce Molist en El confidencial, con historia del virus; y para finalizar, el pabloyglesias con un análisis de la actual industria del cibercrimen.
El pasado 17 de mayo, fue el día mundial de las contraseñas. Sí, ahora todo tiene un día, seguro que alguno está haciendo una critica mental. Este día no es para festejar la existencia de las contraseñas, si no para concienciar a las personas de la necesidad imperiosa de usar buenas contraseñas. Contraseñas seguras, que a ser posible le pongan difícil la tarea a los ciberdelincuentes.
Es preciso recordar que en la actualidad, quien más y quien menos, usa herramientas digitales. No hablemos ya, de aquellas que se encuentran conectadas a internet, o directamente que dependen de ello; redes sociales, servicios en la nube, la aplicación del runing y el acceso a los móviles y demás gadgets. Todo o casi todo, requiere de una contraseña, si no, debería.
El problema está en el poco valor que le damos al uso de una contraseña, en el poco ingenio o esfuerzo que ponemos en configurarlas, y en la poca confidencialidad a la hora de tratarlas.
Sería una coincidencia, pero justo el mismo día de internet, los periódicos de todas las clases, tenían titulares como este «se filtran 560 millones de credenciales de correos electrónicos» y como os podéis imaginar, son titulares que se repiten cada X tiempo. Por eso este post, esperamos que os sea muy útil.
¿Qué cosas suelen necesitar contraseña?
Como dijimos antes, hoy en día, casi todo necesita de una contraseña. Otra cosa es que o no lo sepamos, o porque consideramos que es algo sin importancia, pasemos de ello. Esta es una lista de las cosas que solemos olvidar, pero que debemos proteger con contraseña:
Los ordenadores. Sí, incluso en los personales.
Los móviles. Son fáciles de perder ¿te gustaría que alguien accediera a la información de tu móvil, tan fácilmente como tocando la pantalla y ya? no, verdad. Pues pon una contraseña.
Los pendrives y discos duros. Se pueden comprar de seguridad, o bien, crear una carpeta dentro y cifrarla. Así si se te pierde, mitigas el riesgo de que accedan a tu información.
Las aplicaciones del móvil, o demás dispositivos, que almacenan datos personales o información confidencial.
Los dispositivos de impresión y destrucción corporativas. ¿Sabias que ya traen una opción de destrucción o impresión segura? así solo quien ha enviado la impresión puede acceder a ella o quien ha puesto la documentación a eliminar, puede detenerla
Los servicios online que por todos es conocido que requieren una contraseña. Banca online, cuentas de correo, perfiles en redes sociales, etc.
¿Internet como puerta a nuestros datos?
En este apartado hablamos de internet, pero ojo, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC sea usado por todas nuestras visitas, y para eso, no necesitan internet, sino un ordenador desprotegido.
Bien, internet nos acerca a muchas cosas, conocimiento, lugares remotos, personas en otros paises, etc. Pero también es la puerta a través de la cual los ciberdelincuentes, que sin que nos demos cuenta, pueden hacerse con nuestros datos, acceden a nuestra privada, a nuestras finanzas y demás aspectos de nuestra vida que se puedan gestionar vía online.
La utilidad de usar contraseñas seguras
El objeto de los delincuentes es obtener ganancias económicas, y resulta que nuestra información es muy valiosa. Bien porque tiene un precio en el mercado negro, bien porque con ella, se puede acceder a nuestras cuentas bancarias y otros tipos de inversión o ahorro. También pueden secuestrarnos servicios de internet, el pc, etc.
Las contraseñas son como una cerradura virtual, nos permiten poner una barrera de entrada. Es como la puerta de nuestra casa, al mantenerla cerrada, solo entra quien nosotros queremos. Ahora bien, si nuestra puerta fuera de papel de 100 gramos, de nada valdría. Pues con las contraseñas pasa lo mismo, si tu contraseña para casi todo es 1234, no está siendo la barrera que necesitas.
Es imprescindible configurar nuestras contraseñas, de tal manera que, no estén en la lista de contraseñas más fáciles, 1234, 12345, 123456, 123456789, QWERTY, password, y para que no sea fácil de adivinar, ni por una persona, ni por un algoritmo. Sí, un algoritmo puede procesar miles de combinaciones alfabéticas y numéricas y dar rápidamente con nuestra contraseña. Por eso, si la contraseña se diseña a conciencia, será mejor.
¿Cómo sé que debo mejorar mis contraseñas (test)?
Aun en este punto, seguro que muchos de vosotros os estáis diciendo que vuestra contraseña no es tan fácil, que a ver quién va a saber cuál es, etc. Para salir de dudas, os ponemos la lista de datos que primero se comprueban para conocer la combinación de contraseña de alguien:
Edad
Fecha de nacimiento
Datos de la dirección de casa u oficina
Edad de los hijos o la pareja
Nombre de las mascotas
Nombre de los hijos, padres, y familiares cercanos
Marca del coche
Número de móvil o teléfono de casa
Por supuesto, no es una combinación pero es realmente útil. Si se tiene acceso físico, a veces basta con mirar debajo del teclado, o en un cajón.
