Hoy os queremos hablar de grandes marcas… ¡cómo no!
Los usuarios de Apple han descubierto que habiendo desactivado la recopilación de datos, la empresa sigue registrando su actividad. Por su parte en Twitter dicen algunos/as que está fallando la verificación en dos pasos (2FA). Grandes marcas, sí. Grandes empresas, sí. Pero con algunas conductas que dejan mucho que desear. Por eso hoy os queremos hablar de grandes marcas… ¡cómo no!
Los usuarios de Estados Unidos han presentado una demanda colectiva contra Apple al descubrir que esta red registra de forma ilegal la actividad confidencial de los usuarios sobre su consumo de aplicaciones móviles.
Para más inri, esto se ha descubierto después de que Apple indicara que buscaba que los usuarios tuvieran un mayor control sobre sus datos y sobre el rastreo que pudieran efectuar las aplicaciones de terceros para fines publicitarios. Así que el año pasado Apple implementó una función de transparencia de seguimiento de aplicaciones con iOS 14. Esta función obligaba a los desarrolladores a informar a los usuarios para que dieran su consentimiento explícito. Pero…
… los propios desarrolladores de iOS y varios investigadores de la empresa de software Mysk detectaron que cuando los usuarios navegaban por la aplicación de la App Store, se recogían datos que luego se enviaban a la empresa. Y eso ocurría incluso si el usuario había desactivado el uso compartido del análisis del dispositivo.
Tenéis más información sobre este tema en la web de Gizmodo, un medio digital del grupo Fusión Media, con sede en Nueva York y especializado en ciencia y tecnología.
Els bloatwares y los fallos de Twitter
Ya todo el mundo sabe que Twitter está inmersa en un follón de mucho cuidado tras las polémicas decisiones de su nuevo propietario, Elon Musk. Precisamente una de sus decisiones ha acabado por ocasionar fallos en su doble autenticación. Todo empezó cuando Musk decidió deshabilitar el bloatware de los microservicios de la popular red social.
Un bloatware es un software que ocupa demasiado espacio para las funcionalidades que proporciona. Son aplicaciones que vienen preinstaladas en nuestros equipos (ordenadores, tabletas, smartphones) pero que no repercuten en nada útil para los usuarios y ralentizan la velocidad de los equipos.
¿Por qué se siguen usando? Pues porque sus creadores pagan a los fabricantes para preinstalarlas en sus ordenadores. Pero no solo ellos. Las grandes marcas tienen sus propios boatwares. Es el caso de Microsoft o Samsung. Eso significa que todos ellos van a intentar que el usuario las use o dicho de otro modo, que usen lo que está preinstalado en lugar de ir a instalarte otras cosas que puedas necesitar o quieras tener.
Musk ha dicho que Twitter necesita menos del 20% de los microservicos que tiene para funcionar correctamente. Por eso ha decidido desinstalar bloatwares. Pero el tiro le ha salido por la culata, porque al hacerlo se ha afectado el sistema de autenticación de dos factores, el que envía los códigos de confirmación para iniciar sesión. Así que muchos usuarios no han podido iniciar su sesión por este hecho.
Debemos decir que este pasado fin de semana hemos comprobado varias veces la autenticación en dos pasos y siempre ha funcionado bien. O sea que o bien ha sido un tema puntual y ya se ha solucionado o bien ha afectado solamente a alguna región geográfica.
El caso de Apple es más grave, porque directamente nos roba los datos y hace lo que quiere, aunque le digas que no. Quizá todavía no saben que “no es no”.
Lo que queda claro es lo siguiente: ¿para qué debe el usuario poner esfuerzos en desactivar opciones o en activar el 2FA si luego esas grandes plataformas tienen fallos? A partir de aquí, ¿os imagináis qué pasaría si los usuarios no estuviéramos constantemente vigilando las interacciones? Pues sí, habéis acertado: esto sería una merienda muy golosa.
Imagen principal de: Gerd Altmann en Pixabay
- Published in Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Se donde fuiste y se lo que hiciste…
No sorprendemos a nadie si decimos que “los datos son el oro del siglo XXI”. No es una frase nuestra, pero se ha hecho muy popular porque es verdad. Toooodo el mundo persigue los datos, nuestros datos, esos que damos tan alegremente… o no. ¿Somos conscientes que las webs por las que navegamos están repletas de rastreadores?
Los rastreadores web son capaces de recopilar muchas información sobre los hábitos de las personas que navegan por una web. Actúan estando insertados en el código de los sitios web, y un usuario que no sea técnico difícilmente los detectará. Entre las funciones de estos “observadores” encontramos identificar la IP y la ubicación, el navegador que usamos, el historial de navegación, donde clicamos, cuánto tiempo leemos y qué tipo de contenido, etc.
¿Para qué se usan? Pues para ganar dinero con ello, porque muchas webs pueden vender esos datos a anunciantes, vendedores, agencias gubernamentales, etc. Lógicamente —y esa es la excusa oficial— lo hacen para poder ofrecer servicios o productos personalizados, para sus análisis internos y mejorar el aspecto, los contenidos y la navegabilidad de la web.
Hay 18 rastreadores de media en las webs españolas
La empresa NordVPN es uno de los principales proveedores de redes privadas virtuales (del inglés Virtual Private Network, VPN). Sus investigadores han realizado un estudio centrado en los rastreadores y han encontrado algunos resultados que dejan claro para lo que sirven y el porque de “Se donde fuiste y se lo que hiciste…” Por ejemplo:
- La cifra de 18 rastreadores en una web es una media, porque en el caso de webs de compras, tecnología o noticias, pueden tener hasta 28 rastreadores distintos.
- La mayoría de rastreadores encontrados son propiedad de otras empresas, no de la que estamos navegando. ¿Sabéis cuáles se llevan la palma? Sííí, Google (aproximadamente un 30%), Facebook (11%) y Adobe (7%).
