Seguridad de la Información

EL DNI «y dos huevos duros»

por

Recordamos la célebre frase de Groucho Marx en la película “Una noche en la ópera”.  En un camarote abarrotado, Groucho hace el pedido de comida al camarero y cada vez añade un plato a la lista. Chico, otro hermano, dice: “Y también dos huevos duros”, y Harpo, el tercer hermano mudo, hace sonar la bocina para indicar que, en vez de dos, ponga tres huevos. Y así varias veces.

Me he acordado de esta frase en relación al Informe 48/2023 de la Agencia de Protección de Datos del pasado septiembre, en el que pone de manifiesto la decisión de poner freno a la práctica de que las empresas pidan copias del DNI para identificar a los ciudadanos por cualquier cuestión. Es una costumbre arraigada que empresas y Administración pidan toda suerte de documentación al ciudadano y además “también copia del DNI” (a ser posible por las dos caras).

Existe una tradición heredada de la derogada Ley Orgánica de 1999, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una copia del DNI (o NIE o documento equivalente). Esta práctica sigue llevándose a cabo sin que nadie se la cuestione porque “siempre se ha hecho así” y porqué parece que ofrece más seguridad al tráfico jurídico.

En su Informe, la AEPD considera que el uso de DNI puede resultar excesivo o directamente innecesario para cumplir con la finalidad de identificación.

¿Qué problemas plantea?

El número del DNI no es un dato de categoría especial pero sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.

La suplantación de identidad es un perjuicio muy habitual puesto que pueden realizarse muchas gestiones como dar de alta contratos o cuentas corrientes, registrarse en sitios web de pornografía o juego online, incluso, pedir un duplicado de la tarjeta SIM.

Y también supone un reto de seguridad de la información para las empresas que realizan los tratamientos porque tienen que almacenar los DNIs, en formato analógico o digital, y asegurar su transmisión a terceros. Para compañías que manejan cientos de miles de documentos, incluso de millones, al año, no es un problema menor. Una brecha de seguridad en estos casos puede ser devastadora para su reputación, sanciones al margen.

¿Qué es el principio de minimización?

Está consagrado en el artículo 5.1.c) “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Es decir, solo podemos tratar como responsable únicamente aquellos datos que son estrictamente necesarios para la finalidad perseguida.

¿Qué dice la Agencia?

La Agencia parte de recordar el principio de responsabilidad proactiva, que recoge el RGPD, de forma que cada responsable tendrá que valorar los casos de uso concretos que se le presenten, y hacer juicios de ponderación si fuera necesario, y ver si es procedente o no pedir el DNI o tratar el número o guardar una copia para sus registros. Y, si hay que pedirlo, qué medidas de protección especial se deben aplicar.

Y en el Informe, la Agencia expone unos criterios generales como que la solicitud del número o copia del DNI no puede instaurarse por defecto y que hay que analizar cada supuesto concreto.

Y tampoco puede solicitarse una copia del DNI para el ejercicio de derechos por parte del interesado.

Como en todo, existen excepciones. Por ejemplo, se puede pedir el DNI para cumplir con la normativa en las actividades de prevención del blanqueo de capitales y la financiación del terrorismo porque la ley lo ampara.

Sanciones

Las sanciones son cada vez más frecuentes y de importe más elevado. Mensajería (por fotografiar el DNI), hoteles y plataformas como AirBnb (por pedir copia para hacer la reserva), entidades bancarias por pedir el DNI para hacer un trámite e, incluso, una sanción de 300.000€ a una empresa de selección de personal por vulnerar el art. 5.1.c) del RGPD (minimización de datos) y una infracción del artículo 12 RGPD en el ámbito del ejercicio de los derechos del interesado.

Soluciones

No hay una solución única. Cada responsable tendrá que revisar sus casos de uso y ver qué datos necesita y recoger solo esos. O, si necesita la copia del DNI, justificarlo.

Y ver si hay alternativas menos gravosas para el usuario.

Hay en el mercado soluciones técnicas que permiten, por ejemplo, escanear un documento apantallando (ofuscando, excluyendo, pixelando la imagen, etc.) determinados campos lo que permite guardar solo aquellos estrictamente necesarios.

O enviar códigos alfanuméricos al teléfono móvil que permitirá la identificación del usuario.

