17.200 milions de registres perduts entre 2004 i 2021

Així és recull en un recent article de Visual Capitalist titulat “Visualizing The 50 Biggest Data Breaches From 2004–2021”. La veritat és que la dada objectivament resulta impressionant. És clar que si la posem en el context del total de dades que es gestionen en el món, probablement es podrà relativitzar. En qualsevol cas, el titular és prou cridaner per fer algunes reflexions al voltant de la privacitat i el seu corol·lari, la ciberseguretat.

Què és una bretxa de seguretat?

Comencem per el principi. Una bretxa de seguretat és un incident per el qual informació sensible o confidencial es copiada, transmesa o robada per un entitat no autoritzada. Això pot ocórrer com a resultat de atacs de malware, frau en pagaments, filtracions internes o divulgació no intencionada.

Entenent els fonaments de les Bretxes de Seguretat

La bretxa de seguretat consisteix en tot acte d’intromissió, il·lícit o no autoritzat que:

  • Pot ocasionar la destrucció, pèrdua o alteració accidental de les dades personals.
  • Pot permetre la comunicació, revelació o accés no autoritzats a fitxers o tractaments de dades personals.

Mesures de seguretat

El RGPD exigeix als responsables de tractament de dades que apliquin les mesures jurídiques, tècniques i organitzatives necessàries per garantir la seguretat de les mateixes.

Però la seguretat ha d’ampliar-se més enllà de la protecció de dades i ha d’envoltar tots els actius de l’empresa, començant per els actius intangibles que són molts i molt valuosos: plans de màrqueting, patents, relacions amb clients, proveïdors, partners i institucions, dades (per exemple, llistes de clients potencials), desenvolupament de software, marques  i un llarg etcètera. Aquest patrimoni es pot protegir ampliant les mesures de seguretat que apliquem a les dades.

Privacitat,  ciberseguretat i el factor humà.

La ciberseguretat és un mitjà per protegir a les organitzacions i a les persones. Les mesures són, com dèiem, jurídiques, organitzatives i tècniques. I el factor clau és, com sempre, l’humà. Perquè està a la seva mà implementar les mesures i, alhora, és l’actiu final a protegir. Les mesures de ciberseguretat són del tot imprescindibles però, de la mateixa manera, les persones hem de de ser conscients de la necessitat de protegir-nos davant de pràctiques com l’enginyeria social, el phishing, l’explotació de les xarxes socials i tantes altres pràctiques que només busquen fer-se amb les nostres dades per obtenir un benefici il·licit. Segons el 2022 Data Breach Investigations Report de Verizon, en el 82% de les bretxes va estar implicat el factor humà, inclosos atacs socials, errors i mal ús.

Mesures tècniques bàsiques

  • Ús de contrasenyes segures i doble factor d’autenticació
  • Còpies de seguretat
  • Sistemes actualitzats
  • Exposició de serveis a Internet
  • Xifrat de dispositius

¿Què hem de fer si patim una bretxa de seguretat a ? Protocol AEPD

Partint del supòsit que la nostra empresa està adequada al RGPD, l’article 33 ens imposa l’obligació de notificar l’incident a l’autoritat de control quan sigui probable que aquest constitueixi un risc per els drets i llibertats de les persones, en un termini inferior a les 72h. des de que en tinguem constància.

L’AEPD té publicada una Guia per la notificació de bretxes de dades personals.

Vigilem les nostres dades i, com sempre, cuideu-vos!

 

 

 

 

Ciberseguretat, sempre la ciberseguretat!

N’hem parlat moltes vegades però no ens cansarem en insistir en la importància creixent que té la ciberseguretat en les nostres vides, personals i professionals. Hem de ser conscients que la tecnologia evoluciona molt ràpidament i nosaltres hem de seguir aquesta evolució si volem seguir ser competitius en el món professional i estar tranquils en l’esfera personal.

I no, la ciberseguretat no és una cosa que no té a veure amb mi o amb la meva empresa. Té a veure i molt. Només cal donar-se una volta per pàgines com el PortalTIC d’Europa Press o per els Avisos de Seguretat d’INCIBE. I si voleu impressions més fortes podeu veure el Mapa en temps real d’amenaces cibernètiques de Kaspersky. En el moment d’escriure aquest post, Espanya era el vuitè país més atacat del món.

I no s’escapa res a la voracitat dels ciberatacants. Estafes a compte de la guerra d’Ucraïna, campanyes fraudulentes a Whatsapp que demanen dades personals a canvi d’una cafetera Nespresso o, fins i tot, venda d’historials mèdics a la Dark Web per un euro. I podem afegir notícies més genèriques per igualment impactants com que més de tres milions de pàgines web van exposar les seves còpies de seguretat per una vulnerabilitat, que els atacs DDos es van multiplicar per 4,5 en el quart trimestre de 2021 o que 6 de cada 10 espanyols tenen “malware” en el seu ordinador.

Naturalment, és per prendre-s’ho seriosament. Tant si volem preservar els actius intangibles de l’empresa (que són més i més importants del que pensem) com si volem tenir una vida personal sense ensurts (un altre dia parlarem de la privacitat a les xarxes socials) hem de prendre mesures i no baixar la guàrdia. Mai.

I la pregunta recorrent, en empreses i a nivell personal, és, què hem de fer? Doncs per començar, conscienciar-nos de la importància de la ciberseguretat. I podem fer un símil molt familiar amb la conducció d’un automòbil. Pensem en el temps, diners i atenció que li dediquem al vehicle i als desplaçaments que fem. Des de l’elecció del model i les seves prestacions fins a les revisions periòdiques, passant per disposar d’assegurança, complir la normativa, preveure la meteorologia i el temps a emplear en els desplaçaments i tantes altres variables que controlem, moltes vegades i per rutina, sense ser-ne plenament conscients.

Doncs el mateix amb els nostres dispositius, les aplicacions, l’ús que en fem, les precaucions que prenem i, en definitiva, l’atenció que li prestem a la nostra activitat cibernètica. I, sobretot, vigilem als menors que són els més vulnerables.

Un bon lloc per començar és la pàgina “Tu Ayuda en Ciberseguridad” de INCIBE. I per qui tingui dubtes sobre el significat del termes informàtics que es fan servir sovint en Ciberseguretat, podeu acudir al Glossari de termes publicat per INCIBE. Mol complet i fàcil de consultar. Recomanable.

Esforcem-nos, per bé de tots, en tenir una vida cibersegura. Cuideu-vos també en aquest aspecte!

Quan la realitat supera a la ficció, un cop més

La RAE recull en el seu diccionari, sota la primer accepció de realitat, la “existència real i efectiva d’alguna cosa”. I, en la segona, “veritat, el que passa veritablement”. I per realitat virtual, la “representació d’escenes o imatges d’objectes produïda per un sistema informàtic, que fa la sensació de la seva existència real”.

Ve això a tomb de algunes notícies aparegudes als mitjans en els últims dies referides als “deepfakes”.  El terme es va popularitzar l’any passat arrel de l’aparició a la xarxa social TikTok del compte “deeptomcruise” que en qüestió de minuts es tornar viral amb milions de seguidors.

En el compte es poden veure imatges del famós actor fent trucs de màgia, tocant la guitarra, promocionant productes de neteja industrial i altre activitats, totes elles amb el denominador comú de ser falses o, com es diu ara, “fakes. Això amb un realisme inquietant per les possibilitats, tant bones com dolentes, que se’ns poden ocórrer.

Tant és així que provoquen l’efecte que es denomina “uncanny valley”. Una hipòtesi que afirma que quan les rèpliques antropomòrfiques se apropen en excés a l’aparença i comportament d’un ser humà real, causen una resposta de rebuig entre els observadors humans. Val la pena visualitzar alguns vídeos per fer-nos una idea fins on pot arribar aquesta tecnologia que no ha fet més que començar.

De fet, segons Scientific American, “els humans troben les cares generades per IA més fiables que les reals”. La veritat és que les imatges generades per ordinador amb Intel·ligència Artificial són pràcticament indistingibles de les cares humanes.

I aquesta tecnologia planteja moltes qüestions a les que se’ls haurà de donar resposta. Perquè això va més enllà del Photoshop o dels extraordinaris efectes especials als que Hollywood ens ha acostumat en els darrers anys. Ara qualsevol pot, de forma molt fàcil i econòmica (a Internet hi ha molts programes per fer-ho), substituir una cara en un vídeo o en una foto i que resulti imperceptible al espectador.

Tecnologia que permet des de fer una broma o divertir-se posant la pròpia cara a un personatge de ficció en el cine (podem ser Rick o Ilsa a Casablanca, per exemple) fins a fer campanyes de desinformació (polítiques o d’una altre mena), creació d’escenes porno falses per fer xantatge o qualsevol altre actuació orientada al frau, a l’abús o qualsevol iniciativa orientada a extorquir a un altre.

Naturalment, com amb qualsevol nova tecnologia, ja han sortit al mercat eines per ajudar a identificar els “deepfakes” i ha començat la guerra entre dos tecnologies oposades. I també, com era previsible, ja surten veus que proposen prohibir la tecnologia per els perills que pot comportar. Prohibició que, òbviament, tindrà poc recorregut. Crec més possible la instal·lació en el dispositiu d’un programari tipus antivirus que detecti els deepfakes, de manera que no siguem presa dels delinqüents.

I això, a ben segur, no ha fet més que començar.

Com sempre, cuideu-vos!

L’agressió sexual ja està passant al metavers

Meta afirma que els usuaris no ho feien servir correctament. La plataforma de realitat virtual  Horizon Worlds, amb prou feines acaba de presentar-se al públic, i els usuaris ja estan sent assetjats sexualment i fins i tot agredits, segons podem llegir a The Verge.

Comencem per el principi. Què és Meta? El passat mes d’octubre, per els que ho desconeixen, l’inefable Mark Zuckerberg va presentar Meta, la nova marca de Facebook, la finalitat de la qual serà donar vida al metavers i ajudar la gent a connectar-se, trobar comunitats i fer créixer negocis. En la presentació, Zuckerberg va explicar que, a partir d’ara, la seva companyia es centraria en aquesta en fer realitat aquesta idea, la del metavers, i, per tant, tenia sentit canviar el nom per reflectir millor els seus objectius: Facebook ara es diu Meta.

La realitat és que, segons sembla, el canvi de nom representa un intent per desfer-se de lo que els propis empleats consideren una marca tòxica i que afecta, cada dia més, a la percepció dels seus productes. La marca que fins fa uns anys era reconeguda i valorada, ha perdut la seva reputació, val a dir, que per els errors comesos per el seu fundador. Els escàndols de privacitat s’associen cada cop més amb la marca FB. Recordem només el de Cambridge Analytica que, tot i ser dels més famosos, no ha estat l’únic ni molt menys.

I què és el metavers? Podríem entendre-ho com un ciberespai evolucionat. En un sentit ampli, involucra una sèrie de tecnologies, la primera de les quals és la realitat virtual, caracteritzada per mons virtuals persistents que continuen existint, amb vida pròpia, encara que tu no hi siguis. L’accés al metavers es fa a través d’ulleres de realitat virtual com, per exemple, Oculus. El metavers obre nous horitzons i un munt de possibilitats. Com podia ser Internet a finals dels 70 del segle passat. Ningú sabia exactament com seria però tothom (els que estaven al corrent de la tecnologia) tenien la percepció que seria una cosa gran. Bé, al final esta sent una cosa immensa que no es veu on acabarà.

I tot això és per explicar que la plataforma de Zuckerberg ja ha patit la primera ensopegada. En efecte, ja han arribat les primeres denúncies per assetjament i fins i tot per agressió sexual. Segons un testimoni, “No només em van palpar ahir a la nit, sinó que hi havia altres persones que van donar suport a aquest comportament que em va fer sentir aïllada a la Plaça.”

La condició humana no canvia ni tant sols en el metavers. Comportament delictiu en uns i mirar cap un altra cantó, els altres. Està clar que ens hem d’adaptar el que ve perquè és inevitable. De manera similar a que no poden anar contra la llei de la gravetat, tampoc podem anar contra el metavers. Això sí, ja de bon començament hem de assentar les bases de convivència. Si no, se’ns anirà de les mans.

Com sempre, cuideu-vos (en el metavers, també)!

Octubre: Mes Europeu de la Ciberseguretat (2021)

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!