Brecha en el gestor de contraseñas LastPass
No dejamos de insistir en la conveniencia de trabajar con un gestor de contraseñas. Prácticamente son la única opción de tener el acceso a nuestras fuentes con seguridad. Y también son la única opción contra nuestra desmemoria y sencillez en el momento de escoger contraseñas. Todo lo que no sea trabajar con ellos es aumentar las posibilidades de que sean los ciberdelincuentes los que trabajen… ¡contra nosotros!
También decimos que la seguridad al 100% nunca existe. Por eso queremos hablaros hoy de LastPass, un buen gestor de contraseñas multilingüe que desarrolló la empresa Marvasol Inc. en 2008. Pero este gestor ha estado en boca de muchos en el último trimestre de 2022. Algunos de nuestros clientes nos han preguntado acerca de un incidente de seguridad que LastPass tuvo en agosto. La compañía lo anunció oportunamente, diciendo que “alguien” accedió a su entorno protegido de desarrollo, pero no afectaba a los datos y credenciales guardados por los usuarios de la plataforma.
Contraseñas bien protegidas
LastPass funciona a través de una contraseña maestra, se encripta a nivel local y se sincronizan con los navegadores que lo aceptan, que son prácticamente todos. Además posee un complementador automático de formularios web, que utiliza para la autenticación, generar nuevas altas en sitios web y la contraseña automática.
A todo ello añade una política de empresa de total transparencia. Esa transparencia es lo que motivó que el pasado 22 de diciembre, el CEO de la empresa, Karim Toubba, firmara un comunicado explicando con detalle el resultado de la investigación que abrieron sobre el suceso.
En él reconocen que se robaron códigos fuente e información técnica y que copiaron información de la copia de seguridad. Esta copia tenía datos básicos de las cuentas de los clientes, nombres de empresas y de usuarios finales, direcciones de facturación y de correo electrónico, números de teléfono y las direcciones IP con las que los clientes accedían al servicio de LastPass.
El comunicado explica que no existen evidencias de acceso a datos de ninguna tarjeta de crédito sin cifrar. Eso se debe a que LastPass no almacena números completos de las tarjetas de crédito y no se almacenan en la nube.
En un nuevo apartado titulado ¿Qué deben hacer los clientes de LastPass? Karim Toubba explica algunas ventajas de LastPass. Se exige un mínimo de 12 caracteres para las contraseñas maestras, que usan una implementación más segura de lo normal y otras recomendaciones generales. Todo ello lo podéis leer en ESTE COMUNICADO que se encuentra en la web de la empresa.
¿Qué enseñanza podemos sacar de todo ello?

Lo primero es lo ya sabido: no existe la seguridad al 100%. Pero sí buenas barreras, alternativas y soluciones. Además una empresa seria, como es el caso, ha explicado detenidamente el resultado de su investigación, lo que da credibilidad y seriedad a la empresa. Creemos que la brecha en el gestor de contraseñas LastPass y todo lo que explica su CEO deja bien a las claras que sus barreras han funcionado y difícilmente los delincuentes han podido acceder a los datos finales de sus clientes.
Lo segundo es insistir en que los gestores de contraseñas son seguros y fáciles de usar. O por lo menos son lo más seguro que existe para gestionar al acceso a nuestras fuentes habituales.
Y lo tercero es que nos hagáis un poco más de caso. Nosotros hemos escrito algunos artículos relacionados con las contraseñas. Por ejemplo, con ocasión del Día Mundial de la Contraseña (5 de mayo) publicamos ESTE POST en el que, además, sugeríamos algunos gestores de contraseñas que hemos probado en TECNOideas. Entre ellos estaba LastPass, que seguimos recomendando.
En octubre también os hablamos del futuro de las contraseñas, que, sin duda serán los datos biométricos y las claves criptográficas, lo que se llama genéricamente passkeys. Lo podéis leer AQUÍ.
Todo el mundo puede tener un problema de seguridad. Lo que diferencia a unos de otros es la forma de tratar el problema, la rapidez en la respuesta y las garantías que se ofrecen a los usuarios, proveedores, clientes, etc.
Una buena forma de demostrar esta eficiencia es tener las certificaciones de la seguridad de la información, como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).
Imagen principal: Mohamed Hassan en Pixabay
- Published in Ataques / Incidencias, General, Noticias, Productos, Seguridad
¿Ya conocéis el alcance del ENS para entidades locales?