Conclusiones

La práctica de pedir el DNI para todo tiene que decaer. Y debe hacerse un esfuerzo por parte de todos para que se acometa la reforma de los sistemas de las empresas lo antes posible. Y tomar medidas también para con los documentos guardados, de los que hablaremos otro día.

Como siempre, ¡cuidaos!  

España, un paso adelante en la supervisión de la Inteligencia Artificial

por
En efecto, la Agencia Española de Inteligencia Artificial (AESIA) comenzará a funcionar en un plazo máximo de tres meses. A finales de agosto, el Consejo de Ministros aprobó el Estatuto de este organismo, que se adscribe al Ministerio de Asuntos Económicos y Transformación Digital. España se convierte así en el primer país europeo en tener un órgano de estas características. Pero empiezan por el principio.
 

¿Qué es la inteligencia artificial?

La inteligencia artificial (IA) es un subcampo de la informática que busca crear sistemas capaces de realizar tareas que requieren inteligencia humana. Estas tareas pueden incluir, pero no se limitan a, la comprensión del lenguaje natural, la percepción visual, la toma de decisiones, la resolución de problemas y el aprendizaje a partir de datos o experiencias anteriores.
 
La IA se basa en diferentes técnicas y teorías, incluyendo los algoritmos de búsqueda, la lógica, el reconocimiento de patrones, el aprendizaje automático, las redes neuronales, la robótica, entre otros.
 

¿Qué es la inteligencia artificial generativa?

Y como todo avanza a toda velocidad, ahora ya disponemos de IA generativa. La inteligencia artificial generativa se refiere a sistemas de IA que pueden generar contenido nuevo que no ha sido previamente visto. En lugar de simplemente analizar datos y extraer información (como lo haría un sistema de IA «discriminativo»), los sistemas generativos pueden crear datos que parecen nuevos y originales.
Esto hace que los problemas que plantea la IA se multipliquen.
 

¿Por qué necesitamos regular la IA?

Las razones son múltiples. Podemos citar unas cuantas como conductas de ética dudosa que afecten a la privacidad de los individuos, razones de seguridad si la IA se utiliza para atacar sistemas de ciberseguridad, opacidad de los algoritmos que esconde como se toman las decisiones, sesgo en la toma de decisiones que afecte a la igualdad de las personas, responsabilidad en caso de decisiones erróneas tomadas por la IA, estimular la innovación hacia direcciones positivas para la sociedad, hacer aportaciones decisivas en el campo económico y laboral si la IA está bien orientada, proteger al consumidor o, por último, para coordinar nuestra regulación con la de otros países, a la manera, por ejemplo, como se ha hecho con la protección de datos en Europa.
La clave es encontrar un equilibrio entre proteger la sociedad y los derechos individuales sin frenar la innovación y el desarrollo tecnológico.
 

¿Qué paso ha dado España?

El Gobierno ha explicado que esta estrategia incluye diferentes planes estratégicos, entre ellos la Estrategia Nacional de Inteligencia Artificial (ENIA) , que tiene como objetivo dar un marco de referencia para el desarrollo de una inteligencia artificial «inclusiva, sostenible y centrada en la ciudadanía».

 

La Estrategia forma parte del Plan de Recuperación, Transformación y Resiliencia (PRTR) , que pretende situar a España como país puntero en inteligencia artificial (IA). La AESIA se adscribe al Ministerio de Asuntos Económicos y Transformación Digital mediante la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Con la creación de esta agencia, España se convierte en el primer país europeo que tiene un órgano de estas características y se anticipa a la entrada en vigor del Reglamento europeo de inteligencia artificial.

 

La figura del DPD en la aplicación de la IA

El Delegado de Protección de Datos, profesional que revisa el cumplimiento de la normativa de privacidad a las empresas y organismos, es la figura idónea para supervisar la utilización de la IA. Como dice la AEPD, «el DPD, incluso en los casos que no sea obligatorio, puede ser de gran utilidad en aquellas entidades que emplean soluciones basadas en IA y que tratan datos personales, o que desarrollan soluciones de IA que hacen uso de datos personales para el entrenamiento de los modelos. A tenerlo presente.
 

Conclusiones

El mundo de la IA, tanto apasionante como lleno de peligros e incertidumbres, ha irrumpido con fuerza en nuestra sociedad. Y todavía sólo hemos visto el principio. Si somos capaces de hacerla nuestra, minimizando las desventajas y potenciando las ventajas para todos, no por unos cuantos, estoy convencido de que estamos ante lo que los americanos dicen un «game changer». Muy disruptivo, quizás, incluso, superando la eclosión de Internet. Veremos.
 