Recomendaciones para una contraseña segura.
Los expertos recomiendan que a la hora de crear una contraseña, tengamos en cuenta las siguientes cosas:
Ser creativos
Usar contraseñas fáciles de recordar. Para eso recomiendan que se creen a partir de frases, uniendo palabras, haciendo secuencias de contraseñas para los distintos servicios. Usa trucos nemotecnicos.
Crear combinaciones alfa numéricas.
Incluir símbolos especiales *
Evitar palabras del diccionario, a los algoritmos les es muy fácil llegar a ellas. Se pueden cambiar vocales por números, o incluso letras por vocales.
En este vídeo de INCIBE podréis encontrar más información sobre cómo crear contraseñas seguras.
Conclusiones
Hay que estar más alerta y ser menos confiado, y hay que empezar a usar contraseñas seguras, de lo contrario estaremos ayudando a los malos a hacerse con nuestros datos, o nuestro dinerito, o las dos. La gestión de contraseñas es cuestión de empezar y ponerse, a partir de ahí, al crear hábitos de seguridad, todo irá rodado.
Tener una contraseña segura no es símbolo de seguridad absoluta, pero, es el primer paso para ponérselo difícil a los ciberdelincuentes.
Con motivo del día mundial de las contraseñas, fuimos entrevistados por Puchi Mendez, en el Hoy por Hoy Tajaraste, de RadioClub Tenerife de la Cadena SER. Hablamos de porqué 123456 es por tercer año consecutivo, la contraseña más usada, y dimos algunas recomendaciones adicionales.
Os dejamos el audio, salimos a partir del minuto 40:30.
Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, seguridad de la información, protección de datos – LOPD, Reglamento Europeo de Protección de Datos – RGPD, compliance y muchos más temas de interés para el público en general.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Contraseñas-las-llaves-de-nuestra-vida-digital-3.jpg4641000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-05-25 07:00:022017-05-24 20:43:55Contraseñas, las llaves de nuestra vida digital
El viernes 12 de mayo, conocimos el inicio de un ciberataque de ransomware a escala mundial. En él, entre otros, fueron víctimas, Telefónica, Ibertrodola, Vodafone, BBVA, Santander, Renault, y muchas otras empresas y personas físicas.
El lunes 15 de mayo, la EUROPOL publicó las cifras del ataque. Hasta ese momento, habían dos variantes del virus, WannacryptA y WannaCryptB, entre los dos habían afectado a más de 200 mil usuarios, en más de 150 países. Es más, se creía que el lunes el número de afectados subiría con el inicio de la jornada laboral, de aquellas empresas que no estaban activas el viernes a la hora del inicio del ataque.
A día de hoy 17/05/2017, se conocen ya 5 variantes, y el número de afectados crece, aunque ya en poca proporción.
Datos sobre WannaCry
El virus lanzado, es de una variante de ransomware. Un virus que secuestra el ordenador y solicita un rescate para recuperar la información. En este caso, solicitaban 300 € en bitcoins. Esa cifra, relativamente baja para el tipo de empresas afectadas, ha dado lugar a teorías conspiratorias tipo:
¿Y si no es por dinero sino por los datos?
¿Y si lo que querían era probar el estado de las infraestructuras críticas?
El virus se propagó aprovechando una vulnerabilidad de Windows, conocida como ETERNALBLUE. Dicha vulnerabilidad quedaba solventada con la instalación de los parches de seguridad publicados por Microsoft hace poco más de dos meses. Al explotar esta vulnerabilidad el virus, escaneaba la red interna buscando otros equipos con la misma vulnerabilidad, y infectando todos aquellos que encontró a su paso.
Actualización 22/05/17: ETERNALBLUE está siendo utilizada para propagar otros tipos programas maliciosos, entre ellos, uno que no cifra el ordenador, ni pide rescate, pero que de forma silenciosa activa el control remoto del PC, que claro, queda a merced de los atacantes.
Si era tan fácil, ¿porqué se vieron afectadas las grandes empresas?
Por cuestiones técnicas, en las grandes organizaciones, instalar actualizaciones de sistema operativo u otros programas básicos, no es tarea fácil. En muchos casos, tienen que evaluar la compatibilidad con sus sistemas de desarrollo propio; en otras deben programar por zonas las instalaciones; algunas veces los equipos, en función del área no están conectados a internet, y las actualizaciones se hacen de forma controlada, etc.
Ahora bien, este es el caso de grandes empresas, pero las demás, no tienen una excusa tan buena, ni un equipo informático tan grande y especializado como ellas.
Y al final…
La mayoría de afectados que no habían instalado las actualizaciones fueron un blanco fácil. Pero además, los que no tenían copias de su información, ni un equipo de especialistas trabajando para recuperar la información perdieron mucho, o dinero, o datos, o las dos.