El estudio se ha hecho analizando los 100 sitios webs más populares de 25 países del mundo. Por eso la empresa advierte que el número de rastreadores también depende de la legislación de cada uno de ellos. Así, por ejemplo en Europa, gracias a la aplicación del Reglamento General de Protección de Datos (RGPD), los sitios web tienen menos rastreadores que en las webs de Estados Unidos, donde las leyes no protegen la privacidad de todos los tipos de datos en todos los estados.
NordVPN también ha realizado una encuesta a los internautas españoles. Al 45% les preocupa ser rastreados por los grandes de las redes sociales (Facebook). Un 37% rechazan que sus datos sean recogidos por agregadores de información (Google) y el 34% no desea que las agencias de marketing obtengan sus datos.
Si queréis saber más cosas sobre este estudio, como el país que tiene más rastreadores o el tipo de webs que más rastrean, clicad AQUÍ.
Google paga casi 40 millones de dólares en EE.UU. por rastrear
Quizá en Estados Unidos no exista una RGPD tan global y exigente como la europea, pero no se andan con chiquitas. En 2018 la agencia Associated Press descubrió que Google mantenía el rastreo de los datos de ubicación de las personas incluso después de haber indicado que no querían ser objeto de ese rastreo. El tema llegó a la fiscalía, que empezó a investigar y resultó que esta mala praxis se había producido en 40 estados. Ahora Google ha llegado a un acuerdo con la fiscalía de esos estados para evitar una sanción mayor, ya que violaron las leyes estatales de protección al consumidor. El resultado: deberá pagar 391,5 millones de dólares, que se van a repartir esos estados. Así, por ejemplo, Massachusetts recibirá unos 9,3 millones y Connecticut unos 6,5 millones.
Google se está convirtiendo en una de las empresas que más paga por su mala praxis. Este mismo año la justicia europea, a través de su Tribunal General, ha confirmado la multa por competencia desleal al gigante tecnológico. Como recordaréis, el motivo ha sido por competencia desleal ligada a consolidar su motor de búsqueda en el sistema operativo Android. Google fue multado con la friolera de 4.125 millones de euros.
¿Seguís confiando en Google? ¿O en Facebook/Meta? ¿O en otro proveedor que os de algo “gratis”?
Imagen principal: Imagen de Kris en Pixabay
- Published in Estudios, General, Noticias, Privacidad, Protección de datos
¿Qué operadoras de Internet son más seguras y protegen mejor nuestros datos?
Esta semana se ha publicado que un proveedor de Orange ha sufrido un ciberataque que ha dejado al descubierto datos sensibles de los clientes de la operadora. Además Holaluz ha comunicado un acceso no autorizado a informaciones sensibles de sus abonados. Así las cosas nos preguntamos ¿Qué operadoras de Internet son más seguras y protegen mejor nuestros datos?
Estamos familiarizados con la gran mayoría de las operadoras de Internet en nuestro país. Incluso hemos probado algunos de sus planes. Casi siempre las valoramos en función de su cobertura, calidad de servicio y precios. Hoy vamos a tratar un aspecto no tan conocido de las operadoras de Internet, que tiene que ver directamente con nosotros, como usuarios.
Nuestros datos personales, ¿están seguros en las operadoras de Internet?
sobre la privacidad y seguridad en Internet.
La ley de protección de datos personales es bien conocida por las distintas comercializadoras de Internet. Entró en vigor el año 2018, y todas las operadoras de telecomunicaciones se han apegado a este reglamento, en mayor o menor medida.
Este es un criterio de valoración que se usa poco, a pesar de su relevancia para los usuarios. ¿Sabéis cuál de los proveedores de Internet cuida mejor vuestros datos? Tomando en cuenta el informe más reciente de la Agencia Española de Protección de Datos (AEPD), podemos sacar nuestras propias conclusiones.
Según el informe de la AEPD publicado en mayo de este año, vemos que algunas operadoras de Internet de nuestro país han tenido que pagar multas millonarias por el incumplimiento al reglamento (RGPD).
Estas son las operadoras menos valoradas con respecto al tratamiento de los datos de usuario:
- Vodafone
- MásMóvil
- Orange
Vodafone ha sido sancionada en más de una ocasión. La última multa que le ha sido impuesta supera los 3,9 millones de euros. En el caso de las otras dos operadoras, el monto a pagar no supera el millón de euros para cada una de estas operadoras de Internet.
Estas sanciones dejan claro que estas empresas son las más vulnerables en la seguridad de los datos de sus usuarios. Este es un tema delicado, sobre el que necesitamos educarnos y tomar conciencia. No queremos que nuestros datos sean regalados en la red y al alcance de cualquiera.
Y estamos seguros de que éstas y el resto de las empresas operadoras de Internet están tomando todas las medidas para redoblar la seguridad del manejo de datos del usuario.
Movistar ocupa el primer lugar como la empresa más segura
En el otro extremo, se encuentra Movistar. Este es uno de los proveedores de Internet, que se ha tomado muy en serio el resguardo de la información de sus clientes. Está valorada como la empresa que mejor cuida los datos de sus clientes.
Cabe señalar que esta calificación se le ha otorgado a esta operadora, al compararla con otras operadoras de Internet y con empresas que manejan gran cantidad de datos personales. ¿Qué criterios se toman en cuenta en esta valoración?:
- Política de protección de datos personales
- Cumplimiento de la Ley
- Notificación al usuario
- Transparencia
- Promoción de la privacidad de los usuarios
Dentro de cada uno de estos criterios hay varios ítems que se toman en cuenta para la calificación. En el caso de Movistar, suma 8 de un total de 12 estrellas, en la tabla de puntuación de las fundaciones Electronic Frontier Foundation (EFF) y Eticas Fundation, dos organizaciones que se ocupan de la defensa de los derechos digitales. En el caso de Eticas ya os hablamos de ella en ESTE ARTÍCULO del mes de agosto.
Pues bien, siguiendo con la tabla de puntuación vemos que Orange suma un total de 7 estrellas, Vodafone consiguió 6.5 estrellas; y por último tenemos a MásMóvil, con 3 estrellas.
