Los bulos, por desgracia, ahora son parte del pan nuestro de cada día. Ya en su momento os hablamos de ellos en este post.  Ahora bien, si además de ser parte de nuestro día a día, cada vez son más escabrosos y dañinos. Ahora mismo nos sobran bulos que alimentan el odio separatista, nacionalista, etc. Nos sobran bulos avisando de terremotos, o en los que se hace el linchamiento de personas.

¿Quién crea los bulos?

Siempre son creados por una persona. Aún las maquinas no tienen capacidad para hacer tal cosa. Eso sí. ¿qué motiva a alguien para crear y difundir un bulo? pues según la persona y su motivación. Claramente hay motivaciones de toda clase, políticas, económicas, diversión, de todo. Aunque sinceramente es difícil no preguntarse qué pasa por la cabeza de una persona que difunde un bulo sobre terrorismo, o sobre desastres naturales.

¿Consecuencias de los bulos en la sociedad?

Pues siempre generan una reacción en las personas que los reciben y se los creen. Por este motivo, un bulo anunciando un atentado inminente, o un terremoto, o una zona de robos, genera una acción- reacción entre la generalidad de personas que lo reciben, alterando su forma de actuar, y de forma indirecta el orden público.

Posibles consecuencias legales para los creadores

Encajes en el código penal

La creación y difusión de un bulo puede, según el tema que trate, o el afectado al que se refiera, encajarse de la siguiente manera:

  1. Como un delito contra el honor. Código penal, Titulo XI:
    1. Puede ser una calumnia: la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad.
    2. Puede ser una injuria: la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación.
  2. Como un delito de desordenes públicos.

Artículo 561: Quien afirme falsamente o simule una situación de peligro para la comunidad o la producción de un siniestro a consecuencia del cual es necesario prestar auxilio a otro, y con ello provoque la movilización de los servicios de policía, asistencia o salvamento, será castigado con la pena de prisión de tres meses y un día a un año o multa de tres a dieciocho meses.

¿Cárcel por crear y difundir un bulo?

La semana pasada conocimos la noticia que hablaba de una mujer detenida en Malaga, como presunta creadora y difusora de un audio en whatsapp, en el que alertaba a la comunidad de la presencia de 2 Yihadistas en la ciudad. Pues bien, eso fue pocos días después de los atentados de Las Ramblas, en Barcelona. Debido a esa cercanía de las situaciones, se armó un revuelo social, se entró en pánico, y hubo una movilización de las fuerzas y cuerpos de seguridad del estado. ¿Porqué lo hizo, quién lo hizo? Ni idea, no tiene lógica. Pero para eso están las investigaciones, y por eso la detención de esta personal.

No es el primer caso, hace un par de años, 4 jóvenes en Estepona manipularon la portada de un periodico de tirada nacional, justo unas horas del atentado en Charli Hebdo. También cuando la crisis del Ebola, un chico madrileño hizo correr un bulo, y así. A todos la broma les ha costado como poco el susto de ser detenidos. Estaría bien saber en qué han terminado los ditintos procedimientos.

Y, ¿a colación de qué viene todo esto?

Básicamente de la siguiente noticia. Y de la amable invitación de Radio club SER – Tenerife para comentarlo en el programa de radio, la «Ventana de Canarias».

La noticia, por si no puede ver enlaces:

El presidente del Cabildo de Gran Canaria, Antonio Morales, ha asegurado este lunes que los servicios jurídicos están analizando los bulos vertidos en las redes sociales… sobre el origen del fuego, que han relacionado con la quema controlada de rastrojos del Cabildo…

“No tiene nada que ver con las quemas. Lo vamos a perseguir porque genera una alarma”

No queda claro cual es en definitiva la motivación  por la que quieren buscar responsables de los comentarios en las redes sociales, ya que si se trata de un tema de desordenes públicos que es donde encaja lo de la «alarma social», pues es que el incendio existió, y los comentarios, nacieron a raíz de dicho incidente. Otra cosa es que quieran encajarlo en defensa de la institución. Ya veremos como se desarrolla el tema.

Os compartimos el audio de nuestra participación. Que conste ante notario, que se trata de una participación distendida y para todos los públicos -es decir, expresamente nos pidieron que no nos pusiésemos con tecnicismos-

En conclusión.

Cuidado, las redes sociales a veces juegan malas pasadas y no siempre traen noticias verdaderas, no creas todo lo que te llega por whatsap. Que un mensaje venga con la voz de una persona real, que parece comprometida, no significa que sea cierto, sino, en muchos casos, que finge bien. Tampoco creas todo porque parezca una portada de un periódico conocido, ve a fuentes oficiales y contrasta la información.

Y por otro lado, no os olvidéis que en internet todo es trazable, que una investigación de los cuerpos y fuerzas de seguridad del estado puede resultar en detenciones gracias a las direcciones IP, a un número de teléfono, entre  otros. No juguéis, ¿qué necesidad?

En este post hablaremos del robo de datos en internet, pero ojo, que aunque en esta oportunidad nos centremos en la red, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC, móvil, tablet, etc. sea usado -sin permiso- por cualquiera que los tenga a mano, para eso no hace falta internet, solo un dispositivo desprotegido.

Internet es a gran herramienta que nos acerca a una amplia gama de conocimientos, noticias en tiempo real, cultura, lugares remotos, personas en otros países, etc. Pero, también es la puerta a través de la cual los ciberdelincuentes pueden hacerse con nuestros datos. Les permite acceder a nuestra vida, la privada y la pública, a nuestra información bancaria, laboral, social, etc. a todos loss aspectos  de nuestra vida que se pueden gestionar vía online. Y todo sea dicho, unas veces entran por la puerta de atrás, y otras por la principal que parece señalada con luces de neón. Sí, así de inconscientes podemos llegar a ser.

Pero ¿Cómo puede realizar un robo de datos un ciberdelincuente?

De muchas formas, y en la mayoría de ellas, por desgracia, el factor «usuario» es el principal coladero de males. Las siguientes, son las formas más habituales:

  1. Campañas de phishing. Funcionan porque el usuario abre y sigue las instrucciones de un correo SPAM. La mayoría de veces piden datos, o facilitan un enlace emulando alguna entidad o marca conocida, hablan de un supuesto sorteo, las opciones son variadas. Pero al final siempre hay un pedido de datos, -incluidos los bancarios- y un usuario inocente que larga todo sin preguntar.
  2. Estafas tipo pharming. Suele ser habitual en temas bancarios, cuando en lugar de teclear directamente la dirección electrónica del banco, el usuario la busca por google y el malo te tiene listo un resultado, que logra engañarle y capta los daros de usuario. También funciona mucho con redes sociales, y cuentas de correo electrónico.
  3. Usuando apps y juegos que recolectan datos. Cuando en el móvil o en las redes sociales el usuario instala apps y juegos que roban datos, o los venden.
  4. Interpretación de correos sin cifrar.
  5. Cuando el usuario se apunta a concursos, megachollos, y demás ofertas demasiado buenas para ser verdad, pero aún así da todos los datos sin verificar quién está detrás, y si es una oferta legítima.

