//
Archivos

Noticias sobre privacidad y seguridad de la información

Esta categoría contiene 131 entradas

La AEPD lanza un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones

La Agencia publica esta nueva sección para conmemorar el Día mundial de los derechos de los consumidores que se celebra cada 15 de marzo

  • Existen varios organismos competentes en esta materia, por lo que resulta fundamental que el ciudadano sepa ante cuál tiene que presentar su reclamación en función de las circunstancias concretas y cómo debe hacerlo
  • Este espacio web forma parte del conjunto de iniciativas adoptadas por la Agencia para fomentar la concienciación de los ciudadanos sobre los derechos que les asisten y cómo ejercerlos
  • La sección ha sido elaborada por la AEPD en colaboración con la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital y la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición

(Madrid, 14 de marzo de 2017). Con motivo de la celebración del Día mundial de los derechos de los consumidores el 15 de marzo, la Agencia Española de Protección de Datos (AEPD) ha publicado un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones.

La creación de esta sección forma parte del conjunto de iniciativas adoptadas por la Agencia para fomentar la concienciación de los ciudadanos sobre las garantías y los derechos que les asisten y cómo ejercerlos. Por un lado, una gran parte de las denuncias que recibe la Agencia en asuntos como la inserción indebida en ‘ficheros de morosidad’ o la contratación irregular tiene relación con el sector de las telecomunicaciones y, por otro, al haber varios organismos públicos con competencias en esta materia, resulta fundamental que el ciudadano conozca ante qué organismo debe presentar su reclamación en función de las causas que la motivan.

La Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD), la AEPD y los organismos de consumo son las principales entidades públicas con competencias en materia de telecomunicaciones, cada una en sus respectivos ámbitos. Para que el ciudadano pueda obtener una respuesta adecuada a su reclamación es esencial que la plantee ante el organismo adecuado, así como aportar la máxima documentación posible.

La página está dividida en cuatro espacios: Qué puedo reclamar y Dónde debo dirigirme; Cómo puedo reclamar; Preguntas frecuentes, donde los ciudadanos encontrarán la respuesta a casos concretos; y Qué documentación tengo que presentar en caso de contratación irregular o fraudulenta, por deudas derivadas de servicios de telecomunicaciones o por inclusión indebida en guías de abonados.

El espacio web ha sido elaborado por la AEPD en colaboración con la SESIAD y la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) con el objetivo de que los consumidores y usuarios sepan desde el primer momento ante qué organismo pueden reclamar sus derechos en función de su problema concreto (disconformidad con la factura recibida, incumplimiento de oferta, contratación irregular de un servicio, información engañosa, cláusulas abusivas, etc.) La Agencia recuerda además que, en el caso de plantear una reclamación, su tramitación será más ágil cuantas más pruebas o indicios pueda aportar el usuario.

La inserción indebida en ficheros de morosidad y la contratación irregular, dos de las áreas en las que la Agencia tiene competencias, se encuentran entre las principales reclamaciones que plantean que los ciudadanos ante este organismo. Hay que tener en cuenta que la incorporación a un fichero de este tipo tiene unos efectos especialmente negativos para los consumidores, por lo que la Agencia considera que las empresas deben actuar con especial diligencia ante este tipo de situaciones.

Según datos de la última Memoria de la AEPD, uno de cada tres afectados denunció ante la Agencia por cuestiones relacionadas con el ámbito de la morosidad, en particular la inclusión indebida en ficheros de solvencia, la reclamación de deudas o la contratación irregular en servicios ofrecidos por operadoras de telecomunicaciones, entidades financieras o compañías energéticas.

Fuente: AEPD

Anuncios

Afectados más de 1 millón de clientes de Orange en un nuevo robo masivo de datos

Orange ha sido víctima de un nuevo ataque cibernético, el segundo en solo tres meses. Los hackers han robado los datos de más de un millón de clientes del grupo de telecomunicaciones más grande de Francia, según ha informado la propia compañía.

Nombres, fechas de nacimiento, direcciones de correo electrónico y números de teléfono de cerca de 1,3 millones de usuarios de Orange fueron expuestos el mes pasado durante un nuevo ataque de piratas informáticos. Orange asegura que el robo de datos no ha afectado a los números de las tarjetas de crédito. Los hackers consiguieron acceder a una plataforma que la compañía utiliza en sus campañas promocionales en Francia para enviar e-mails y mensajes de texto.