Mientras tanto, ¡cuidaos!

El Espacio Europeo de Datos Sanitarios (EHDS): un inmenso reto para la privacidad

por

Introducción:

Dicen que el camino al infierno está empedrado de buenas intenciones. El pasado mayo de 2022, la Comisión Europea presentó una propuesta de regulación sobre el denominado Espacio Europeo de Datos Sanitarios. La propuesta fue motivada por el descubrimiento de un alto grado de fragmentación, disparidades y dificultades en el acceso y el uso de datos sanitarios electrónicos en los Estados miembros de la Unión Europea. De hecho, las acciones de los Estados miembros en este ámbito se han demostrado claramente insuficientes. La pandemia hizo saltar todas las costuras.

Los problemas

Ahora mismo, los usuarios tenemos dificultades para ejercer nuestros derechos sobre los datos electrónicos de salud, incluyendo el acceso y la transferencia, tanto a nivel nacional como transfronterizos. Por ejemplo, aunque tengamos los datos en digital, los usuarios no estamos en disposición de dar acceso o permitirle a nuestros datos a diferentes proveedores de salud.

Hoy en día, hay diferencias significativas en la aplicación de reglas a través de los Estados miembros por la falta de pautas y recomendaciones. Y eso es lo que pretende mejorar la Unión Europea.

Las buenas intenciones

Pues la Comisión Europea tiene intención de definir estándares y practicas comunes para crear la necesaria infraestructura y certificaciones para establecer un marco de gobernanza común por el uso compartido de datos electrónicos de salud.

Esto permitirá un mayor control de los individuos sobre sus datos, facilitando el acceso y la compartición con los profesionales sanitarios. Y por otro lado, facilitará el trabajo de estos profesionales permitiendo el acceso a la historia médica del paciente, incrementando la base de conocimiento para tomar más decisiones sobre el diagnóstico y el tratamiento de los pacientes.

Los retos (o peligros)

Millones de datos de salud, que recordemos son de categoría especial, gestionados por pacientes y profesionales de la sanidad suponen un reto gigantesco para una UE comprometida, unida y sin fisuras, con la protección de datos.

Y, ¿cuáles son estos retos? Repasemos los principales.

Requerir el consentimiento del paciente para compartir los datos de salud. Y como bien recoge el Reglamento, el consentimiento debe ser explícito, inequívoco, que refleje una manifestación libre, informada de aceptar el tratamiento de datos que le concierne. Y el derecho de retirar el consentimiento en cualquier momento. No parece que la UE lo tenga muy claro. Más bien lo contrario.

Limitar la definición de datos de salud. Ahora mismo, el texto define como «datos de salud» un amplio abanico de 15 categorías que van mucho más allá de lo que entendemos, estrictamente hablando, por información sobre la salud o la atención médica de los pacientes. Algunos ejemplos de datos propuestos como de «salud»: seguro, estatus profesional, educación, consumo de sustancias, bienestar, comportamiento, estilo de vida, … Claramente excesivo, a mi juicio.

Hacer que las finalidades permitidas para el uso de los datos sean precisas y legítimas

La lista de finalidades permitidas del tratamiento de datos de salud es demasiado larga y demasiado inconcreta: por ejemplo, los gobiernos pueden dar acceso a cualquier tercero que considere conveniente para garantizar «altos niveles de calidad y seguridad sanitaria y de medicamentos o dispositivos médicos». El redactado parece hecho por una empresa farmacéutica.

La seguridad de los datos debe ser la máxima prioridad

Una obviedad pero no por ello lo dejaremos de decirlo. Datos sensibles de más de 450 millones de europeos en centros de datos centralizados, es un pastel demasiado llamativo para los ciberdelincuentes. El valor en el mercado negro de estos datos en el mercado negro es incalculable. El daño que puede provocar un ciberataque, también. El reciente episodio del Clínic de Barcelona es un ejemplo de ello.

Conclusiones

Las ventajas de la iniciativa son evidentes. Los peligros, también. Si a este escenario le añadimos Inteligencia Artificial o Big Data, tenemos servido el cóctel explosivo. Y hablamos no sólo del primer uso de los datos (la asistencia sanitaria) sino también del uso secundario, aquel que permite transferir datos a organismos, industrias, investigadores, reguladores, etc. con el fin de mejorar la atención sanitaria, la investigación, la innovación y las políticas.