¿Qué puede hacer un ciberdelincuente con mis datos?

Hacer, puede hacer de todo. Dependerá del tipo de atacante y de ataque. Hay ataques generalizados y ataques personalizados:

  • En el caso de un ataque generalizado, no hay una víctima concreta, sino, una generalidad de blancos. Esto es lo que pasa con las campañas de phishing o malware realizadas a través de SPAM. En estos casos se pretende conseguir información real de las personas, credenciales, datos bancarios, etc. Luego los venden en el mercado negro, o bien realizan fraudes bancarios, o compra de productos usando esas identidades.
  • Por otro lado un ataque específico estará diseñado de forma clara para hacer que una persona concreta caiga en él. Puede usarse cualquier modalidad de las descritas en el punto anterior, solo que el gancho estará diseñado con exquisito cuidado. Usan información del blanco -de redes sociales, en su trabajo, etc.- garantizándose la efectividad del ataque. En este caso, la finalidad será también muy específica, pudiendo querer suplantar a esta persona, usar sus permisos de acceso en algún sitio concreto, o estafarle -pero bien-.

Total, que en resumen, algunas opciones de lo que puede hacer un ciberdelincuente con nuestros datos, son:

  • Venderlos en el mercado negro
  • Estafarnos, robarnos -y no solo en internet, sino también físicamente-
  • Usar nuestros dispositivos para redes zombie
  • Contratar / comprar en nuestro nombre productos online, o ilegales y endosarnos la factura o la culpa.
  • Usar nuestros permisos de acceso a algún sistema o lugar.
  • Etc. Estamos seguros que los expertos en ciberseguridad pueden darnos una laaaaarrrrga lista de cosas más.

¿Cómo evitar que roben mis datos?

Lo primero es ser conscientes que en este mundo hiperconectado en el que vivimos, las puertas de acceso a nuestros datos son muchas; que la seguridad absoluta no existe, y pese a implementar medidas de seguridad, en cualquier momento podemos ser víctimas de un robo de datos. Los delincuentes evolucionan día a día, y sus herramientas también.

Recomendaciones esenciales:
  1. Usar contraseñas seguras. las contraseñas son las llaves de nuestra vida digital, deben ser contraseñas seguras, es una de las principales claves para proteger nuestra vida digital. Podemos usar claves nemotecnicas, un repositorio online de claves, un generador automático, etc. Son mil las opciones, pero siempre con el objetivo de ponérselo difícil a los ciberdelincuentes, cotillas, etc. Y claro, deben ponerse en todos los dispositivos, cuentas de correo, redes sociales, nubes, y  todo sitio al que subáis información.
  2. Ojo con el SPAM. No se debe acceder a enlaces que vengan en correos sospechosos; tampoco contestar facilitando la información que solicitan.
  3. Descargar apps y software de sitios oficiales. Es una de las formas más seguras de contar con apps sin malware. Que oye, no es que todas las apps oficiales sean buenas, pero suelen pasar un mínimo de controles de privacidad.
  4. Mantener la confidencialidad en internet. Este es un punto difícil para muchos usuarios, tanto les gusta publicar su vida privada que se niegan a ver el peligro que ello conlleva. Cada cosa que publicamos es un detalle que un delincuente puede usar para engañarnos, o para engañar a nuestras familias. ¿No habéis oído de los secuestros virtuales? pues una de las claves de su funcionamiento es la información que publican los propios usuarios.
  5. Limitar los permisos que se dan a apps y software. Otra vez estos dos, pero es que al descargarlos o les decimos que no pueden acceder a todo, o lo harán. Y si lo hacen, pues ya que venga dios y reparta suerte, porque se harán con cuanto haya a su paso.

Para cerrar

Evitar que nos roben datos, o de mitigar el daño de un incidente de este tipo, está en nuestras manos. Somos los usuarios quienes debemos ser responsables activos de la seguridad, confidencialidad y disponibilidad de nuestros datos.

En internet hay muchos ojos, tantos que es imposible imaginarlo. Os recomendamos el video de TEDX Madrid en el que la periodista, Marta Peirano, habla de «¿Por qué me vigilan, si no soy nadie?».Esperamos que entre este post y esa charla de 9 minutitos, os quedéis con la idea de que vuestra información vale, y debéis protegerla.

Los titulares de páginas web deben realizar una adecuación legal web. La finalidad es cumplir aquellas leyes que se han erigido como garantes de los derechos de las
personas en internet.

Con la expansión de internet, cada vez somos más propensos a realizar transacciones a través de la red. Necesitamos seguridad jurídica, y estas leyes bien aplicadas nos ayudan a conseguirla.

Hay que recordar que en su momento parecía que internet era el Salvaje Oeste. Nada más lejos de la realidad. Pero, para evitar confusiones, y aclarar algunas
líneas muy delgadas, se creó la regulación especifica de los servicios de la sociedad de la información.

Nota: artículo actualizado el 04/11/2018 para incluir lo relativo a la adecuación web al RGPD – Reglamento General de Protección de Datos UE 679/2016.

¿Qué leyes se tienen en cuenta en una adecuación legal web?

El ecosistema jurídico aplicable a los negocios en interner, es el mismo que es de aplicación en su parte física. Tenemos al Código Civil, Código de Comercio, Código Penal, entre otros. Luego, las leyes especiales que imponen obligaciones concretas a aquellas empresas y profesionales que gestionan y explotan una página web.

Específicas de negocios en internet
Relativas al producto/servicio y actividad económica

Las anteriores para empezar. A partir de ellas hay que sumar la legislación específica relativa a la actividad que se realice. Así como la de los productos o servicios ofrezca. Esto para transacciones B2C (negocio a persona física)

Para transacciones B2B (negocio con negocio)  pues oye, que venga el Código Civil y la legislación mercantil y repartan cuantas reglas hagan falta.

En nuestros post hablaremos del caso que más se presta para generalizar. El B2C, y las leyes básicas aplicables a casi toda la generalidad de páginas web de negocios o profesionales.

Pero, ¿cuáles son las leyes que debo cumplir en MI web?

Sabiendo de antemano que existe una regulación de los servicios prestados u ofrecidos a través de internet, así como que es de aplicación todo el ordenamiento jurídico básico de nuestro país, le dejamos una pequeña tabla que le permitirá identificar fácilmente las leyes que debe cumplir.

Lista indicativa, una opción no excluye la otra. Lo más probable es que salga, LSSI y el RGPD, casi siempre.

 

Y, ¿De esas Leyes qué tengo que hacer?

Bueno, nuestro propósito inicial fue escribir un solo artículo que resumiera todas las obligaciones. Como iba a quedar tipo testamento -de lo largo- haremos, otros 3 artículos que cumplimenten este. Serán sobre la LSSI-CE, el RGPD y la LGDCU.

