Ciberseguridad

17.200 millones de registros perdidos entre 2004 y 2021

por

Así se recoge en un reciente artículo de Visual Capitalist titulado «Visualizing The 50 Biggest Data Breaches From 2004–2021«. La verdad es que el dato objetivamente resulta impresionante. Claro que si la ponemos en el contexto del total de datos que se gestionan en el mundo, probablemente se podrá relativizar. En cualquier caso, el titular es lo suficientemente llamativo para hacer algunas reflexiones en torno a la privacidad y su corolario, la ciberseguridad.

¿Qué es una brecha de seguridad?

Empecemos por el principio. Una brecha de seguridad es un incidente por el que información sensible o confidencial es copiada, transmitida o robada por una entidad no autorizada. Esto puede ocurrir como resultado de ataques de malware, fraude en pagos, filtraciones internas o divulgación no intencionada.

Entendiendo los fundamentos de las Brechas de Seguridad

La brecha de seguridad consiste en todo acto de intromisión, ilícito o no autorizado que:

  1. Puede ocasionar la destrucción, pérdida o alteración accidental de los datos personales.
  2. Puede permitir la comunicación, revelación o acceso no autorizados a ficheros o tratamientos de datos personales.

Medidas de seguridad

El RGPD exige a los responsables de tratamiento de datos que apliquen las medidas jurídicas, técnicas y organizativas necesarias para garantizar la seguridad de las mismas.

Pero la seguridad debe ampliarse más allá de la protección de datos y debe rodear todos los activos de la empresa, empezando por los activos intangibles que son muchos y muy valiosos: planes de marketing, patentes, relaciones con clientes, proveedores, partners e instituciones, datos (por ejemplo, listas de clientes potenciales), desarrollo de software, marcas y un largo etcétera. Este patrimonio se puede proteger ampliando las medidas de seguridad que aplicamos a los datos.

Privacidad,  ciberseguridad y el factor humano.

La ciberseguridad es un medio para proteger a las organizaciones y a las personas. Las medidas son, como decíamos, jurídicas, organizativas y técnicas. Y el factor clave es, como siempre, el humano. Porque está en su mano implementar las medidas y, al mismo tiempo, es el activo final a proteger. Las medidas de ciberseguridad son del todo imprescindibles pero, del mismo modo, las personas debemos ser conscientes de la necesidad de protegernos ante prácticas como la ingeniería social, el phishing, la explotación de las redes sociales y tantas otras prácticas que solo buscan hacerse con nuestros datos para obtener un beneficio ilícito. Según el 2022 Data Breach Investigations Report de Verizon, en el 82% de las brechas estuvo implicado el factor humano, incluidos ataques sociales, errores y mal uso.

Medidas técnicas básicas

  1. Uso de contraseñas seguras y doble factor de autenticación
  2. Copias de seguridad
  3. Sistemas actualizados
  4. Exposición de servicios en Internet
  5. Cifrado de dispositivos

¿Qué tenemos que hacer si sufrimos una brecha de seguridad en la empresa? Protocolo AEPD

Partiendo del supuesto de que nuestra empresa está adecuada al RGPD, el artículo 33 nos impone la obligación de notificar el incidente a la autoridad de control cuando sea probable que éste constituya un riesgo para los derechos y libertades de las personas, en un plazo inferior a las 72h. desde que tengamos constancia.

La AEPD tiene publicada una Guía para la notificación de brechas de datos personales.

¡Vigilemos nuestros datos y, como siempre, cuidémonos!

 

 

 

 

Ciberseguridad, ¡siempre la ciberseguridad!

por

Hemos hablado de ello muchas veces pero no nos cansaremos al insistir en la importancia creciente que tiene la ciberseguridad en nuestras vidas, personales y profesionales. Debemos ser conscientes de que la tecnología evoluciona muy rápidamente y nosotros debemos seguir esta evolución si queremos seguir siendo competitivos en el mundo profesional y estar tranquilos en la esfera personal.

Y no, la ciberseguridad no es algo que no tiene que ver conmigo o con mi empresa. Tiene que ver y mucho. Sólo hace falta darse una vuelta por páginas como el PortalTIC de Europa Press o por los Avisos de Seguridad de INCIBE. Y si desea impresiones más fuertes puede ver el Mapa en tiempo real de amenazas cibernéticas de Kaspersky. En el momento de escribir este post, España era el octavo país más atacado del mundo.

Y nada escapa a la voracidad de los ciberatacantes. Estafas a cuenta de la guerra de Ucrania, campañas fraudulentas en Whatsapp que piden datos personales a cambio de una cafetera Nespresso o, incluso, venta de historiales médicos en la Dark Web por un euro. Y podemos añadir noticias más genéricas por igualmente impactantes como que más de tres millones de páginas web expusieron sus copias de seguridad por una vulnerabilidad, que los ataques DDos se multiplicaron por 4,5 en el cuarto trimestre de 2021 o 6 de cada 10 españoles tienen malware en su ordenador.

Naturalmente, es para tomárselo en serio. Tanto si queremos preservar los activos intangibles de la empresa (que son más y más importantes de lo que pensamos) como si queremos tener una vida personal sin sobresaltos (otro día hablaremos de la privacidad en las redes sociales) debemos tomar medidas y no bajar la guardia. Nunca.

Y la pregunta recorriendo, en empresas y a nivel personal, es, ¿qué debemos hacer? Pues para empezar, concienciarnos de la importancia de la ciberseguridad. Y podemos realizar un símil muy familiar con la conducción de un automóvil. Pensamos en el tiempo, dinero y atención que le dedicamos al vehículo y los desplazamientos que hacemos. Desde la elección del modelo y sus prestaciones hasta las revisiones periódicas, pasando por disponer de seguro, cumplir la normativa, prever la meteorología y el tiempo a emplear en los desplazamientos y tantas otras variables que controlamos, muchas veces y por rutina, sin ser plenamente conscientes de ello.

Pues lo mismo con nuestros dispositivos, las aplicaciones, el uso que hacemos, las precauciones que tomamos y, en definitiva, la atención que le prestamos a nuestra actividad cibernética. Y, sobre todo, vigilemos a los menores que son los más vulnerables.

Un buen sitio para empezar es la página “Tú Ayuda en Ciberseguridad” de INCIBE. Y para quien tenga dudas sobre el significado de los términos informáticos que se utilizan a menudo en Ciberseguridad, puede acudir al Glosario de términos publicado por INCIBE. Muy completo y fácil de consultar. Recomendable.

Esforcémonos, por bien de todos, en tener una vida cibersegura. ¡Cuidados también en este aspecto!

Cuando la realidad supera a la ficción, una vez más

por

La RAE recoge en su diccionario, bajo la primera acepción de realidad, la «existencia real y efectiva de algo». Y, en la segunda, «verdad, lo que ocurre verdaderamente». Y por realidad virtual, la “representación de escenas o imágenes de objetos producida por un sistema informático, que da la sensación de su existencia real”.

Viene esto a cuento de algunas noticias aparecidas en los medios en los últimos días referidas a los “deepfakes”. El término se popularizó el pasado año a raíz de la aparición en la red social TikTok de la cuenta “deeptomcruise” que en cuestión de minutos se volvió viral con millones de seguidores.

En la cuenta se pueden ver imágenes del famoso actor haciendo trucos de magia, tocando la guitarra, promocionando productos de limpieza industrial y otras actividades, todas ellas con el denominador común de ser falsas o, como ahora se dice, “fakes. Esto con un realismo inquietante por las posibilidades, tan buenas como malas, que se nos pueden ocurrir.

Tanto es así que provocan el efecto que se denomina «uncanny valley«. Una hipótesis que afirma que cuando las réplicas antropomórficas se acercan en exceso a la apariencia y comportamiento de un ser humano real, causan una respuesta de rechazo entre los observadores humanos. Vale la pena visualizar algunos vídeos para hacernos una idea hasta dónde puede llegar esta tecnología que no ha hecho más que empezar.