Veremos. De momento, cuidémonos porque si no lo hacemos nosotros, ¡no sé si lo hará nadie!

A la tercera, ¿va la vencida?

por

El Acuerdo Transatlántico de Protección de Datos (ATP) es un nuevo marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo fue anunciado en febrero de 2021, después de meses de negociaciones, y busca proporcionar un marco actualizado y más sólido para la transferencia de datos personales.

El Acuerdo

El ATP se basa en un conjunto de normas y compromisos que los proveedores de servicios deben cumplir para garantizar que los datos personales sean tratados de manera justa y transparente. Estas normas incluyen la obligación de los proveedores de servicios de proporcionar información clara y concisa sobre cómo se utilizarán los datos personales, así como el derecho de los individuos a acceder y rectificar sus datos personales.

El ATP también establece una serie de controles y medidas de seguridad para proteger los datos personales de los ciudadanos europeos. Estas medidas incluyen la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, así como la obligación de notificar a las autoridades pertinentes en caso de una violación de datos.

Además, el ATP se centra en la supervisión y el cumplimiento. El ATP establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas que no cumplan con los requisitos del ATP se enfrentarán a sanciones y medidas disciplinarias.

Una de las principales diferencias entre el ATP y sus predecesores es que el ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales. Estos compromisos incluyen la promesa de que las autoridades de Estados Unidos solo podrán acceder a los datos personales de los ciudadanos europeos en casos específicos y limitados, y solo si se han agotado otras opciones. Además, el gobierno de Estados Unidos se ha comprometido a crear un mecanismo de recurso independiente para que los ciudadanos europeos puedan presentar quejas y buscar reparación en caso de que se produzcan violaciones de datos.

La falta de acuerdo anterior

El acuerdo anterior, Privacy Shield (Escudo de Privacidad), fue diseñado para proporcionar un marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo se basaba en una serie de compromisos y garantías por parte del gobierno de Estados Unidos en relación con la protección de datos personales.

Sin embargo, en julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró la invalidez del Privacy Shield, argumentando que el marco no garantizaba adecuadamente la protección de los datos personales de los ciudadanos europeos en manos de las empresas estadounidenses.

La decisión fue recibida con preocupación por las empresas que dependen de la transferencia de datos entre Europa y Estados Unidos para llevar a cabo sus operaciones. Las empresas que no pudieron cumplir con los requisitos de Privacy Shield se vieron obligadas a suspender o restringir sus operaciones en Europa.

El impacto en las empresas

El impacto más obvio del ATP en las empresas es que tendrán que cumplir con nuevos requisitos en relación con la protección de datos personales. Esto puede implicar la revisión y actualización de las políticas y prácticas de privacidad, la implementación de nuevas medidas de seguridad, la contratación de personal adicional y la adopción de nuevas tecnologías para garantizar el cumplimiento del ATP.

Las empresas también tendrán que garantizar que las medidas de seguridad técnicas y organizativas que implementan para proteger los datos personales sean adecuadas y eficaces. El ATP establece la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, y esto significa que las empresas tendrán que revisar y actualizar sus medidas de seguridad para garantizar que sean suficientes para proteger los datos personales.

El ATP también establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas tendrán que asegurarse de que están cumpliendo con los requisitos del ATP y estar preparadas para enfrentar sanciones y medidas disciplinarias si no lo hacen.

Otro impacto importante del ATP es que las empresas tendrán que prestar atención a los cambios en la regulación y las prácticas de privacidad en Europa y Estados Unidos. El ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales, y esto significa que cualquier cambio en la regulación o las prácticas de privacidad en Estados Unidos puede tener un impacto en el cumplimiento del ATP.

Además, el ATP puede tener un impacto en la reputación y la confianza de la empresa. Los clientes y los consumidores pueden valorar cada vez más la privacidad y la seguridad de los datos personales, y las empresas que no cumplan con los requisitos del ATP pueden enfrentar críticas y pérdida de confianza por parte de sus clientes y consumidores.

Sin embargo, también hay algunos beneficios para las empresas que cumplen con los requisitos del ATP. Por ejemplo, el cumplimiento del ATP puede mejorar la protección de los datos personales y reducir el riesgo de violaciones de datos, lo que puede tener un impacto positivo en la reputación de la empresa y en la confianza de los clientes y consumidores.

