Protección de datos fuera de la UE

Protección de datos fuera de la UE

Los datos – el oro del mundo digital, el petróleo de la industria 4.0 y la base del modelo de negocio de Google y Facebook. Ya hemos explicado por qué los datos son insustituibles para el mundo de los negocios en los tiempos modernos. Con la adopción de la GDPR, el gobierno europeo ha considerado que los datos son especialmente dignos de protección y ha llamado la atención de los consumidores sobre la importancia de esta protección. Pero ¿se trata la información personal con la misma sensibilidad más allá de las fronteras europeas? ¿Dónde están las diferencias? Echamos un vistazo a la comprensión y la importancia de la protección de datos en otros países y mostramos lo que esto significa para la población, entre otras cosas.


EE.UU. – Leyes de protección de datos específicas del sector




A diferencia de la regulación básica de protección de datos en Europa, la protección de datos en los Estados Unidos está regulada sobre una base sectorial. Las empresas en los EE.UU. están generalmente obligadas a garantizar la seguridad de los datos personales y están sujetas a la obligación de informar en caso de fugas de datos. Sin embargo, las empresas deben o pueden determinar su propio nivel de protección de datos. ¿Pero de dónde provienen estos diferentes enfoques para el manejo de los datos? La protección de los datos personales en Europa está establecida en la constitución alemana como un derecho fundamental de autodeterminación informativa. En los Estados Unidos, en cambio, la protección de datos forma parte de la ley de protección del consumidor y, por lo tanto, es más parte de la vida económica. La supervisión en virtud de la ley de protección de datos está en manos de la Comisión Federal de Comercio, por lo que la cuestión de la protección de datos se considera desde una perspectiva económica y no tanto como un derecho personal. La Ley Patriota de los Estados Unidos fue aprobada después de los ataques terroristas del 11 de septiembre de 2001 y causó un gran revuelo más allá de las fronteras del país. Las autoridades de seguridad, como la NSA, podían acceder a los datos almacenados en los servidores locales sin una orden judicial en los casos sospechosos. Los proveedores de Internet y los proveedores de nubes también podrían ser obligados a revelar datos personales. En determinadas condiciones, las autoridades de investigación también podían obligar a las empresas a entregar datos sin siquiera informar a las personas afectadas por medio de la llamada Carta de Seguridad Nacional.


Con las revelaciones de Edward Snowden en 2013, la población estadounidense se ha vuelto mucho más cuidadosa en lo que respecta a la vigilancia estatal. En junio de 2015, el entonces presidente Barack Obama firmó la Ley de la Libertad de Estados Unidos, que volvió a restringir las facultades de las autoridades investigadoras.


El escándalo de Cambridge Analytica siguió en 2016. La empresa de análisis había obtenido acceso inadvertido a los datos de 87 millones de usuarios de Facebook y alimentó con ellos la campaña electoral presidencial de Donald Trump. Poco después del anuncio, el estado de California redactó una ley estricta para proteger los datos de los usuarios, que entrará en vigor en enero de 2020. La llamada Ley de Privacidad del Consumidor de California tiene como objetivo permitir a los consumidores saber qué datos son recogidos y utilizados por qué compañías y cómo, y exigir que sean eliminados si es necesario. Actualmente no existe una ley nacional, pero los Estados Unidos ya han dado un gran paso hacia los estándares europeos de la GDPR.

China – ¿vigilancia absoluta?




Desde 2015, la cobertura con cámaras de vigilancia en la capital Beijing es del 100 por ciento, muchos de los dispositivos funcionan con software de reconocimiento facial. Los ciudadanos de la República Popular China son vigilados en todas partes. Además, actualmente se está estableciendo un sistema para evaluar el comportamiento de las personas en China. El sistema de crédito social es para registrar y analizar no sólo la moral de pago, sino también los antecedentes penales, los hábitos de compra e incluso la lealtad. ¿Suena como una extraña serie de ciencia ficción crítica con la sociedad? Sin embargo, un sistema de crédito social de este tipo es una realidad en la ciudad costera de Rongcheng desde 2014. Los aproximadamente 670.000 habitantes tienen que mostrar su puntuación regularmente a las autoridades. Si el número de puntos no es correcto, una promoción en el trabajo o la solicitud de un préstamo del banco podría verse afectada negativamente. En Europa, un sistema de crédito social de este tipo sería ilegal, ya que violaría los principios de protección de datos y, por tanto, también la Ley Fundamental.