De hecho, según Scientific American, «los humanos encuentran las caras generadas por IA más fiables que las reales«. Lo cierto es que las imágenes generadas por ordenador con Inteligencia Artificial son prácticamente indistinguibles de las caras humanas.

Y esta tecnología plantea muchas cuestiones a las que se les tendrá que dar respuesta. Porque esto va más allá del Photoshop o de los extraordinarios efectos especiales a los que Hollywood nos ha acostumbrado en los últimos años. Ahora cualquiera puede, de forma muy fácil y económica (en Internet hay muchos programas para hacerlo), sustituir una cara en un vídeo o en una foto y que resulte imperceptible al espectador.

Tecnología que permite desde bromear o divertirse poniendo la propia cara a un personaje de ficción en el cine (podemos ser Rick o Ilsa en Casablanca, por ejemplo) hasta hacer campañas de desinformación (políticas o de otro tipo ), creación de escenas porno falsas para chantajear o cualquier otra actuación orientada al fraude, al abuso o cualquier iniciativa orientada a extorsionar a otro.

Naturalmente, como con cualquier nueva tecnología, ya han salido al mercado herramientas para ayudar a identificar a los “deepfakes” y ha comenzado la guerra entre dos tecnologías opuestas. Y también, como era previsible, ya aparecen voces que proponen prohibir la tecnología por los peligros que puede acarrear. Prohibición que, obviamente, tendrá poco recorrido. Creo más posible la instalación en el dispositivo de un software tipo antivirus que detecte los deepfakes, por lo que no seamos tomada de los delincuentes.

Y esto, sin duda, no ha hecho más que empezar.

Como siempre, ¡cuidados!

 

La agresión sexual ya está pasando en el Metaverso

por

Meta afirma que los usuarios no lo usaban correctamente. La plataforma de realidad virtual  Horizon Worlds, apenas acaba de presentarse al público, y los usuarios ya están siendo asediados sexualmente e incluso agredidos, según podemos leer en The Verge.

Empecemos por el principio. ¿Qué es Meta? El pasado mes de octubre, por los que lo desconocen, el inefable Mark Zuckerberg presentó Meta, la nueva marca de Facebook, la finalidad de la cual será dar vida al metaverso y ayudar la gente a conectarse, encontrar comunidades y hacer crecer negocios. En la presentación, Zuckerberg explicó que, a partir de ahora, su compañía se centraría en hacer realidad esta idea, la del metaveros, y, por lo tanto, tenía sentido cambiar el nombre para reflejar mejor sus objetivos: Facebook ahora se llama Meta.

La realidad es que, según parece, el cambio de nombre representa un intento por deshacerse de lo que los propios empleados consideran una marca tóxica y que afecta, cada día más, a la percepción de sus productos. La marca que hasta hace unos años era reconocida y valorada, ha perdido su reputación, justo es decir, que por los errores cometidos por su fundador. Los escándalos de privacidad se asocian cada vez más con la marca FB. Recordamos solo el de Cambridge Analytica que, a pesar de ser de los más famosos, no ha sido el único ni mucho menos.

¿Y qué es entonces el metaverso? Podríamos entenderlo como un ciberespacio evolucionado. En un sentido amplio, involucra una serie de tecnologías, la primera de las cuales es la realidad virtual, caracterizada por mundos virtuales persistentes que continúan existiendo, con vida propia, aunque tú no estés. El acceso al metaversp se hace a través de gafas de realidad virtual como, por ejemplo, Oculus. El metaverso abre nuevos horizontes y un montón de posibilidades. Cómo podía ser Internet a finales de los 70 del siglo pasado. Nadie sabía exactamente cómo sería pero todo el mundo (los que estaban al corriente de la tecnología) tenían la percepción que sería una cosa grande. Bien, al final esta siendo una cosa inmensa que no se ve donde acabará.

Y todo esto es para explicar que la nueva plataforma de Zuckerberg ya ha sufrido el primer tropiezo. En efecto, ya han llegado las primeras denuncias por acoso e incluso por agresión sexual en el metaverso. Según un testigo, “No solo me palparon ayer noche, sino que había otras personas que apoyaron a este comportamiento que me hizo sentir aislada en la Plaza.”

La condición humana no cambia ni tanto solos en el metaverso. Comportamiento delictivo en unos y mirar hacia otro lado, los otros. Está claro que nos tenemos que adaptar a lo que está por venir porque es inevitable. De manera similar a que no podemos ir contra la ley de la gravedad, tampoco podemos ir contra el metaverso. Eso sí, ya de buen comienzo tenemos que asentar las bases de convivencia. Si no, se nos irá de las manos.

Como siempre, cuidaos (en el metaverso, también)!

Octubre: Mes Europeo de la Ciberseguridad (2021)

por

A punto de dejar atrás el proclamado Mes Europeo de la Ciberseguridad (2021), aprovechamos para hacer algunas consideraciones respecto a un tema que, a pesar de las evidencias que tenemos día a día, no acaba de arraigar en la conciencia de los usuarios, de las empresas ni incluso de la Administración Pública.

El lema de la campaña de este año es “Antes de hacer clic, piensa”. Es un eslogan simple pero, precisamente por eso, fácil de recordar y cargado de sentido. La seguridad empieza por conocer todas las consecuencias que puede tener un clic a un enlace que de primeras nos puede parecer inofensivo. A partir de aquí, tenemos que ser conscientes de que la seguridad empieza por un mismo.

“Los ciberataques ponen en riesgo nuestros negocios, nuestras infraestructuras críticas, nuestros datos y el funcionamiento de nuestras democracias”, asegura el Vicepresidente europeo por la Promoción de nuestro Modo de Vida Europeo.

Estamos abocados, cada vez mes, a vivir en un mundo digital (otro día hablaremos de los “metaversos”, entornos donde se interactua social y económicamente con unos avatares, a través de un apoyo lógico en un ciberespacio; al paso que vamos, las películas de ciencia ficción que hemos visto hasta ahora se quedarán muy cortas en sus expectativas) y los ciberdelincuentes aprovechan cualquier vulnerabilidad de nuestro entorno digital para aprovecharse.

Según el último informe de la aseguradora HISCOX, la proporción de víctimas de un ciberataque aumentó del 38% al 43%; una de cada seis empresas víctimas de un ciberataque dicen que su supervivencia está amenazada; los presupuestos de TIC dedicados a la ciberseguridad han subido un 63% y el ransomware se ha convertido en una cosa frecuente: más del 50% de las empresas afectadas pagaron un rescate.

La pandemia ha hecho aumentar los riesgos exponencialmente. El teletrabajo, llevado a cabo de forma precaria obligados por las circunstancias, ha supuesto la exposición de vulnerabilidades de las empresas. Falta de protocolos, de cultura de la ciberseguridad y de recursos TIC han llevado al límite a muchos autónomos, empresas e, incluso, a la Administración Pública (recordamos el ataque al SEPE del marzo pasado que se repitió el junio).

Y todavía tenemos que ser más cautelosos que nunca con el teléfono móvil dado que ya son la principal vía de entrada de ciberataques corporativos en España (aproximadamente el 41% del total de los producidos en el 2021).

Los ataques son de diversa naturaleza: desde el clásico virus informático hasta el cada vez más presente ransomware, pasando para comprometer el mail corporativo, ataques DDoS y pérdidas de datos. Y el phishing continúa siendo la estrella.

En España, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) y is4k (Internet Segura for KIDS) son los principales recursos públicos en materia de ciberseguridad. En Cataluña, además, disponemos de la Agencia de Ciberseguridad de Cataluña.

Como siempre, y ahora más que nunca, cuidaos!

Revisión Textos Legales Web