Según explica Orange en un comunicado que recogen medios como France Press, lograron acceder a “una cantidad limitada de datos personales de clientes y de potenciales clientes” y ya se han puesto en práctica“todas las acciones necesarias para corregir las disfunciones técnicas pertinentes y para evitar cualquier nuevo acceso ilegítimo a estos datos”. La compañía asegura que todos los implicados han sido informados y que la seguridad de los datos de sus clientes es “más que nunca” una de sus prioridades.

Este nuevo ciberataque a la base de datos de Orange pone más presión si cabe sobre la compañía y sus sistemas de seguridad después de que a principios de año también fuera víctima de los hackers, con más de 800.000 datos de clientes expuestos.

Fuente: Facua.

https://www.facua.org/es/noticia.php?Id=8427

 

FACUA denuncia a Vodafone ante la AEPD por reclamar una deuda de 1.800 euros ya anulada en arbitraje

El usuario contrató una restricción de consumo de 85 euros pero recibió facturas hasta diez veces más elevadas.

FACUA-Consumidores en Acción ha denunciado a Vodafone ante la Agencia Española de Protección de Datos (AEPD) por reclamar a un usuario una falsa deuda de 1.882 euros que incluso había sido anulada en un arbitraje de consumo.

Pese a la existencia del laudo, que tiene el valor de una sentencia judicial, la compañía ha facilitado ilegalmente a varias empresas de cobro de morosos los datos del usuario, el onubense Francisco Javier Moreno, y lo ha incluido en el fichero Asnef.

FACUA está desarrollando una campaña, bajo el lema #yonosoymoroso, en la que llama a denunciar a las empresas que les reclamen el pago de deudas falsas o fraudulentas. Para ello, asociación pone a disposición de los usuarios un formulario de reclamación para exigir sanciones por estas prácticas ilegales.

Fijó un límite de consumo de 85 euros y le enviaron recibos hasta diez veces más altos

El caso de Francisco Javier comenzó en mayo de 2010, cuando  recibió una factura de Vodafone por un importe de 1.064 euros, debido a su elevado consumo en llamadas internacionales. Al ver la cantidad tan alta, decidió activar en el servicio de atención al cliente de la compañía de telecomunicaciones su servicio de límite de consumo, que fija un tope de 84,70 euros (70 más el 21% de IVA) a partir del cual se debe paralizar el servicio.

Al realizar la restricción, Vodafone le indicó que incluía todas las llamadas, incluso cuando el usuario le señaló que realizaba habituales llamadas internacionales desde su terminal. Sin embargo, al usuario le continuaron llegando facturas muy elevadas en junio, julio y agosto, por 711, 316 y 813 euros, respectivamente.

Al ponerse en contacto con el servicio de atención al cliente de Vodafone, le indicaron que había superado la restricción y que además le habían suspendido el servicio desde el día 11 de junio, cuando supuestamente sobrepasó el límite. Lo que no le explicó la compañía fue por qué entonces le emitían facturas que superaban hasta diez veces el tope fijado.

El usuario puso el caso en manos de FACUA Huelva, que ante la negativa de Vodafone a asumir su error solicitó someter el caso a un arbitraje de consumo.

Un arbitraje determinó que debía rectificar las facturas

En su laudo, fechado en octubre de 2011, la Junta Arbitral Provincial de Huelva estimó que Vodafone debía rectificar las tres facturas al considerar que la compañía “debió limitar el consumo a los 70 euros desde que el cliente lo requiere”, “en la creencia de que afectaba a todas las llamadas y no es advertido que no se puede aplicar el límite a las llamadas internacionales, cuestión por la que no ha de responder el cliente de la compañía”.

Pese a que el laudo tiene valor de sentencia judicial, Vodafone no sólo no lo ha cumplido sino que ha facilitado ilegalmente los datos del usuarios a varias empresas de gestión de cobros para que le reclamen el pago de las facturas, además de incluirlo en Asnef.

Ante esto, FACUA Huelva ha denunciado a Vodafone ante la AEPD por vulnerar la Ley Orgánica de Protección de Datos de Carácter Personal, que establece sanciones de decenas de miles de euros por este tipo de irregularidades.

 Fuente: FACUA

https://www.facua.org/es/noticia.php?Id=7628

Facebook modifica sus términos y condiciones para usuarios y desarrolladores

Facebook, esa pequeña red social cuya población asciende ya a más de mil millones de habitantes hiper-conectados en su día a día, modificó recientemente sus términos y condiciones. Lo que dado la magnitud de Facebook en la actualidad, debe recordarse que de ser un país sería el tercero con más población, podría decirse que es casi equivalente a la reforma constitucional de un estado.

red social grupo de personasAhora bien, ¿cuál de la docena de políticas de Facebook han sido modificadas? Pues tres de los pilares básicos, tanto para el usuario habitual como para el desarrollador de aplicaciones: la Declaración de derechos y responsabilidades, la Política de uso de datos y las Facebook Platform Policies.

¿Pero en qué consisten los cambios? La Política de Uso de Datos en su versión en castellano no ha sido todavía puesta al día, sí en su versión en inglés. Veámoslo documento por documento:

Declaración de derechos y responsabilidade<
El cambio más importante es el relativo a las modificaciones de la misma, apartado 14. Antes Facebook siempre debía comunicar a través de sus canales oficiales los cambios propuestos en sus términos y condiciones. Eso debía hacerlo al menos 7 días antes de implementarlos si afectaban directamente a los usuarios y mínimo 3 días antes si afectaban a anunciantes, programadores de apps u otros grupos. Además, antes los cambios de tipo legal, administrativo o para corregir erratas también debían comunicarse (aunque no eran debatibles como el resto). Ahora eso se ha acabado.

Los cambios por razones legales, administrativas o para corregir una errata, ya no requerirán de aviso o comunicación previa de ningún tipo. El resto de cambios basta que se comuniquen con 7 días de antelación (ya no se habla de “mínimo”).

Pero hay más. Antes todo cambio menos los relativos a cuestiones legales, administrativas o erratas, debían ser objeto de comentario por los usuarios. Si más de 7000 usuarios comentaban las modificaciones propuestas, debía realizarse una votación con distintas alternativas de los cambios y si un 30% de la comunidad de Facebook participaba en la votación, lo elegido vinculaba a Facebook. Pero todo este proceso de partición directa de la comunidad desaparece. Se dice que a los usuarios se les dará una oportunidad para comentar los cambios propuestos, pero no se dice dónde ni cómo (se ha hablado por ejemplo de foros centrados en ello o sesiones en directo con los responsables de privacidad de Facebook cada determinado tiempo). Lo que es seguro es que la nueva Declaración nada dice sobre estas otras formas de comentar futuros cambios.

Política de uso de datos

Hay bastantes más cambios, pero sobre todo cuatro merecen ser destacados.

Para empezar, y en relación a nuestro Facebook email, que incluye nuestro nombre de usuario público, si bien antes era posible controlar quién nos enviaba un mensaje o iniciaba una conversación, ya no. Ahora cualquier usuario incluido en un hilo podrá enviarnos un mensaje.

Luego, en el apartado “Encontrarte en Facebook”, se ha eliminado la referencia a que en caso de elegir “Sólo amigos” nadie más que ellos podrían encontrarnos. Ahora se dice que cualquiera puede enlazar a nuestro perfil o encontrarnos en la red social a través de otra gente, mediante lo que comparten sobre nosotros, cuando nos etiquetan en una foto o cuando comentamos en una página pública. Por tanto ahora dentro del propio Facebook ya es posible que cualquier usuario nos encuentre, sea amigo o no.

Por otra parte, en el apartado sobre “Respondiendo a requerimientos legales y evitando daños”, se ha añadido un inciso final muy llamativo, el cual señala que Facebook puede retener la información de cuentas desactivadas por incumplir sus términos y condiciones (no se indica ninguno en particular, por tanto hay que entender que afecta a cualquier punto) por al menos 1 año. Todo ello con la finalidad de evitar la repetición de abusos o infracciones similares de sus términos.