Si sois una entidad local o una empresa que trabaja con ella debéis conocer el “Prontuario de ciberseguridad para Entidades Locales” relacionada con el Esquema Nacional de Seguridad (ENS), que se acaba de actualizar.
Os hemos hablado en varias ocasiones del Esquema Nacional de Seguridad (ENS), una certificación muy necesaria para toda empresa que trabaje con la Administración. Posiblemente las entidades locales son las que tienen más empresas realizando algún tipo de servicio o de suministro para ellas. Por eso es de vital importancia conocer el prontuario de ciberseguridad que acaba de actualizar el Centro Criptológico Nacional junto a la Federación Española de Municipios y Provincias (FEMP).
Este documento tiene dos propósitos claramente definidos. Por un lado se quiere mostrar a las entidades locales (EE.LL.) y a todo su personal responsable, la realidad de las amenazas y riesgos actuales en todos los temas relacionados con el ciberespacio y la digitalización.
Por otro lado señala con claridad las garantías que ofrece el Esquema Nacional de Seguridad a las EE.LL. Debemos recordar que las EE.LL., al igual que otras Administraciones, tienen la obligación de certificarse con el ENS, ya que es la única manera de garantizar la seguridad de la información tratada, así como los servicios prestados.
Según la RAE, un prontuario es, en su primera acepción, un “resumen o breve anotación de varias cosas a fin de tenerlas presentes cuando se necesiten”. Y eso es exactamente este prontuario, que tiene 39 páginas, siete capítulos y un anexo consistente en una tabla de Funciones y Responsabilidades, tanto de los cargos electos como de los funcionarios.
A los operadores del sector privado que presten servicios o provean soluciones
a las entidades locales, se les exigirá el cumplimiento del Esquema Nacional de Seguridad.
Para ello deberán exhibir la DECLARACIÓN DE CONFORMIDAD
con el ENS, cuando se trate de sistemas de categoría BÁSICA, o la
CERTIFICACIÓN DE CONFORMIDAD cuando se trate de categorías MEDIA o ALTA.
Los principales capítulos son:
- Objeto del documento. Se explica el doble propósito que hemos mencionado en el párrafo anterior.
- La problemática de la ciberseguridad local. Se explica que la reducción presupuestaria de las EE.LL. y se demanda a los responsables locales encontrar formas innovadoras de garantizar la sostenibilidad de sus servicios. Se destaca también que “la ciberseguridad es vital para garantizar que los ciudadanos confíen en los Ayuntamientos cuando les remitan sus datos.”
Finalmente se añade una lista con las principales amenazas, con una breve descripción de cada una de ellas. - El cumplimiento del Esquema Nacional de Seguridad en las EE.LL. En este capítulo se recuerda que el objeto del ENS es determinar la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos por parte de las entidades del sector público.
- Los responsables públicos y la ciberseguridad. Es el capítulo más extenso. Se determinan las funciones y responsabilidades de todos los integrantes de las corporaciones locales.
- La prestación de servicios externos. Este capítulo es muy importante para las empresas del sector privado que presten servicios o provean soluciones a las entidades locales.
Tenéis más información sobre este tema en la Guía de Seguridad CCN-STIC 830 y también
en la Guía de Seguridad CCN-STIC IC-01/19.
Podéis acceder al documento “Prontuario de ciberseguridad para EE.LL.” AQUÍ.
TECNOideas cuenta entre sus servicios la posibilidad de que las empresas y entes locales
puedan certificarse en el Esquema Nacional de Seguridad.
Para ello contamos con experto personal técnico y jurídico. En 2022 ya hemos acompañado a diversas entidades locales en su proceso de certificación del ENS.
Además, ofrecemos la opción de la doble certificación
en sistemas de seguridad de la información: ENS + ISO 27001.
Imagen principal: Imagen Oberholster Venita en Pixabay
- Published in Certificaciones, General, Normativa, Noticias, Seguridad
La “estafa” de las dedicatorias
Nos gusta tanto que nuestros artistas preferidos nos dediquen sus obras que podemos estar horas haciendo cola para conseguirlo. Pero la tecnología permite autografiar de manera automática. ¿Es el fin del encanto de que nuestros ídolos nos personalicen un libro, un disco o cualquier otra obra? ¿Estamos delante de una nueva estafa?
El inefable Bob Dylan, una de las personalidades más influyentes de las últimas décadas, ha sido el responsable de destapar una presunta estafa relacionada con dedicatorias.
El cantautor, que también fue Premio Nobel de Literatura en 2016 con polémica por la designación de un cantante para ese premio, vuelve a estar en el ojo del huracán tras la publicación de su nueva obra literaria, The Philosophy of Modern Song.
El problema ha sido que, con el lanzamiento, se ha puesto a la venta una edición limitada de 900 unidades al precio de 599 dólares (unos 578 euros). El precio tan alto se justificaba por el hecho de ir firmados por el propio autor. Pero al compartir en redes sociales esas supuestas firmas únicas, se ha visto que todas eran iguales. Y es que los ejemplares no han sido firmados de puño y letra por el autor, sino por un bolígrafo automático llamado autopen. Probablemente no ha sido solo Bob Dylan el responsable final de esta acción, sino que su editorial, Simon & Schuster, también ha tenido mucho que ver. Sin embargo sí ha tenido que ser Dylan el que ha pedido disculpas y lamentar “profundamente” lo que ha sucedido, argumentando, además, que ha sido algo ocasional motivado por las complicaciones derivadas de la pandemia.
El lío ha sido considerable en Estados Unidos, ya que algunos compradores han hablado de estafa. Según la RAE, estafa es “Delito consistente en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro”. Esta definición es compatible con lo ocurrido, por lo que ya se habla de la “estafa” de las dedicatorias.
La editorial ha tenido que reembolsar el dinero de su compra y ha anunciado que trabaja con el autor para que pueda firmar de su puño y letra los ejemplares.
¿Qué es el autopen?
Lo curioso del caso es que el autopen no es nada nuevo. No es la primera vez que se ha usado para hacer dedicatorias masivas. En Estados Unidos ya se había utilizado en firmas de Ronald Reagan o Barak Obama. Pero esta vez se ha usado para “solo” 900 libros de una edición especial y no tan masivamente como en el caso de los presidentes estadounidenses. De hecho, su uso está bastante extendido. Tanto es así que existen varias marcas que fabrican el autopen. Ya en enero de 2018, la European Agency of Digital Trust (EAD Trust) publicó un pequeño artículo sobre autopen que podéis leer AQUÍ. La EAD es un prestador de servicios de certificación, con sede en Madrid. Presta servicios a toda Europa de digitalización, de todo tipo de firmas digitalizadas, de certificados electrónicos, etc.
El bolígrafo automático utiliza una técnica relativamente sencilla. Primero se introduce el modelo de firma real. Para ello tienen unos brazos mecánicos que sostienen una pluma, lápiz o bolígrafo. Algunos poseen, además, unas ranuras que leen tarjetas SD, de modo que captan incluso la presión o velocidad del lápiz usado para escribir. Una vez captado todo esto, la máquina es capaz de reproducir lo que se ha escrito imitando perfectamente los movimientos de la mano de la persona que lo ha usado.
Pero lo que se está perdiendo en realidad es el encanto. ¿Vamos a tener dentro de poco una diada de Sant Jordi o un Día del Libro llena de máquinas firmando obras mientras los autores están en sus casas?
¿Conversaremos con una máquina?
No debe extrañarnos que la tecnología permita cada vez más excentricidades de este tipo. Con la Inteligencia Artificial (IA) estamos descubriendo unas opciones de interacción jamás pensadas anteriormente. Una de las que más suena en la actualidad es el ChatGPT. Se trata de un prototipo de chatbot de IA desarrollado este mismo año por OpenAI, una compañía de investigación de inteligencia artificial fundada por Elon Musk y otros emprendedores en 2015. Si hasta ahora nos conformábamos con dar órdenes a una máquina para que nos diera una serie de servicios relativamente sencillos, la IA del ChatGPT va mucho más allá y permite que mantengamos una conversación.
Se trata de un sistema que se basa en el modelo de lenguaje por IA GPT-3, lo que le posibilita realizar múltiples acciones relacionadas con el lenguaje, desde generar textos hasta traducirlos. Ya os hemos hablado aquí en alguna ocasión de estas opciones relacionadas con el lenguaje, como el proyecto MarIA.
Como buena “inteligencia”, va entrenándose con el tiempo, por lo que poco a poco es capaz de mantener conversaciones con personas, hablando de cualquier tipo de tema y respondiendo de forma coherente. Y por supuesto en muchos idiomas diferentes.
Si queréis saber más cosas sobre ChatGPT, como funciona o como utilizarlo, os recomendamos leer este artículo de Yúbal Fernández, un editor de contenidos publicado en Xataca Basics AQUÍ.
Imagen principal de: todabasura en Pixabay
- Published in Certificaciones, General, Inteligencia Artificial, Noticias, Productos
Suplantar identidades para estafar
Los cibercriminales llegan a ser tan sofisticados que a veces se precisa una acción conjunta internacional para desmantelar sus argucias. Esto es lo que acaba de pasar con una web que ofrecía servicios de suplantación de identidad y que ha sido bloqueada.
La suplantación de identidad es una de las técnicas más populares usadas por los delincuentes para infectar nuestros equipos y hacerse con nuestros datos personales y credenciales. En este blog os hemos hablado alguna vez de ello, como cuando os explicamos que la Comisión Europea animaba a denunciar las estafas en internet. Lo podéis recordar AQUÍ.
Como os podéis imaginar, suplantar identidades para estafar no es nada nuevo. Ya en el año 2020 la Oficina de Seguridad del Internauta publicó un artículo sobre el robo de identidades o spoofing que podéis leer AQUÍ. En él, además de aprender una nueva palabrita, nos explicaban que “la suplantación consiste en el empleo de una serie de técnicas de hacking utilizadas de forma maliciosa para suplantar la identidad de una web, entidad o persona en la red con la finalidad de obtener información privada sobre nosotros”.
Ahora llega la información de que se ha desmantelado una web que ofrecía servicios de suplantación de identidad para estafar en todo el mundo. Se calcula que las perdidas globales pueden haber llegado a los 115 millones de euros. La web permitía a las personas que se registraban que pudieran realizar llamadas suplantadas de forma anónima, enviar mensajes grabados e interceptar contraseñas de un solo uso. Los usuarios podían hacerse pasar por bancos, empresas o insituciones gubernamentales para obtener cuantiosas ganancias. Con la suplantación de identidad se buscaba ganar la confianza de la víctima, ya que pensaban que al ser marcas o empresas conocidas, no iban a atacarlos.
Se ha precisado una colaboración internacional a gran nivel de las autoridades judiciales y policiales, de Europa, Australia, Estados Unidos, Ucrania y Canadá. En la acción han intervenido Europol y Eurojust (Agencia de la Unión Europea para la Cooperación en materia de Justicia Penal) y se han detenido 142 personas.
Debemos recordar que es difícil luchar contra los delincuentes organizados y que el delito cibernético no sabe de fronteras, por lo que solo la colaboración internacional es eficiente en casos globales.
Podéis leer la nota de prensa que Europol realizó sobre el caso AQUÍ.
Para finalizar, recordaros que en junio os hablamos de la nueva técnica de suplantación llamada morphing y que demuestra, la sofisticación a la que pueden llegar los ciberdelincuentes. Tenéis el artículo AQUÍ.
- Published in Ataques / Incidencias, General, Noticias, Seguridad
¿Qué pasa en el mundo del motor con la ciberseguridad?
Desde la Fórmula 1 a una red de concesionarios, pasando por marcas de componentes y otras firmas muy conocidas, entre ellas Ferrari, nada menos. Todos ellos han tenido problemas de ciberseguridad en poco tiempo. ¿Qué pasa en el mundo del motor con la ciberseguridad?
Este pasado domingo ha finalizado la temporada de Fórmula 1. Pero en los últimos Grandes Premios se ha hablado de ciberseguridad, porque este mundillo tan absolutamente tecnológico no se ha librado de sufrir incidentes de seguridad. Parece ser que un grupo de delincuentes de la India había conseguido obtener datos significativos de diversas escuderías a través de un ransonware. Dicho de otra forma: amenazaban con un espionaje industrial. Con la competitividad de este deporte, cualquier escudería estaría encantada de tener datos de la competencia. El problema es que, supuestamente, las afectaciones alcanzaban a equipos como Alfa Romeo, Alpine de Fernando Alonso, Aston Martin o Ferrari de Carlos Sainz.
Ferrari ya había sido noticia anteriormente por un ciberataque sufrido en el momento en que cambiaba de proveedor de seguridad informática. Por la guerra de Ucrania y de mutuo acuerdo, la escudería del caballito rampante dejaba Kaspersky y se asociaba a Bitdefender, la empresa rumana creada por Florin Talpes en 2001. Podeís ver el acuerdo en la web de Ferrari AQUÍ y en la de Bitdefender AQUÍ.
Los ciberdelincuentes de la banda de ransomware RansomEXX aprovecharon este impasse para obtener más de 7 GB de documentos internos de Ferrari que fueron publicados en la Dark Web. Aunque Maranello desmintió que fuera atacada, numerosos artículos en prensa lo aseguraban, como es el caso del publicado por BeTech, la web de noticias de tecnología del diario AS. Si estáis interesados en el malicioso currículo de RansomEXX, la publicación Cuadernos de Seguridad le ha dedicado un interesante informe que podéis leer AQUÍ.
Mucho ciberataque
Vamos a por los concesionarios. El Grupo Pendragon, uno de los líderes del mercado en el Reino Unido, fue alcanzado por un ransomware enviado por LockBit, un activo grupo de ciberdelincuentes. Consiguieron robar datos de Pendragon y reclamaron cerca de 60 millones de euros para recuperar sus archivos.
Estos mismos delincuentes fueron los responsables del mayor ciberataque por volumen de la información robada. Tuvo lugar en Hannover y la víctima fue la conocida marca Continental, que además de fabricar neumáticos posee uno de los ordenadores más potentes de la industria de la automoción. Se ha calculado que se robaron 40 terabytes de datos y una vez más, a través de un ransomware.
Lo podéis leer en Escudo Digital.
También robo de automóviles… ¡con un altavoz!
Nos vamos a Francia. Unos ladrones agudizaron el ingenio para conseguir robar en pocos segundos coches de las marcas Peugeot y Toyota a través de un altavoz Bluetooth de la firma JBL.
El descubrimiento del hecho fue casual, como suele pasar con este tipo de cosas. La policía encontró en un coche robado uno de estos altavoces. En su interior había una llave digital que era capaz de poner en marcha el vehículo. Los delincuentes ofrecían el altavoz y la llave junto a un vídeo tutorial, donde explicaban como usarlos y la manera de conectarlo al vehículo con un cable USB.
La cosa parece sencilla, pero el dispositivo en cuestión podía costar, en el mercado negro, hasta 5.000 euros. Con esta táctica se robaron muchos vehículos en Francia.

Todos estos casos y algunos más los podéis leer gracias a HackerCar, la plataforma web dedicada al motor, la tecnología y la ciberseguridad, que debieron preguntarse, como nosotros, algo así como ¿Qué pasa en el mundo del motor con la ciberseguridad? Acceder a su artículo AQUÍ.
La ciberseguridad y el mundo del automóvil están cada vez más unidos. Ya hay reglamentaciones europeas que exigen que los coches de segunda mano se vendan libres de datos. Y también que los fabricantes de automóviles aumenten la ciberseguridad de los nuevos modelos. Y eso también deberán asegurarlo los lugares de recarga de coches eléctricos. Todos ellos están conectados a internet y por ello son factibles de ser atacados.
En TECNOideas ya hemos ido publicando algunas píldoras sobre todo esto, para que la concienciación sobre el tema vaya en aumento. Estos son algunos de los artículos publicados en este blog:
- En el 2022, ¿coche eléctrico, híbrido o de gasolina? ¡Coche ciberseguro! (Octubre 2020).
- ¿Se roban más coches por culpa de la cibertecnología? (Febrero 2022).
- Una Game Boy para robar coches. (Febrero 2022).
Naturalmente hay otra moraleja, distinta del sector del automóvil, en todo esto. Y es que si empresas tan importantes y con una tecnología de lo más puntero del mundo como Ferrari, las demás escuderías mencionadas o Continental caen bajo un ransomware, qué empresas de nuestro entorno no pueden verse amenazadas. Y no vale la excusa de siempre: “Yo soy pequeño, quién se va a fijar en mí y en mi pequeña empresa”. Quizá la persona que diga esto es que ni siquiera le han robado nunca la cartera, o el móvil, o lo que sea. ¡Felicidades! Pero ya sabéis: hay tres tipos de empresas: las que aun no han sido atacadas, las que ya han sido atacadas y las que están siendo atacadas y aun no lo saben.
Si nos contactáis os diremos en qué grupo está la vuestra.
Imagen principal de: Toby Parsons en Pixabay
- Published in Ataques / Incidencias, General, Medios de comunicación, Noticias, Seguridad
Armonizada la ciberseguridad europea con el NIS-2
Ya está aquí. Poco a poco Bruselas va extendiendo su mano en cuestiones de ciberseguridad y ahora llega al cenit con la aprobación de la Directiva NIS-2, que mejora la resiliencia y la capacidad de respuesta ante ciberincidentes en toda la Unión Europea. De esta forma, quedará armonizada la ciberseguridad europea con el NIS-2.
Hay que remontarse al 6 de julio de 2016, fecha en la que entró en vigor la Directiva 2016/1148 del Parlamento Europeo y del Consejo sobre las medidas que garantizaban un nivel común de seguridad de las redes y sistemas de la información. Esta instrucción fue conocida con el nombre de Directiva NIS, del inglés Network and Information Security.
Pero debido a la rapidez con que se desarrolla la técnica y el ingenio de los ciberdelincuentes, pronto se empezó a trabajar en una actualización y ampliación, que se la ha bautizado, con una increíble creatividad, como NIS-2. El Parlamento Europeo la aprobó por amplia mayoría en mayo de este año y aunque todavía falta que el Consejo Europeo (el gobierno de los países de la UE) la apruebe, se espera que entre en vigor en 2023. Por supuesto que la nueva normativa se integra totalmente en la amplia legislación que Bruselas ha ido creando sobre el tema, especialmente el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER).

Un marco normativo común
Lo más llamativo de la Directiva es que pretende garantizar un nivel elevado de protección y mejorar la resiliencia en todos los Estados de la Unión. Y es que Bruselas reconoce que en muchos ámbitos no existe una cultura de aplicación de la ciberseguridad y la poca coordinación entre Estados lleva a una falta de respuestas comunes.
Destacamos los siguientes puntos de la NIS-2.
- Será obligada la notificación en los diferentes sectores que cubre: energía, transporte, sanidad e infraestructura digital.
- Creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.
- Se amplían y aclaran algunos conceptos, como “entidades esenciales” o “sectores críticos” y se introducen los “sectores importantes”, como por ejemplo gestión de residuos; sector aeroespacial; producción, transformación y distribución de alimentos; fabricantes y proveedores de servicios digitales; servicios postales de mensajería y la fabricación, producción y distribución de sustancias y mezclas químicas.
- La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como “importantes” en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, vehículos y aparatos digitales, etc.
- Quedan excluídos del ámbito de aplicación de la Directiva la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales.
- Se va a promover la cooperación público-privada a través de los ppp (Public – Private – Partnerships). Para ello se van a desarrollar asociaciones público-privadas especializadas en ciberseguridad.
- Se preocupará de la seguridad de las cadenas de suministro así como las relaciones con los proveedores. Para ello se va a permitir a las empresas exigir a sus proveedores el cumplimiento de la normativa en caso de ser operadores críticos.
- La responsabilidad recaerá sobre la dirección de la empresa, ya que deberá preocuparse de cumplir las medidas de gestión de riesgos de ciberseguridad.
- Se podrá sancionar. Las amonestaciones, instrucciones y multas podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
- Nacen nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo. Se impone la privacidad por defecto y desde diseño, la respuesta a incidentes y gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad de acuerdo con normativa comunitaria, o el tratamiento y divulgación de vulnerabilidades.
- En muchos casos se deberán crear nuevos departamentos y/o procesos internos para cumplir los requisitos de la Directiva, así como la selección de perfiles con capacidades digitales para cumplir estos requisitos, todo ello colaborando con entidades esenciales e importantes.
Podéis leer un extracto de la norma en esta web del Parlamento Europeo AQUÍ.
Y también podéis leer la Directiva al completo, en castellano, AQUÍ.
Como es habitual, los estados contarán con 21 meses para trasponer la nueva norma a su legislación nacional. Como podéis ver muchas empresas tendrán que adaptarse a esta normativa y además, en muchos casos, deberán contar también con certificaciones. Por ejemplo, en España será necesario que tengan el certificado del Esquema Nacional de Seguridad (ENS).
Es justo señalar que muchos de estos servicios para empresas ya los esta ofreciendo TECNOideas, como es el caso del CISO Extern o el de las certificaciones como el CISO.
Imagen principal: S. Hermann / F. Richter en Pixabay
- Published in Certificaciones, CISO, General, Normativa, Noticias
Se donde fuiste y se lo que hiciste…
No sorprendemos a nadie si decimos que “los datos son el oro del siglo XXI”. No es una frase nuestra, pero se ha hecho muy popular porque es verdad. Toooodo el mundo persigue los datos, nuestros datos, esos que damos tan alegremente… o no. ¿Somos conscientes que las webs por las que navegamos están repletas de rastreadores?
Los rastreadores web son capaces de recopilar muchas información sobre los hábitos de las personas que navegan por una web. Actúan estando insertados en el código de los sitios web, y un usuario que no sea técnico difícilmente los detectará. Entre las funciones de estos “observadores” encontramos identificar la IP y la ubicación, el navegador que usamos, el historial de navegación, donde clicamos, cuánto tiempo leemos y qué tipo de contenido, etc.
¿Para qué se usan? Pues para ganar dinero con ello, porque muchas webs pueden vender esos datos a anunciantes, vendedores, agencias gubernamentales, etc. Lógicamente —y esa es la excusa oficial— lo hacen para poder ofrecer servicios o productos personalizados, para sus análisis internos y mejorar el aspecto, los contenidos y la navegabilidad de la web.
Hay 18 rastreadores de media en las webs españolas
La empresa NordVPN es uno de los principales proveedores de redes privadas virtuales (del inglés Virtual Private Network, VPN). Sus investigadores han realizado un estudio centrado en los rastreadores y han encontrado algunos resultados que dejan claro para lo que sirven y el porque de “Se donde fuiste y se lo que hiciste…” Por ejemplo:
- La cifra de 18 rastreadores en una web es una media, porque en el caso de webs de compras, tecnología o noticias, pueden tener hasta 28 rastreadores distintos.
- La mayoría de rastreadores encontrados son propiedad de otras empresas, no de la que estamos navegando. ¿Sabéis cuáles se llevan la palma? Sííí, Google (aproximadamente un 30%), Facebook (11%) y Adobe (7%).
El estudio se ha hecho analizando los 100 sitios webs más populares de 25 países del mundo. Por eso la empresa advierte que el número de rastreadores también depende de la legislación de cada uno de ellos. Así, por ejemplo en Europa, gracias a la aplicación del Reglamento General de Protección de Datos (RGPD), los sitios web tienen menos rastreadores que en las webs de Estados Unidos, donde las leyes no protegen la privacidad de todos los tipos de datos en todos los estados.

NordVPN también ha realizado una encuesta a los internautas españoles. Al 45% les preocupa ser rastreados por los grandes de las redes sociales (Facebook). Un 37% rechazan que sus datos sean recogidos por agregadores de información (Google) y el 34% no desea que las agencias de marketing obtengan sus datos.
Si queréis saber más cosas sobre este estudio, como el país que tiene más rastreadores o el tipo de webs que más rastrean, clicad AQUÍ.
Google paga casi 40 millones de dólares en EE.UU. por rastrear
Quizá en Estados Unidos no exista una RGPD tan global y exigente como la europea, pero no se andan con chiquitas. En 2018 la agencia Associated Press descubrió que Google mantenía el rastreo de los datos de ubicación de las personas incluso después de haber indicado que no querían ser objeto de ese rastreo. El tema llegó a la fiscalía, que empezó a investigar y resultó que esta mala praxis se había producido en 40 estados. Ahora Google ha llegado a un acuerdo con la fiscalía de esos estados para evitar una sanción mayor, ya que violaron las leyes estatales de protección al consumidor. El resultado: deberá pagar 391,5 millones de dólares, que se van a repartir esos estados. Así, por ejemplo, Massachusetts recibirá unos 9,3 millones y Connecticut unos 6,5 millones.
Google se está convirtiendo en una de las empresas que más paga por su mala praxis. Este mismo año la justicia europea, a través de su Tribunal General, ha confirmado la multa por competencia desleal al gigante tecnológico. Como recordaréis, el motivo ha sido por competencia desleal ligada a consolidar su motor de búsqueda en el sistema operativo Android. Google fue multado con la friolera de 4.125 millones de euros.
¿Seguís confiando en Google? ¿O en Facebook/Meta? ¿O en otro proveedor que os de algo “gratis”?
Imagen principal: Imagen de Kris en Pixabay
- Published in Estudios, General, Noticias, Privacidad, Protección de datos