Podéis consultar el estudio ¿Quién defiende tus datos? AQUÍ.
Tus datos también son importantes
En España hay al menos unas 20 operadoras de Internet legalizadas, que brindan excelentes servicios y que te amparan de distintas maneras. Los lineamientos varían de una operadora a otra; por eso es importante leer bien su política de privacidad antes de aceptar sus términos. Y recordad siempre dejar vuestros datos personales en buenas manos.
Imagen principal: Gerd Altmann en Pixabay
- Published in Estudios, General, Noticias, Protección de datos, Serveis
La computación cuántica llama a la puerta
La Unión Europea ha elegido el Barcelona Supercomputing Center del Centro Nacional de Supercomputación (BSC-CNS) como uno de los lugares que albergará un ordenador cuántico de la red europea. Solo seis países tendrán uno de estos monstruos que van a cambiar totalmente la forma de afrontar infinidad de problemas que ahora no podemos solucionar.
El BSC-CNS se creó en el año 2005 y es el centro nacional de supercomputación en España. Sus objetivos de investigación se centran en cuatro campos: Ciencias Computacionales, Ciencias de la Vida, Ciencias de la Tierra y Aplicaciones Computacionales en Ciencia e Ingeniería. Además gestiona el ya famoso MareNostrum, el supercomputador más emblemático y potente de España.
En este centro internacional de excelencia en e-Ciencia trabajan 760 expertos y profesionales en I+D.
¿Por qué es tan importante la computación cuántica?
©TECNOideas_O.Pereira
Aunque es difícil resumir en este artículo las posibilidades que abre, podemos resumirlo de forma sencilla si decimos que la computación clásica (o informática clásica) puede estar en 0 o en 1, pero solo en un estado a la vez.
Por contra, la computación cuántica se basa en cubits, que combina los unos y los ceros de tal manera que pueden estar a la vez en ambos estados. Eso posibilita infinitas opciones, abre nuevas puertas lógicas y multiplica ampliamente los posibles nuevos algoritmos.
Para enteder mejor todo esto os invitamos a volver a leer la charla que mantuvimos con José Luis Hevia y Guido Peterssen, responsables del equipo de investigación y desarrollo de software cuántico que ha creado, junto a Mario Piattini, QuantumPath, una plataforma que permite a las empresas adentrarse en el mundo de la computación cuántica. La primera entrega la tenéis AQUÍ y la segunda, que titulamos “La ciberseguridad en tiempos cuñanticos” AQUÍ.
¿Qué hay de nuevo?
©TECNOideas_O.Pereira
Además de la excelente noticia de que el consorcio de supercomputación de la Unión Europea ha escogido al BSC-CNS como uno de los seis centros que albergarán la primera red europea de computación cuántica, tenemos también novedades sobre Google. Y es que este gigante ha anunciado un sistema operativo centrado en la seguridad y los sistemas embebidos. Los sistemas embebidos son sistemas de computación diseñados para cubrir unas necesidades específicas y no generales como ocurre, por ejemplo, con los PC’s.
El nuevo sistema operativo de Google, que se llama KataOS, se centra en la seguridad. A nivel técnico no se ha construido sobre Linux ni Fuchsia, sino con el lenguaje de programación Rust, desarrollado por la Fundación Rust.
Este lenguaje, que parece estar muy de moda, nació en las instalaciones de Mozilla, ya que surgió a partir de un proyecto de Graydon Hoare, que era un empleado de Mozilla en 2006. Las ventajas de este lenguaje son muchas, hasta el punto que Linux ha informado que pronto lo podrá incorporar.
El objetivo final de Google es proporcionar una plataforma fiable y segura que proteja al usuario y su privacidad. Para ello aseguran que es lógicamente imposible que se puedan alterar las protecciones de seguridad. Esperemos que así sea.
Si estáis interesados en el tema tecnólogico, podéis leer ESTE ARTÍCULO de Muy Linux, un blog satélite de la publicación My Computer dedicada exclusivamente al sistema operativo Linux.
Imagen principal: supercomputador MareNostrum.
Por cortesía del Barcelona Supercomputing Center – www.bsc.es
- Published in Cuántica, General, Noticias, Protección de datos, Sistemas operativos, Software libre
Passkeys, el futuro de las contraseñas… ¿son ciberseguras?
Si eres de los que nunca se acuerda de las contraseñas, estás de enhorabuena: ya tenemos una nueva tecnología basada en claves criptográficas y datos biométricos llamada “passkeys” que va a sustituir pronto a las viejas y desmemoriadas contraseñas.
A principios de este año 2022, las mayores empresas de tecnología, como Google, Apple y Microsoft, anunciaron que habían unido fuerzas para simplificar el acceso a aplicaciones, sitios web y dispositivos con una herramienta basada en datos biométricos. Esta propuesta de identificación nos hará olvidar por fin esas contraseñas complicadas que no queremos recordar y que son propensas a las filtraciones. Sin embargo esta propuesta, que recibe el nombre de passkeys, genera una duda: ¿cuán segura es?
Las passkeys solicitaran nuestro registro en una plataforma que almacenará nuestros datos en una nube. Para ello usaremos un PIN, huella dactilar, reconocimiento facial o iris. Dependiendo de la autentificación biométrica que soporte el sistema operativo del móvil, ya sea Android o iOS, en la nube se harán copias de seguridad y se sincronizarán para evitar bloqueos si se pierde el dispositivo en el que se generaron inicialmente.
La idea final es usar esta passkey para iniciar sesión en sitios web sin necesidad de poner los típicos credenciales de usuario y contraseña. Para acceder, se va a desbloquear desde el móvil, de forma segura, con los datos biométricos registrados. Cuanto tengamos que identificarnos en una web, nos ofrecerá un código QR, que leeremos con nuestro móvil, para pedirnos la passkey. Para ello usaremos la huella o rostro y nos identificaremos. En caso de robo del aparato la passkey no tendrá valor, porque es necesario activarla biométricamente cada vez que se use.
¿Qué ocurre con la seguridad?
Técnicamente el proyecto parece no tener ningún fallo, pero podemos aplicar aquello de “poner todos los huevos en la misma cesta” o lo que es lo mismo, tener todos nuestros credenciales en la nube. ¿Es eso suficientemente seguro? No hemos dejado de hablar de lo poco segura que es la nube en algunos de nuestros artículos, como ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD o este otro titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
También podemos preguntarnos ¿qué ocurre si falla? Al ser una herramienta todavía en desarrollo podríamos encontrarnos con varios problemas técnicos en el camino.
Pero no adelantemos acontecimientos pesimistas. La idea es buena, los datos biométricos son únicos en cada persona y son, sin duda, el futuro de nuestra autenticación.
Para la empresa que está gestionando el tema, las passkeys “son un reemplazo significativamente más seguro para las contraseñas y otros factores de autenticación frente al phishing, ya que no se pueden reutilizar, no se filtran en las fugas de datos”. Esto funciona en diferentes plataformas y navegadores, incluidos Windows, macOS, iOS y ChromeOS.
Como primeros pasos, antes de usar la passkey, se aconseja realizar una limpieza digital, para mejorar la privacidad y tener control sobre el acceso a la diferente información que guardemos, por lo que se sugiere realizar una verificación de seguridad rápida y proteger las cuentas, entre estas otras recomendaciones:
- Utilizar la verificación en dos pasos (2FP).
- Usar un administrador de contraseñas.
- Revisión de contraseñas periódicamente, al menos cada 3 meses.
- Realizar copia de seguridad cada mes.
- Agregar ordenadores, teléfonos o dispositivos de confianza.
También debemos recordar y reconocer aquí y ahora que hace años que la FIDO Alliance está intentado impulsar métodos de autenticación más seguros y cómodos para los usuarios. Por ello también ha tenido un importante papel en el desaroolo de esta técnica, como podeís ver AQUÍ. De hecho, esta asociación industrial abierta, creada en febrero de 2013, tiene como objetivo desarrollar y promover estándares de autenticación que ayuden a reducir la dependencia excesiva de las contraseñas en el mundo.
Se espera que todas estas funciones del passkeys estén disponibles para todo el mundo a finales de 2022.
Artículo redactado con la colaboración de: Astrid Carolina De Dios
Imagen principal: 200 Degrees en Pixabay
- Published in General, Noticias, Privacidad, Protección de datos, Seguridad, Serveis
El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar
Ya son muchos los usuarios que reportan una nueva ciberestafa, esta vez vía WhatsApp.
Se trata de una supuesta campaña que promete el álbum del Mundial de Fútbol de Catar de la conocida marca Panini con 400 cromos gratis.
No es un misterio que los ciberdelincuentes aprovechan hasta el más mínimo descuido para extraer datos de los usuarios de distintas plataformas. Llevan años ejerciendo estas prácticas y lo más preocupante es que, con el paso del tiempo, se van superando y mejorando sus técnicas.
Esta vez las víctimas son los entusiastas del coleccionismo de cromos y la excusa es el Mundial de Fútbol de Catar 2022. Como es tradicional, el grupo italiano Panini, líder mundial en el mercado de las colecciones y de las trading cards, ha puesto en el mercado el álbum de cromos del Mundial de la FIFA. Al contrario de lo que pueda pensarse, los verdaderos frikis del coleccionismo de cromos son adultos y no niños o chavales jóvenes. Esto es lo que ha motivado que los delincuentes hayan ingeniado una estafa vehiculizada a través de WhatsApp.
El engaño consiste enviar a los usuarios una imagen calcada de la oficial de Panini, con el mensaje “accede y gana el álbum con más de 400 cromos”. Si las personas clican en el enlace se encuentran con preguntas sobre el álbum y el editor. Además hay un contador muy visible que muestra la supuesta cantidad de álbumes que quedan a su disposición. Eso genera un sentimiento de urgencia que hace que las victimas rellenan el cuestionario cuanto antes.
Una vez se ha realizado correctamente el cuestionario, los ciberdelincuentes solicitan que la víctima comparta con sus contactos. Con ello el delito crece exponencialmente. Al fin, se redirige a varios sitios que requieren los datos personales de las víctimas. En realidad son webs de apuestas deportivas que funcionan con afiliados, con lo que también ganan comisiones.
Son muchas las personas afectadas por esta estafa que descubrieron los expertos de la empresa Kaspersky, como es sabido, una de las compañías líderes en seguridad informática del mundo.
Los fraudes cibernéticos relacionados con eventos deportivos son una práctica bastante extendida porque aglutinan a un gran número de personas. En noviembre de 2021, Kaspersky ya alertó de que la Copa del Mundo de Fútbol de 2022 era un gancho para difundir estafas. Miles de correos fraudulentos y archivos maliciosos buscaban robar datos de particulares y empresas y,por supuesto, su dinero. Imaginamos que no hace falta deciros que básicamente se trataba de phishing y spam. Podéis leer el comunicado que Kaspersky publicó en su momento sobre este tema AQUÍ.
Como podéis comprobar entre esos primeros fraudes de hace un año hasta el que os contamos hoy ha habido una sofisticación del delito considerable. El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar ha sido neutralizado, pero algunos coleccionistas ya han picado.
Os recordamos que la mejor manera de prevenir este tipo de estafas es no confiar en enlaces externos hacia fuentes principales. O facilitar los datos en ocasiones y lugares que no son realmente necesarias… ¡y sin comprobación alguna previa!
Imagen principal: Tayeb MEZAHDIA en Pixabay
- Published in Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
“Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida.” Carlos Otto, periodista tecnológico.
Hemos querido traeros a este blog a Carlos Otto, reconocido periodista de tecnología, economía, reportajes y emprendimiento. Es autor de la primera serie documental sobre ciberseguridad hecha en España, “El enemigo anónimo”. En 20 capítulos nos ha acercado a diversos temas de la máxima actualidad relacionados con la ciberseguridad. Para ello ha entrevistado a una cuarentena de expertos.
Carlos es un profesional que lleva más de 15 años ejerciendo de periodista. Desde febrero de 2010 colabora con El Confidencial.com, donde escribe sobre tecnología, emprendimiento, derechos de autor e incluso política. Pero su gran contribución al mundo de la ciberseguridad se encuentra en la serie “El enemigo anónimo”. Hablamos de todo ello en esta entrevista.
Has trabajado mucho el tema de contenidos. Pero podrías decirnos cómo llegaste a especializarte en economía y ciberseguridad?
La especialización, por norma general, no suele responder a otra cosa que a los intereses de cada cual. Siempre me han llamado la atención los temas de economía, así que mi especialización en ese sentido ha sido más o menos natural. La de la ciberseguridad quizá haya sido más circunstancial. Casi siempre he hecho periodismo tecnológico, pero curiosamente no soy excesivamente tecnófilo: no sé por qué iPhone vamos ya, no entiendo excesivamente de ordenadores, no sabría recomendarte un smartwatch… pero siempre me han interesado la tecnología e internet como ecosistemas en sí mismos; es decir, qué hacemos en internet, cómo nos relacionamos, qué actitudes tenemos, qué delitos se cometen… Y cuando hablas de delitos online, el interés por la ciberseguridad llega solo. Porque, para mí, la ciberseguridad es mucho más que los ciberataques: es la privacidad, el uso que hacen de tus datos las grandes empresas, el ciberacoso, el voto electrónico, la ciberguerra… Los ciberataques pueden ser interesantes en el mundo empresarial, pero el resto de temas pueden interesar al ciudadano medio.
Has sido pionero en nuestro país, en hacer información sobre ciberseguridad. ¿Cómo recuerdas tus inicios cuando nadie sabía nada de este tema? ¿Qué te decían los directores de los medios cuando ibas a “venderle” un tema de ciberseguridad?
Esto puede parecer falsa modestia, pero de verdad que no creo haber sido ningún pionero. Hace muchos años que gente como Chema Alonso hace contenido sobre ciberseguridad, y mucha parte de su contenido va dirigido al usuario medio, al ciudadano de a pie. También han estado medios como Bit Life Media, elhacker.net, la revista SIC… había muchos medios hablando de ciberseguridad antes de que yo llegara. En cuanto a ‘vender’ temas a directores, los que más fácilmente se ‘vendían’ a los directores eran los ciberataques, pero, contrariamente a lo que la gente suele pensar, los artículos sobre ciberataques en la prensa generalista apenas tienen visitas, salvo contadísimas excepciones. Es verdad que hubo un punto de inflexión: Wannacry. A partir de ahí, la prensa generalista se tomó más en serio estos temas, ya que vio los perjuicios que puede ocasionar un ciberataque.
De todos modos, en mi opinión, los contenidos sobre ciberataques siguen sin tener un éxito excesivo en cuanto a visitas en los medios. A mí, al menos, siempre me han funcionado mucho mejor los temas dirigidos a los usuarios: qué hacer para proteger tu privacidad en internet, qué hacen las redes sociales con tus datos, qué medidas tomar si sufres ciberacoso…
“La ciberseguridad es mucho más que los ciberataques:
es la privacidad, el uso que hacen de tus datos las grandes empresas,
el ciberacoso, el voto electrónico, la ciberguerra….”
Y cómo se vende mejor la ciberseguridad, ¿dando miedo o explicando la prevención?
Sin duda, dando miedo. Y esto puede parecer negativo, pero no creo que necesariamente lo sea. En ciertos ámbitos, las personas no actuamos ante un hecho si no conocemos sus posibles consecuencias negativas. Aprendemos a cruzar en verde porque alguien nos puede atropellar, a cerrar nuestra casa con llave porque alguien nos puede robar… en la ciberseguridad pasa exactamente lo mismo.
Otra cosa es que hagamos ‘victim blaming’, es decir, culpabilización de la víctima. Si una persona sufre un robo de datos, no podemos decirle que la culpa es suya por no cuidar su privacidad; si entran a su correo, no podemos culparla por no cambiar la contraseña; si difunden una foto suya desnuda, no podemos decirle que no tendría que haber compartido esa foto con nadie. Es lo que bajo ningún concepto se debe hacer. Hay que centrar el foco. En vez de hablar de que la gente no es consciente de los datos que le da a Facebook, ¿por qué no hablamos de que Facebook hace negocio con los datos de sus usuarios de una forma, digamos, sospechosa? Mucha gente no tiene ni idea de ciberseguridad… ni falta que les hace.
Y ahora que la ciberseguridad está en boca de todos, ¿has tenido que cambiar la orientación o el mensaje?
Si te soy sincero, no tengo tan claro que la ciberseguridad esté en boca de todos. Sí veo que está en boca de todas las empresas, sobre todo las grandes, pero eso no significa que haya un mensaje diferencial. Si te fijas en el contenido de ciberseguridad que hacen las empresas, todas dicen exactamente lo mismo: cambia tus contraseñas, vigila los permisos que das a las apps, no compres en webs que no sean seguras, no pinches en emails que supuestamente proceden de tu banco… Llevan diez años haciendo exactamente el mismo contenido.
Donde sí he visto un cambio es en la sociedad. Quien tengan más de 30 años recordarán que en Tuenti la gente se registraba con sus nombres y apellidos, aparte de que subía fotos de fiesta, en plena borrachera, etc. En la primera etapa de Facebook también pasaba. Ahora, sin embargo, ves que mucha gente pone su perfil de Instagram en privado, pone su nombre sin apellidos (o con solo un apellido), no acepta solicitudes de cualquiera, tiene más cuidado cuando habla con desconocidos, etc. Ese sí ha sido un cambio positivo, y eso es fruto del cambio de orientación/mensaje por el que me preguntabas. Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida. Nadie va a cambiar su contraseña cada tres meses por una totalmente nueva y complicadísima, pero quizá sí proteja mejor su identidad para no dejar demasiado rastro.
En tus newletters sueles incluir ofertas de trabajo. ¿Cómo y por qué decidiste incorporar estas demandas de empleo?
En mi opinión, está claro que el empleo en ciberseguridad está creciendo muchísimo. Antes solo contratan perfiles de ciberseguridad las empresas que se dedicaban a ello, pero ahora cualquier gran empresa tiene un equipo numeroso que trabaja en todas las ramas de la ciberseguridad.
Además, todas las empresas aseguran que no encuentran los profesionales que necesitan, así que parece evidente que el mercado va a crecer mucho. Otra cosa (y esto es una sensación meramente personal) es que haga falta tantos nuevos perfiles. Sé de algunas empresas que, cuando dicen “No encontramos perfiles de ciberseguridad”, lo que realmente quieren decir es “No encontramos perfiles de ciberseguridad… que quieran cobrar 20.000 euros, que es lo que pensamos pagarles”. Es evidente que, a medida que crezca el empleo en el sector, empeorarán las condiciones.
Eso te ha permitido ver más claramente lo que se está demandando. ¿Puedes hacernos una demanda tipo del sector?
Lo que más veo, a mucha distancia del resto, es demanda de consultores de ciberseguridad. Imagino que esto defraudará a los perfiles más técnicos, pero al menos es lo que yo veo.
“Estoy preparando un informe financiero completo
sobre el sector de la ciberseguridad en España:
las empresas que más facturan, las que tienen más beneficios,
las que más crecen, las que tienen inversión externa,
las que se financian con sus propios medios, las que tienen más y menos empleados…“
Hablemos de “El enemigo anónimo”. La serie ya se terminó, el último capítulo se publicó en febrero de 2021. ¿Qué valoración haces? ¿Qué tema ha suscitado más interés?
Mi valoración fue muy buena, la verdad. Sobre todo porque fuimos más allá de los ciberataques y hablamos de más aspectos que, en mi opinión, también forman parte de la ciberseguridad: hablamos de ciberguerra, del negocio que las empresas hacen con nuestros datos, de ciberacoso, de sexting, de fake news…
¿Se puede ver toda la serie? ¿Es accesible a todo el mundo?
Está 100% disponible y 100% gratuita en esta lista de reproducción.
Con la moda de la ciberseguridad, ¿has tenido conversaciones con cadenas importantes, plataformas…?
Una productora me propuso llevarlo a Amazon Prime Video, pero la cosa quedó en nada. Te soy sincero: El Enemigo Anónimo es una serie documental de divulgación y siempre tuve claro que su espacio era Youtube; un contenido así no tiene cabida en una gran plataforma. Esto puede parecer una crítica, pero en absoluto lo es: de hecho, estoy convencido de que debe ser así.
En una gran plataforma lo que debe haber son historias, que es un término que nos encanta a los periodistas y que está muy manido, pero es verdad: lo que mandan son las historias. Me invento un ejemplo: un documental sobre cómo evitar que te ciberacosen en internet no tendría cabida en Netflix; un documental sobre un tipo que lleva diez años acosando a gente en internet, sí.
¿Va a haber nuevos capítulos?
No. Es una serie en la que metí los temas de los que quería hablar, así que hacer nuevos capítulos me parecería estirar el chicle innecesariamente. A menos que un día vea una nueva serie de contenidos que realmente crea interesantes, no habrá más capítulos.
Hace años los medios estaban controlados por periodistas, pero parece que ahora son proyectos empresariales. ¿Qué opinas de la evolución que han tenido los medios?
Me temo que te voy a llevar la contraria: en mi opinión, los medios siempre han sido proyectos empresariales y han estado controlados por sus propietarios. Y es lógico que así sea. Otra cosa es que ahora haya más debate sobre la supuesta independencia de los medios, pero el control empresarial siempre ha existido.
De hecho, si ahora debatimos más sobre esa supuesta independencia es porque han surgido otros medios, más pequeños y humildes, que destapan cosas a las que no han llegado los medios grandes. Pero te digo más: precisamente ahora sí que hay algunos medios que, siendo montados casi exclusivamente por periodistas, están siendo sostenibles y rentables: eldiario.es, Civio o Maldita.es son algunos ejemplos.
Para terminar, ¿puedes hablarnos de tus planes a corto y medio plazo?
A medio y largo plazo, tengo algunos proyectos relacionados con la ciberseguridad. Para empezar, quiero consolidar Empleo en ciberseguridad, una newsletter en la que cada semana enviamos más de 100 ofertas de empleo a cerca de 700 suscriptores. Mi objetivo ahora mismo es mejorar la newsletter para seguir creciendo en suscriptores.
A medio plazo (para finales de 2022 o inicios de 2023), estoy preparando un informe financiero completo sobre el sector de la ciberseguridad en España: las empresas que más facturan, las que tienen más beneficios, las que más crecen, las que tienen inversión externa, las que se financian con sus propios medios, las que tienen más y menos empleados…). Será un informe de pago para empresas que quieran analizar a su competencia, para fondos de inversión que estén pensando en invertir en pequeñas startups de ciberseguridad, para instituciones públicas, etc.
Y a largo plazo, quizá me plantee una nueva serie documental, pero tengo que centrar el foco, ya que estoy entre 2-3 posibles ideas. ¿Una serie sobre cómo se vivió Wannacry en España, quizá? ¿O una serie para ayudar a ciudadanos corrientes a proteger sus comunicaciones y su privacidad, quizá? Si hay alguien interesado en patrocinar alguna idea, ¡que me avise!
- Published in Ataques / Incidencias, Empleo, Entrevistas, General, Privacidad, Protección de datos, Redes sociales, Tecnología
La verificación en dos pasos ya tiene un malware
Mucho se ha hablado de la necesidad de tener una verificación en dos pasos (2FA), por ser un plus de seguridad. Y de hecho lo es, hasta el punto que en las aplicaciones bancarias y otras de tipo financiero es obligatoria.
La mala noticia es que ya se ha creado un malware que simula una app de verificación en dos pasos que intenta estafar a los usuarios de servicios bancarios.
El hecho de que las entidades bancarias y financieras lo usen para infinidad de transacciones ha despertado el interés de los ciberdelincuentes que han olido el dinerito calentito que podían ganar. Se pusieron manos a la obra y desarrollaron una apliacación de phishing que simula una app de verificación de dos pasos. Para sus fechorías eligieron la interfaz del BBVA y así tratar de robar el dinero de los usuarios de este banco.
¿Cómo lo hacen?
Como en muchos actos de ciberdelincuencia, todo empieza con una réplica de la web oficial de una entidad. En este caso, de la web del BBVA. Y a partir de ahí se sigue esta sucesión de acciones:
• Réplica de la web del BBVA.
• Aviso a los usuarios de la existencia de una nueva aplicación de verificación que va a ser obligatoria en un futuro inmediato para cualquier gestión de la cuenta.
• Muchos usuarios se descargan la aplicación.
• La falsa aplicación posibilita que un malware (concretamente un troyano, de nombre Revive), infecte el dispositivo del cliente.
• Este troyano tiene la particularidad que captura todo lo que se escribe en el dispositivo en cuestión (keylogger).
• El malware pide al cliente que acepte dos permisos relacionados con los SMS y las llamadas telefónicas.
• Aparece una página que suplanta a la del BBVA y pide al cliente que introduzca los credenciales de acceso. Con ello quedan en poder de los ciberciminales, que podían transferir dinero de la cuenta de las víctimas hacia las suyas.
El descubrimiento de este troyano se lo debemos a los investigadores de la empresa italiana Cleafy, dedicada a la prevención del fraude online. Lo explican detalladamente en este artículo publicado en su web.
También podéis leer el artículo que el INCIBE ha publicado para alertar a los usuarios sobre este troyano bancario AQUÍ.
Un remedio muy asequible
La moraleja es muy clara: a pesar del doble factor de autenticación, nunca podemos estar seguros de nada. Y ante la duda, antes de clicar, molestaros en preguntar.
Hay que actuar con sentido común y no fiarse de nada de lo que recibimos. Pero también hay que proteger los dispositivos y eso no es tan complicado. Con poner una VPN suele bastar.
¿Qué es una VPN o red privada virtual? Seguro que habéis oído hablar de ella. Esta red lo que hace es redirigir el tráfico de un dispositivo hacia un túnel seguro; oculta la dirección IP y encripta los datos. En consecuencia protege frente a los timos como el que describimos.
Con este post os queremos advertir: la verificación en dos pasos ya tiene un malware. Así que agudizad las precauciones cuando os llegue un mensaje de vuestra entidad bancaria.
Imagen principal: mohamed Hassan en Pixabay
- Published in Ataques / Incidencias, General, Noticias, Privacidad, Protección de datos, Seguridad
Aumento de litigios por problemas en la protección de datos y ciberseguridad
Se ha publicado recientemente en el BOE el nuevo Esquema Nacional de Seguridad (ENS), una certificación necesaria para toda empresa que trabaje con la Administración.
La nueva regulación se adapta a las diferentes leyes estatales y europeas e incide en el papel de los CISO. ¿Y dónde queda el papel del delegado de protección de datos (DPD)?
¿Qué es un CISO?
Es la persona encargada de la seguridad de los sistemas de la información. La ley obliga, en determinados casos, a tener esta figura en plantilla, siendo un activo muy valioso, que debe integrarse dentro de la estructura y organigrama de la empresa, a alto nivel.
Tiene que organizar la ciberseguridad de la compañía y es el responsable máximo del tema, así como el interlocutor con la Administración, incluidos los trámites cuando hay un percance.
No hay que olvidar que cualquier empresa, pequeña o grande, de cualquier sector, tiene una gran exposición de sus activos. Si estos no se protegen, puede llevar a la pérdida de partes valiosas de la empresa y, por supuesto, puede afectar a la continuidad del negocio.
Quin és el problema?
La realidad del CISO no se corresponde con lo expuesto. ¿Cuenta con los recursos necesarios? ¿Se recorta su presupuesto desde áreas como dirección o finanzas, que poco saben de ciberseguridad? ¿Es un cabeza de turco? ¿Tiene que estar siempre en alerta? ¿Sufre burnout? Son muchos los problemas que puede tener un CISO, como podéis ver en este artículo publicado en nuestro blog. Quizá por todo ello, se permite que el CISO pueda ser externo a la empresa o incluso que forme parte de otra compañía de servicios de ciberseguridad.
Casos reales. ¿Es el CISO siempre el responsable?
Os explicamos a continuación un par de casos reales, de problemas con mayúsculas de dos empresas muy conocidas y con implantación global.
• CISO de SolarWinds.
SolarWinds es una empresa estadounidense con sede en Austin (Texas) y que desarrolla software para empresas. Unos piratas informáticos llevaron a cabo un ataque a la cadena de suministro a través de SolarWinds y violaron las redes de varios departamentos del gobierno de EE.UU., incluida la agencia a cargo del arsenal de armas nucleares del país. Todo eso como parte de una campaña mundial de ciberespionaje de meses de duración revelada en diciembre de 2020. Parece el caso más claro de “cabeza de turco”, por la resonancia que tuvo el caso, y porque le acusaron de negligencia. Resultado: lo demandaron por nada más y nada menos que 1.500 millones de dólares.
• CISO de UBER.
Este caso es diametralmente opuesto al anterior. Encubrió un posible pago de ransomware. Recordamos que pagar a ciberdelincuentes es delito. Y a este delito abría que añadir que si había sido negligente en su cargo, doble error.
Acabamos dejando claro el concepto de NEGLIGENCIA. Según la Real Academia Española es:
1. f. Descuido, falta de cuidado.
2. f. Falta de aplicación.
Conocer la legalidad
Como podéis ver, y siguiendo nuestro título de hoy, Aumento de litigios por problemas en la protección de datos y ciberseguridad las leyes cobran un protagonismo esencial. Por eso nos pusimos en contacto con uno de los despachos profesionales más especializado en Derecho Tecnológico: Tecnogados, con el que colaboramos asiduamente. Y les pedimos que nos explicaran su visión de estos temas. Y el resultado es este post compartido que estáis leyendo. Como venimos de casos reales, retoman el tema con un caso real vivido directamente.
En Tecnogados estuvimos muy atentos a la resolución de la Agencia Española de Protección de Datos, la nº E/09159/2020, respecto a la brecha de privacidad que sufrió la empresa Mapfre.
En dicha resolución, se puede leer la actuación de la compañía en relación al ataque que sufrió por la infección de un ransomware, y como la empresa una vez puesta la denuncia pertinente, comunico los hechos al INCIBE y CCN-CERT, así como publicó lo acaecido en su web y redes sociales.
De las actuaciones llevadas a cabo pudimos ver como la empresa, una vez detectado el virus, realizó una búsqueda en la web de VirusTotal y como en esa fecha el malware también era indetectable.
Mapfre también obtuvo las evidencias forenses necesarias para detectar el origen de la infección, con el fin de evitar posibles reinfecciones.
En relación a las medidas proactivas que tenía implementadas, consta que la compañía estaba suscrita a un código de conducta en materia de protección de datos y contaba con un plan de contingencia. El conjunto de actuaciones, como no pudo ser de otra manera, acabo con el archivo del expediente.
¿Y qué queremos haceros ver con todo esto? Pues que el trabajo en materia de ciberseguridad (CISO) va unido de la mano al del delegado de protección de datos (DPD). Donde el primero dice que medidas técnicas aplicar y, el segundo, que información proteger respecto a datos personales o potencialmente identificables.
Ambas figuras CISO y DPD también deberían tener una obligada colaboración, respecto a que medidas implementar en ciberseguridad y privacidad, desde el diseño y por defecto, donde la anticipación y la proactividad sean un valor para garantizar el cumplimiento normativo y así cumplir con el Reglamento Europeo de Protección de Datos, en relación a principios como la minimización de información para cumplir la finalidad del tratamiento o implementar medidas que permitan cumplir efectivamente el ciclo de vida del dato y el efectivo ejercicio del derecho de supresión del interesado.
Respecto al ENS y en relación al perfil de nuestros lectores, aquí cabría traer a colación que pasa con aquellas pymes que trabajan para la Administración, sobre todo en dos aspectos.
Primero, que requisitos tienen que cumplir estas empresas con relación al trabajo que llevan a cabo a entidades públicas y que medidas tiene que aplicar.
En este sentido, sería interesante que la Autoridad pertinente estandarizará procedimientos de cumplimiento para que cualquier proveedor de servicios de la Administración supiese que medidas tiene que aplicar.
Pero, en segundo lugar, también sería interesante para los entes públicos, el saber que requisitos tendrían que sacar en sus concursos, para que el candidato pueda garantizar un nivel óptimo de cumplimiento en materias como la ciberseguridad y la privacidad y que estos pudieran ser un factor determinante para la adjudicación del trabajo.
Por último, indicar que teniendo que ser el CISO y el DPD personas distintas dentro de la organización conforme al ENS, su labor, sin embargo, es totalmente complementaria donde, por un lado, uno aporta el conocimiento técnico y el otro garantiza el cumplimiento normativo.
Imagen principal: Pete Linforth en Pixabay
- Published in Ataques / Incidencias, CISO, Consultoría, Formació, Historia, Normativa, Noticias, Protección de datos, Seguridad
¿Nos vamos a tener que comer esta supercookie?
Las cabezas pensantes de grandes compañías no paran ni un instante. Ahora tenemos un nuevo ejemplo, con una tecnología llamada TrustPit, que intenta saltarse la legislación sobre las cookieless o desaparición de cookies de terceros. ¿Nos vamos a tener que comer esta supercookie?
Las galletas o cookies son una buena herramienta de marketing digital porque permiten hacer campañas de publicidad muy personalizadas gracias a los datos que se obtienen al navegar por una página web. Son las llamadas cookies de terceros. Sin embargo el abuso de esta práctica llevó poco a poco a que los consumidores exigieran su retirada.
La estocada final llegó cuando Google anunció que su navegador Chrome no iba a aceptar las cookies de terceros a partir de 2022, las empresas de marketing digital están buscando la fórmula para sustituir esta práctica.
Y ahora nos informa IPMARK, un medio especializado en marketing, publicidad, comunicación y tendencias digitales, que la solución podría estar en una tecnología llamada TrustPid. Detrás de ella están nada menos que gigantes de la talla de Vodafone, Deutsche Telekom, Orange o Telefónica.
Esta tecnología aprovecharía un token anónimo para identificar por donde va navegando un usuario. O como el diario alemán Der Spiegel asegura, se trata de una supercookie.
Y ya que hablamos de un token, deciros que se trata de un término muy de moda en la economía digital actual. William Mougayar, autor del libro de referencia “La tecnología Blockchain en los negocios” lo define como “una unidad de valor que una organización crea para gobernar su modelo de negocio y dar más poder a sus usuarios para interactuar con sus productos, al tiempo que facilita la distribución y reparto de beneficios entre todos sus accionistas”.
Así que tendremos que hacernos la pregunta ¿Nos vamos a tener que comer esta supercookie? una y otra vez antes de tener una respuesta fidedigna.
De momento, para los que queráis saber más, os invitamos a leer el artículo sobre TrustPid publicado en IPMARK.
Y también os recomendamos este otro artículo de CincoDías sobre las cookieless.
Finalmente, os recomendamos volver a leer un artículo sobre las cookies y la Ley de protección de Datos que publicamos en ESTE BLOG en agosto de 2020, donde también explicamos las directrices europeas sobre consentimiento.
Imagen principal: InspiredImages en Pixabay
- Published in General, Malos hábitos, Noticias, Protección de datos, Tecnología
Català 
Español