Finalmente, el cambio más importante, en el bloque VI se ha incorporado el famoso apartado “Afiliados” del que tanto se ha hablado estos días. En literalmente cuatro líneas Facebook viene a decir que la información que hemos compartido con ellos, la pueden compartir a su vez con sus afiliados, entendidos estos como empresas que legalmente forman parte del mismo grupo que Facebook. Simultáneamente, estos afiliados pueden compartir su información con Facebook. Todo ello para que ambas partes nos entiendan mejor como usuarios y nos den un servicio de mayor calidad.

Este cambio parece estar pensado para que la gran cantidad de información de los usuarios de Instagram (adquirida este año por Facebook y ya por encima de los 100 millones de usuarios), pase a engrosar las bases de datos de Facebook y viceversa. Es decir, Facebook se apunta a la tendencia de integrar bases de datos de diferentes servicios del mismo grupo que hasta ahora habían mantenido separados, como hizo Google en marzo o Microsoft (a más pequeña escala) en octubre, con la finalidad de segmentar más y más al usuario y ofrecerle servicios, pero sobretodo publicidad, quasi teledirigida. En cuanto a esta nueva Política de uso de datos, éste es probablemente el cambio con mayor significación. Pero no sólo por lo dicho y el efecto Instagram, sino porque Facebook constantemente está adquiriendo empresas (sólo este año 9), y con todas esas y las que puedan llegar (recordemos el rumor de WhatsApp), también se va a producir ese trasvase continuo de información. Es un cambio por tanto delicado que dará lugar a perfiles tremendamente ricos y detallados sobre el comportamiento online de muchas personas.

Facebook Platform Policies

Es preciso recordar que éstas afectan directamente a los desarrolladores de apps en la plataforma, no tanto al usuario habitual (aunque también). Los cambios son relativos al apartado II, “Storing and Using Data You Receive From Us“, concretamente los puntos 4, 5, 9, 10 y 14.

  • El punto 4 obliga ahora a que la app del desarrollador muestre de forma clara un enlace hacia la Pol. de Privacidad de la misma. Mientras eso no ocurra, la información personal recopilada por la app únicamente puede usarse para lo imprescindible, es decir la utilización de la app por el usuario. Para nada más.
  • El punto 5 amplía las restricciones, y no sólo se darán en caso de transferencia sino también uso de la información.
  • El punto 9 prohíbe ahora no solo la venta de datos surgidos de Facebook, sino también la compra de datos de cualquiera que los venda.
  • El punto 10 obliga al desarrollador a eliminar toda la información de un usuario recibida por parte de Facebook, cuando ese usuario abandona el servicio o desactiva la aplicación.
  • Finalmente, el punto 11 no sólo limita el acceso de terceros a la clave secreta, sino también a los tokens de entrada.

Y hasta aquí los cambios más recientes en los términos y condiciones de de Facebook

Fuente: INTECO-CERT

 

Herramientas de seguridad gratuitas

Hay una larga historia de software de seguridad gratuito, y aquí están algunos de los productos más conocidos que puede probar dentro de su propia red, aunque sólo sea para descubrir lo vulnerable que eres.

seguridad informatica herramientas gratisObviamente existen decenas de otras herramientas pero el objetivo es identificar al menos las más conocidas:

 

 

  1. Antivirus gratuitos: AviraAvastAVG y Microsoft Security Essentials.
  2. Firewall: Zone Alarm y Comodo
  3. Arpwatch es una herramienta para monitoreo de ancho de banda en redes
  4. Linux Security Toolkit incluye herramientas de seguridad y para el diagnóstico y seguimiento de redes
  5. PacketSquare es herramienta de análisis de protocolos para probar dispositivos de red que incluyen routers, detección de intrusos y sistemas de prevención y switches
  6. Cheops NG, conocido como la navaja suiza de la red, es una utilizada para el monitoreo de la red, con la posibilidad de sondear hosts para analizar lo que está en ejecución.
  7. Hydra Network Logon Cracker se puede utilizar para detectar contraseñas débiles
  8. SNMP Brute es una herramienta para probar contraseñas SNMP por fuerza bruta
  9. Wireshark es un analizador de paquetes y protocolos
  10. Metasploit Framework es la herramienta para realizar pruebas de penetración
  11. Ncat es una herramienta para leer y escribir datos sobre IPv6 e IPv4
  12. NetStumbler es una herramienta de descubrimiento de red inalámbrica
  13. Nmap Security es una utilidad para scanear y realizar auditoría de seguridad sobre redes
  14. Snort es un IDS utilizado para la detección de intrusiones
  15. AirCrack es una suite de herramientas para cracking de 802.11a/b/g/ WEP y WPA
  16. Foca: herramienta para realizar descarga y análisis de metadatos de archivos

Fuente: Networkworld

 

INTECO publica el Informe «Adecuación a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico»

Este informe desgrana los aspectos más relevantes de la Ley de Servicios de la Sociedad de la Información para facilitar a los prestadores de estos servicios su adecuación y cumplimiento, y a los consumidores el conocimiento de sus derechos

La Ley de Servicios de la Sociedad de la Información o LSSI, establece el marco jurídico para garantizar que las actividades comerciales a través de Internet tienen el mismo trato que las homólogas en el entorno físico.

Esta Ley se articula en torno al concepto de servicios de la sociedad de la información, es decir, todo aquel servicio que represente una actividad económica para el prestador, siendo éste cualquier persona física o jurídica que ofrezca estos servicios por vía electrónica.

Entre estos servicios, por vía electrónica, se incluyen:

  • la contratación de bienes y servicios
  • las subastas
  • el vídeo bajo demanda
  • el suministro de información por vía electrónica
  • las comunicaciones comerciales
  • las actividades de intermediación, es decir las que facilitan el acceso al resto de servicios: provisión acceso a Internet, transmisión de datos, copia temporal de páginas web, alojamiento y servicios de búsqueda

La prestación de servicios de la Sociedad de la Información, dirigidos a destinatarios en España, se realizará bajo el régimen de libre prestación de servicios, es decir, no se requiere autorización previa. Pero los proveedores establecidos en España deben comunicar al Registro Mercantil, o a cualquier otro Registro Público, el nombre de dominio o dirección de Internet que utilicen para su identificación en Internet.

Desde la página web desde la cual se prestan los servicios el prestador debe informar de forma «permanente, fácil, directa y gratuita» sobre determinados datos relativos a su identificación y las condiciones de suscripción o compra de los bienes o servicios. El incumplimiento de este deber de información lleva aparejadas importantes sanciones.

Esta Ley también regula el envío de comunicaciones comerciales y las ofertas promocionales engañosas. Por ejemplo, prohíbe y sanciona, con multas de hasta 150.000 €, el envío de publicidad (spamming) salvo que el destinatario haya prestado su consentimiento.

En cuanto a los contratos electrónicos, con las excepciones previstas en la Ley, establece las obligaciones previas y posteriores a su celebración, sancionando con multas su incumplimiento. Además equipara su validez y eficacia a los realizados en papel, siendo también admisibles en un juicio.

Por otra parte, se establecen obligaciones para los prestadores de servicios de intermediación: de colaboración para forzar el cese de las actividades delictivas y de retención de datos de conexión y tráfico, como medida aplicable para la investigación de delitos.

Para los casos de conflicto entre los consumidores y los prestadores se incluyen mecanismos adicionales a los habituales para agilizar y facilitar la solución judicial (acción de cesación) y extrajudicial (arbitraje) de los mismos.

Finalmente la Ley califica las infracciones en: leves, graves y muy graves con multas de hasta 600.000 €, y también prevé medidas provisionales y multas coercitivas al prestador para evitar el mantenimiento de los efectos de la infracción.

El informe se encuentra disponible en la Sección de Estudios e Informes y a través del siguiente enlace:

Fuente: INTECO

Nueva guía de INTECO: “Riesgos y buenas prácticas en autenticación online”

Guia autenticación

27/11/2012

La necesidad de comprobar la identidad de los usuarios es uno de los pilares para la prestación y acceso seguro a servicios de Internet

 El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado la “Guía sobre riesgos y buenas prácticas en autenticación online”  con el objetivo de informar sobre las ventajas de la comprobación y verificación de la identidad de los usuarios y empresas en sus trámites a través Internet (certificados, DNIe, firma electrónica, etc.), identificar los posibles riesgos para la seguridad y la privacidad, y ofrecer una serie de pautas y recomendaciones que sirvan para prevenirlos y mitigarlos.