Medidas recomendadas para evitar ser víctima de ransomware
Está claro que cualquiera, hasta el más grande y con más recursos puede ser víctima de un ciberataque, la cuestión, es que no todos tenemos los mismos recursos humanos y económicos para hacerle frente. Por eso, lo mejor es informarse, y protegerse.
Las recomendaciones básicas para disminuir las posibilidades de ser víctimas, de un ataque de ransomware,son:
Hacer copias de seguridad periódicas. Tener un plan de realización de copias de seguridad, con una periodicidad coherente con los datos tratados. La redundancia, controlada, de copias de seguridad, en distintos formatos y soportes es muy útil. Es necesario que como mínimo una de las copias esté separada de los ordenadores, y/o del servidor; el virus se pasea por la red e infecta todo a su paso, si el disco de la copia, está conectado a la red, también será secuestrado.
Mantener actualizado en los ordenadores y dispositivos informáticos, el sistema operativo, las aplicaciones y programas de software instalados, los navegadores, las extensiones instaladas en los navegadores, y en general cualquier programa susceptible de ser actualizado. Al instalar las actualizaciones, parcheamos las posibles puertas traseras conocidas por los ciberdelincuentes.
Instalar un antivirus, y analizar los equipos frecuentemente. Se puede automatizar dicha ejecución.
Es necesario tener especial precaución con el correo electrónico y sistemas de mensajería. No abrir ningún adjunto, que venga en correos electrónicos sospechosos sean de conocidos o de desconocidos. En esos casos, al intentar abrir el supuesto archivo, no se abre nada, sino que se ejecuta el malware.
Los enlaces, en internet, aplicaciones de mensajería, y correo electrónico, deben abrirse con precaución.
Si parece sospechoso, o el contenido que lo acompaña lo es, no cliques en él.
Solución específica para WannaCry
Recomendaciones de INCIBE en su Informe sobre la oleada de ransomware. Informe de situación, recomendaciones y solución para WannaCry.
Qué hacer si ha sido víctima
En primer lugar, mantener la calma.
Podemos seguir el ejemplo de Telefónica. Apagar todos los ordenadores, evitando la propagación del virus en la red informática de la empresa.
Llamar un profesional informático. Los profesionales de este perfil, sabrán dar los pasos necesario para para solventar la situación, evitando afectaciones mayores. Su trabajo, entre otros, consistirá en:
Mitigar la propagación del virus. Si todavía está esa opción.
Eliminación del virus en los equipos instalados.
Instalación de parches y actualizaciones de seguridad.
Reestablecimeinto de datos a partir de copias de seguridad.
También puede contactar con el Instituto Nacional de CiberSeguridad – INCIBE, y hacer uso de su servicio antiransomware, que es totalmente gratuito.
También puede contactar con el CCN-CERT Centro Criptológico Nacional. En su página web, ha puesto a disposición del público una herramienta que funciona como vacuna anti ransomwarey NoMoreCry.
Pagar o no pagar. Los especialistas recomiendan no pagar. Hablamos de ciberdelincuentes, que no sabemos si devolverán la información. Tampoco que si al ver que pagamos, no nos pondrán como blanco para futuros ataques.
Es recomendable denunciar el hecho ante la policía. Es la única manera en que ellos podrán perseguir el delito.
Si es una empresa, debe registrar el hecho, como incidencia en el Documento de Seguridad, o los anexos correspondientes. Es una incidencia conforme a la normativa de Protección de Datos personales.
Es necesario estar informado de las novedades en seguridad informática. En INCIBE disponen de la suscripción, gratuita, a sus boletines de seguridad. ¡Apúntate!
Conclusiones
Vivimos una época en que estar conectadas a internet, es una característica común de las empresas, y también de las personas físicas. Es necesario conocer los riesgos a los que nos exponemos, y a partir del conocimiento, actuar diligentemente.
No se pueden eludir todos los virus, pero si nos preparamos, podremos hacerles frente y salir bien parados, o casi. No debemos preocuparnos, sino, ocuparnos.
Nuestro clientes del servicio consultoría LOPD, recibieron el lunes, este contenido por adelantado. Apúntate a nuestra newsletter, y en casos excepcionales como este, también recibirás nuestros avisos de seguridad.
Como siempre os invitamos a escucharnos todos los lunes, en el espacio radiofónico del programa Internet en Familia, de Hoy por Hoy Tenerife, en Radio Club SER Tenerife, la emisora de Canarias. Todas las semanas os hablamos de protección de datos, privacidad, seguridad en internet, nuevas tecnológicas, derecho tecnológico, Reglamento Europeo de Protección de Datos – RGPD, y muchos más temas de interés para el público en general.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/A-vueltas-con-el-Ciberataque-de-ransomware-wannacry-1.jpg506900Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-05-18 07:00:222017-05-24 16:20:25A vueltas con el Ciberataque de ransomware. Wannacry