En septiembre de 2019, la App china Zao atrajo la atención internacional. Mediante el uso de la inteligencia artificial, el software permitió a los usuarios transferir sus propios rostros a los de las estrellas de Hollywood en las escenas cinematográficas. Cuando de repente aparecieron en Internet extractos de las películas más famosas de Leonardo DiCaprio en las que la cara de un usuario de Zao se adaptaba de forma engañosamente realista a la de un actor de Hollywood, la aplicación se hizo viral. Sin embargo, rápidamente surgieron preocupaciones en relación con las condiciones de uso. Los usuarios de la aplicación aparecieron. Los usuarios de la aplicación cedieron «derechos completamente gratuitos, irrevocables, perpetuos, transferibles y re-licenciables» a los desarrolladores de la aplicación. Según Zao, se han eliminado los pasajes controvertidos, pero todavía existe la preocupación de que los ciberdelincuentes puedan utilizar el contenido generado para burlar el software de reconocimiento facial que, por ejemplo, da acceso a las cuentas bancarias. El peligro de informes falsos, que podrían ser generados por falsificaciones profundas, también está creciendo a medida que esta tecnología se desarrolla.

Además de Zao, la subsidiaria de la plataforma de comercio de Alibaba, Ant Financial, también enfureció a varios ciudadanos chinos. Con «Sesame Credit» Ant Financial introdujo un servicio que verifica la solvencia de los usuarios evaluando sus actividades en línea. Después de que los usuarios descubrieron que habían sido incluidos en el sistema por defecto sin su consentimiento, Alibaba se disculpó debido a la creciente presión pública.

China se está convirtiendo cada vez más en un estado de vigilancia digital. Pero la República Popular también cuenta con algunas leyes sobre ciberseguridad: el 1 de junio de 2017 entró en vigor la Ley de Ciberseguridad. Entre otras cosas, el objetivo era la seguridad de la red y el fortalecimiento de la protección de datos. En 2018, el Congreso del Pueblo Chino anunció que estaba prevista una ley general de protección de datos. La Ley de Ciberseguridad y partes de la Ley de Comercio Electrónico a partir de 2018 tienen como objetivo proporcionar un marco para la ley prevista sobre la protección de datos personales. Mientras se redactaba la nueva ley, la Administración del Ciberespacio de China (CAC), el máximo organismo administrativo regulador de Internet, publicó en junio de 2019 la Directriz Reguladora de Protección de Datos. Establece las normas para la recogida y el tratamiento de los datos de los clientes. La Directriz constituye la base para la futura orientación del derecho aplicable a nivel nacional.

GDPR crea transparencia




«Con la GDPR, no sólo aumenta la confianza de los usuarios hacia las empresas, sino también la confianza de las empresas entre sí. El procesamiento de los datos de los clientes está ahora uniformemente regulado y ofrece más transparencia en esta área», dice el CISO (Chief Information Security Officer) de Hornetsecurity, Olaf Petry, sobre la ley. «Las leyes de protección de datos como la GDPR aseguran el manejo uniforme de información sensible a través de las fronteras. Además de las ventajas que la GDPR ofrece a las empresas y a los particulares en Europa, los países fuera de la UE también pueden beneficiarse de ella. La GDPR ya es un modelo clave para futuros proyectos de legislación.​


Más información:

Los ciberdelincuentes difunden Emotet – en nombre de Greta Thunberg

Los ciberdelincuentes difunden Emotet – en nombre de Greta Thunberg

Justo a tiempo para final de año, el número de ataques con el malware más peligroso del mundo – Emotet – está aumentando. Los expertos del Security Lab de Hornetsecurity han podido observar una campaña especialmente llamativa desde el 19 de diciembre.

Los ciberdelincuentes están enviando correos electrónicos en nombre de una presunta partidaria de la activista climática Greta Thunberg. La niña y las huelgas climáticas iniciadas por ella han estado causando un gran revuelo desde hace un año. El movimiento «Fridays For Future», que Greta Thunberg fundó, se ha convertido en un movimiento global para la protección del clima y ha recibido mucha atención de los medios de comunicación durante meses.

Correo electrónicos en los que los ciberdelincuentes piden ayuda a los destinatarios haciendo una llamada a una gran manifestación por el clima

Los hackers también están aprovechando el debate sobre Greta.  Hornetsecurity Security Lab ha interceptado correos electrónicos en los que los ciberdelincuentes piden ayuda a los destinatarios haciendo una llamada a una gran manifestación por el clima. La hora y la dirección de la huelga global se encuentran supuestamente en el archivo adjunto.

 

Correo electrónico

 

 

 

Tan pronto como el destinatario abre el archivo adjunto, aparece un documento cifrado. Se le pide al usuario que active la edición y el contenido del documento. Siguiendo esta instrucción, se ejecuta una macro que descarga el malware malicioso.

 

macro malware emotet

 

Emotet permanece sin cambios técnicos

Los ciberdelincuentes han vuelto a mostrar una gran creatividad en el diseño de su campaña, pero Hornetsecurity Security Lab ha podido comprobar que el malware apenas ha sufrido cambios técnicos.

Más información:

 

El auge del Ransomware en 2019

El auge del Ransomware en 2019

La amenaza creciente

 

Es complicado no poner las noticias sin haberte dado cuenta de ello, y todavía más, aparecer en el trabajo sin que te hayan advertido al respecto. Ransomware ha sido el tema más candente sobre ciberseguridad, y los hackers han pasado el año atacando a compañías por miles de millones con esta táctica. El correo electrónico se ha convertido en el vector de ataque número uno, y el Ransomware en el peor enemigo de cualquier empleado.

Si no estás familiarizado, Ransomware son variaciones de software malicioso que se propagan a través de la red de tu ordenador con el fin de encriptar tu sistema con todos los documentos y material confidencial a cambio del pago de un rescate. Por lo general, se solicita el pago a través de Bitcoin para permanecer en el anonimato con la esperanza de evitar acabar en los tribunales. Los hackers utilizan troyanos de rescate en todo tipo de víctimas, y a menudo los hackers más experimentados buscan grandes pagos de objetivos más respetados.

En 2018, se produjo un aumento considerable de Ransomware, con unos ingresos estimados de 8.000 millones de dólares para los atacantes. Ese es un número asombroso. Lo que es aún más increíble, en 2019 los daños causados por Ransomware se han más que triplicado el año anterior. Se cree que sólo en la industria sanitaria, habrá más de 5.000 millones de dólares en pérdidas debido a los programas de rescate. ¿Por qué tal aumento en la cantidad de daños en un período tan corto de tiempo? Fácil, los hackers se dieron cuenta del nicho de mercado para tal objetivo. Con sofisticadas técnicas de ingeniería y un poco de conocimiento sobre el directorio de empleados de una empresa, un hacker experimentado tiene pocos o ningún problema para infiltrarse en la infraestructura de una organización insegura con un simple correo electrónico malicioso. Tales fines han llevado a los hackers a escuelas y universidades, gobiernos estatales y locales, y verticales de salud.

Una estrategia exitosa

 

Sólo en 2019, más de 70 gobiernos locales y estatales se vieron afectados por ataques exitosos con programas de rescate. Ya sea que la ciudad de Atlanta tenga una pérdida total de 2,6 millones de dólares en lugar de los 50.000 dólares del rescate, o que la ciudad de Baltimore pague más de 18,2 millones de dólares en lugar de los 100.000 dólares solicitados originalmente para el rescate, se puede decir con seguridad que los hackers tuvieron grandes beneficios en 2019.  En Estados Unidos se cree que más de 2/3 de todos los ataques de Ransomware en 2019 se dirigieron a los gobiernos locales.

Las entidades gubernamentales no fueron las únicas que sufrieron pérdidas masivas este año. Más de 100 escuelas y universidades fueron atacadas con Ransomware, siendo Ryuk el troyano malicioso más común utilizado. Esto es más de 9 veces mayor que el año anterior, en el que sólo se habían producido 11 incidentes relacionados con software en instituciones educativas. Este nicho es un objetivo particularmente bueno debido a los bajos presupuestos de seguridad y a la gran cantidad de datos confidenciales almacenados sobre los estudiantes y el personal. Solamente en Connecticut, siete distritos escolares fueron afectados por Ransomware lo que los convierte en el estado con el mayor número de ataques exitosos contra las escuelas. En septiembre, el Senado de los Estados Unidos aprobó la Ley de Equipos de Caza Cibernética y Respuesta a Incidentes del DHS, que reúne a los equipos de respuesta que ayudarán a las entidades públicas y privadas a defenderse de las ciberamenazas.

El sector sanitario ha seguido siendo el foco principal de los hackers a la hora de lanzar campañas maliciosas, y el software de rescate afecta al sector más que a ningún otro. Los datos confidenciales son una mina de oro para cualquier hacker, lo que hace obvio por qué los hospitales y las instituciones sanitarias son, a menudo, el objetivo. No sólo les cuesta a estas instalaciones miles de millones de dólares, sino que paraliza las operaciones diarias. En algunos casos, como el Centro Médico DCH en Alabama, los sistemas de programación y reserva se cerraron, lo que provocó que las cirugías y las citas se cancelaran. Esto podría ser extremadamente perjudicial para la salud del paciente, en algunos casos podría poner en peligro su vida.

 

El comienzo de una nueva década

 

Pronto será el inicio de una nueva década; 2020 está a las puertas. El patrón de ataques de Ransomware no parece estar disminuyendo, sino todo lo contrario…. está explotando. Se espera que el próximo año sea otro año de crecimiento constante, con nuevas cepas de Ransomware que brotarán en empresas de todo el mundo. El gasto en ciberseguridad de las organizaciones seguirá aumentando por encima de los 14.000 millones gastados en 2019. Con las nuevas regulaciones y leyes que se están implementando, la responsabilidad de proteger y asegurar los datos de manera adecuada será vital.