Desde sus inicios, Internet se sustenta en buena medida en la comprobación de la identidad de sus usuarios. Desde el momento en que se abre una cuenta de correo electrónico o un perfil en una red social, se está creando un espacio restringido al que únicamente el usuario titular del mismo debería acceder. Por ello, es necesario que cada vez que se intenta acceder a los servicios en Internet se compruebe que quien desea hacerlo sea realmente quien dice ser y disponga de los permisos necesarios para ello.

Actualmente ciudadanos y empresas utilizan diferentes métodos de autenticación online, tanto para acceder a espacios y servicios online como para utilizar la firma electrónica ya sea para firmar o para comprobar la firma de algún documento e incluso programas. Esta firma electrónica ya es utilizada por el 40,1% de las empresas, según los últimos datos recogidos por INTECO.

Aunque estos métodos podrían ser muy variados, actualmente hay dos que destacan especialmente, el uso de contraseñas y, en España, el uso del DNI electrónico. Este último ya lo poseen más de 30 millones de ciudadanos, y según los últimos datos es utilizado por un 20,7% de los internautas. A pesar de ello, uno de los campos en desarrollo que más podrían afectar a los métodos de autenticación es la biometría, que permitiría la autenticación a través de las huellas dactilares, el iris o la voz por ejemplo.

Riesgos en la autenticación en Internet

Los principales problemas que pueden ocurrir en un proceso de autenticación son los falsos positivos y los falsos negativos, es decir, que se haga una comprobación de identidad errónea permitiendo el acceso a quien no se debería permitir o bloqueando a quien se debería autorizar.

Uno de los principales riesgos asociados a un mal funcionamiento de los sistemas de autenticación es la suplantación de identidad. El mero hecho de que alguien trate de acceder a un servicio o espacio restringido haciéndose pasar por un usuario legítimo podría considerarse una suplantación, pero esta situación puede ir más allá si además actúa simulando ser otra persona.

Estos y otros problemas pueden derivarse de que el sistema no sea suficientemente seguro, por ejemplo que cuente con un método de autenticación principal bien definido pero que, en caso de situaciones como el olvido de las contraseñas, permita utilizar métodos secundarios poco robustos como contestar preguntas de seguridad de las que cualquier persona cercana conozca las respuestas (nombre de la madre, primer colegio, etc.). Esta alternativa en el método secundario inutiliza todas las medidas de seguridad del método principal.

Pero estos problemas también pueden deberse a errores e imprudencias de los propios usuarios, ya se produzcan por desconocimiento o por exceso de confianza. Por ello esta guía incluye una serie de recomendaciones dirigidas a los usuarios y a los administradores y desarrolladores de sistemas de autenticación.

De entre las recomendaciones para los usuarios destacan la exigencia de complejidad en las contraseñas (8 caracteres como mínimo incluyendo mayúsculas, minúsculas, números y símbolos) y su sustitución con cierta regularidad. Además, se recomienda configurar correctamente las opciones de seguridad que cada servicio ponga a disposición de los usuarios.

Fuente: INTECO

INTECO advierte de una ola de mensajes falsos relativos al WhatsApp

Logo Whats App

29/11/2012

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Oficina de Seguridad del Internauta (OSI) ha difundido un boletín en el que advierte de la existencia de una ola de mensajes falsos o bulos relativos al WhatsApp.

WhatsApp va a costar 0,01€. El mensaje mándalo a 10 personas”, así comienza el último bulo o mensaje falso distribuido a través del WhatsApp, pero no es el único.

Según informa la OSI, actualmente son dos los bulos que están circulando a través de la aplicación de chat para dispositivos móviles. Uno de ellos se aprovecha del fallo de la aplicación que provocó que ayer el estado de todos sus usuarios se cambiase por «Error: status unavailable» y el otro, similar, alude al estado «unavailable» de los contactos.

Aunque la compañía logró solucionar el error y restablecer el servicio con normalidad, el bulo se ha seguido extendiendo. Los últimos mensajes detectados incitan al usuario a reenviar el texto entre sus contactos de la aplicación, con la excusa de que si no lo hacen, WhatsApp pasará a ser de pago y los mensajes ya no saldrán gratis como hasta ahora.

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la OSI, aconseja que, para evitar ser engañado con trucos de ingeniería social, se configuren correctamente las opciones de seguridad en el smartphone y se utilice el sentido común:

  • No creer todos los mensajes que se reciban, a través de las distintas aplicaciones instaladas, en el smartphone.
  • No entrar en el juego de reenviar cualquier mensaje que se reciba.
  • No pinchar en enlaces cuya procedencia es desconocida.
  • Instalar un antivirus actualizado en el dispositivo. Se pueden encontrar antivirus gratuitos en la sección de «útiles gratuitos» de la web de INTECO.

Si se duda sobre la veracidad de un determinado mensaje, lo mejor siempre es consultar la página web de la aplicación, en este caso http://www.whatsapp.com/ o verificar la información en terceras partes de confianza.

No se puede olvidar que los smartphones pueden ser utilizados para navegar por Internet, leer el correo electrónico, acceder a las redes sociales, jugar online, etc. Por este motivo, todas las recomendaciones de seguridad, proporcionadas en el portal de la Oficina de Seguridad del Internauta (www.osi.es), son aplicables a estos dispositivos, ya que, las técnicas de engaño/estafa utilizadas por los delincuentes, pueden ser las mismas y/o muy parecidas a las utilizadas con los usuarios de ordenador.

Ante cualquier duda, puede solicitar ayuda a través del servicio de «soporte por chat» o «atención telefónica» de la OSI.

FUENTE: INTECO

Los tablet perdidos por nuestros representantes públicos, ¿no son un incidente de seguridad en toda regla?

Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.

Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.

Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.

¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..

¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que “supuestamente” han sido extraviados.

Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.

Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:

Artículo 90. Registro de incidencias.

“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “

Artículo 100. Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Y, además, el artículo 101.2, bajo el epígrafe “Gestión y distribución de soportes”, señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 

¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.

1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.

2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.

Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.

Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.

Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.

Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.

Hemos hablado en este post de los tablets “perdidos o extraviados” y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que “a buen entendedor pocas palabras bastan”.

FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos

Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.

FACUA-Consumidores en Acción ha denunciado a la Agencia Estatal de Seguridad Aérea (AESA) ante la Agencia Española de Protección de Datos (AEPD).

La empresa Autopress Marketing SL está realizando una encuesta sobre la satisfacción de los usuarios con la calidad de la atención ofrecida por la AESA al dirigirse al organismo para solicitar información o presentar reclamaciones contra compañías aéreas.

Aunque la AESA debe obtener el consentimiento de los usuarios para ceder sus datos a Autopress, una socia de FACUA ha recibido un correo electrónico de la empresa sin que previamente la Agencia le hubiese pedido autorización.

C.S.R., de Málaga, recibió el 4 de noviembre un correo desde la dirección cuestionario@anuato.com, que comenzaba con este texto: “Nos ponemos en contacto con usted desde Autopress Marketing, S.L., tras el envío por parte de la Agencia Estatal de Seguridad Aérea (AESA) de un correo electrónico solicitándole su colaboración, como usuario de sus servicios, para un estudio de satisfaccion de la propia AESA”.

Pero la usuaria, que se había dirigido hace meses a la AESA para presentar una reclamación contra la aerolínea Helitt, no había recibido correo alguno de la Agencia sobre la citada encuesta.

Un día después del primer correo, C.S.R. recibió otro, esta vez remitido por la AESA, en el que le pedía permiso para ceder sus datos a Autopress para participar en el sondeo, cuando en realidad ya lo había hecho.

“Entenderemos su disposición a colaborar en dicho estudio si en el plazo de una semana desde la fecha de envío de este escrito, no nos comunica su negativa”, advierte la Agencia en su correo.

Pide a la AEPD que investigue si se han cedido datos de otros usuarios

FACUA ha pedido a Protección de Datos que investigue si la AESA también ha cedido los datos de otros usuarios sin su consentimiento, práctica que vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su artículo 11, la Ley plantea que “los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

La asociación también se ha dirigido a la AESA, a la que ha requerido que verifique el origen del error que le ha llevado a cometer esta irregularidad y evalúe sus dimensiones así como las medidas para subsanarla.

Fuente: Facua

Estadística del blog

  • 113,059 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: