Protección de datos en el sector energético
Uno de los temas del verano está siendo la factura de la luz. Las increíbles subidas de precio de las empresas que nos proveen de electricidad están fuera de la comprensión de la ciudadanía. Eso ha motivado una gran cantidad de preguntas de los consumidores a las empresas y simulaciones de cambios de compañía. Pero nadie se ha preocupado de saber si todos estos datos que les damos tan tranquilamente están seguros. ¿Sería posible que todas estas empresas, además de facturarnos a unos precios desorbitados, también negociaran con nuestros datos? Sin duda hay que vigilar la protección de NUESTROS datos en el sector energético.
Con la Ley Orgánica de Protección de Datos, todas estas empresas que manejan gran cantidad de datos personales debe tener especial cuidado y adaptarse a la normativa.
Las empresas del sector energético, tanto distribuidoras como comercializadoras, poseen muchos datos personales de sus clientes (entre los que se encuentra el DNI o el número de cuenta bancaria) por lo que es muy importante que cumplan esta Ley.
Acciones que deben realizar las compañías del sector energéticas para adaptarse a la normativa
- Realizar un registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
Contratos con terceros
El sector de la energía es uno de los que más trabaja con terceros. Existen muchos comparadores de tarifas de energía que nos permiten contratar las mejores tarifas del mercado a través de intermediarios, los cuales se encargan de todo.
Pero estos intermediarios también deben cumplir la Ley y se requiere un doble consentimiento, así como una afirmación explícita de para qué da permiso el cliente para usar sus datos.
Sin embargo, las grandes comercializadoras de energía están obligadas a facilitar y controlar la Protección de Datos de esos intermediarios.
Página web
En la actualidad existen muchas comercializadoras que no tienen oficinas físicas, sino que ofertan sus servicios mediante su página web. Si se ofrecen los servicios a través de una página web se deben incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Consentimiento de clientes
Cuando un cliente realiza un contrato, se le debe pedir un consentimiento explícito para usar sus datos. Sin embargo, la nueva normativa obliga a que esto sea retroactivo, teniendo que firmar dichos consentimientos los clientes ya en activo.
Este consentimiento se puede solicitar de dos formas:
- En la web: si el cliente introduce los datos en la web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En la empresa: Si se realiza en una oficina, debe firmar un documento en el que se le informe acerca de:
– Quién es el responsable del tratamiento
– Para qué se van a usar los datos
– Si los datos van a ser cedidos a terceros
– Cómo puede ejercer sus derechos ARCO
Derechos de los usuarios
La Ley dota a los clientes de una serie de derechos sobre sus datos personales, entre los que se incluyen los siguientes:
- Acceso a sus datos personales
- Rectificación si los datos son incorrectos
- Supresión si los datos son tratados de forma ilegal o ya no son necesarios para la finalidad para la que fueron recogidos
- Limitación del tratamiento de sus datos
- Portabilidad de los datos
- Oposición a un uso posterior con fines de prospección comercial, investigación científica o histórica, estadísticas…
- No ser objeto de decisiones individualizadas automatizadas
Toda empresa energética debe dar a sus clientes métodos para que ejerzan estos derechos. Estos medios se deben indicar en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.
Imagen principal: VV1ntermute en Pixabay
- Publicado en Consultoría, General, Mantenimiento, Noticias, Protección de datos
Nos quejamos de Google, pero la privacidad está en peligro por una nueva ley.
Hace unas semanas comenzamos a ver sentencias, del Tribunal de Justicia de la Unión Europea (TJUE), donde firman sentencias para que se identifique a una persona a través de su dirección IP. Y dicha resolución reza tal que así:
“el registro sistemático de direcciones IP de usuarios de esa red y la comunicación de sus nombres y direcciones postales al referido titular o a un tercero para permitir la presentación de una demanda de indemnización son admisibles si se cumplen determinados requisitos”
Tribunal de Justicia de la Unión Europea (TJUE)
Dicha sentencia tiene colación en nuestro país por el llamado caso Euskaltel, cuando se recibió denuncia de varios usuarios de dicho operador, en 2017, que presuntamente habían compartido ficheros y contenido sin permiso ni autorización en redes P2P.
Varios abogados como David Bravo o David Maeztu, especialistas en derecho tecnológico (y propiedad intelectual), recomendaron en su momento no pagar, pero ahora han visto como la Justicia puede actuar en su contra, aunque dentro de una forma proporcionada, como apuntan.
Y de tapadillo, hace unas pocas semanas, la Eurocámara derogó la Directiva 2002/58/CE de Privacidad en Internet, y activo el llamado Chatcontrol, que no es otra cosa que habilitar una puerta trasera para que la “autoridad” pueda acceder a servicios de mensajería (whatsapp, Telegram, etc…) y otros tipos de servicios, como el correo electrónico, pero solamente cuando, de momento, colabore la empresa prestataria de servicios.
La excusa es para perseguir la intolerancia, el terrorismo y el abuso infantil, entre otras cosas, eso sí, haciéndonos pasar a todos por delincuentes, sin cribar este fisgoneo, y indicando, que quien no tenga nada que esconder, no tendrá nada que temer. Supongo que os suena 1984 o Minority Report, que aunque también hay películas, nos referimos a los libros.
Recordemos que hay sistemas y algoritmos implantados desde hace tiempo por Microsoft o Gmail por ejemplo, donde escaneaban los correos sin “leer” el contenido, en busca de ciertos detonantes de seguridad, para luego dar aviso a las autoridades.
Pero eso era voluntario, respetando la privacidad, o casi, y este nuevo sistema es obligatorio, y no dicen técnicamente como se llevará a cabo, ni quien. Mucho están rizando el rizo las autoridades y legisladores con estas nuevas acciones y leyes….
Como no, el partido Pirata, se ha puesto en marcha con una WEB informativa, y una recogida de firmas para pedir que se derogue esta derogación, AQUÍ.
Mucha gente, amigos, clientes, nos dicen que no les importan sus datos, que no pasa nada porque nadie mire, o los vendan. En Internet somos lo que generamos, negocio para ciertas empresas con nuestros gustos, compras, acciones,etc… Y siempre hemos creído, y creemos, que es un derecho fundamental, la privacidad.
- Publicado en Consultoría, General, Noticias, Privacidad
Pero… ¿alguien se ha preguntado si las apps y el software que usamos son seguros?
En 2020 se superó la friolera de 218.000 millones de descargas de apps móviles en todo el mundo. Esta cifra representa un 7% más que los datos de 2019. La pandemia hizo que nos lanzáramos a descargar todo tipos de apps y no sólo las descargamos, sino que también pagamos más por las que son de pago o por los servicios que nos ofrecen. Así, el gasto en apps móviles creció un 20% y se situó en 143 millones de dólares. Pero… ¿alguien se ha preguntado si las apps son seguras?
Estos datos surgen del informe anual que elabora la empresa App Annie, una de las plataformas de análisis y datos móviles más importante del mundo. Fundada en 2010 tiene su sede principal en San Francisco y una docena de oficinas por todo el mundo. Entre otras cosas el estudio también indica que Tinder es la aplicación que más dinero gana, seguida de TikTok. Podéis descargaros este informe en inglés AQUÍ.
Y si preferís un resumen en castellano, podéis leer el artículo de Trece Bits, que se presenta como el primer medio de comunicación en español sobre Internet, redes sociales y tecnología, AQUÍ.
Empecemos por el principio. ¿Qué es una app?
Las apps no son más que herramientas de software escritas en diferentes lenguajes de programación para tabletas y, sobre todo, smartphones. Tienen en común el ser útiles, fáciles de manejar y de instalar. Y las hay para todos los gustos: juegos, noticias, idiomas, redes sociales, etc. etc., como todos vosotros y vosotras seguro conocéis.
El término viene del inglés, de la palabra application, porque en realidad son aplicaciones que se instalan en dispositivos móviles y que realizan funciones de ámbito personal o profesional.
Si queréis saber un poco más sobre las apps, su historia, o una clasificación por tipos de apps, podéis leer este artículo del blog de GoDaddy, una empresa registradora de dominios de Internet y de alojamiento web. Fundada en 1997 y con sede en Arizona, GoDaddy está considerada la más grande del mundo en su ámbito.
Una vez que conocemos todo esto, la pregunta podría ser ¿por qué necesitamos tener tantas apps? La respuesta nos sumergiría en un mar de respuestas entre científicas, psicológicas, vicios y virtudes del que no sabríamos salir con éxito. Así que nos quedamos con nuestra especialidad: la ciberseguridad.
Son muchos los servicios que realizamos en temas de ciberseguridad, ya que nuestra experiencia anterior, tanto en microinformática, como en sistemas, programación o gestión cloud, hace que apliquemos la seguridad a cualquier aspecto técnico.
Y eso nos lleva a contaros que, a veces y últimamente todavía más, porque España es un país exportador, nos llaman empresas que van a trabajar con compañías de LATAM o EE. UU., y que estas les exigen certificados específicos en ciberseguridad o que cumplan ciertas normativas y protocolos, y como no, que estén abiertos a pasar auditorías externas para comprobar todo esto.
Ocurre que muchas empresas que crean apps o software de cualquier tipo, algunos de gran éxito, no cumplen las exigencias de ciberseguridad que demandan otros países más exigentes en estos campos. Y entonces llaman a la puerta de TECNOideas. Nos lo han pedido en diversas áreas, pero sobre todo en industria y programación. Y claro, como hoy hemos empezado hablando del exitazo de las apps, seguiremos con ello hablando de la programación.
Programamos, pero ¿por qué no pensar en la ciberseguridad desde el inicio?
Todos sabemos que las fechas de entrega priman en un proyecto técnico, sobre todo en el sector del software. Vale, pero las cosas deben hacerse bien, porque las prisas son malas consejeras. Así es que cuando solicitan nuestros servicios vemos todos los parches que aparecen después del lanzamiento de un software o de una app. Por ello nos piden auditorias, tanto de código, como de su implantación en cloud o sistemas propios, o de las posibles vulnerabilidades que pueda causar en el equipo que los use. A esto solo le podemos llamar AUDITORÍA.
Pero podemos afrontarlo mejor, en etapas tempranas, formando parte de la organización del proyecto, y aportando nuestro conocimiento, para ir variando poco, ajustando, y securizando sin tener que esperar al día de la entrega. De este modo no se necesitaría hacer una auditoría ni añadir seis meses más de trabajo por la reparación. A esto le llamamos PREVISIÓN en un proyecto.
está presente desde el inicio del proyecto.
Imagen de Gerd Altmann en Pixabay
Y lo mejor, lo que estamos ofreciendo a diferentes empresas, es enseñar a los directores de proyecto y equipo técnico, tanto a programadores como a responsables de sistemas, para que adopten una metodología de programación e implantación segura, un DevSecOps al completo.
DevSecOps es la seguridad integrada dentro de DevOps, cuyo significado, según la Wikipedia, podéis leer AQUÍ.
Así que por último, a esto le llamamos, claro, FORMACIÓN.
Con los dos últimos servicios juntos, PREVISIÓN + FORMACIÓN hacemos un paquete donde ayudamos a las empresas a que todo lo que salga de sus “factorías” sea lo más seguro posible, dándoles formación cada vez que hay novedades, pero también acompañándoles hasta que tengan la experiencia suficiente, cuando sean más autónomos, para que ese producto sea lo más satisfactorio posible para el cliente y se acerque a la excelencia tan deseada.
No lo dudéis: hacednos partícipes de vuestros proyectos desde el principio y juntos ganaremos todos y sobre todo, vuestros clientes. Intentar ahorrar el coste de un colaborador al principio para tenerlo que fichar al final siempre sale más caro, ocasiona más perdidas económicas y de tiempo y sobre todo, muchos más nervios en todo el equipo.
Si queréis saber más sobre todos los servicios que ofrece TECNOideas 2.0 ciberseguridad, sólo tenéis que clicar AQUÍ.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Consultoría, General, Hazlo tu mismo, Noticias
Ayudamos al profesorado de ciberseguridad en Formación Profesional
Ya debéis conocer que TECNOideas posee una importante vertiente de formación en ciberseguridad. Y algunos de vosotros quizá también sepáis que varios centros de Formación Profesional de la rama de informática han comenzado ciclos formativos de ciberseguridad. Pues bien, desde hace un par de años, hemos formado a profesores que imparten alguna o varias asignaturas de este ciclo de ciberseguridad en centros de Formación Profesional, tanto en Cataluña, como fuera de ella.
También estamos colaborando para ser parte activa de un colegio de renombre de Barcelona, que quiere abrir un centro de Formación Profesional muy técnico, con informática, sistemas de control industrial, y naturalmente ciberseguridad, ya que no podía faltar esta especialización en un buen plan de formación tan técnico.
Hay que recordar que la ciberseguridad es una especialización en sí misma y que los profesores de informática no suelen poseer las nociones suficientes de esta materia, especialmente si hablamos de orientarla a las necesidades de las empresas.
Con toda nuestra experiencia y los buenos resultados que nos transmiten los institutos, que quedan muy satisfechos con nuestros servicios formativos, hemos ampliado la oferta. Para ello estamos contactando con todos los centros de Cataluña donde se imparte ciberseguridad dentro de los estudios de Formación Profesional.
Al mismo tiempo estamos abriendo el abanico dirigiéndonos también a centros de las provincias limítrofes.
Como cada centro es un mundo y cada uno dispone de la financiación que puede o que le otorgan, hemos hecho varios paquetes, de diferentes horas de formación, distintas modalidades, en formato presencial u online y con la opción de compartir la formación entre varios centros. Por supuesto con un temario a escoger, según las necesidades de cada grupo de profesores.
Aunque vamos contactando con todos ellos, estamos también abiertos a colaborar con otros centros que no sean solamente de Formación Profesional, ya que muchos otros centros imparten asignaturas de informática y sus profesores quizá también quieran profundizar en ciberseguridad. Si este es el caso de alguno de vosotros y queréis tener nociones de ciberseguridad, por supuesto, sois bienvenidos.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Consultoría, Formación, General
Promoción en antivirus de última generación y cobertura de ciberriesgo, hasta el 9 de Julio
La profesionalidad de las empresas se mide por diferentes parámetros. Uno de los más reconocidos es el tema de los partners o colaboradores o socios. Como ya sabéis, no podemos dar todos los servicios nosotros mismos, y por eso vamos de la mano con varios partners. Son pocos y los escogemos con mimo. Uno de ellos es MGS Seguros, del que ya os hemos hablado e incluso explicado nuestra relación.
Así, por ejemplo, en noviembre de 2019 escribimos el post Desde hoy ofrecemos servicio de monitorización 24/7 y seguro de cobertura en Ciberseguridad: el mejor complemento para una auditoría de seguridad que podéis volver a leer AQUÍ. También publicamos una entrevista al Director Comercial Barcelona Corredores y Especialista de MGS Ciberseguridad, Albert Solé AQUÍ.
Uno de los buenos servicios de MGS Seguros es el tema del “antivirus”. Lo entrecomillamos porque no es exactamente eso, sino un agente instalable, sí, que monitoriza en tiempo real un ordenador (Windows, MacOs o Linux), y avisa de malware, de actividad sospechosa, con análisis predictivo e inteligencia artificial. Pongámosle la etiqueta de antivirus de última generación, y para que podáis investigar algo más, es la solución de Blackberry, Cylance. Todo ello con un equipo humano detrás que os ayudará tanto a instalar la solución, si os hace falta, o frente a cualquier problema en el uso o en una alerta.
El antivirus de última generación de MGS Seguros
utiliza la Inteligencia Artificial para monitorizar un ordenador,
en tiempo real, avisando de toda actividad sospechosa.
Y con un equipo humano detrás.
¿Ya está? ¿Tanto bombo para dos líneas? Pues no, aparte de esto, también puede escanear vuestra web, para presentar vulnerabilidades, mensualmente, y añade una cobertura de ciberriesgo básica, que se puede ampliar.
El pack básico de indemnización cubre:
• servicios legales
• obligación en protección de datos
• gastos de notificación, restitución de imagen, extorsión cibernética
• otros servicios extras
• ampliable con interrupción de las redes, que cubre pérdidas en la interrupción del sistema informático, o no abonan por un fallo de seguridad en un proveedor externo de servicios.
Como son muchos puntos, podéis DESCARGAR la presentación, donde se explica punto por punto, en que consiste el servicio, que puntos cubre el servicio básico y el servicio con la ampliación, y los extras, porque no lo hemos enumerado todo.
Es una solución perfecta para empresas de un tamaño menor a 100 puestos de trabajo, que no necesiten sistemas muy complicados de monitorización o gestión, pero si avisos tempranos, soluciones, apoyo humano y cobertura económica frente a estos riesgos si la solución no es suficiente.
Una oferta muy interesante, con facilidades de pago y dos meses gratis
Lo más importante, y que siempre nos preguntan, ¿el precio? pues como una solución profesional antivirus, con el pack extensión 10 equipos, 786 € al año.
Opción de pagos mensuales: cuota de 68.10 € al mes.
Y la promoción, que se aplicará a las altas entre el 28 de junio y el 9 de julio, consistirá en dos meses gratis, para que lo probéis con toda la tranquilidad que da, saber que funciona tan bien, que seguiréis con él.
- Publicado en Consultoría, General, Productos, Sobre TECNOideas
¿Servicios de Google seguros?
Ya sabéis que Google es todopoderoso y por ello la vieja frase que decía que si no sales en televisión no existes ya se ha cambiado por “si no estás en Google no existes”. Google siendo lo que es, y con los antecedentes de poca transparencia que tiene, busca aumentar la confianza de sus usuarios en cuanto a seguridad y privacidad. Pero esto último puede que tenga algo que ver con las leyes de la Unión Europea, y su obligado cumplimiento.
Así que la pregunta pertinente podría ser “¿Realmente Google nos quiere ayudar con sus servicios o persigue otras cosas más comerciales?”
Veamos algunos ejemplos. En la configuración de tu cuenta de Gmail, dicen que te quieren ayudar con ciertos aspectos. Algunos son interesantes, no podemos negarlo, pero otros también los ofrecen otras empresas, aunque no diremos nombres.
Comparar tus cuentas almacenadas en Chrome, si has iniciado sesión, con fugas de datos de “otras” empresas, como dejan bien claro:
“Algunas de tus contraseñas han quedado expuestas en una quiebra de seguridad de datos que no es de Google.”
Luego indican todo lo que supuestamente hacen para que tu día a día sea más seguro:
Google Chrome
- Bloquear miles de páginas al día con contenido engañoso.
- Proteger 1.500 millones de bandejas de entrada, contra phishing, encriptación de datos entre sus servidores o diversas opciones de autenticación, como 2FA.
- Pagos seguros con Google Pay.
- Las medidas de seguridad de Chrome, para que navegues con toda tranquilidad:
– Navegación segura, zona de pruebas, etc. para protegerte de sitios peligrosos y de software malicioso.
– Actualizaciones de seguridad automáticas.
– Ayuda al crear contraseñas, como ya hacen otros navegadores.
– Modo incógnito, para poder navegar sin que se guarde la actividad en ningún sitio.
Y aparte de todo esto ponen a tu disposición varias herramientas propias, para poder corregir malos hábitos, dar recomendaciones o poner solución a errores, todo ello en MyAccount.
También inciden en el tema de la privacidad, intentando cambiar la sensación que tienen los usuarios de ellos, con frases como la que podéis leer en ESTE enlace o la siguiente:
“Promovemos rigurosas prácticas relacionadas con datos para proteger tu privacidad. Nunca usamos con fines publicitarios el contenido que creas y almacenas en aplicaciones como Drive, Gmail y Fotos.”
Seguro que muchos de vosotros sois conscientes que Google es más que un buscador. Nos intenta satisfacer rápidamente nuestras necesidades con sus servicios y recalca la importancia de nuestra seguridad. Pero, ¿realmente estamos seguros con ellos?
La lista de productos y servicios del gigante tecnológico es muy extensa. Os podemos refrescar la memoria mencionando Google Drive, Gmail, Google Maps, Google Street View, Google Earth, Google Chrome, YouTube, Google Libros, Google Noticias… Pero está claro: su fama viene de un buscador. El simple hecho de vincularlo a este motor de búsqueda seria limitar su cobertura en la web. Pero es innegable que su fuerza sigue siendo enorme. ¿Quién no ha buscado a través de Google? ¿Alguno de vosotros utiliza otros buscadores?
Podéis ver algunas opciones de navegadores alternativos a Google en un artículo de TECNOideas de 2018 AQUÍ.
One World Trust es una fundación creada en 1951 por parlamentarios de varios partidos cuyo objetivo es mejorar la gobernanza global para hacer prosperar los intereses de toda la humanidad. Publica un ranking en el que examina instituciones gubernamentales, empresas nacionales, multinacionales y ONG. Según este ranking, Google es una de las instituciones menos confiables y transparentes, al negarse a colaborar con la Unión Europea en el caso de retención de datos a los consumidores. Además el gran buscador logró un cero a nivel de transparencia. Podéis ver la noticia en The Register, una web británica de noticias de tecnología y opinión. Aunque este ranking tiene ya unos años y algunas cosas han cambiado, creemos que es suficientemente clarificador.
Los internautas que realizan búsquedas a través de este buscador y tengan cuenta en alguno de los servicios (como en Gmail) son “vigilados” de alguna forma, es decir, todas las búsquedas que se realizan y todos los sitios web visitados quedan en una base de datos: siempre que haya ingresado a su cuenta de Google.
¿Servicios de Google seguros? Google es un negocio y todo lo que hace es por una razón, no por el simple amor hacia los usuarios. Todos sabemos esto y no necesitamos aclaraciones. Es algo obvio. Pero conviene recordarlo de vez en cuando para que todos seamos plenamente conscientes de ello cuando usemos sus productos y servicios.
También conviene recordar que hay cosas que podemos desactivar sin más, como os explicábamos en este artículo de noviembre de 2019 de nuestro blog y que podéis volver a leer AQUÍ.
- Publicado en Consultoría, General, Malos hábitos, Privacidad
Factura digital vs factura enviada por e-mail
Hay conceptos y hábitos muy arraigados cuando usamos la tecnología. La mayoría se basan en habladurías, conformismo o no querer buscar una mejor opción. Así cuando preguntamos a los clientes las respuestas suelen ser parecidas a estas: “todo el mundo lo hace”, “no pasa nada”, “mis compañeros lo hacen igual” o “¿si no, cómo lo hago?”. Y así se cumple una de nuestras premisas: los primeros que facilitan el trabajo a los ciberdelincuentes son los propios usuarios.
En seguridad de la información, estas premisas no valen, y debemos buscar siempre las mejores opciones, aunque a veces sea sacrificando un porcentaje de productividad diaria, que es mínimo por mucho que la gente se empeñe en decir lo contrario. Temas como guardar las contraseñas en el navegador, no cambiar las de entrada al ordenador cada cierto tiempo, revisar el remitente de cada correo, pensar tres segundos antes de clicar un enlace, etc.
Seguridad y LOPD
La seguridad debería ser una de las prioridades de cualquier empresa y por supuesto, cumplir la Ley Orgánica de Protección de Datos (LOPD). Uno de los temas más importantes y que peor se trata, en general, es el envío de facturas y otra documentación sensible por correo electrónico. Enviar con un simple correo electrónico contratos, nóminas, recibos bancarios o incluso Zips con todo lo anterior, es una práctica relativamente habitual. ¿Alguno de vosotros ha enviado un paquete similar a vuestro gestor durante la campaña de la Renta?
Ya sabemos que hay que diferenciar lo importante de lo urgente, pero eso no debería ser excusa para enviar archivos de esta forma, escudándose en que “es necesario para una gestión”.
Recientemente y nada menos que para la inscripción en un curso de protección de datos, nos obligaban a enviar todos estos documentos y alguno más, a través de un simple correo electrónico, sin ofrecernos una alternativa segura. Y en caso de no hacerlo, nos anunciaron que no podríamos matricularnos en el curso.
Pero… ¿es seguro el correo electrónico?
Pues depende de muchas cosas, pero mayormente y debido al mal uso, la respuesta debe ser que no es seguro; y vamos a razonarlo.
En primer lugar, puede depender de si estamos incluidos en listas de distribución de spam, con lo que nos llegaran más correos de este tipo, y seguramente también correos de phishing u otros potencialmente peligrosos.
También puede depender de si hemos usado con anterioridad algún servicio y claro, si lo hemos hecho estaremos registrados con ese correo electrónico. En principio no debe pasar nada, pero si la empresa que ofrece el servicio demandado ha tenido una fuga de información (cosa muy, muy habitual), nuestras credenciales han sido comprometidas, tanto el usuario (e-mail) como la contraseña usada.
Llegados a este punto, cualquiera que vea una de estas listas podrá acceder a nuestro correo, ya que casi todas tienen activada la opción cliente web.
Esta opción permite interactuar con nuestra cuenta a través de un navegador web, o la opción de autoconfigurar para clientes tipo IMAP (del inglés Internet Message Access Protocol, o sea Protocolo de Acceso a Mensajes de Internet) o POP3, (Post Office Protocol = Protocolo de Oficina de Correo), lo que a efectos prácticos significa la totalidad de clientes de correo de ordenador o de smartphone.
Una vez accedido a nuestro correo, el modus operandi es esperar a que haya algún tema jugoso que pueda reportar mucho dinero al ciberdelincuente, en lugar de cambiar la contraseña, coger esta factura, editarla, cambiar la cuenta bancaria de destino, y esperar que pique.
Muchas empresas miran solo la última factura, no comparan los datos de su sistema de gestión con dicha factura, o no llaman al proveedor si hay un cambio que no concuerda con los datos que tenía.
Tampoco tienen un protocolo para grandes facturas, y cambio en la operativa normal, de ahí que los casos que atendemos de facturas interceptadas, cuenta cambiada, y transferencia hecha, sean frecuentes. Y lo que nos pide el cliente suele ser inviable: que le demos la razón a él, en una petición de análisis forense, cuando suele ser lo contrario.
No os podéis imaginar hasta que punto somos vulnerables. Y no solo por los ciberdelincuentes. Un cliente nos contactó para explicarnos que una factura suya, enviada en PDF sin encriptar, fue manipulada por la empresa destinataria (cosa muy sencilla de hacer con las herramientas actuales), consignando la mitad del importe real a pagar. Cuando nuestro cliente protestó le enviaron la factura retocada diciéndoles que es lo que él había enviado y que iban a pagar lo que constaba en la factura.
¡Hay soluciones!
Pero si tan negro lo pintamos ¿cómo podemos mejorar o asegurar el envío de facturas o procedimientos de cobro?
Pues tampoco es tan difícil: un poco de paciencia y de empeño para cambiar hábitos. Ahí van algunas opciones:
• Documento firmado digitalmente enviado por correo electrónico.
De esta forma el destinatario puede comprobar si ha sido modificado entre envío y recepción. Se pueden realizar estas firmas de varias maneras, siendo las dos más usadas en nuestro país las siguientes:
– certificado personal o empresarial, expedido por la Fábrica Nacional de Moneda y Timbre.
– clave personal y pública, criptografía asimétrica, lo que se conoce como PGP, también muy usado en el correo electrónico.
• Factura enviada a través de plataforma segura.
Hay varias alternativas en el mercado. Son plataformas donde se puede enviar información y que para descargarla se necesitan varios factores de autenticación. Además la información va encriptada desde que se sube a la plataforma hasta que la descarga el destinatario final.
• Portal cliente para descargarse facturas.
Se notifica que hay una factura disponible con un aviso al usuario o empresa y ésta se la puede descargar directamente de la plataforma de gestión del proveedor, sin ningún tipo de intermediario en el proceso.
También se suelen firmar digitalmente, ya que la mayoría de las plataformas de gestión tienen esta opción y ofrece una mayor tranquilidad y seguridad.
• Portal de facturación electrónica.
En el caso de no tener la opción anterior y ni siquiera un programa de gestión, tampoco nos interesa un gran sistema de gestión integral (ERP), porque nuestro volumen de facturas (aunque no de facturación) es pequeño. La solución podría ser usar varios de estos portales, donde te realizan la factura, te la firman digitalmente, y la envían al cliente, todo de forma sencilla, y segura, que es lo que importa.
¿Qué hacemos con las facturas impagadas?
Pero seguramente otro de los problemas que más preocupa a las pymes y autónomos es el de los impagos. Tener facturas pendientes de cobro es, desgraciadamente, una práctica extendida, que ocasiona muchos problemas en las contabilidades, en el pago de impuestos, en las cajas y en el tiempo que se ha de dedicar a reclamarlas.
En este mismo saco tenemos el recobro de facturas por atrasos o morosos, ya sea en formato digital como en papel. Es un auténtico dolor de cabeza.
Pero también en este caso hay soluciones. Y mucho más sencillas de lo que podéis pensar. Os proponemos que conozcáis un agente de cobro inteligente de vuestras facturas, como es el caso de Dunforce, que entre varias de sus ventajas posee la opción de integración con SAGE, uno de los softwares de gestión empresarial y facturación más usado por las pymes en Europa. Dunforce os puede ayudar a modernizar vuestra empresa y facilitaros mucho el trabajo, porque es un software de recobro de facturas automatizado, que consigue reducir la morosidad en un 35% y el trabajo de cobro en un 90%. Fue premiada por el BBVA ya en el año 2018.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Consultoría, General, Noticias, Seguridad
Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia
Un investigador ha descubierto una docena de vulnerabilidades (FragAttacks) que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997.
Y, casualidades de la vida, al mismo tiempo se ha descubierto un fallo en unas cámaras de seguridad que han permitido a unos clientes fisgonear las casas de otros. Ambos casos afectan a empresas, pero también a domicilios particulares.
A veces la realidad es tozuda. Y a veces nos da la razón. Cuando en este blog insistimos en la necesidad de la ciberseguridad a todos los niveles o cuando en nuestras formaciones insistimos en la necesidad de estar siempre alerta y de tener un buen protocolo de ciberseguridad, muchas personas creen que por ser particulares o pymes no van a ser vulnerados. Se equivocan y hoy podemos traer aquí dos ejemplos muy claros al respecto.
Descubiertas vulnerabilidades en el protocolo WiFi existentes desde 1997
Uno de los investigadores en ciberseguridad más reconocidos del mundo, el belga Mathy Vanhoef, ha descubierto una docena de vulnerabilidades que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997. Algunas de ellas son fallos de diseño en el estándar WiFi, por lo que afectan a la mayoría de dispositivos y otros son fallos generalizados de programación.
Las vulnerabilidades detectadas pueden afectar a informaciones sensibles del usuario, como nombres y contraseñas. El problema más grande puede estar en las redes domésticas, ya que los posibles atacantes accederían a dispositivos del internet de las cosas, que no se suelen actualizar.
Podéis leer esta noticia en la sección de tecnología del diario El Mundo AQUÍ.
Mathy Vanhoef es un investigador especialista en ciberseguridad que saltó a la fama en 2017 cuando fue uno de los descubridores del KRACK, una vulnerabilidad que afectaba al protocolo WPA2 de la red WiFi. Precisamente las vulnerabilidades detectadas ahora, llamadas genéricamente FragAttacks tienen su base en las investigaciones realizadas desde entonces. Los amantes de la técnica debéis saber que el propio Vanhoeg ha creado una web específica (fragattacks.com) para explicar estas vulnerabilidades. La podéis ver AQUÍ.
exterior de Eufy
Foto en la web de Eufy Security
¿Videovigilancia o videofisgoneo?
Una empresa que presta servicios de videoviglilancia, Eufy Security, ha tenido que reconocer una brecha de seguridad en la app de la compañía tras una información recogida por 9to5Mac, una de las webs de noticias tecnológicas más importantes del mundo.
La brecha en cuestión permitió que algunos propietarios de cámaras Eufy pudieran ver imágenes recogidas de otros usuarios. En otras palabras, esos usuarios podían ver las casas de otros. Concretamente desde la app de Nueva Zelanda algunos usuarios podían ver imágenes de cámaras de Australia y visualizar también sus detalles de contacto.
La compañía informó que el error sólo afectó al 0,001% de sus usuarios y que se debió a un fallo de software durante la actualización del servidor. La brecha estuvo limitada en el tiempo y duró unas horas. Afectó a usuarios de Estados Unidos, Cuba, México, Brasil, Argentina, Nueva Zelanda y Australia, pero no al continente europeo.
Eufy es una empresa que desarrolla y crea dispositivos y aparatos inteligentes para el hogar que simplifican la experiencia global de hogares inteligentes (por ejemplo, aspiradoras robot). Forma parte de Anker Innovations, una empresa de marcas de electrónica de consumo líder en Estados Unidos.
¿Necesitáis poner cámaras de videovigilancia?
Bueno, vale, admitimos que el título del anterior párrafo no hace justicia a las cámaras Eufy y que la empresa reaccionó a tiempo y pidió disculpas. Pero estas cosas pueden pasar. A cualquiera de las marcas. Este comentario viene a cuento porque a continuación os vamos a hablar de otra empresa que se dedica, entre otras cosas, a la videovigilancia y que justamente ahora acaba de sacar al mercado nuevos productos.
La empresa D-Link ha presentado una renovación completa de su gama de videovigilancia profesional llamada “Vigilance”. Hay varios modelos de cámaras en formato Domo (las que poseen una carcasa semiesférica y compacta) y Bullet (las que tienen forma alargada “en bala” o hacia afuera), aptas para interiores y exteriores.
Foto en la web de D-Link
Entre las novedades más destacadas de estas cámaras se puede citar que proporcionan vigilancia 24/7; pueden ver hasta 30 metros de distancia, incluso en oscuridad o a contraluz; que las cámaras para exteriores son muy resistentes a la intemperie y funcionan con un rango de temperatura que va de los -30°C a los 50°C o que han mejorado ostensiblemente la resolución. En algunos modelos llega a ser de 1080 píxeles.
Además de las cámaras también se ha presentado un nuevo grabador de vídeo de red que puede conectar y alimentar hasta 16 cámaras.
D-Link Corporation es una empresa taiwanesa, un proveedor global cuyo negocio principal son las soluciones de redes y comunicaciones para empresas y particulares. Podéis ver los datos técnicos de la nueva gama en la web de D-Link clicando AQUÍ.
Imagen principal: logotipo de la web FragAttacks.com
- Publicado en Consultoría, General, Malos hábitos, Medios de comunicación, Noticias
Alternativas a sistemas operativos en smartphones – Parte II
Volvemos al tema de los teléfonos móviles seguros para seguir hablando de las alternativas libres en sistemas operativos para smartphones. Este tema lo empezamos hace unas semanas, concretamente el 10 de mayo, y hoy volvemos a él para acabar de explicaros cosas interesantes que esperamos que os resulten muy prácticas.
Tal y como os comentamos en nuestro primer artículo sobre este tema, nos hemos puesto manos a la obra para seguir probando alternativas a sistemas operativos en smartphone, que si, los hay.
En esta ocasión hemos preparado, instalado y usado, durante una semana LineageOS, un fork de Android, heredero de CyanogenMod, que promete mejor rendimiento, compatibilidad y actualización en terminales antiguos (por ejemplo Samsusng Galaxy S5 con Android 9), y que promete ser la panacea de la privacidad.
Vayamos por partes. Primero de todo: ¿qué es un fork? En informática se denomina así a un proyecto que en algún momento se separa de la base común del proyecto origen (en este caso se trataría de Android y de las zarpas de Google) y avanza en paralelo para crear un producto nuevo. También podría denominarse fork al sistema MacOs, ya que cogieron el sistema libre y de código libre FreeBSD, para no desarrollar uno desde cero.
Un poco de historia
Aclarado el primer punto pasamos al siguiente: ¿qué es, o qué era CyanogenMod? Era, sí. Hablamos en pasado porque cerró hace ya unos añitos, concretamente el 31 de Diciembre de 2016, después de 7 años de servicio.
Se resumía en una comunidad de desarrollo de una Rom para dispositivos Android, que sobre todo buscaba darle más vida a lo que comercialmente se conoce como renovación, y no quedarse con un “brick” (aunque se traduce como “ladrillo”, el símil más exacto seria “dispositivo que no vale para nada”, y lo puedes usar de pisapapeles).
Todo comenzó con el HTC Dream, y como esta comunidad logró acceso de root al dispositivo, se abrió la veda, aunque no a todo el mundo le hizo gracia. En las primeras versiones de esta Rom, se incluían las aplicaciones de Google, las Gaaps, de las que luego hablaremos, y que al tener código cerrado y propietario, no tenían derecho a usar. Después de alguna amenaza por los mandamases de la compañía, llegaron a un acuerdo, y pudieron seguir con la rom, sin dichas aplicaciones.
Se creó una empresa, Cyanogen Inc, para dar salida comercial a este mod, pero llegó en el momento en que los de Android espabilaron y actualizaban más los dispositivos. El resultado fue que el mod derivó a una capa de configuración y personalización, por lo que perdió el “alma”. No triunfó, y acabó cerrando en la fecha señalada anteriormente.
Damos un paso más. Es la hora de volver a LineageOs, ya que recogió el testigo. ¿Por qué nos encanta este software? Promete compatibilidad con modelos antiguos, esos a los que Android oficialmente ya no da soporte, con lo cual los usuarios se quedaron con un sistema antiguo, sin software… Y claro, si no es seguro, ya no te dejan usarlo, y además, lo más importante, sin Google…
Pero… ¿qué quiere decir esto de “sin Google”? Nos referimos a dos cosas, siendo la primera y la más importante, sin su yugo, su control, su análisis de tus datos, etc. Y la segunda, sin las aplicaciones preinstaladas, las famosas Gaaps (aunque veremos que esto no es importante si queréis instalarlas en LineageOS, aunque sea un sinsentido).
Para instalarlo, como con cualquier otro sistema operativo, necesitamos el teléfono rooteado (o sea, que lo hayamos desbloqueado), que hayamos instalado un bootloader (gestor de arranque) y luego instalar el sistema, desde este mismo bootloader.
Nosotros volvimos a usar Fastboot, porque siempre nos funciona bien, porque lo puedes conectar a un ordenador, vía drivers ADB, o desde el menú al que puedes acceder vía botón de encendido y aumentar volumen. Luego navegamos por dichas opciones. Dependiendo de la versión o del dispositivo pone una frase u otra, pero seguramente, instalación, actualización, o algo similar, dándonos la opción de ir a buscar el archivo.
“Et voilà”, después de unos minutos de instalación, iniciará nuestro nuevo sistema. Viene con ciertas apps ya instaladas, pero al ser un core Android, es compatible con cualquiera.
Y os preguntaréis ¿cómo se instalan las apps si no vienen con la Play Store? Pues hay varias opciones:
Una podría ser un gestor de repositorios alternativo, opensource, libre o similar, donde se vayan publicando (sí, esto existe, y sin que Google sepa que os descargáis, usáis, instaláis, cómo, cuándo, etc.). Por ejemplo F-droid.
La segunda opción seria, ¿cómo instalamos esta dichosa app, F-droid sin la tienda? Pues tendréis que bajar el archivo .apk, pasarlo al dispositivo, ya sea con cable o a través de la tarjeta, e instalarlo. Este paso seguramente tendrá una advertencia, de “instalar aplicaciones desde repositorios no seguros“, solo hay que cambiar dicha opción desde los ajustes, y problema resuelto.
Si en F-droid no tenéis la aplicación que buscáis, la podéis bajar con este segundo método alternativo. Aunque para algunos pueda resultar engorroso, lo cierto es que no tiene mayor complicación. En ESTE enlace solo tendremos que poner el link de la Play Store de la app que queramos, y en ESTE, podremos hacer una búsqueda de la app que queramos. Pero hay muchos más.
Ahora viene lo complicado, desengancharse de Google, de sus servicios y de lo que todo ello conlleva. Pero con un poco de paciencia, y pruebas, veréis que no es complicado. Como hemos dicho, podéis descargar las apps por distintos métodos, pero si lo que buscáis es hacerlo completo, hay que usar alternativas. Así, si queréis igualmente usar todas las apps de Google, podéis buscar distintos packs disponibles, como por ejemplo OpenGapps.
Nosotros estamos usando, a nivel corporativo y recomendando a nuestros clientes, el sistema Nextcloud, del que hicimos un primer artículo que podéis leer AQUÍ, donde explicamos todas sus bondades. Necesitaréis una aplicación de terceros, llamada DAVx, para poder conectar sin problemas, ya que realiza conexiones CalDAV/CardDAV para sincronizar contactos, calendarios o tareas, en plataformas compatibles con este protocolo.
Bien, ya tenemos las apps que necesitamos, y además contactos, calendario y ficheros (si tenéis imagen, y no la versión virtual, asegurar bien el teléfono, sino cualquiera podrá acceder), ahora nos falta el sustituto de Gmail.
Así que como servidor de correo, ProtonMail, como no, que ya llevamos un tiempo con ellos, y permiten usar tu dominio, después de una sencilla configuración. Y para finalizar Telegram y Signal, aunque no solemos enviar ni facturas, ni presupuestos ni ficheros sensibles, por mucho que nos lo pidan los clientes.
Y una semana de pruebas, contentos, más que con Ubuntu Touch, que aún le falta un poquito de desarrollo, y aprovechamiento de hardware, ya se sabe que las comunidades dependen de sí mismas para avanzar y eso cuesta.
Así que no tengáis miedo a desengancharos, ¡hay vida más allá de Google o de iPhone!, que luego nos quejamos del trato que dan a nuestros datos.
Y acabamos con el mismo consejo con el que terminábamos la primera parte de este artículo: al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Alternativas a sistemas operativos en smartphones
A veces insistimos mucho en los temas de seguridad en Internet y en nuestros dispositivos. Pero actualmente un smartphone es prácticamente una oficina completa y quizá no le prestamos la atención necesaria. Hoy queremos adentrarnos en este complicado mundo de los teléfonos móviles seguros y hablaros de las alternativas libres en sistemas operativos para smartphones.
Para empezar queremos ser muy sinceros y deciros que inicialmente este post se titulaba “Diferentes soluciones en teléfonos encriptados”, pero al final lo hemos cambiado, porque hemos preferido seguir el rumbo que ha cogido nuestra experiencia en esta área.
La idea era hacer un repaso a diferentes soluciones comerciales y opensource de encriptación. Pero nuestra experiencia ha visto que algunas son muy caras o muy complejas. Otras tienen una muy mala fama, ya que han salido a la luz como “distribución maligna hecha por delincuentes”. Y vale, de acuerdo en que no sea realmente así, pero ahí debemos luchar contra los medios generalistas, que cuando se refieren a este tipo de temas se nota que no son expertos. Sin embargo, su influencia en los consumidores es considerable y revertir este tipo de opiniones es muy difícil. Pasa lo mismo con la palabra Hacker, cuyo significado ha sido siempre tergiversado en los medios, haciéndola sinónimo de ciberdelincuente, cuando no es así, como hemos explicado mil veces en TECNOideas.
Pero volvamos al tema que nos ocupa. Os proponemos leer un artículo que tiene el llamativo título de “Siete teléfonos que la CIA no puede espiar. Cómo crear un celular cifrado desde cualquier teléfono inteligente”, publicado en noticiasdeseguridad.com y que aporta varias soluciones.
Sin embargo, para probar algo de verdad y no solo la instalación, hay que usarlo a diario, en un entorno real. Así que vamos a hablar de Ubuntu Touch instalado en un Xiami Redmi Note 7, que era uno de los 10 dispositivos con mayor compatibilidad para este sistema.
La instalación cuesta, no os vamos a engañar. Hay que rootear el teléfono (el proceso que permite obtener un control del aparato y modificar algunas funciones que vienen por defecto), y desprotegerlo. Pero los de Xiaomi se lo toman en serio. Necesitáis una cuenta con ellos, daros de alta con el dispositivo, bajar una aplicación de escritorio para Windows y realizar el proceso.
Luego es algo más fácil, ya que Ubports, que desarrolla Ubuntu Touch, tiene aplicación de escritorio para varios sistemas: Windows, Linux, Mac… A través de este programa identifica o le decís el dispositivo a cargar la imagen, y os dirá cual tenéis que descargaros.
A partir de aquí es más o menos un proceso sencillo, de aceptar/descarga/transferencia de archivos, etc. semi automático.
Todo hay que decirlo: a nosotros nos costó este proceso por el cable. No sabemos bien lo que ocurría, y después del tercer fallo lo tuvimos que cambiar por otro igual, misma marca y modelo, y finalmente nos funcionó.
Aquí es donde se prueba un elemento, usándolo día a día, y hay que ser sincero: si estáis acostumbrados a otro dispositivo, ya sea Android o iPhone, Ubuntu Touch de momento no es lo mismo. Si queréis desconectar y tener un aparato para ir consultando de vez en cuando, esa es vuestra solución.
Hay Apps nativas, pero no para todo lo que se usa a diario. Ejemplos: ProtonMail, Telegram y Gmail. Son todas aplicaciones web, que son funcionales, pero no son iguales, no dan avisos, no hay pop-ups (o a nosotros no nos han funcionado), son versión web, y difíciles de ver e interactuar, etc.
Se supone que hay conexión nativa con Google para calendario, contactos y demás, pero lo mismo, como el navegador de pop-ups, que no se puede cambiar, no lo acepta Google, no deja conectar.
Otra de las opciones, que usamos nosotros, es Nextcloud. Pues, venga, solo sincroniza el calendario, aunque viene como cuenta de opción básica.
Tuvimos que importar datos a la antigua usanza, con acciones export/import a ficheros, pero no es la solución del día a día, claro está.
Seguimos probando, y no nos desanimamos, ya que es un buen sistema, consume pocos recursos y poca batería, pero si estáis acostumbrados a alertas, avisos, a que lo haga todo y dicte vuestro ritmo de vida, no es para vosotros.
Tened muy en cuenta estas cuestiones. Al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Español 
Català