Además, el cumplimiento del ATP puede ayudar a las empresas a cumplir con otras regulaciones y estándares de privacidad en todo el mundo. Muchos países y regiones tienen leyes y regulaciones de privacidad similares al ATP.

Resumen

El Acuerdo no es firme todavía y quizás pasen meses hasta que se ratifique. Mientras tanto, empresas como Meta ya han amenazado con suspender sus transferencias. Teniendo en cuenta que Facebook, Instagram o Whatsapp pertenecen al grupo, el impacto para usuarios, empresas y anunciantes puede ser, en términos sociales, económicos y hasta políticos, de una magnitud muy difícil de prever.

En cualquier caso, ¡cuidad vuestras transferencias internacionales y cuidaos vosotros!

MWC23, reconocimiento facial e inquietudes de privacidad

por

No es ningún secreto que la tecnología nos puede facilitar mucho la vida a las personas. Por ejemplo, a la hora entrar en el Mobile World Congress 2023. Llegas a la entrada al mismo momento que otros centenares de ciudadanos y la primera preocupación es imaginarnos una hora haciendo cola en los mostradores de acreditación. Pero no, la primera agradable sorpresa es que no hay cola. Literal. Si has hecho los deberes y dispones de tu pase de acceso digital, puedes pasar sin detenerte mediante la tecnología de reconocimiento facial. Voilà!

¿Qué es el MWC23?

Según la organización, el MWC es el evento de conectividad más grande e influyente. Y estoy seguro de que lo es. Si, según la RAE, la pornografía es la pólvoraabierta y cruda del sexo que busca producir excitación en el receptor, podemos calificar el espectáculo del Congreso como de tecnográfico.  Busca provocar la excitación en el espectador a base de presentarle abierta y crudamente las más avanzadas tecnologías. Y se ha convertido en una orgía desenfrenada de luz, de color, de imágenes de proporciones gigantescas, de sonidos, comunicaciones, espectáculos, relaciones profesionales, negocio y datos. Sobre todo, datos. Desmesuradas como poco.

La cuestión

Es muy simple. Debemos responder a la siguiente pregunta: a cambio de qué estamos dispuestos a ceder, y en qué parte, la soberanía de nuestros datos, nuestra soberanía digital.

Nuestra imagen en miles de fotografías, centenares de cámaras de vigilancia o, incluso, en selfies hechos en el stand de Samsung. Nuestros datos, incluso biométricos, esparcidos por centenares de empresas que los utilizarán, legítimamente, para múltiples propósitos. Todo impulsado por las últimas tecnologías: Big Data, Inteligencia Artificial, Machine learning, … de las que todavía no tenemos una idea clara de su alcance. ¡Asusta!

Política de Privacidad del MWC: que levante la mano quien la haya leído.

Sí, se tienen que leer, como todo. Y, como todo, no se leen. Vaya de antemano que la Política de Privacidad cumple con todos los requisitos que impone el RGPD. Y sortea bastante bien todas las dificultades que se presentan para regular el uso de tantos datos y de naturaleza tan variada. Podríamos ponerlas, incluso, como modelo para otras organizaciones.

Eso no quita que si paremos en algunas de las cláusulas, éstas resultan escalofriantes. Por ejemplo, la cantidad de datos que proporcionamos voluntariamente (incluidas las biométricas del reconocimiento facial), las informaciones que se recogen automáticamente y las que proporcionan terceras partes (a quienes hemos proporcionado voluntariamente la información).

Pasamos después a ver con quién comparten la información y vemos que lo hacen con empresas afiliadas, agentes, vendedores o proveedores de servicios, compradores potenciales y por imperativo legal. Y además, con cualquier otra persona cuando hayamos consentido la divulgación.

Y en cuanto a la transferencia internacional de datos (fuera del Área Económica Europea, Suiza y UK), nuestros datos biométricos están gestionados por una empresa con base en Hong-Kong. Y si se transfieren a otros países no adecuados, se hace con el apoyo de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

En fin, muchas partes móviles (no es un chiste) en el esquema. Muchos datos, de muchas personas y que gestionan muchas empresas en una variedad de circunstancias. Definitivamente, muy complejo.

Vale decir, también, que nos ofrecen muchas maneras de controlar nuestra información. Repito, todo conforme a ley. Y esta Política de Privacidad puede servir de modelo para otros textos de privacidad.

¿Qué podemos hacer?

Pues preocuparnos nosotros mismos por nuestra privacidad. Está bien que las empresas se preocupen de ello, es su obligación, pero nosotros no podemos rehuir de la nuestra. La privacidad, bien entendida, empieza por uno mismo (como decía un viejo anuncio). Y nuestra privacidad debe ser activa, militante, dispuestos a defenderla en cualquier circunstancia. No podemos tener ninguna expectativa de privacidad si nosotros no somos muy respetuosos con ella. No puede ser de otra manera.

Y para pasar a la acción, lo primero que necesitamos es saber qué sabe Internet de nosotros. Esto lo podemos hacer gracias a nuestro Servicio de Huella Digital apoyados por nuestro partner Youforget.me. A partir de aquí, os ayudaremos a retomar lo que nunca teníamos que haber perdido: la soberanía de nuestros datos.

De pequeño, mis padres siempre me advertían que no aceptara nunca caramelos de desconocidos. Y ahora, de mayor, no hago otra cosa todo el día. ¡Cuidáis vuestra privacidad!

Además del affaire Shakira-Piqué, en el mundo pasan más cosas

por

Por ejemplo, mañana celebramos el Día Europeo de la Protección de Datos. El 2022 ha sido de gran actividad legislativa que afectará a las empresas en esta materia ya en este 2023. Recordaremos las principales y apuntaremos algunos detalles.

En pleno tsunami de la inteligencia artificial –con ChaptGPT como máximo exponente– he tenido la tentación de escribir este post usando esta herramienta que ahora está de moda. No lo he hecho, naturalmente, por muchas razones. Digamos ética, dignidad o vergüenza profesional. Pero lo importante es entender que esta tecnología, como otras, tendrá un impacto enorme en nuestra sociedad. Y que la Protección de Datos toma un papel muy destacado en defensa de nuestra privacidad. Y, como se dice habitualmente, es cosa de todos.

Podemos poner algunos ejemplos. Microsoft saca al mercado VALL-E, una IA como ChatGPT que imita tu voz escuchándote tan solo durante 3 segundos. Imita la voz, la cadencia, incluso, el ambiente. Y para hacerlo fácil (y para intentar aumentar cuota), Microsoft quiere integrar estas herramientas en su buscador Bing. Y, claro, eso ha puesto de los nervios a Google.

Sea como fuere, está claro que las tecnologías avanzan de forma exponencial y, cada día más, tienen un fuerte impacto en nuestra privacidad. Por eso todos, –administraciones, legisladores, operadores jurídicos, empresas y, por supuesto, los usuarios– tenemos que hacer un esfuerzo permanente para que este nivel de protección conseguido con el RGPD no sólo se mantenga, si no que vaya a más.

Avances normativos

Este 2022, el legislador nos ha ayudado aprobando una serie de medidas, todas encaminadas a conseguir, al menos intentarlo, ir a la par con las tecnologías. Recordemos las siguientes:

  1. Ley Europea de Inteligencia Artificial (aplicable a todos los usos que afecten a ciudadanos de la UE).
  2. Ley de Mercados Digitales y la Ley de Servicios Digitales (la primera, para vigilar a las grandes plataformas digitales («gatekeepers«) y la segunda, para crear un entorno online más seguro y responsable).
  3. Nuevo acuerdo de protección de datos entre Europa y EEUU (para sustituir al Privacy Shield).
  4. Directiva NIS 2 (medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la UE).
  5. Propuesta de Reglamento de Ciberseguridad en productos con elementos digitales (para establecer requisitos de ciberseguridad en toda la UE por una amplia gama de productos de software, hardware, navegadores, sistemas operativos y una larga lista de soluciones de procesamiento de datos en remoto).

Todas las iniciativas son muy interesantes y van encaminadas a la protección de los usuarios online. En próximos posts entraremos en más detalle en cada una de las normativas.

Recomendaciones

Como decíamos al principio, la protección de datos es cosa de todos. Nuestra, también. Por lo tanto, mañana 28 de enero, es un buen momento para revisar todas nuestras rutinas de protección y seguridad. Y, si necesitamos ayuda, INCIBE.

Como siempre, cuidámonos y cuidemos nuestros datos!

Ciberseguridad, ¡siempre la ciberseguridad!

por

Hemos hablado de ello muchas veces pero no nos cansaremos al insistir en la importancia creciente que tiene la ciberseguridad en nuestras vidas, personales y profesionales. Debemos ser conscientes de que la tecnología evoluciona muy rápidamente y nosotros debemos seguir esta evolución si queremos seguir siendo competitivos en el mundo profesional y estar tranquilos en la esfera personal.

Y no, la ciberseguridad no es algo que no tiene que ver conmigo o con mi empresa. Tiene que ver y mucho. Sólo hace falta darse una vuelta por páginas como el PortalTIC de Europa Press o por los Avisos de Seguridad de INCIBE. Y si desea impresiones más fuertes puede ver el Mapa en tiempo real de amenazas cibernéticas de Kaspersky. En el momento de escribir este post, España era el octavo país más atacado del mundo.

Y nada escapa a la voracidad de los ciberatacantes. Estafas a cuenta de la guerra de Ucrania, campañas fraudulentas en Whatsapp que piden datos personales a cambio de una cafetera Nespresso o, incluso, venta de historiales médicos en la Dark Web por un euro. Y podemos añadir noticias más genéricas por igualmente impactantes como que más de tres millones de páginas web expusieron sus copias de seguridad por una vulnerabilidad, que los ataques DDos se multiplicaron por 4,5 en el cuarto trimestre de 2021 o 6 de cada 10 españoles tienen malware en su ordenador.

Naturalmente, es para tomárselo en serio. Tanto si queremos preservar los activos intangibles de la empresa (que son más y más importantes de lo que pensamos) como si queremos tener una vida personal sin sobresaltos (otro día hablaremos de la privacidad en las redes sociales) debemos tomar medidas y no bajar la guardia. Nunca.

Y la pregunta recorriendo, en empresas y a nivel personal, es, ¿qué debemos hacer? Pues para empezar, concienciarnos de la importancia de la ciberseguridad. Y podemos realizar un símil muy familiar con la conducción de un automóvil. Pensamos en el tiempo, dinero y atención que le dedicamos al vehículo y los desplazamientos que hacemos. Desde la elección del modelo y sus prestaciones hasta las revisiones periódicas, pasando por disponer de seguro, cumplir la normativa, prever la meteorología y el tiempo a emplear en los desplazamientos y tantas otras variables que controlamos, muchas veces y por rutina, sin ser plenamente conscientes de ello.

Pues lo mismo con nuestros dispositivos, las aplicaciones, el uso que hacemos, las precauciones que tomamos y, en definitiva, la atención que le prestamos a nuestra actividad cibernética. Y, sobre todo, vigilemos a los menores que son los más vulnerables.

Un buen sitio para empezar es la página “Tú Ayuda en Ciberseguridad” de INCIBE. Y para quien tenga dudas sobre el significado de los términos informáticos que se utilizan a menudo en Ciberseguridad, puede acudir al Glosario de términos publicado por INCIBE. Muy completo y fácil de consultar. Recomendable.

Esforcémonos, por bien de todos, en tener una vida cibersegura. ¡Cuidados también en este aspecto!

Octubre: Mes Europeo de la Ciberseguridad (2021)

por

A punto de dejar atrás el proclamado Mes Europeo de la Ciberseguridad (2021), aprovechamos para hacer algunas consideraciones respecto a un tema que, a pesar de las evidencias que tenemos día a día, no acaba de arraigar en la conciencia de los usuarios, de las empresas ni incluso de la Administración Pública.

El lema de la campaña de este año es “Antes de hacer clic, piensa”. Es un eslogan simple pero, precisamente por eso, fácil de recordar y cargado de sentido. La seguridad empieza por conocer todas las consecuencias que puede tener un clic a un enlace que de primeras nos puede parecer inofensivo. A partir de aquí, tenemos que ser conscientes de que la seguridad empieza por un mismo.

“Los ciberataques ponen en riesgo nuestros negocios, nuestras infraestructuras críticas, nuestros datos y el funcionamiento de nuestras democracias”, asegura el Vicepresidente europeo por la Promoción de nuestro Modo de Vida Europeo.

Estamos abocados, cada vez mes, a vivir en un mundo digital (otro día hablaremos de los “metaversos”, entornos donde se interactua social y económicamente con unos avatares, a través de un apoyo lógico en un ciberespacio; al paso que vamos, las películas de ciencia ficción que hemos visto hasta ahora se quedarán muy cortas en sus expectativas) y los ciberdelincuentes aprovechan cualquier vulnerabilidad de nuestro entorno digital para aprovecharse.

Según el último informe de la aseguradora HISCOX, la proporción de víctimas de un ciberataque aumentó del 38% al 43%; una de cada seis empresas víctimas de un ciberataque dicen que su supervivencia está amenazada; los presupuestos de TIC dedicados a la ciberseguridad han subido un 63% y el ransomware se ha convertido en una cosa frecuente: más del 50% de las empresas afectadas pagaron un rescate.

La pandemia ha hecho aumentar los riesgos exponencialmente. El teletrabajo, llevado a cabo de forma precaria obligados por las circunstancias, ha supuesto la exposición de vulnerabilidades de las empresas. Falta de protocolos, de cultura de la ciberseguridad y de recursos TIC han llevado al límite a muchos autónomos, empresas e, incluso, a la Administración Pública (recordamos el ataque al SEPE del marzo pasado que se repitió el junio).

Y todavía tenemos que ser más cautelosos que nunca con el teléfono móvil dado que ya son la principal vía de entrada de ciberataques corporativos en España (aproximadamente el 41% del total de los producidos en el 2021).

Los ataques son de diversa naturaleza: desde el clásico virus informático hasta el cada vez más presente ransomware, pasando para comprometer el mail corporativo, ataques DDoS y pérdidas de datos. Y el phishing continúa siendo la estrella.

En España, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) y is4k (Internet Segura for KIDS) son los principales recursos públicos en materia de ciberseguridad. En Cataluña, además, disponemos de la Agencia de Ciberseguridad de Cataluña.

Como siempre, y ahora más que nunca, cuidaos!

¿Smishing?

por

INCIBE alertaba ayer de una nueva amenaza de smishing, es decir, SMS que suplantan la identidad para capturar tus datos. La entidad afectada en este caso es el BBVA. Se ha detectado una campaña de envío masivo de SMS fraudulentos que, simulando provenir del BBVA, informan que la cuenta ha sido desactivado y piden al empresario o trabajador que pinche sobre un enlace para verificar la información.

Naturalmente, si sigues el enlace te piden tus credenciales de acceso a la cuenta a fin de “verificarlas”. A partir de aquí, tenemos un problema.

Entre las muchas amenazas que nos rodean en el ámbito de la Ciberseguridad, el smishing puede ser del que menos se habla. Y, curiosamente, la media de usuarios desconfía menos de un SMS que, por ejemplo, un correo electrónico que, como ya sabemos a estas alturas, puede ser malicioso (phishing). Y estas no son las únicas, ni mucho menos. Recientemente, Microsoft alertaba de una nueva estafa que usa archivos de Excel maliciosos. Correos electrónicos falsos, llamadas que se hacen desde centros ilegales y código que incluye malware en las hojas de Excel forman parte de la estrategia para llevar a cabo el ataque.

Y las empresas, ¿Qué tienen que hacer para gestionar los incidentes de seguridad?

La gestión de incidentes de seguridad es una tarea capital para poder minimizar cualquier amenaza que pueda vulnerar la seguridad de nuestra empresa. Conviene recordar aquí que vulnerabilidad es una debilidad o fallo en un sistema de información que puede permitir un ataque. Y amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Nuestra obligación, por lo tanto, es conocer las amenazas (cuestión externa) y evitar las vulnerabilidad (cuestión interna).

Cuando hablamos de incidentes de seguridad y su gestión, tenemos que considerar, como mínimo, las siguientes cuestiones:

  • Definir una Política de gestión de los incidentes que incluya un plan de respuesta.
  • Conocer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conocer los Pasos para la gestión de los incidentes, para ofrecer una respuesta adecuada y minimizar los posibles efectos adversos en la organización
  • Aprender sobre Medidas preventivas adicionales que aumenten nuestras posibilidades de éxito
  • Preparar un Plan de contingencia y continuidad, asegurando una respuesta rápida y poder recuperar rápidamente la actividad del negocio

En temas de Ciberseguridad no podemos bajar la guardia. Tanto a nivel personal como profesional y empresarial, tiene que ser una de nuestras prioridades. Tengamos presente que un incidente de seguridad puede arruinar nuestra reputación y todos nuestros esfuerzos.

Como siempre, ¡cuidaos mucho!

Revisión Textos Legales Web