Para resumir, os ponemos lo que a nuestro juicio son los dos pilares de estas tres leyes. El principio de información y transparencia, y el de consentimiento. Los demás son completamente transversales en asociación con estos.

Principio de información y transparencia.

En nuestras transacciones online, sean gratiutas u onerosas nos interesa tener seguridad jurídica. Saber que nuestros derechos serán respetados y que quien está del otro lado, va a cumplir su parte del trato.

  1. En la LSSI, artículo 10, encontramos la obligación publicar toda la información del titular de la web. Datos identificativos, fiscales, de contacto, de localización y registro. En caso de profesiones reguladas también se piden información específica. Si en la web se ofrecen productos o servicios deben aparecer claramente los precios, impuestos aplicables y gastos de envío. Entre otras.
  2. El RGPD por su parte dispone en el artículo 5.1 en su apartado a) el principio de transparencia en relación al tratamiento de datos del interesado, y en su artículo 13 relativo al derecho de información, establece que se facilitará toda la información siguiente al interesado: la identidad y los datos de contacto del responsable, los fines a los que se destinan los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, el plazo durante el cual se conservarán los datos personales, así como la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
    NOTA: En este apartado el artículo original hacía mención a las obligaciones de información de la LO. 15/1999 de Protección de Datos de Carácter Personal.
    Hace dos semanas la AEPD publicó su informe sobre ‘Políticas de privacidad en Internet. Adaptación al RGPD’. No quedó títere con cabeza, y definitivamente
    ese informe hecho de oficio por la Agencia deja claro que no se van a andar con chiquitas a la hora de evaluar el cumplimiento de los responsables. Puede ver el informe aquí https://www.aepd.es/media/estudios/informe-politicas-de-privacidad-adaptacion-RGPD.pdf
  3. La LGDCU, va más allá que la LSSI en lo relativo a los derechos de los consumidores y usuarios. Exige que todo tipo de información relativa a la venta o contratación, sea fácilmente accesible siempre para los consumidores. Así mismo que estos siempre tengan claro: cuál es el proceso de compra, los precios de los productos, del envío, la posibilidad del ejercicio del derecho de desistimiento, cancelación de la transacción, entre otros.
Principio del consentimiento.

Os podéis imaginar que, si estas leyes pretenden garantizar los derechos de los usuarios, uno de los puntos clave es priorizar la necesidad del consentimiento bien para recabar datos, para el envío de publicidad, o para la formalización de una transacción o cualquier otra finalidad que así lo requiera, así como la normativa aplicable: casos y leyes:

  • El Reglamento General de Protección de datos dispone que el consentimiento ha de ser inequívoco, es decir, se ha de prestar mediante una manifestación o una clara acción afirmativa del interesado.
  • Por otro lado la LSSI, en sus artículos 20, 21 y 22 exigen, no solo información, sino, la autorización expresa. Ojo, expresa, para el envío de publicidad. Claro, también hay alguna excepción, la más importante, y asociada a la pronto inicio de aplicación del RGPD, será la del interés legítimo.
  • En la LGDCU -por recordar, Ley General Para la Defensa de Consumidores y Usuarios- solo se podrán entender como realizadas aquellas transacciones que sean realizadas con el consentimiento y aceptación plena e informada del consumidor. Aquellas se realicen de forma engañosa, no tendrán validez.

Conclusiones

Tener una página web requiere de una visión de amplio espectro. Que no solo se vea por la consecución del fin de su puesta en marcha, sino también, de la defensa y garantía de los derechos de nuestros destinatarios del servicio o consumidores.

El cumplimiento de estas normas, no solo protege los derechos de los usuarios o consumidores, sino también de los del titular de la web. Con el cumplimiento de las normas en muchos casos limita su responsabilidad, así como evita incidencias mayores al poner en claro las reglas del juego. Las leyes están para cumplirlas, pero si además las cumplimos como valor añadido podremos conseguir que nuestro sitio web sea reconocido por su fiabilidad y cumplimiento.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, palataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en contactarnos. Nuestro nuestro servicio de adecuación legal web, software y app, ha sido diseñado para eso.

PS/ Pronto publicaremos el siguiente artículo. Adecuación Legal Web (II). La LSSI.

Ransomware. Recomendaciones de seguridad

Ransomware. Recomendaciones de seguridad1

Ayer inicio el segundo gran ciberataque de ransomware. La seguridad de muchas empresas, y estados se ha visto comprometida. Por desgracia se repite lo sucedido el pasado 12 de mayo, cuando wannacry afectó a más de 200 mil equipos en todo el mundo.

Al ataque de ayer y hoy, se le ha llamado #NotPetya o #Petya. Parece que la motivación de los delincuentes que han iniciado esta oleada de ransomware, es distinta a los que lanzaron wannacry (solo les importaba el dinero). Petya no cifra .png, y se centra en archivos de extensiones de programación específicas. No es por ponernos paranoicos pero podría ser que la intención de obtener información, más que dinero, es mayor en este ciberataque. Y esto ¡uy!  todavía es más peligroso. Y si publican usan los datos para chantajearnos, no a cambio de perderlos, sino de publicarlos? Da que pensar.

Al final os dejamos enlaces a post recomendados, por si queréis más información sobre Petya.

Medidas de seguridad 

La seguridad total no existe y menos cuando estamos los humanos de por medio. Es que es tan fácil pinchar el enlace equivocado, o caer ante la oferta de un cotilleo «bueno». La forma más sencilla de protegernos es poniendo medidas de seguridad para evitar incidentes, así como para mitigar el impacto en caso de vernos infectados por un ransomware.

¿Cómo evitar ser víctima de un ataque de ransomware?

Siendo precavidos y poniendo medidas de seguridad técnicas y administrativas.  Debemos ponerselo difícil a los ciberdelincuentes, y sobre todo, procurar que en caso de que lleguemos a vernos afectados, tener salvaguardas que nos ayuden a salir relativamente airosos del ataque.

Puedes encontrar más recomendaciones en la lista que hicimos en nuestro primer post sobre el ataque de wannacry. Ahí, listamos de forma exhaustiva las recomendaciones de prevención, así como de actuación en caso de ser víctima. Por añadir, y ya que lo comentabamos con nuestro amigo @Seguridadyredes en twitter, os recomendamos instalar alguna herramienta antiransom, tenéis la de INCIBE, la del CCN-CERT, o la de nuestro amigo y gran experto en ciberseguridad, @YJesus: Anti Ransom V.3

 

Después de lo anterior, solo nos queda decir…

Aplicaros, poned las medidas de seguridad preventivas, técnicas y de formación que os hagan falta. Ya van dos grandes ciberataques, no tientes la suerte, no vaya a ser que caigas en el tercero.

 

No se puede ir por la vida sin copias de seguridad, sin antivirus, y pensando que eso solo le pasa a las grandes empresas, porque es ¡mentira!

El oro de nuestra generación son los datos, los de todos. Todos somos el blanco.

 

Enlaces a post recomendados

Si queréis saber un poco más sobre este episodio con Petya, estos post os ayudarán: el de Xacata muy resumido y claro; Merce Molist en El confidencial, con historia del virus; y para finalizar, el pabloyglesias con un análisis de la actual industria del cibercrimen.

 

El pasado 17 de mayo, fue el día mundial de las contraseñas. Sí, ahora todo tiene un día, seguro que alguno está haciendo una critica mental. Este día no es para festejar la existencia de las contraseñas, si no para concienciar a las personas de la necesidad imperiosa de usar buenas contraseñas. Contraseñas seguras, que a ser posible le pongan difícil la tarea a los ciberdelincuentes.

Es preciso recordar que en la actualidad, quien más y quien menos, usa herramientas digitales. No hablemos ya, de aquellas que se encuentran conectadas a internet, o directamente que dependen de ello; redes sociales, servicios en la nube, la aplicación del runing y el acceso a los móviles y demás gadgets. Todo o casi todo, requiere de una contraseña, si no, debería.

El problema está en el poco valor que le damos al uso de una contraseña, en el poco ingenio o esfuerzo que ponemos en configurarlas, y en la poca confidencialidad a la hora de tratarlas.

Sería una coincidencia, pero justo el mismo día de internet, los periódicos de todas las clases, tenían titulares como este «se filtran 560 millones de credenciales de correos electrónicos» y como os podéis imaginar, son titulares que se repiten cada X tiempo. Por eso este post, esperamos que os sea muy útil.

¿Qué cosas suelen necesitar contraseña?

Como dijimos antes, hoy en día, casi todo necesita de una contraseña. Otra cosa es que o no lo sepamos, o porque consideramos que es algo sin importancia, pasemos de ello. Esta es una lista de las cosas que solemos olvidar, pero que debemos proteger con contraseña:

  1. Los ordenadores. Sí, incluso en los personales.
  2. Los móviles. Son fáciles de perder ¿te gustaría que alguien accediera a la información de tu móvil, tan fácilmente como tocando la pantalla y ya? no, verdad. Pues pon una contraseña.
  3. Los pendrives y discos duros. Se pueden comprar de seguridad, o bien, crear una carpeta dentro y cifrarla. Así si se te pierde, mitigas el riesgo de que accedan a tu información.
  4. Las aplicaciones del móvil, o demás dispositivos, que almacenan datos personales o información confidencial.
  5. Los dispositivos de impresión y destrucción corporativas. ¿Sabias que ya traen una opción de destrucción o impresión segura? así solo quien ha enviado la impresión puede acceder a ella o quien ha puesto la documentación a eliminar, puede detenerla
  6. Los servicios online que por todos es conocido que requieren una contraseña. Banca online, cuentas de correo, perfiles en redes sociales, etc.

¿Internet como puerta a nuestros datos?

En este apartado hablamos de internet, pero ojo, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC sea usado por todas nuestras visitas, y para eso, no necesitan internet, sino un ordenador desprotegido.

Bien, internet nos acerca a muchas cosas, conocimiento, lugares remotos, personas en otros paises, etc. Pero también es la puerta a través de la cual los ciberdelincuentes, que sin que nos demos cuenta, pueden hacerse con nuestros datos, acceden a nuestra privada, a nuestras finanzas y demás aspectos  de nuestra vida que se puedan gestionar vía online.

La utilidad de usar contraseñas seguras

El objeto de los delincuentes es obtener ganancias económicas, y resulta que nuestra información es muy valiosa. Bien porque tiene un precio en el mercado negro, bien porque con ella, se puede acceder a nuestras cuentas bancarias y otros tipos de inversión o ahorro. También pueden secuestrarnos servicios de internet, el pc, etc.

Las contraseñas son como una cerradura virtual, nos permiten poner una barrera de entrada. Es como la puerta de nuestra casa, al mantenerla cerrada, solo entra quien nosotros queremos. Ahora bien, si nuestra puerta fuera de papel de 100 gramos, de nada valdría. Pues con las contraseñas pasa lo mismo, si tu contraseña para casi todo es 1234, no está siendo la barrera que necesitas.

Es imprescindible configurar nuestras contraseñas, de tal manera que, no estén en la lista de contraseñas más fáciles, 1234, 12345, 123456, 123456789, QWERTY, password, y para que no sea fácil de adivinar, ni por una persona, ni por un algoritmo. Sí, un algoritmo puede procesar miles de combinaciones alfabéticas y numéricas y dar rápidamente con nuestra contraseña. Por eso, si la contraseña se diseña a conciencia, será mejor.

¿Cómo sé que debo mejorar mis contraseñas (test)?

Aun en este punto, seguro que muchos de vosotros os estáis diciendo que vuestra contraseña no es tan fácil, que a ver quién va a saber cuál es, etc. Para salir de dudas, os ponemos la lista de datos que primero se comprueban para conocer la combinación de contraseña de alguien:

  1. Edad
  2. Fecha de nacimiento
  3. Datos de la dirección de casa u oficina
  4. Edad de los hijos o la pareja
  5. Nombre de las mascotas
  6. Nombre de los hijos, padres, y familiares cercanos
  7. Marca del coche
  8. Número de móvil o teléfono de casa
  9. Por supuesto, no es una combinación pero es realmente útil. Si se tiene acceso físico, a veces basta con mirar debajo del teclado, o en un cajón.

Recomendaciones para una contraseña segura.

Los expertos recomiendan que a la hora de crear una contraseña, tengamos en cuenta las siguientes cosas:

  1. Ser creativos
  2. Usar contraseñas fáciles de recordar. Para eso recomiendan que se creen a partir de frases, uniendo palabras, haciendo secuencias de contraseñas para los distintos servicios. Usa trucos nemotecnicos.
  3. Crear combinaciones alfa numéricas.
  4. Incluir símbolos especiales *
  5. Evitar palabras del diccionario, a los algoritmos les es muy fácil llegar a ellas. Se pueden cambiar vocales por números, o incluso letras por vocales.

Otras recomendaciones

  1. Tener una contraseña por servicio y dispositivo.
  2. No compartir las contraseñas con nadie.
  3. Cambiar las contraseñas  periódicamente.
  4. Usar gestores de contraseñas.

En este vídeo de INCIBE podréis encontrar más información sobre cómo crear contraseñas seguras.

Conclusiones

Hay que estar más alerta y ser menos confiado, y hay que empezar a usar contraseñas seguras, de lo contrario estaremos ayudando a los malos a hacerse con nuestros datos, o nuestro dinerito, o las dos. La gestión de contraseñas es cuestión de empezar y ponerse, a partir de ahí, al crear hábitos de seguridad, todo irá rodado.

Tener una contraseña segura no es símbolo de seguridad absoluta, pero, es el primer  paso para ponérselo difícil a los ciberdelincuentes.

_______________________________________________________________________________

Con motivo del día mundial de las contraseñas, fuimos entrevistados por Puchi Mendez, en el Hoy por Hoy Tajaraste, de  Radio Club Tenerife  de la Cadena SER.  Hablamos de porqué  123456 es por tercer año consecutivo, la contraseña más usada, y dimos algunas recomendaciones adicionales.

Os dejamos el audio, salimos a partir del minuto 40:30.

Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, seguridad de la información, protección de datos – LOPD, Reglamento Europeo de Protección de Datos – RGPD, compliance y muchos más temas de interés para el público en general.

El viernes 12 de mayo, conocimos el inicio de un ciberataque de ransomware a escala mundial. En él, entre otros, fueron víctimas, Telefónica, Ibertrodola, Vodafone, BBVA, Santander, Renault, y muchas otras empresas y personas físicas.

El lunes 15 de mayo, la EUROPOL publicó las cifras del ataque. Hasta ese momento, habían dos variantes del virus, WannacryptA y WannaCryptB, entre los dos habían afectado a más de 200 mil usuarios, en más de 150 países. Es más, se creía que el lunes el número de afectados subiría con el inicio de la jornada laboral, de aquellas empresas que no estaban activas el viernes a la hora del inicio del ataque.

A día de hoy 17/05/2017, se conocen ya 5 variantes, y el número de afectados crece, aunque ya en poca proporción.

Datos sobre WannaCry

El virus lanzado, es de una variante de ransomware. Un virus que secuestra el ordenador y solicita un rescate para recuperar la información. En este caso, solicitaban 300 € en bitcoins. Esa cifra, relativamente baja para el tipo de empresas afectadas, ha dado lugar a teorías conspiratorias tipo:

¿Y si no es por dinero sino por los datos?

¿Y si lo que querían era probar el estado de las infraestructuras críticas?

El virus se propagó aprovechando una vulnerabilidad de Windows, conocida como ETERNALBLUE. Dicha vulnerabilidad quedaba solventada con la instalación de los parches de seguridad publicados por Microsoft hace poco más de dos meses. Al explotar esta vulnerabilidad el virus, escaneaba la red interna buscando otros equipos con la misma vulnerabilidad, y infectando todos aquellos que encontró a su paso.

Actualización 22/05/17: ETERNALBLUE está siendo utilizada para propagar otros tipos programas maliciosos, entre ellos, uno que no cifra el ordenador, ni pide rescate, pero que de forma silenciosa activa el control remoto del PC, que claro, queda a merced de los atacantes.

Si era tan fácil, ¿porqué se vieron afectadas las grandes empresas?

Por cuestiones técnicas, en las grandes organizaciones, instalar actualizaciones de sistema operativo u otros programas básicos, no es tarea fácil. En muchos casos, tienen que evaluar la compatibilidad con sus sistemas de desarrollo propio; en otras deben programar por zonas las instalaciones; algunas veces los equipos, en función del área no están conectados a internet, y las actualizaciones se hacen de forma controlada, etc.

Ahora bien, este es el caso de grandes empresas, pero las demás, no tienen una excusa tan buena, ni un equipo informático tan grande y especializado como ellas.

Y al final…

La mayoría de afectados que no habían instalado las actualizaciones fueron un blanco fácil. Pero además, los que no tenían copias de su información, ni un equipo de especialistas trabajando para recuperar la información perdieron mucho,  o dinero, o datos, o las dos.

 

 Medidas recomendadas para evitar ser víctima de ransomware

Está claro que cualquiera, hasta el más grande y con más recursos puede ser víctima de un ciberataque, la cuestión, es que no todos tenemos los mismos recursos humanos y económicos para hacerle frente. Por eso, lo mejor es informarse, y protegerse.

Las recomendaciones básicas para disminuir las posibilidades de ser víctimas, de un ataque de ransomware,son:

  1. Hacer copias de seguridad periódicas. Tener un plan de realización de copias de seguridad, con una periodicidad coherente con los datos tratados. La redundancia, controlada, de copias de seguridad, en distintos formatos y soportes es muy útil. Es necesario que como mínimo una de las copias esté separada de los ordenadores, y/o del servidor; el virus se pasea por la red e infecta todo a su paso, si el disco de la copia, está conectado a la red, también será secuestrado.
  2. Mantener actualizado en los ordenadores y dispositivos informáticos, el sistema operativo, las aplicaciones y programas de software instalados, los navegadores, las extensiones instaladas en los navegadores, y en general cualquier programa susceptible de ser actualizado. Al instalar las actualizaciones, parcheamos las posibles puertas traseras conocidas por los ciberdelincuentes.
  3. Instalar un antivirus, y analizar los equipos frecuentemente. Se puede automatizar dicha ejecución.
  4. Es necesario tener especial precaución con el correo electrónico y sistemas de mensajería. No abrir ningún adjunto, que venga en correos electrónicos sospechosos sean de conocidos o de desconocidos. En esos casos, al intentar abrir el supuesto archivo, no se abre nada, sino que se ejecuta el malware. 
  5. Los enlaces, en internet, aplicaciones de mensajería, y correo electrónico, deben abrirse con precaución.

                           Si parece sospechoso, o el contenido que lo acompaña lo es, no cliques en él.  

     Solución específica para WannaCry
  •  Recomendaciones de INCIBE en su Informe sobre la oleada de ransomware. Informe de situación, recomendaciones y solución para WannaCry.

 Qué hacer si ha sido víctima

  1. En primer lugar, mantener la calma.
  2. Podemos seguir el ejemplo de Telefónica. Apagar todos los ordenadores, evitando la propagación del virus en la red informática de la empresa.
  3. Llamar un profesional informático.  Los profesionales de este perfil,  sabrán dar los pasos necesario para para solventar la situación, evitando afectaciones mayores. Su trabajo, entre otros, consistirá en:
    1.  Mitigar la propagación del virus. Si todavía está esa opción.
    2. Eliminación del virus en los equipos instalados.
    3. Instalación de parches y actualizaciones de seguridad.
    4. Reestablecimeinto de datos a partir de copias de seguridad.
  4. También puede contactar con el Instituto Nacional de CiberSeguridad – INCIBE,  y hacer uso de su servicio antiransomware, que es totalmente gratuito.
  5. También puede contactar con el CCN-CERT Centro Criptológico Nacional. En su página web, ha puesto a disposición del público una herramienta que funciona como vacuna anti ransomwarey NoMoreCry.
  6. Pagar o no pagar. Los especialistas recomiendan no pagar. Hablamos de ciberdelincuentes, que no sabemos si devolverán la información. Tampoco que si al ver que pagamos, no nos pondrán como blanco para futuros ataques.
  7. Es recomendable denunciar el hecho ante la policía. Es la única manera en que ellos podrán perseguir el delito.
  8. Si es una empresa, debe registrar el hecho, como incidencia en el Documento de Seguridad, o los anexos correspondientes. Es una incidencia conforme a la normativa de Protección de Datos personales.
  9. Es necesario estar informado de las novedades en seguridad informática. En INCIBE disponen de la suscripción, gratuita, a sus boletines de seguridad. ¡Apúntate!

Conclusiones

Vivimos una época en que estar conectadas a internet, es una característica común de las empresas, y también de las personas físicas. Es necesario conocer los riesgos a los que nos exponemos, y a partir del conocimiento, actuar diligentemente.

No se pueden eludir todos los virus, pero si nos preparamos, podremos hacerles frente y salir bien parados, o casi. No debemos preocuparnos, sino, ocuparnos.

Nuestro clientes del servicio consultoría LOPD, recibieron el lunes, este contenido por adelantado. Apúntate a nuestra newsletter, y en casos excepcionales como este, también recibirás nuestros avisos de seguridad.

______________________________________________________________________________

Como siempre os invitamos a escucharnos todos los lunes, en el espacio radiofónico del programa Internet en Familia, de Hoy por Hoy Tenerife, en Radio Club SER Tenerife, la emisora de Canarias. Todas las semanas os hablamos de protección de datos, privacidad, seguridad en internet, nuevas tecnológicas, derecho tecnológico, Reglamento Europeo de Protección de Datos – RGPD, y muchos más temas de interés para el público en general.

 

El pasado 5 de Abril, empezó la campaña de la renta. Los ciberdelincuentes no se han hecho esperar  y por eso ya tenemos noticias de campañas masivas de phishing y ramsomware; algo nuevo y algo viejo, lo prestado será el dinero de los pobres incautos que piquen.  Está claro que los ciberdelincuentes, son muy madrugadores,  y  que aprovechan cualquier oportunidad, para embaucar a sus victimas.

¿Qué engaños han soltado este año los ciberdelincuentes?

Como mencionamos antes, vuelven con un viejo conocido, el phishing. El nieto del timo de la estampita, que ahora se hace por internet. En esta ocasión, se trata de una modalidad en la que los ciberdelincuentes, remiten de forma masiva, correos electrónicos a victimas potenciales, y luego, como buenos pescadores, se sientan a esperar a que un buen número de ellos pique.

Ojo con el phishing de este año

Este año la división de delitos telemáticos de la Guardía civil, y la Policía, han informado de una campaña, en el que los ciberdelincuentes se remiten un correo en el que se hacen pasar por la AEAT. Notifican al usuario de una supuesta devolución de dinero, referente a una campaña de la renta anterior, y le facilitan un enlace en la que piden que se confirmen los datos que necesitan para hacer la devolución del dinero.

Así es como se ve el correo. Por favor, si os llega, eliminadlo de inmediato. Y si picaste, cambia las contraseñas del banco de inmediato, y llegado el caso, denuncia a la policía.

   

Ransomware en esta campaña

Este es el nuevo, que ya a estas alturas, no es tan nuevo. Se trata de un virus que se remite también a través de correo electrónico. Claro, no es fácil, por así decirlo, detectarlo ya que suele venir escondido en un algo que aparenta ser un documento, como una factura, o un borrador de la renta, o un excel. Cualquier forma de documento vale. Lo malo es que no son documentos sino programas maliciosos que al darles click para abrirlos, instalan el virus.

El ransomware, es el famoso virus secuestra ordenadores. En cuanto se ejecuta, toma el control del ordenador y cifra todos los archivos que contiene. A partir de ahí, los ciberdelincuentes te piden que pagues una cantidad de dinero, a  cambio de descifrar la información. La cantidad solicitada varía entre los 150 euros, y los 1000 euros, o más, si es un ataque dirigido a empresas.

 

¿Qué hacer si he sido victima de ransomware?

En este caso, y como mencionamos en el programa de radio, los expertos en seguridad, la polícia y la GC, recomiendan no pagar. No se paga para no financiar ciberdelincuentes, y porque no hay certeza de que realmente nos devuelvan la información.

En estos casos, lo mejor es apagar, formatear el ordenador y reinstalar todo. Que lo haga un experto informático mejor, que suena fácil pero no lo es tanto. Pero claro, es necesario tener una copia de seguridad. Si no tiene ninguna, hágala, que la información es muy valiosa.

Los usuarios pueden solicitar la ayuda del INCIBE, que cuenta con oficina de atención al usuario, y también para empresas. Según sea el caso, se debe denunciar a la Policía o a la Guardia Civil.

Y si el incidente lo sufre una empresa, no se olviden de registrar la incidencia, que esa es grande, y los ojos la Ley de Protección de Datos – LOPD 15/1999, no es poca cosa. Y menos lo será cuando entre en vigor el Reglamento Europeo de Protección de Datos, RGPD.

Recomendaciones a modo de conclusión

Hay que ver lo eficientes que son los ciberdelincuentes, así que por favor, evitad abrir correos que no esperáis, de desconocidos, con archivos raros, etc.

Una forma de identificar los correos maliciosos son las faltas de ortografía, y no por un  Zapato escrito con S, que debería ser delito, sí, sino por aquellas que nos dejan ese saborcillo a… mmm esto ha sido traducido por un traductor automático….

Las formas típicas de documento que usan para distribuir ransomware son, certificados de correos, borradores de la renta, facturas, así como confirmaciones de pago o transferencia. Curiosamente, casi todos aparentan ser un PDF, aunque también hay excel y word. Pero bueno, tened esta información en cuenta, será útil.

____________________________________________________________________

Este tema lo tratamos, el pasado 10/04/2017, en nuestra colaboración semanal con Radio Club Tenerife  de la Cadena SER. Podéis escuchar nuestra participación a partir del minuto 01:44:16.

Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, protección de datos, y muchos más temas de interés para el público en general.

En las redes sociales, cuando una persona fallece, sus perfiles no suelen eliminarse de forma automática. Se supone que la capacidad de gestión de una cuenta solo la tiene su titular. Cuando este desaparece, sus perfiles suelen quedar a la deriva.

Para evitar situaciones dolorosas, o incomodas, o casi paranormales, a sus usuarios, las redes sociales han puesto mecanismos de auto gestión; también han creado acciones que pueden realizar los familiares directos del fallecido. De tal suerte que la cuenta puede ser eliminada o convertida en una cuenta honorífica o conmemorativa.

Lo que dicen las estadísticas

Hace unos años, las estadísticas realizadas por un investigador de MIT, decían que en el año 2098, en Facebook, habrá más perfiles de personas fallecidas que de personas vivas. Este dato es harto llamativo, si tenemos en cuenta que en el año 2012, en tan solo 8 años de funcionamiento de esta red social, ya habían 30 mil perfiles de personas fallecidas.

Formas de gestión de perfiles de fallecidos

Como antes mencionamos, hay dos formas, según la red social a la que nos refiramos. En primer lugar está la auto gestión: decidir desde ya, qué queremos que pase con nuestra cuenta, llegado el momento de nuestra muerte. La segunda, la gestión por parte de los familiares, bien elegidos por nosotros, bien por su propia cuenta si no les designamos.

Gestión de perfiles según las redes sociales existentes

En este apartado desglosaremos las formas de gestión que perfilen las redes sociales, más populares, a la fecha.

Facebook

En esta red social, se permite la gestión por parte de familiares, y la auto gestión; fue la primera en permitir la autogestión, brindando dos opciones: la primera, elegir dar de baja el perfil en el momento de la muerte; la segunda, elegir contactos legados, ellos decidirán que hacer llegado el momento.  Facebook también permite que los familiares directos puedan solicitar la eliminación del perfil o la reconvención, en cuenta conmemorativa. Aquí puedes conocer más sobre la política de facebook 

Twitter

En este caso, y los siguientes, no se permite la creación de perfiles conmemorativos. Se puede desactivar la cuenta; también la de una persona a la que le ha sobrevenido una incapacidad.  Solo lo pueden solicitar personas autorizadas, o familiares directos que puedan comprobar dicha situación. En este enlace podréis conocer la política de gestión de perfiles de fallecidos y discapacitados en Twitter.

LinkedIn

Esta plataforma es la más amigable con sus palabras relacionadas con este tema. Tampoco permite la creación de perfiles honoríficos, solo la eliminación del perfil. Solicita datos tales como el enlace al perfil, nombre de la persona, comprobar la relación con ella, entre otros. Se realiza la solicitud mediante un formulario, dispuesto especialmente para ello. Aquí podréis obtener más información.

Instagram

El caso de instagram es particular, al ser de facebook, sí permite la reconvención en conmemorativa de la cuenta. Lo distinto a su propietaria, no permite la auto gestión, solo el reporte de la situación por parte de los familiares, quienes, deberán elegir que hacer con la cuenta del fallecido. Aquí tenéis el enlace a la página de información ofrecida por instagram.

¿A qué información accederían los familiares?

En realidad a ninguna. En ninguno de los casos podrán, salvo que tengan la contraseña, acceder al perfil del usuario. Tampoco podrán gestionarlo. Solo pueden decidir, si se elimina la cuenta, o en el caso de facebook e instagram, si el perfil se convierte en conmemorativo.

¿Ha fallecido un familiar, qué hacer con su perfil ?

Como ya vimos antes, en este caso será necesario comunicar a la red social el fallecimiento, seguir los pasos que se indiquen en sus políticas y decidir, según se le permita, si la cuenta se elimina o se convierte en conmemorativa.

Para finalizar…

Si tienes perfil en facebook, es recomendable que decidas. La ruta es: configuración/seguridad/contacto legado/ elegir; las opciones son, eliminar cuenta o elegir un contacto legado. Mientras tengamos capacidad de decidir, deberíamos hacerlo.  Como la frase de una conocida película “Decidir es un verbo muy bonito, es un privilegio”.

Si se trata de decidir qué hacer con el perfil de un familiar fallecido, es recomendable decidirlo en familia. Muchas veces afecta a varias personas, y bien es sabido que unas lo llevan mejor que otras.

 

Este tema lo tratamos, el pasado 17/10/2016, en el programa de radio «Internet en familia» en el que colaboramos semanalmente con Radio Club SER Tenerife. Aquí podréis escuchar nuestra intervención, a partir del minuto 36.50.

Os invitamos a escucharnos cada lunes, durante el Hoy por Hoy, La Portada. En este espacio hablamos de temas de interés para el público en general, siempre con un lenguaje cercano y ameno. Temas que tratamos: privacidad, internet, protección de datos, LOPD, tecnología, derecho tecnológico, entre otros. Estamos en Tenerife, Canarias.

 El 2017 nos depara a nivel de protección de datos, un periodo de transición, reestructuración y adaptación en lo que concierne al Reglamento EU General de Protección de Datos, también en lo referido al Privacy Shield y las transferencias internacionales de datos, muchos tira y afloja con las políticas de privacidad de las grandes empresas tecnológicas, y finalmente, estamos seguros que traerá grandes retos en cuanto los tratamientos de datos realizados en el ámbito de los avances tecnológicos, entre ellos, la inteligencia artificial (AI), la robótica, los drones, el Big Data, la investigación genética, etc.

Definitivamente el 2017 trae curvas, y, si el gran giro en materia de protección de datos se dio este año con la publicación y entrada en vigor del Reglamento UE 2016/679 General de Protección de Datos – RGPD,  será en el 2017 cuando se empiecen a materializar los cambios que este introduce, empezando por la misma Agencia Española de Protección de Datos que ya ha anunciado cambios, siguiendo por los sujetos obligados a cumplir con la normativa de Protección de Datos que deberán prepararse para estar adecuados el 25 de mayo del 2018, cuando empiece la aplicación del reglamento.   

 

Cambios relacionados con la Agencia Española de Protección de Datos

Sobre los cambios que anunció La Agencia Española de Protección de Datos -AEPD, durante su 8ª sesión anual abierta, el pasado 29 de junio (2016), podemos vislumbrar tres líneas claras de actuación, ambas relacionadas con el Reglamento General de Protección de Datos.

  • La primera, se refiere a la modificación de los estatutos de la propia agencia, habrá una reestructuración de sus departamentos, así como de las funciones de los mismos.
  • La segunda tiene que ver con el anunció de la actualización de Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (a ver qué pasa con su Reglamento de Desarrollo el RD 1720/2007) que según dijo la directora de la Agencia, Dª. Mar España, esperan presentar la propuesta de modificación a la Comisión General de Codificación durante el primer trimestre del 2017, esperemos que así sea, que nos vendría bien conocer por donde van los tiros de la Agencia.
  • Y para terminar, la tercera línea de actuación será la creación de material informativo y divulgativo para todos los afectados: los ciudadanos, las empresas responsables y los encargados de tratamiento. También han anunciado la creación de herramientas y recursos de apoyo para el entendimiento y cumplimiento del Reglamento General, especialmente centrándose en las Pymes que realizan tratamientos de riesgo bajo o muy bajo.

 

Cambios relacionados con los sujetos obligados a cumplir la normativa de Protección de Datos. Responsables y encargados.

Desde luego que aquí es sencillo vislumbrar el cambio: las empresas y profesionales han de empezar a adecuarse al Reglamento Europeo General de Protección de Datos. Es así de simple.

La directora de la AEPD, dejo claro en la 8ª sesión anual abierta, que:

  • Los dos años de transición –ahora ya un año y medio- son para que los sujetos obligados al cumplimiento de esta normativa se adecuen, y que el 28 de mayo del 2018 cuando empiece la aplicación del RGPD, estén ciento por cien adecuadas.
  • Que se deben a empezar a aplicar los principios del RGPD. Si los consentimientos recabados al inicio de aplicación del RGPD no se obtuvieron o se actualizaron para que fueran conforme a los mismos, entonces serán inválidos.
  • Se debe realizar una revisión de lo hecho hasta ahora, revisar contratos, compromisos, cláusulas, etc… y comprobar que cumplen con los principios y exigencias básicas del RGPD, en caso de que no, se deberán actualizar, y poner medidas para que los nuevos contenidos cumplan con ellos.
  • Se deben empezar a realizar las evaluaciones de impacto en la privacidad, y claro, poner en marcha las medidas de seguridad y mitigación de riesgos, necesarias para proteger el derecho a la protección de datos de los afectados en los tratamientos de datos.

Otros temas

Privacy Shield

Este acuerdo que inició su andadura el primero de agosto de este 2016, apenas está empezando a ver como su lista adheridos crece, después que durante los primeros meses estuviera casi estancada.

Esperamos que dure lo suficiente como para mantener un poco la “estabilidad” de las transferencias de datos realizadas a su amparo, aunque los escépticos no le auguran mucho tiempo, ya que lo consideran un parche con las mismas grietas que tuvo su antecesor el Safe Harbour, y que el triunfo del el sr. Trump, hace que crezcan las dudas sobre el cumplimiento de EEUU. en materia de derechos fundamentales.

Tira y afloja con empresas tecnológicas

Lo estamos viendo ahora mismo con WhatsApp y Facebook, que si te obligo a aceptar mi política de privacidad, que si las agencias de protección de datos de la UE no están contentas, que si ahora digo que nunca hemos compartido los datos y no lo volveremos a hacer… así nos va.

Las grandes empresas conocen el valor de nuestros datos, y cada día encuentran una nueva forma de explotarlos, de conseguir que se los demos, de pasárselos entre ellos, etc. Y ahí, claro, chocan con el muro de la legislación europea que protege “férreamente” los derechos de sus ciudadanos.

Os avisamos, esta película la viviremos más a menudo, a cada cual se le ocurrirán nuevas formas de liarse la manta de nuestros datos a la cabeza, y según el caso lo lograrán… al tiempo.

Tratamientos de datos asociados a evoluciones tecnológicas

Como ya está largo el post, no entraremos a tocar cada una de ellas, pero si mencionaremos que los retos en protección de datos y derechos de la personalidad que están surgiendo y surgirán, son tremendos.

En el RGPD se establecieron los principios básicos para el uso de los datos personales en estas evoluciones tecnológicas, ahora bien, seguramente no sean suficientes debido al desconocimiento integral de su alcance, por algo están en desarrollo. Aun así es grato ver que por primera vez una norma incluye indicaciones sobre temas tan complejos, y que están en plena efervescencia, y no solo de temas que ya han pasado.

 

Pues ya está, parece fácil, pero cuando tengamos que empezar a adecuar nuestras empresas, y en nuestro caso, nosotros a nuestros clientes, puede que el filtro se opaque un poco y ya no sea tan sencillo. Recordad, si cumplís correctamente con la normativa actual de protección de datos, el paso al RGPD será subir un escalón, o dos, pero no mucho más, así que os recomendamos revisar, actualizar y prepararse para lo que viene en el 2017, y especialmente para estar listos el 25 de mayo del 2018 cuando inicia su aplicación el RGPD-EU.

 

Los bulos en internet son como una plaga que nos invade, invade muros de Facebook, timelines de Twitter, foros y bandejas de correo. Se alimentan de los incautos que creen en su contenido, y que además lo comparten creando cadenas interminables de falsedades.

 

Finalidad

Los bulos son historias falsas que buscan engañar a los usuarios y conseguir que lo compartan. A partir de ahí la finalidad será, en primer lugar conseguir los datos de los usuarios (datos de identidad, contacto, entre otros), para:

  1. Crear una base de datos y venderla en el mercado negro.
  2. Recopilar datos de usuarios para luego usarlos en campañas de spam.
  3. Conseguir victimas para ciberestafas
  4. Conseguir abonados a números de pago.

En el resto de los casos, el único fin es engañar al usuario y propagar las “tonterías y mentiras” que se le ocurrieron al creador del bulo.

 

Medios de propagación de los bulos

Los bulos se propagan a través de redes sociales, aplicaciones de mensajería y correo electrónico. Históricamente inició su propagación a través de cadenas de correo, luego apareció en los muros de las redes sociales, y ahora con el auge de whatsapp y demás aplicaciones de mensajería la forma de propagación es vertiginosa y casi automática.

 

Funcionamiento

El funcionamiento es básico: un usuario, crea la noticia y la hace circular. Normalmente se trata de noticias/videos impactantes (fotos de niños, accidentes, muertes de famosos, etc.),  avisos de un “peligro inminente”, información de sucesos increíbles, comunicación de beneficios o premios para los participantes, etc.

En la mayoría de los casos se desconoce quién crea la noticia, aunque como es habitual para darle credibilidad suelen poner como fuente –falsa- a una empresa, entidad, administración o medio de comunicación conocido que revista de credibilidad la noticia.

 

Peligros

Los peligros de los bulos varían en función de la forma en que participamos en ellos. Si es por correo, redes sociales, o aplicaciones de mensajería, podremos ser victimas de robo de información, suplantación de identidad, de virus que acompañan las publicaciones gancho, o como suscriptores de inscripciones a servicios Premium de las cuales ni llegamos a tener conocimiento hasta que llega la factura del teléfono.

Uno de los mayores y más preocupantes peligros es la creación de alarmas sociales. Tomaremos como ejemplo el caso de los recientes bulos que nacieron a raíz del terremoto en Ecuador, toda América latina estuvo recibiendo durante semanas una cadena de whatsapp en la que se informa de un terremoto inminente en su zona, avisando de la necesidad de abastecerse y hacerse con herramientas de supervivencia básica. Si bien se podría reconocer una buena intención, también pone en peligro la actividad normal del abasto de la población ya que si muchos de ellos hacen caso omiso, en nada puede que muchos de los productos recomendados dejen de estar disponibles en el mercado y se cree una situación grave de desabastecimiento.

Como podemos ver, los bulos no son una simple publicación más en las redes sociales, su fin de divulgación de falsedades en el fondo tiene finalidades más escabrosas por lo que es recomendable huir de ellos como si del diablo se tratara.

 

Recomendaciones

Os damos algunas recomendaciones básicas para no ser victimas de esta amenaza con pinta de inocua, pero que no lo es:

  1. Identificar los bulos: Suelen tener muchas faltas de ortografía, hablan de “a mi amigo le paso, “mira lo que le pasó a…”, milagro, “si no le das like”, “pillado/a haciendo”… Aprovechan noticias recientes y hablan de datos “ocultos por las autoridades” “lo que nadie te dijo/enseño”.
  2. Si tiene dudas sobre la veracidad de una noticia, infórmese de forma adecuada, contraste la información.
  3. No compartirlos. Eliminarlos de tu bandeja de correo o aplicación de mensajería.
  4. Denunciarlos:
    1. En las redes sociales denunciar la publicación como ofensiva, spam o maliciosa
    2. Según se trate el tema, o si se identifica como una posible estafa denunciar a la policía o guardia civil a través de sus canales de comunicación en internet.

Finalmente si usted es victima de algún tipo de estafa es recomendable que denuncie donde corresponda, en función del engaño o estafa en cuestión.

Y sobre todo recuerde, no compartas bulos, son mentiras y no hacen bien a nadie.