 

Más información:

 

Formjacking – La nueva amenaza invisible del ciberespacio

Formjacking – La nueva amenaza invisible del ciberespacio

La Navidad está a la vuelta de la esquina y desgraciadamente algunas personas perderán su espíritu navideño. Cuando millones de personas se conectan a Internet para comprar regalos existe una trampa latente. Estamos hablando de la nueva amenaza invisible en Internet: Formjacking, también conocido como e-skimming. Los hackers están pirateando tiendas online, secuestrando datos bancarios y de tarjetas de crédito. El cliente desprevenido y la compañía afectada ni siquiera lo notan; todo va como de costumbre. El comprador recibe su producto y la empresa el pago, pero en segundo plano los ciberdelincuentes se conectan a la información secreta del pago. Sólo a posteriori, despertamos en la triste realidad: personas desconocidas han hecho grandes cantidades de compras a expensas del titular de la tarjeta.

 

La BKA y el FBI advierten

 

En su nuevo Informe de gestión federal sobre la ciberdelincuencia, la BKA (Oficina Federal de Investigación Criminal en Alemania) confirma que el año anterior se produjo un gran aumento del número de casos de secuestro durante el negocio navideño. El FBI también emitió recientemente una advertencia en el contexto del mes de la Seguridad Cibernética de Estados Unidos en 2019, en particular a las pequeñas y medianas empresas que ofrecen pagos con tarjeta de crédito en línea3. A menudo sus métodos de defensa son menos sofisticados y, por lo tanto, son particularmente vulnerables a los ataques. El malware infiltrado permanecerá también sin ser detectado en sus sistemas durante más tiempo.

Con mayor frecuencia, las empresas más grandes están en el punto de mira. Uno de los casos más espectaculares ocurrió en septiembre de 2018, cuando British Airways perdió más de 380.000 datos de tarjetas de crédito de clientes, debido a una página de reservas infectada. Es probable que este ataque haya hecho ganar a los hackers varios millones de dólares. Por su parte, British Airways no sólo sufrió una inmensa pérdida de confianza, sino que también se enfrenta a una posible multa de 230 millones de dólares a causa de medidas de seguridad inadecuadas, es la mayor multa hasta la fecha desde la entrada en vigor de GDPR.

 

¿Cómo funciona el Formjacking?

 

El término «formjacking» es una combinación de «online form» y «hijacking» y describe básicamente la versión digital del conocido skimming, en el que los estafadores preparan la ranura de tarjetas en los cajeros automáticos con su propio lector de tarjetas. El código PIN se espiará simultáneamente con cámaras pequeñas y la tarjeta bancaria se puede duplicar con los datos recogidos.

Un secuestro similar tiene lugar en el ciberespacio. En el ataque se crea una página web con un código malicioso, generalmente pequeños JavaScripts ocultos. Según el FBI, los hackers suelen conseguirlo mediante la suplantación de identidad (phishing) y el envío de correos electrónicos maliciosos a empleados o proveedores vulnerables de terceros, cuyas aplicaciones tienen acceso al entorno de servidores de una empresa. Una vez que el código malicioso ha sido implementado, los datos de la tarjeta de crédito pueden ser capturados en tiempo real tan pronto como el cliente los introduce en el sitio web de la tienda.

Los ciberdelincuentes utilizan la valiosa información para ir de compras o venderla en Darknet. Según un estudio de la agencia de crédito estadounidense Experian, un número de tarjeta de crédito con un código de seguridad se vende en el mostrador digital por unos 5 dólares estadounidenses. Los datos de acceso de proveedores de servicios de pago como Paypal pueden incluso ganar alrededor de 20 dólares estadounidenses.

¿Quién está detrás de los ataques?

 

El formjacking pertenece a los llamados ataques man-in-the-middle, en los que los atacantes se posicionan de forma inadvertida entre los partners de comunicación que utilizan malware. ¿Pero quiénes son los desconocidos? Por lo general, no se puede asignar claramente, pero el nombre de Magecart aparece una y otra vez en relación con los incidentes, como en el caso de British Airways descrito al principio. Se trata de un término genérico que describe las actividades de al menos siete grupos de hackers que utilizan malware parecido en ataques orquestados de forma similar. Los grupos Magecart no se limitan a una plataforma específica de tiendas online en el marco de sus guardias. Además, se ha observado que algunos ciberdelincuentes se especializan en servicios de terceros, como los widgets de chat en vivo.

 

¿Cómo puedes protegerte?

 

No es posible que el cliente detecte y prevenga el formjacking durante las compras online porque las páginas infectadas no se ven modificadas. Por lo tanto, es aconsejable limitar las compras a las grandes tiendas que, a diferencia de los pequeños sitios web de comercio electrónico, están equipados con sistemas de seguridad más amplios. Las tarjetas de crédito también deben tener un segundo nivel de defensa en forma de 3D Secure. Por ejemplo, ninguna transacción es posible sin un código TAN enviado al smartphone.

Pero la verdadera responsabilidad de prevenir los ataques de e-skimming recae en las empresas. Es necesario que actualicen sus sistemas de seguridad. El objetivo es mantener las puertas de entrada cerradas al malware, por ejemplo: en forma de correos maliciosos con amplias medidas de protección.

Formjacking se centra actualmente en el robo de datos de tarjetas de crédito, pero en principio puede ser utilizado para conseguir cualquier tipo de datos que se capturan a través de formularios online. Por lo tanto, la expansión del fraude es más que probable.

 

Más información:

 

El Hacker: Made in Hollywood?

El Hacker: Made in Hollywood?

Un hacker es inteligente, mucho más que la media. Con sólo unos pocos clics y unas pocas combinaciones de teclas, se ha metido en los sistemas de gobiernos, agencias gubernamentales y grandes corporaciones. Evita al público y actúa en secreto. Su piel es pálida, siempre lleva ropa oscura y trabaja hasta altas horas de la noche – eso es lo que nos dice Hollywood. Y los estereotipos creados por la industria cinematográfica permanecen en nuestra conciencia. Pero ¿quién está detrás de los ingeniosos ataques que asustan a las empresas? ¿Cómo podemos imaginarnos a los desarrolladores de Ryuk, Emotet y WannaCry?

En agosto de 1986, el sabotaje informático y la manipulación no autorizada de datos y soportes de datos se incluyeron en el código penal como una forma especial de daño a la propiedad. El término «hacking» a menudo se equipará con la intención criminal, especialmente en los países de habla alemana. Pero no todos los hackers son criminales – algunos son consultados o incluso contratados por empresas en materia de seguridad informática para probar los sistemas internos en busca de posibles brechas de seguridad. Dependiendo del cumplimiento de las leyes y de la intención de sus actividades, los hackers pueden ser asignados a diferentes grupos:

White Hats: Los hackers «éticos» se mueven legalmente a través de los sistemas de las empresas que los han contratado para buscar específicamente vulnerabilidades en su infraestructura de TI.

Black Hats: También conocidos como «crackers», son las ovejas negras del rebaño de hackers. Sabotaje de sistemas, extorsión y robo de datos e información confidencial, eso es lo que buscan los “black hats”. Con sus ataques, a menudo hacen un gran daño financiero. Los motivos pueden tener diferentes causas.

Grey Hats: No siempre hay blanco o negro. Entre los “white hats” y “black hats”, este grupo de hackers opera en una «zona gris» legal. Encuentran vulnerabilidades en los sistemas y las publican en diferentes plataformas para que puedan ser reparadas lo antes posible por los responsables. Esto los distingue, por ejemplo, de los “white hats”, que informan de las vulnerabilidades de seguridad directamente a los afectados sin hacerlas públicas. La «denuncia» pública de las vulnerabilidades de las TI también alcanza a los “black hats”.

Algunos hackers ganaron especial atención a través de sus actividades. Son considerados como «inventores» de técnicas especiales de piratería informática, han penetrado en redes altamente seguras de gobiernos y empresas o han descubierto documentos de alto secreto. Aquí algunos de ellos:

El padre de la ingeniería social: A través de sus técnicas de ingeniería social, Kevin Mitnick capturó información corporativa sensible, código fuente y acceso a bases de datos. Entre otras cosas, se dice que ha penetrado varias veces en la red del Departamento de Defensa y de la NSA (National Security Agency) de los Estados Unidos. En los años 90, el FBI lo declaró «el hacker más buscado del mundo». Después de pasar varios años en prisión, Mitnick cambió de bando. Hoy en día, trabaja como testador y conferenciante y, como director general de su propia empresa, asesora a grandes empresas sobre cuestiones de seguridad relacionadas con sus sistemas.

Hagbard Celine: Karl Koch, también conocido como «Hagbard Celine» es uno de los hackers alemanes más conocidos. Junto con otros hackers, vendió datos de sistemas informáticos estadounidenses al servicio secreto ruso KGB. Koch fue encontrado muerto en su coche a la edad de 23 años. Sin embargo, la causa exacta de la muerte aún no se ha aclarado completamente.

John Draper: alias «Captain Crunch» fue uno de los primeros piratas informáticos y se hizo conocido por el uso de un tubo de juguete de un paquete de muesli Cap’n Crunch para transferir los honorarios de una compañía telefónica americana [1] Junto con algunos de sus amigos, desarrolló la Blue Box, que puede reproducir el tono de 2600 hertzios para hacer llamadas telefónicas gratuitas. El crimen organizado también estaba muy interesado en el negocio de la falsificación y pudo registrar un buen «volumen de negocios». Al mismo tiempo, sin embargo, las compañías telefónicas estaban en números rojos y demandaron a Draper como inventor y causante de este desarrollo. Fue sentenciado a cinco años de libertad condicional, cuatro de los cuales pasó en la prisión estatal. En la década de 1970, conoció a Steve Jobs y Steve Wozniak, los fundadores de Apple. Draper también desarrolló el procesador de textos EasyWriter de Apple. En julio de 2018, Draper publicó su autobiografía «Beyond the little Blue Box».

Denunciante: Bajo el seudónimo de Mendax (mentiroso latín), Julian Assange atacó ordenadores extranjeros y fue declarado culpable en 24 casos de piratería informática ilegal. En 2006, fundó Wikileaks, una plataforma de divulgación, y distribuyó documentos censurados y confidenciales que por lo general no son accesibles al público o sólo son accesibles en una medida limitada. Como resultado de este trabajo, Assange fue arrestado varias veces y demandado sin éxito. A lo largo de los años, el fundador de Wikileaks ha estado a menudo en conflicto con la ley; en abril de 2019, fue arrestado por la policía de Londres y desde entonces ha estado en una prisión de alta seguridad en el Reino Unido.

 

El motivo importa

La digitalización, loT (Internet of things) y el establecimiento de redes globales están haciendo posible que los hackers realicen sus travesuras en áreas más amplias de la sociedad, los negocios y la política, incluso más allá de las fronteras nacionales. Los objetivos y motivos detrás de las actividades de los hackers son muy diferentes: algunos luchan por la riqueza, otros por el cambio político y económico.

Los hacktivistas son ciberdelincuentes que utilizan sus habilidades de piratería informática para manipular los sistemas de empresas, gobiernos o autoridades por convicciones políticas, religiosas o ideológicas de otro tipo. Un ejemplo bien conocido es el grupo activista “Anoymous”. El grupo ha estado activo contra varias organizaciones como la NSA, la IS y Scientology. Las acciones hacktivistas son un ejemplo de cómo podrían ser las protestas y la rebelión en un futuro digitalizado. En julio de este año, los hacktivistas invadieron los servidores de la autoridad fiscal búlgara NAP y robaron los registros de unos 5 millones de ciudadanos y empresas búlgaros. En un correo electrónico a los medios de comunicación estatales, los hackers exigieron la liberación del activista político Julian Assange.

Las organizaciones delictivas «profesionales» también están aprovechando la digitalización y externalizando cada vez más sus actividades ilegales a entornos en red. El peligro que representan estos grupos es alto, porque no sólo tienen muchos recursos, sino también la energía criminal necesaria.

Los hackers que trabajan en nombre de los gobiernos se centran principalmente en el espionaje, pero la manipulación y la paralización de los servicios públicos también están en su lista de tareas pendientes. El ataque cibernético a las centrífugas de uranio iraníes en 2010 fue supuestamente iniciado por actores estatales. Microsoft informó en julio que alrededor de 10.000 usuarios fueron atacados en un año por hackers que trabajaban para otros gobiernos. A diferencia de los ciberdelincuentes privados, es más fácil para los hackers patrocinados por el Estado entrar en redes extranjeras porque sus recursos son prácticamente ilimitados.

Comprender los motivos de un hacker puede ser muy útil para las empresas. Identificando al atacante, se pueden identificar de antemano los posibles escenarios de ataque. Por ejemplo, ¿un hacker «sólo» pretende enriquecerse o se trata de un tipo de ataque que realmente perjudica a una empresa? Los políticos, las autoridades y las empresas ven una gran amenaza de ciber espionaje, las infraestructuras críticas están sujetas al creciente riesgo de ser saboteadas por los ciberataques.

Básicamente se puede decir una cosa: la imagen de un tipo raro creado por Hollywood se desvanece. El resultado son grupos altamente diferenciados que, a medida que nuestro mundo se vuelve cada vez más digital, muestran todo tipo de facetas del mismo, desde el bien hasta el mal, por sí mismos o en equipo, para dañar a otros o para el bien común.

Más información:

¿Qué hace que sus datos sean tan valiosos?

Ciberataque de diagnóstico: los hospitales el blanco de los hackers

¿Por qué tus datos son tan valiosos?

¿Por qué tus datos son tan valiosos?

Anuncios adaptados a tus necesidades, pedidos rápidos y entrega puntual de mercancías de todo tipo, comodidad haciendo el pago con un sólo clic. Internet hace que muchas cosas sean posibles y mucho más convenientes para los consumidores. Sin embargo, a menudo se espera a cambio un alto coste de devolución: tus datos.

¿Sabes dónde, qué y cuántos datos personales has revelado? A menudo,  esto incluye tu nombre, fecha de nacimiento y datos de contacto, así como tu dirección, pero también información más delicada como datos bancarios y tarjetas de crédito. Al menos un puñado de empresas pueden utilizar esta información para identificarte y almacenarla en sus sistemas. Pero también divulgas datos sobre ti indirectamente. Por ejemplo: cuando buscas en Internet el regalo perfecto para tu pareja, un pedido de libros de Amazon sobre budismo o el dentista más cercano dejas rastros digitales. Las empresas pueden entonces visualizar y ofrecer ofertas adecuadas basadas en estos datos.

La combinación de estas diferentes fuentes de información da como resultado una imagen clara de ti. Lo que constituyen, tus datos personales, pero también los valores e intereses, así como los deseos, se combinan desde las partes individuales hasta una imagen general: tu identidad. Para una empresa que quiere ganarte como cliente y saber lo que necesitas, estos detalles son el premio gordo. Ellos pueden identificarlos y dirigirse a ti de forma más específica con sus productos. Pero tus datos no sólo son un activo valioso para las empresas, sino que los hackers también los necesitan.

Una y otra vez, los robos de datos en empresas conocidas adornan los titulares de varios medios de comunicación: Equifax, MasterCard, Marriott y el escándalo de Cambridge Analytica en Facebook, por nombrar sólo algunos. A menudo, los daños ni siquiera pueden cuantificarse con exactitud. Aunque las empresas afectadas luchan por su reputación y la continuidad de sus clientes, ¿Qué pasa con los usuarios? ¿Qué es lo que hace que los datos de los usuarios sean tan valiosos? ¿Por qué es tan malo perder el control de tus datos?

 

Los datos: materia prima del mundo digital

 

 

A menudo encontramos esta metáfora hablando de este tema y ofrece una imagen clara del valor que tienen los datos para las empresas, y que ha crecido fuertemente en los últimos años. No en vano están surgiendo nuevas profesiones que se ocupan exclusivamente de la recogida, el análisis y el tratamiento de datos: grandes científicos de datos, directores en este área, estrategas de datos o, por ejemplo, experto en inteligencia artificial.

 

En un estudio sobre protección de datos, el 85 por ciento de 1.000 responsables encuestados en la toma de decisiones de TI  afirmaron que los datos son tan valiosos como los medios de pago que se usan para superar los retos empresariales. El 56 por ciento también dijo que usó la información que analizó para determinar la demanda.

 

Según una encuesta realizada por Foresight Factory por encargo de la GDMA, los consumidores también son conscientes de la contribución que sus datos pueden hacer a la economía. Una mayoría del 60 por ciento de los alemanes encuestados supone que cuanto más privados sean los datos, más se puede esperar que una empresa pague a cambio. De esta manera un mejor servicio, descuentos o productos gratuitos son mencionados como posibles servicios. Sin embargo, los servicios ofrecidos están fuertemente adaptados a los datos de los usuarios disponibles: los usuarios de Android, por ejemplo, pagan menos por las compras de Amazon que los usuarios de iPhone.

 

 

¿Bruto o neto? – tus datos como mercancía

 

 

La idea de negocio de algunas empresas se basa exclusivamente en la recogida y análisis de datos de los usuarios. Por ejemplo, Google o Facebook, que tienen un gran número de usuarios diarios. Ambas compañías ofrecen sus servicios a los consumidores de forma gratuita, y sus beneficios se basan principalmente en los espacios publicitarios. Debería ser posible definirlos con la mayor precisión posible, lo que requiere una gran cantidad de datos. Unos pocos clics y “likes” en Facebook son suficientes para determinar exactamente cuáles son tus preferencias, intereses, opiniones políticas, inteligencia y orientación sexual.

 

A principios de año, por ejemplo, Facebook apareció en los titulares con un proyecto de investigación en curso. Según se informa, la compañía de medios pagaba a los usuarios de entre 13 y 35 años hasta 20 dólares al mes para obtener una visión muy detallada de las actividades de sus smartphones. Actividades tales como: conversaciones de chat y sitios web visitados. Lo que nos lleva a las siguientes preguntas: ¿Cuánto valen realmente tus datos? ¿20 dólares al mes son suficientes para revelar tu identidad?

 

El valor concreto de tus propios datos es difícil de comprender. El Financial Times intentó hacerlo de todos modos y en 2013 creó una calculadora, que los usuarios pueden utilizar para calcular un valor de suma global para sus datos. La herramienta, que se basa en datos de EE.UU., da una idea de cómo puede cambiar el valor debido a cierta información, como datos específicos de salud o situación familiar. Lo que llama la atención es que todo se mantiene por debajo de un dólar.

 

La multa de Equifax da una impresión completamente diferente. En 2017, la agencia de crédito de EE.UU. fue víctima de un devastador robo de datos en el que más de 140 millones de estadounidenses utilizaron información confidencial. La empresa pagó una multa de hasta 700 millones de dólares, una parte de los cuales fueron destinados a las víctimas de piratería informática mediante la financiación de la vigilancia crediticia de todos los afectados. Con ello se pretendía, por ejemplo, controlar las actividades sospechosas en las cuentas.

 

 

Tu identidad de datos

 

 

El legislador tiene una opinión muy clara sobre el valor de los datos personales: cada persona tiene derecho a su privacidad y merece protección. En el marco del derecho general a la personalidad, Alemania ha hecho una declaración clara en el inciso i) del apartado 1 del artículo 2. En relación con el párrafo 1 del artículo 1 de la Ley Fundamental, se ha concedido a toda persona el derecho a la libre determinación en materia de información. La finalidad de este derecho es determinar por sí mismo el uso y la publicación de los datos personales. Sobre esta base, la Ordenanza básica de protección de datos entró en vigor en mayo de 2018. Los datos personales de las personas físicas son bienes dignos de protección. Por lo tanto, no se incluye información de empresas o asociaciones.

 

Los datos personales son datos que identifican o hacen identificable a una persona física, como los nombres y las fechas de nacimiento. Un enlace indirecto es suficiente, de modo que los números de clientes o las direcciones IP también caen bajo esta protección. Además, hay datos que la ley clasifica como particularmente sensibles. Entre ellos figuran las creencias religiosas e ideológicas, la información sanitaria y los datos genéticos y biométricos. De este modo, la GDPR concede a los consumidores derechos aún más amplios e impone requisitos más estrictos a las empresas que desean recopilar datos. Por ejemplo, la recogida y el almacenamiento de datos deben estar siempre orientados a un fin, seguir el principio de minimización de datos y estar protegidos contra el acceso no autorizado por parte de terceros.

 

 

El principio de integridad y confidencialidad – Seguridad de datos corporativos

 

 

 

Los datos personales deben estar protegidos contra el acceso de terceros no autorizados por las respectivas empresas. Esto incluye el procesamiento no autorizado y la protección de datos contra daños y pérdidas.

La ordenanza básica de protección de datos exige que las empresas garanticen la protección de los datos y eviten la pérdida de datos a través de ciberataques. En caso de violación, aplica una pena mucho más alta amenaza que en los tiempos de la Ley Federal de protección de datos. Hasta un cuatro por ciento de la facturación anual mundial puede ser fijado como penalización.

Si una empresa es víctima de un ciberataque, no sólo están en juego los datos personales de clientes, empleados y socios comerciales, sino también los datos relacionados con la empresa, como archivos confidenciales y secretos comerciales. Aunque estos datos no están cubiertos por el Reglamento Básico de Protección de Datos, también debe proporcionarse aquí una protección completa. Por lo tanto, las empresas tienen una doble responsabilidad: deben proteger sus propios datos, así como los de sus clientes, socios comerciales y empleados.

Hay muchas medidas que una empresa puede tomar para protegerse a sí misma y a los datos confidenciales de los hackers. En el marco de esta gestión de riesgos, una medida es el cifrado de los datos. Se pueden utilizar varios mecanismos de cifrado para la transmisión del remitente al receptor o para el almacenamiento de datos, como el cifrado de extremo a extremo para la comunicación por correo electrónico. La información almacenada o enviada ya no se transmite como texto plano, sino que se convierte en un mensaje codificado que sólo puede volver a leerse con la tecla correspondiente. Sólo los empleados que están autorizados a acceder a ella tienen la clave adecuada. De este modo, el riesgo de acceso no autorizado puede reducirse considerablemente.

 

 

Reconoce el valor de tus datos

 

 

Los datos son un bien precioso en la vida de las empresas. Los consumidores también son cada vez más conscientes de que se están recopilando datos sobre ellos. Esta conciencia se ve reforzada por el alto nivel de transparencia que exige la GDPR a las empresas. La protección de estos datos es otra prioridad para las empresas. Pero: ¿para qué se utilizan en última instancia los datos almacenados?, ¿qué conclusiones pueden extraerse de ellos y dónde se recopilan todos estos datos difícilmente alguien lo tiene claro.

 

Más información: