Todas las entradas de Áudea Seguridad de la Información

20Nov/18

Protección de datos y universidades

Protección de datos y universidades

Una Universidad, aparte de ser un sujeto clave en la transferencia del conocimiento a la sociedad, es también un vivero de problemas respecto a la protección de datos debido a la multiplicidad de afectados (PDI, PAS y estudiantes), el tratamiento de datos a gran escala de dichos colectivos, o es posible realizar tratamientos a gran escala de categorías especiales de datos personales (p.ej. investigación biomédica).

Respecto a los problemas concretos, cabe destacar la necesidad de la publicación de las notas de los estudiantes en el tablón de anuncios. Ya se resolvió la necesidad del consentimiento para dicha comunicación de datos personales por la Disposición Adicional 21ª de la Ley Orgánica de Universidades, pero en la práctica se sigue  publicando dichas calificaciones con nombres, apellidos, DNI, número de expediente  y sus calificaciones, práctica que puede considerarse excesiva a la luz del principio de minimización de datos del artículo 5.1.c) del RGPD, puesto que el número del DNI o del expediente permite ya de por sí identificar al estudiante.

Recientemente, la AEPD ha tratado el problema de las comunicaciones de las calificaciones de hijos mayores de edad a sus progenitores. En el caso presentado, la comunicación se requiere para la solicitud para la modificación de la cuantía de prestación de alimentos. La AEPD adopta como solución –además del consentimiento- el interés legítimo, que es el derecho a la tutela judicial efectiva, y que debe primar por encima del derecho fundamental a la protección de datos.

No solo en estos casos, sino que en cualesquiera en los que los progenitores sufragasen el coste educativo del hijo mayor de edad, se presume que los progenitores poseen un interés legítimo para conocer las calificaciones de sus hijos por encima de los derechos a la intimidad y protección de datos. Por lo tanto, no existiría interés legítimo de los progenitores cuando el hijo sufragase los costes, o cuando alguno de los progenitores no sufragase los datos, ostentando dicho interés legítimo el progenitor sustentador.

A todo esto, siempre deberá informarse al afectado de la comunicación de los datos según la existencia de un interés legítimo para que pueda ejercer el derecho de oposición a esta comunicación.

No se duda de la existencia de un “derecho” de los padres a conocer las notas de sus hijos, pero dicho derecho nacerá en función de la incidencia de los padres a la hora se sufragar los gastos, pero la existencia del derecho de oposición traerá algún que otro “problema familiar” …

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

20Nov/18

Big data y decisiones automatizadas

Big data y decisiones automatizadas

Las nuevas tecnologías están revolucionando la toma de decisiones en el mundo empresarial, un mundo que vive de la propia información para dicha toma de decisiones y que se requieren tomarlas prácticamente “en tiempo real”, muchas veces sobreponiendo las conclusiones que se saquen de los datos que, de los propios directivos, instaurando así una dictadura del dato.

Para la toma de estas decisiones, se requiere el análisis de una cantidad ingente de datos para sacar conclusiones derivadas de dichos datos. Es lo que se conoce como Big Data. Uno de los medios utilizados según Big Data consiste en la creación de perfiles de riesgo basándose en patrones anteriores de situaciones anteriores.

Pongamos el ejemplo de una compañía de seguros que analiza una misma situación para determinar en qué circunstancias una persona puede tener un elevado riesgo a la hora de la contratación de un seguro de vida, y cuya decisión sobre la procedencia de la celebración del contrato se hace directamente por internet, y cuya respuesta es inmediata sin intervención de ningún empleado de la aseguradora. Este procedimiento es conocido como una decisión automatizada.

Son evidentes los problemas ­ que nos podemos encontrar: si una persona que introduce los datos personales en un programa el cual dicta la valoración al instante y es determinante para la celebración de un contrato, hace que las personas se conviertan en datos y no miren otras condiciones a la hora de firmar un contrato tan importante como es un contrato de seguro de vida.

Para prevenir esta situación, el RGPD (o GDPR en inglés) prevé el derecho a no ser objeto de decisiones automatizadas, una variante del ya conocido derecho de oposición. Esta disposición nos permite negar este tipo de actividades sobre nosotros que utilizan nuestros datos personales.

En caso de que para ese tipo de tratamiento se utilicen datos sensibles como pueden ser salud (enfermedades), ideología o vida sexual, el tratamiento estará prohibido, salvo que se haya otorgado un consentimiento “explícito” por parte del afectado.

Este derecho se convierte a su vez en una salvaguarda fundamental para los derechos de los afectados en una situación muy sensible para ellos, puesto que se viene a evitar que se institucionalice aún más esa “dictadura del dato”.

 

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

13Jul/18

¿A un administrador de una página de fans de Facebook se le aplica el GDPR?

Muchas veces, las actividades cotidianas que solemos realizar a lo largo del día pueden acarrear algún riesgo que solemos tener presente o, inocentemente, no nos percatamos de ello. Por ejemplo, quién iba a decir que el mero hecho de ser administrador de una página de fans de Facebook te hacía ser responsable de datos personales de todos los visitantes de dicha página (sean usuarios de Facebook o no), pues ha sido el Tribunal de Justicia de la Unión Europea quien lo ha dicho.

SI no era suficiente el revuelo causado por la aplicación del RGPD, esta nueva resolución del tribunal iba a constatar que una actividad tan “inofensiva” conllevarse la aplicación de toda la legislación sobre protección de datos cayese sobre el administrador.

En efecto, el Tribunal de justicia se basa para ello, que un administrador de páginas de fans trata una serie de datos personales tales como edad, sexo, situación sentimental y profesión, información sobre el estilo de vida y los intereses de su audiencia destinataria, así como información relativa a las compras y comportamiento de compras en línea de los visitantes de su página, las categorías de productos o servicios que más les interesan, además de datos geográficos.

Toda esta recogida de datos que puede realizar dicho administrador permite configurar y dirigir los contenidos que puede crear el administrador de una página de Facebook, con lo que, a ojos del RGPD y del Tribunal, supone determinar la finalidad en el tratamiento de dichos datos personales, lo que automáticamente lo convierte en “responsable del tratamiento”.

Pero el administrador no está solo: para que este pueda recabar toda esa información, Facebook instala “cookies” en dicha página para recabar los datos de los usuarios no solo para facilitar la labor del administrador, sino también para tratarlos con el fin de configurar su propia publicidad. Esto convierte a Facebook en corresponsable junto con el administrador; pero no son responsables por igual, sino que hay que determinar cuál de las partes interviene más en el tratamiento.

La relación entre el administrador y Facebook como corresponsables debe regularse mediante un contrato donde determine las responsabilidades que tiene cada parte en el tratamiento, por lo que tendremos que estar atentos a las políticas de Facebook para páginas de fans para los posibles cambios en esta de cara a los administradores.

A partir de ahora, los administradores deberán informar sobre la finalidad de la recogida de los datos, el ejercicio de los derechos, uso de cookies, y todas las obligaciones de información que se recogen en el artículo 13 del RGPD, y que cuyo incumplimiento podría acarrear sanciones de diversas índoles, como advertencias o multas.

Para más información, consulte la sentencia

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

13Jul/18

¿Qué hay detrás de las fake news?

Pues la respuesta sería la misma a cuando vamos a un buffet:

 

-Un poco de todo, intereses políticos, reputacionales, económicos, sociológicos, etc.

 

Parece ser que ahora, tirarse un farol como en el póker sale a cuenta, ejemplo de ello es un reciente estudio publicado por el Instituto de Tecnología de Massachusetts (MIT) donde se concluye que, en las redes sociales, las noticias falsas tienden a compartirse más en las redes sociales que las informaciones corroboradas, esto se podría traducir en un “fake new, real money”.

 

Otra de las conclusiones del estudio reside en que la mayor difusión de estos titulares carentes de veracidad no recae en usuarios sino en lo que se denominan bots sociales, usuarios fantasmas o perfiles falsos que se encargan de detectar, crear y difundir miles de noticias falsas llegando incluso a lo que denominamos “medios de comunicación consolidados”.

 

Así, las fakes news marcaron el último proceso electoral estadounidense, y cobraron una relevancia mundial, llegando a generar una gran confusión en los ciudadanos de la primera potencia mundial. Otro ejemplo de fake news es la difusión de información no contrastada ni denunciada ante las autoridades competentes, sobre secuestros de niños en múltiples puntos de la geografía española.

 

Como resultado de la proliferación de este tipo de noticias, las grandes empresas tecnológicas como Google, Facebook y Twitter han invertido millones de euros en campañas, programas y algoritmos que permiten reducir este tipo de noticias, que no hacen más que incrementarse, sin embargo, ¿cómo puede colaborar el usuario medio de Internet a su identificación?

 

Lo primero, sería estudiar el titular de la noticia, ver si hace uso de mayúsculas, exclamaciones, si la información está incompleta, etc.

 

En segundo lugar, la fuente y la url de la que proviene la noticia es un aspecto fundamental, ya que en ocasiones mediante el uso de urls falsas imitan a ciertos medios de comunicación consolidados, induciendo a error en los usuarios.

 

Una cuestión que puede parecer baladí pero que en realidad no lo es, es ver cómo está escrita la noticia, si tiene coherencia, si existen faltas de ortografía, si contiene imágenes manipuladas, si se hacen referencias cronológicas, pero sin concretar o si por ejemplo, se afirman cuestiones sin citar fuentes fiables.

 

Si a pesar de estos consejos el usuario aún se tienen dudas respecto a la autenticidad de la noticia, lo mejor es consultar otras noticias similares, y si no existen, seguramente nos encontremos ante una fake new.

 

De igual modo, es necesario advertir que no solo no hay que fiarse de lo que se lee, sino de lo que se ve, ya que ahora este tipo de “verdad ilusoria” se está extendiendo al ámbito de los video montajes realizados con inteligencia artificial, es por todo ello que, es necesario se conciencie en el uso de los sistemas de la sociedad de la información.

 

Marina Medela

Legal Department

Áudea Seguridad de la Información

13Jul/18

Las nuevas obligaciones de los proveedores de cloud computing

El RGPD (GDPR en sus siglas en inglés) ha alterado en panorama europeo (si no mundial) de la protección de datos, y la gran mayoría de actores se están preparando para una norma mucho más exigente  que la vigente durante años, que va a afectar a servicios cuyo objeto de negocio es el tratamiento de los datos personales.

 

Uno de estos servicios es el cloud computing, consistente en el almacenamiento en servidores ajenos repartidos en diferentes localizaciones y a cuya información se puede acceder desde cualquier dispositivo con conexión a internet, y mundialmente famosos por servicios como Google Drive o OneDrive. El contrato con este servicio conlleva externalizar el tratamiento de datos (encargar en el lenguaje del Reglamento), y esto conlleva una serie de responsabilidades para ambas partes.

 

En primer lugar, es necesario formalizar la relación mediante un contrato por el cual se determinen los roles de cada parte. Este contrato estipulará el régimen de la protección de datos y, en especial, 1) el objeto y duración del tratamiento, 2)  la finalidad, 3) las categorías de personas y datos personales tratados, y 4) las instrucciones respecto al fin del tratamiento.

 

Una característica clave de los proveedores de servicios cloud (véase Google, Microsoft o Amazon) es que muchas veces es necesario integrar en el propio servicio elementos de otras empresas, y las cuales tienen responsabilidad en el tratamiento de datos. Para ello, es necesario que en ese contrato se autorice la contratación de servicios con esas terceras empresas para poder desplegar un servicio cloud correctamente.

 

Como se ha dicho anteriormente, los servidores pueden estar distribuidos en varios países, ya no solo dentro de la Unión Europea, también de otros países ajenos a esta. Esto significa que si alguien “sube” datos personales, pueden estar almacenados fuera de la UE. El RGPD impone férreas obligaciones para poder transferir datos fuera de la UE, como la exigencia de garantizar la seguridad de los datos en ese otro país, o que la UE haya declarado a ese país como “seguro”.

 

La seguridad se presenta clave en estos servicios, puesto que al encargar el tratamiento de los datos a otra empresa, se puede llegar a perder el control de estos. Es por ello que la empresa responsable del tratamiento debe asegurar que el proveedor de servicios cloud aplica las suficientes medidas de seguridad. Esto se puede conseguir mediante acuerdos contractuales o certificaciones en materia de seguridad.

 

Los proveedores de servicios cloud se enfrentan a una nueva era en la protección de datos, los cuales tienen la oportunidad de dar valor añadido a su servicio asegurando una adecuada seguridad en él; está en su mano dar prioridad a la privacidad en este nuevo contexto.

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

 

15Sep/15

El final del dato personal: mantener o destruir

El tratamiento de los datos personales tiene tres fases diferenciadas, la etapa de recabo de datos, la de tratamiento propiamente dicho y por ultimo la de cancelación o finalización del tratamiento. Esta última etapa tiene gran importancia ya que debemos conocer qué significa este final y como actuar con los datos.

Normalmente cuando hablamos de final de algo, lo primero que nos viene a la cabeza es que ya se puede eliminar o destruir, pero este no es necesariamente el caso cuando tratamos datos personales por lo que vamos a analizar de forma resumida como finaliza el tratamiento y las acciones a tomar.

El final del tratamiento del dato puede venir por dos causas, que desaparezca la finalidad por la que fueron recabados o por petición expresa del afectado en el ejercicio de sus derechos. De esta manera el artículo 4 donde se establece uno de los principios fundamentales de la LOPD dice que

los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”

De la lectura del texto nos queda la idea de que el factor fundamental que tenemos que tener en cuenta es la finalidad para la que se recabo el dato, una vez desaparezca la finalidad, el dato también. En principio parece sencillo pero como todo tiene sus excepciones y términos que no son lo que en principio una persona que no conoce en profundidad la Ley podría interpretar.

Cuando se nos habla de cancelar un dato personal, no se debe entender con ello la propia destrucción, sino que es un término más amplio al que podemos atribuir varios conceptos. Por un lado se puede entender como un mantenimiento del dato pero ‘sin uso’ y por otro la propia eliminación o destrucción.

La legislación en protección de datos no es ajena a las obligaciones, necesidades y responsabilidades impuestas por el ordenamiento jurídico a las empresas o autónomos como responsables del tratamiento, es por ello que en respuesta a estas necesidades ya sean fiscales, laborales, administrativas o a la rama que correspondan, la legislación en protección de datos prevé la posibilidad de mantener datos cuya finalidad ya ha desaparecido o cuya cancelación ha sido solicitada por el afectado. Este caso podríamos definirlo como una cancelación ‘de uso’, es decir, se me permite mantener los datos durante el tiempo que la legislación correspondiente me obliga para atender los posibles requerimientos de información de la Administración, pero no me permite utilizarlos para nada más, se podría decir que están apartados de la actividad esperando a agotar el plazo al que están sometidos por otra ley, para posteriormente ser destruidos.

Es importante resaltar que esto no supone un cheque en blanco para mantener datos, se deberá estar a lo dispuesto, y por los plazos establecidos, en las leyes que sean de aplicación al caso.

Finalmente, y ahora sí, una vez se hayan agotado los plazos los datos deberán ser destruidos. Recordar que la destrucción debe realizarse siempre utilizando medios que garanticen que la información no puede volver a ser recuperada por ningún medio, es decir, se deben utilizar siempre destructoras de papel, formateo de equipos o soportes, empresas de destrucción certificada, etc.

Áudea Seguridad de la Información, S.L.

Álvaro Aritio
Departamento Derecho TIC
www.audea.com

 

10Sep/15

¿Existe de verdad la Anonimización?

¿Existe de verdad la Anonimización? El grupo del Artículo 29 de Protección de Datos no lo pone fácil

El Grupo de Trabajo del artículo 29 de Protección de Datos ha adoptado recientemente una opinión en la que trata de analizar la eficacia y límites de las técnicas de anonimización existentes en el contexto jurídico de la Unión Europea en materia de protección de datos.

La anonimización tiene relevancia en un contexto Open Data, donde es necesaria la reutilización de los datos, considerando que la legislación vigente en materia de protección de datos establece que los datos anónimos quedan fuera de su  ámbito de aplicación. Sin embargo, la creación de un conjunto de datos verdaderamente anónimos no es una propuesta nada sencilla.

Recuerda el Grupo de Trabajo que para que un dato sea verdaderamente anónimo ha de ser completamente irreversible su identificación. En este sentido, hace alusión  al uso de “todos los medios que puedan ser razonablemente utilizados”. Es decir, un dato será anónimo cuando no sea posible su vinculación con la persona a la que hubiera identificado el dato, teniendo en cuenta que el riesgo de identificación puede aumentar con el tiempo.

En este sentido, las técnicas de anonimización pueden ser garantes suficientes siempre que se diseñen teniendo en cuenta tanto el contexto como el objetivo.

A lo largo de la opinión, el Grupo de Trabajo ilustra con este ejemplo para facilitar la comprensión de los lectores. Si una organización reúne datos de  viajes individuales que clasifica mediante códigos identificativos, y proporciona a terceros datos sobre los movimientos, esos datos pueden ser calificados como datos personales siempre y cuando el responsable del tratamiento, o cualquier otro, siga teniendo acceso a los datos brutos originales, aun cuando esos códigos identificativos hayan sido eliminados de la información proporcionada a terceros. Sin embargo, si el responsable del tratamiento eliminara los datos brutos, y además solo proporcionara información estadística colectiva, eso podría considerarse como un conjunto de datos anónimos.

El Grupo de Trabajo señala, a tenor de lo recogido, tres errores a tener en cuenta previo proceso de anonimización:

  • Entender la pseudonimización como equivalente: esta técnica, que consiste en reemplazar un atributo en un registro por otro, sigue permitiendo identificar indirectamente a la persona física, por lo que no se puede equiparar a la anonimización, y queda por tanto dentro del ámbito del régimen jurídico de la protección de datos.
  • No tener en cuenta el impacto que puede tener la utilización de información anónima sobre los particulares, especialmente en el caso de los perfiles.

No tener en cuenta la aplicación de otras disposiciones legales distintas a la legislación de protección de datos, como por ejemplo, en materia de confidencialidad de las comunicaciones.

Además, señala la importancia de elegir la técnica adecuada de anonimización que minimice los tres principales riesgos inherentes a todo proceso, derivados de la posibilidad potencial de identificación de un dato

Singling out: posibilidad de aislar datos que identifican a un individuo en un conjunto, una vez llevado a cabo un proceso de anonimización.

Linkability: capacidad de vincular, al menos, dos datos referentes al mismo interesado o grupo de interesados ​​(ya sea en la misma base de datos o en dos bases de datos diferentes).

Inference: posibilidad de deducir, con una probabilidad significativa, el valor de un atributo en un conjunto de atributos.

Solo conociendo los riesgos existentes, el responsable del tratamiento podrá decidirse por una técnica de anonimización u otra, sabiendo que aunque ninguna de ellas carece de deficiencias, con una elección correcta se puede lograr el propósito deseado sin poner en peligro la privacidad de los interesados. Las familias de técnicas que reconoce el Grupo de Trabajo son:

La asignación al azar: es una familia de técnicas que altera la veracidad de los datos con el fin de eliminar el vínculo entre los datos y el individuo. Si los datos son suficientemente inciertos entonces ya no se puede hacer referencia a un individuo específico. Destacan las técnicas de adición del ruido (modificación de atributos en el conjunto de datos de tal manera que son menos precisos conservando al mismo tiempo la distribución general), permutación (revolver los valores de los atributos en una tabla para que algunos de ellos están artificialmente vinculados a diferentes titulares de los datos , por lo que resulta especialmente útil cuando es importante mantener la distribución exacta de cada atributo en el conjunto de datos) y privacidad diferencial (el subconjunto incluye algo de ruido aleatorio añadido deliberadamente ex-post).

La generalización: consiste en disgregar los atributos de los interesados ​​mediante la modificación de la escala respectiva o de orden de magnitud, mediante las técnicas de aggregation y k-anonymity (pretenden impedir que un interesado sea señalado, agrupándolo con, al menos, k otros individuos), y L-diversity/T-closeness (que añaden complejidad a la técnica anterior).

Entonces, la solución óptima debe decidirse sobre una base de caso por caso, considerando previamente las limitaciones inherentes a cada técnica, mientras se consideran los fines que se persiguen con la anonimización. Dado que la anonimización no debe ser considerada como un ejercicio aislado, el Grupo de Trabajo reconoce que los códigos de conducta pueden ser un instrumento útil para proporcionar orientación en cuanto a las formas en que los datos pueden hacerse anónimos.

Teniendo en cuenta todo esto, y dado que la anonimización es un campo activo de la investigación, el Grupo de Trabajo señala una serie de recomendaciones a tener en cuenta.

  • Dado el riesgo residual que siempre va a existir al aplicar una técnica de anonimización, se recomienda al encargado de la anonimización que se encargue de forma regular de identificar, supervisar y controlar los riesgos, tanto actuales como nuevos; y evaluar si los controles que existen son suficientes.
  • El responsable del tratamiento deberá respetar siempre los derechos de los interesados y las libertades fundamentales.
  • En el caso de que existiesen normas legales, éstas deberán estar formuladas de una manera tecnológicamente neutra, teniendo en cuenta el potencial desarrollo de la tecnología de la información.

Fuente: Opinión 05/2014 sobre Técnicas de Anonimización de Datos Personales, del Grupo de Trabajo del Artículo 29

 

Sara Mogollón
Consultor Derecho TIC
www.audea.com
www.cursosticseguridad.com

10Sep/15

Análisis de la Reforma del Régimen Sancionador de la LOPD

Además de la famosa “Ley Sinde”, la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.

A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:

¿Quiénes pueden ser multados?

Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:

  • Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
  • Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.

¿Y qué sucede con las administraciones públicas?

(empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.

¿Y se puede multar a un ciudadano?

Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.

Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).

¿Qué actividades pueden ser multadas?

El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.

Son infracciones leves:

  • No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.
  • No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.
  • No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.

Son infracciones graves:

  • Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.
  • Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)
  • Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.
  • Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).
  • No implantar correctamente las medidas de seguridad
  • No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora

Finalmente, son infracciones muy graves:

  • Tratar datos de forma engañosa o fraudulenta.
  • Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.
  • No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
  • Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.

Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar?

Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.

Y ¿a cuánto pueden ascender las multas?

En principio, el importe de las multas debe seguir el siguiente baremo:

  • Infracciones leves: 900 euros – 40.000 euros
  • Infracciones graves: 40.000 euros – 300.000 euros
  • Infracciones muy graves: 300.000 euros – 600.000 euros

Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros?

La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:

  • El carácter continuado de la infracción.
  • El volumen de los tratamientos efectuados.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • El volumen de negocio o actividad del infractor.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • El grado de intencionalidad.
  • La reincidencia por comisión de infracciones de la misma naturaleza.
  • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  • La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

Pero los 40.000 como mínimo, no me los quita nadie, ¿no?

La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:

  • Cuando concurran varias circunstancias atenuantes de las expuestas.
  • Cuando se haya corregido el defecto que dio origen a la infracción.
  • Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
  • Cuando el infractor reconozca espontáneamente su culpabilidad.
  • Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).

Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.

Para ello, tienen que concurrir las siguientes circunstancias:

  • Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
  • Que la empresa no haya sido multada previamente en materia de Protección de Datos.

Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.

 

Áudea Seguridad de la Información

José Carlos Moratilla
Consultor Legal
www.audea.com

10Sep/15

Plataforma E-learning de Áudea

Os presentamos la nueva Plataforma E-learning de Áudea, creada a partir de dos sistemas de gestión de distribución libre MOODLE y SCORM, que también se conocen como LMS (Learning Management System).

La modalidad online nos ofrece una formación de alto nivel, accesible, cómoda, económica y flexible, y nos permite disponer al instante de todos los materiales necesarios para completar la formación.

La libertad de horarios que nos ofrece esta modalidad permite la deslocalización y además facilita la interacción tanto profesor-alumno como de los alumnos entre sí, permitiendo además la posibilidad de realizar simulaciones virtuales en entornos controlados y facilitar la posibilidad de mantener actualizados los contenidos.

Los cursos que disponemos actualmente son los siguientes:

  • Curso de Sensibilización LOPD
  • Curso de Sensibilización de Seguridad de la Información
  • Curso de Concienciación sobre el uso de Datos Personales
  • Curso de Experto en Protección de Datos
  • Curso de Sistema de Gestión de Seguridad de la Información – ISO/IEC 27001

Damos la posibilidad de ver un curso demostración para que pueda navegar a través de nuestro entorno y conocer su funcionalidad. Solicite usuario y contraseña en [email protected]

Accede a la plataforma y comienza a formarte con nosotros!

 

Áudea Seguridad de la Información
Departamento de Marketing
www.audea.com

09Sep/15

Formas y plazos de conservación de las historias clínicas y la normativa de protección de datos

Respecto de la conservación de datos de carácter personal la normativa española la materia no establece plazos fijos o predeterminados. En este sentido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (en adelante LOPD) se indica que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

Por lo que cuando los datos personales hayan dejado de ser necesarios o pertinentes deberían ser cancelados o conservados en forma que no permita la identificación del interesado. La cancelación no siempre significa la eliminación física de datos, puede que éstos tengan que ser bloqueados.

Para conocer las formas y plazos de conservación de datos de salud y en especial los incluidos en las historias clínicas, la normativa de protección de datos ha de complementarse necesariamente con las previsiones específicas recogidas en el Capítulo V de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y con las otras normas dimanantes de la legislación en materia de Salud Laboral.

En este sentido, la Ley 41/2002 establece que la documentación contenida en la historia clínica pueda ser conservada en otro soporte distinto del original, siempre que quede preservada su autenticidad, seguridad e integridad, ya que conforme el artículo 14.2 “cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información”. Por tanto la digitalización de este tipo de documentación no solo es lícita y sencilla en su realización, pero que además garantiza la seguridad y confidencialidad de la información mucho mejor que los medios tradicionales y puede ser una solución para ahorrar el papel y espacio en las clínicas y centros de salud.

En relación a los plazos de conservación, el artículo 17.1 de la misma Ley, dispone que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”.

En consecuencia, la Ley obliga a conservar los datos de la historia clínica incluso con posterioridad al alta del paciente o al último episodio asistencial, durante el tiempo adecuado para la debida asistencia sanitaria del mismo y, como mínimo, durante cinco años desde cada fecha de alta. La determinación del período de conservación de la información contenida en la misma, sería a criterio del personal sanitario competente respetando en todo caso el plazo mínimo citado.

No obstante, la legislación en materia de Salud Laboral, puede determinar otros periodos mínimos de conservación de las historias clínicas, en función de la naturaleza o sector de trabajo de los afectados y riesgos que determinadas tareas laborales pueden tener en la salud de los trabajadores teniendo en cuenta la potencial gravedad y tiempo de latencia entre la exposición y la aparición de síntomas.

Según el artículo 22 relativo a la vigilancia de salud de la Ley 31/1995 de Prevención de Riesgos Laborales “En los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deber ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.”

Y así el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo obliga a almacenar la lista de los trabajadores expuestos y sus historiales médicos durante un plazo mínimo de diez años después de finalizada la exposición pudiendo ser ampliado este plazo hasta cuarenta años en determinados casos.

El Real Decreto 665/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo dispone que la lista actualizada de los trabajadores encargados de realizar dichas actividades y sus historiales médicos deberán conservarse durante 40 años después de terminada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo. Artículo 9. Documentación

El Real Decreto 396/2006, de 31 de marzo, por el que se establecen las disposiciones mínimas de seguridad y salud aplicables a los trabajos con riesgo de exposición al amianto obliga a que los datos relativos a la evaluación y control ambiental, los datos de exposición de los trabajadores y los datos referidos a la vigilancia sanitaria específica de los trabajadores se conserven durante un mínimo de cuarenta años después de finalizada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo.

El Real Decreto 783/2001, de 6 de julio, por el que se aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes obliga a que el historial dosimétrico de los trabajadores expuestos, los documentos correspondientes a la evaluación de dosis y a las medidas de los equipos de vigilancia, y los informes referentes a las circunstancias y medidas adoptadas en los casos de exposición accidental o de emergencia, se archiven por el titular de la práctica, hasta que el trabajador haya o hubiera alcanzado la edad de setenta y cinco años, y nunca por un período inferior a treinta años, contados a partir de la fecha de cese del trabajador en aquellas actividades que supusieran su clasificación como trabajador expuesto. Además el titular de la práctica tendrá que facilitar esta documentación al Consejo de Seguridad Nuclear y, en función de sus propias competencias, a las Administraciones Públicas, en los supuestos previstos en las Leyes, además de a los Juzgados y Tribunales que la soliciten.

También el Real Decreto 1316/1989, de 27 de octubre, sobre protección de los trabajadores frente a los riesgos derivados de la exposición al ruido durante el trabajo que posteriormente fue derogado por Real Decreto 286/2006, de 10 de marzo obligaba al empresario archivar la documentación correspondiente a la salud de los trabajadores expuestos durante al menos treinta años.

Con carácter general, todas estas normas específicas determinaban que si  un empresario cesara en su actividad, el que le sucediera recibiría y conservaría la documentación anterior. Si el cese de la actividad se produjera sin sucesión, la empresa lo tendría que notificar a la autoridad laboral competente, dándole traslado de toda la documentación que incluyeran historias clínicas.

Por último, cabe mencionar que en el marco de las distintas normas laborales existen también protocolos de vigilancia sanitaria específica que fijan plazos adicionales de conservación de la documentación sanitaria. Los protocolos no forman parte de la legislación pero tienen un gran valor orientativo para empresarios, trabajadores y sus representantes y administraciones públicas competentes en la materia.

Áudea, Seguridad de la Información

Karol Sedkowski
Consultor Legal
http://www.audea.com 

 

20Feb/15

La policía alemana también utiliza virus informáticos

La policía alemana también utiliza virus informáticos

La legislación alemana permite a los cuerpos de seguridad del Estado utilizar herramientas para interceptar llamadas por Internet como prevención de actos terroristas o delictivos en general, pero hace unos días una organización alemana de hackers ha hecho publico que estas herramientas no solo tienen la capacidad de interceptación sino que van más allá.

Chaos Computer Club, también conocida como CCC, ha denunciado que esta herramienta, consistente en un virus troyano, da el control remoto del ordenador permitiendo la ejecución de programas. Este programa llamado Quellen-TKÜ podría dar acceso a la policía a activar la cámara web o micrófono del equipo infectado, pudiendo conocer que ocurre en los alrededores del equipo, actividades que según esta organización sobrepasan con creces lo permitido por las leyes.

Este grupo también denuncia que con esta herramienta y las posibilidades que ofrece se podrían alterar pruebas ya que se podrían incluir de forma remota nuevos archivos, modificar los existentes o eliminarlos, pudiendo afectar a una posible investigación.

Ante esta situación, CCC ha solicitado a la agencia gubernamental competente la paralización de la herramienta y ha animado a los hackers a seguir investigando este tipo de programas y trabajar para la creación de sistemas de control para este tipo de aplicaciones.

Áudea Seguridad de la Información, S.L.
Departamento de Gestión

Fuente: www.elpais.com

01Ene/15

Curso Presencial Preparación CISM

Áudea te prepara para conseguir la certificación en CISM en el próximo examen de ISACA (8 de Diciembre) al que puedes inscribirte hasta día 12 de Octubre (www.isaca.org).

Abierto el plazo de matriculación a nuestro curso preparación CISM tendrá lugar los días 12, 13, 14 y 15 de noviembre donde se dará un repaso de la teoría, se realizarán test y el último días realizaremos un simulacro de examen.

El horario previsto será de 9:00 a 15:00 y el precio 600 euros (consulta descuentos y bonificaciones).

En el precio están incluidas las clases, material propio para la teoría  y test de ISACA.

No está incluido el  material oficial de ISACA ni el registro al  examen.

Solicita información o inscríbete en [email protected]. También puedes llamarnos 91.745.11.57

 

Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
www.audea.com

01Ene/15

Boletines de Seguridad de Microsoft. Enero de 2012

 

Se ha publicado el primer boletín de seguridad del año 2012, presentando 1 vulnerabilidad crítica y 6 importantes, así como su solución inmediata.

Las vulnerabilidades se citan a continuación, así como el enlace para descarga de la actualización que soluciona el problema.

1. Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2636391). Gravedad: Crítica

Descarga de la actualización

2. Una vulnerabilidad en el kernel de Windows podría permitir la omisión de característica de seguridad (2644615). Gravedad: Importante

Descarga de la actualización

3. Una vulnerabilidad en Empaquetador de objetos podría permitir la ejecución remota de código (2603381) Gravedad: Importante

Descarga de la actualización

4. Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2646524) Gravedad: Importante

Descarga de la actualización

5. Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2584146) Gravedad: Importante

Descarga de la actualización

6. Una vulnerabilidad en SSL/TLS podría permitir la divulgación de información (2643584) Gravedad: Importante

Descarga de la actualización

7. Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información 2607664) Gravedad: Importante

Descarga de la actualización

Más información en: http://technet.microsoft.com/es-es/security/bulletin/ms12-jan

Áudea Seguridad de la Información
Departamento Seguridad TIC
www.audea.com

01Ene/15

Anonymous ataca la web del vaticano

Anonymous ataca la web del vaticano

La página web del vaticano ha sido atacada de forma deliberada. Los atacantes ha realizado una denegación de servicio contra el site web, hasta dejarla sin funcionar.

Ha sido el grupo de activista “Anonymous” el que se ha atribuido este mérito, asegurando que su ataque es una respuesta a: ” las doctrinas y liturgias y a los preceptos absurdos y anacrónicos que lustra organización con ánimo de lucro propaga y difunde en el mundo entero”.

En el comunicado de Anonymous, se justifica el ataque, nombrando numerosos pecados que atribuye a la Iglesia, nombrando negaciones de leyes universalmente válidas, o los casos de pederastia.

La Santa Sede a emitido un comunicado en el que ha reconocido que su web ha sido atacada, pero asegura que el problema está cercano a solucionarse.

Fuente: El mundo

 

01Ene/15

El 95% de las PYME incumplen la Ley de Protección de Datos

El 95% de las PYME incumplen la Ley de Protección de Datos

El 95 por ciento de las pymes incumplen la Ley de Protección de Datos, según un reciente estudio realizado por la Asociación Profesional de la Privacidad de Castilla-la Mancha entre las doscientas empresas ubicadas en el polígono Campollano (Albacete).

Este porcentaje ha sido el resultado de un estudio llevado a cabo por la Asociación Profesional de la Privacidad de Castilla-la Mancha, tras examinar a doscientas empresas ubicadas en el polígono Campollano (Albacete).

Añade el citado estudio que “el 70 por ciento de esas infracciones están catalogadas en la ley como graves o muy graves”, lo que llevaría aparejadas sanciones entre los 40.001 a los 600.000 euros.

La experta en Protección de Datos de IMAdvisory, Paola Redecilla, ha manifestado que estos datos indican que no existe en España una cultura de protección de datos, y que el resultado de este estudio “es perfectamente extrapolable al conjunto del tejido empresarial español”, lo que a su juicio supone un grave riesgo para las empresas, que “pueden llevarlas incluso a la quiebra”. En este punto es necesario advertir que merced a la modificación del procedimiento sancionador de la LOPD operada por la Ley de Economía Sostenible, la Agencia Española de Protección de Datos ha flexibilizado las sanciones, incluyendo la figura del apercibimiento, y contemplando la posibilidad de graduar las penas en función del poder económicos de las empresas.

Se hace constar en el estudio que los errores más comunes tienen que ver con la documentación que requiere el Documento de Seguridad, debido a la falta de actualización de los mismos, que lo convierte en papel mojado: “No ha habido una auditoría permanente y se aplica una regulación ya derogada”, por lo que “recomendamos siempre a nuestros clientes que hagan auditorías periódicas que les aseguren estar al día en una regulación cambiante”

También se observan déficits en los compromisos de confidencialidad de los trabajadores, que “en el 85 % de las empresas no se encuentran firmados y debidamente guardados”, así como en los contratos con prestadores de servicios con acceso a datos, que en el 70 % de las empresas examinadas no se han firmado. Peor es la situación relacionada con los sitios web de estas empresas, donde el 90 % de las mismas carecen de aviso legal y/o política de privacidad.

Fuente: Diario Qué

01Ene/15

Apple despide a un desarrollador que denuncia un agujero de seguridad

Apple despide a un desarrollador que denuncia un agujero de seguridad

Charlie Miller, el investigador de seguridad de Apple, ha sido expulsado del programa de desarrolladores de la empresa al publicar los resultados sobre un agujero de seguridad en el sistema operativo de la compañía de la manzana.

Miller había diseñado y desarrollado un programa de gestión de valores bursátiles, que había registrado previamente en la tienda de Apple. Hasta ahí no había ningún problema, salvo que había ocultado la posibilidad de saltarse las protecciones del sistema operativo que impiden la ejecución de código no aprobado por Apple. De este modo, la compañía argumenta que ocultó y tergiversó la documentación de la aplicación, por lo que tuvo que despedirle. En concreto los artículos segundo y tercero del contrato de desarrollador que castiga interferir en el software de sus servicios y ocultar funciones de las aplicaciones que se presentan para su distribución en el mercado.

Miller, por su lado, se defiende que se trataba de evidenciar un problema de seguridad grave en una demostración inofensiva y que ya había demostrado anteriormente otras vulnerabilidades de Apple. Además de publicar todos lo sucedido a través de Twitter, añade que este hecho bajo la dirección del recientemente difunto Steve Jobs, no se hubiera producido.

 

01Ene/15

Anonymous ataca la web del Partido Popular de Foz

Anonymous ataca la web del Partido Popular de Foz

El grupo de ‘hacktivistas’ Anonymous ha atacado la página web del Partido Popular de Foz (Lugo). Cuando los usuarios acceden a la web aparece un mensaje del grupo y un vídeo donde se critica la gestión del gobierno en cuanto al desempleo y se les acusa de la “mayor prevaricación de la historia”. Esta acción de Anonymous se ha convertido en Tema del Momento en Twitter.

El grupo Anonymous continúa con sus ataques a lo largo y ancho de Internet. En esta ocasión, la página elegida ha sido la web del PP de la localidad de Foz (Lugo). Acusando a los políticos de “detestados corruptos” y de “pactar cómo desmontar el país”, el grupo de ‘hacktivistas’ asegura que Anonymous no podrá ser “reprimido” para seguir luchando contra las que consideran “una serie de injusticias contra los ciudadanos”.

Advierten que nada ni nadie puede parar el movimiento Anonymous porque Anonymous son “la gente”. “Millones de ideas se generan espontáneamente a lo largo y ancho del planeta en ese preciso momento, ¿de verdad creen que pueden detener el pensamiento colectivo?”, asegura el grupo en el vídeo.

Por ultimo alegan a una traición tanto de los sindicatos como de los partidos, que ha llevado a la situación del país, por lo que Anonymous se declara como “el temor de vuestras mentes corruptas”. “Todo lo que tenéis os lo dimos nosotros y forzáis el día en que lo queramos de vuelta”, concluyen.

Fuente: portaltic.es

01Ene/15

La Unión Europea defiende que las empresas se sometan a las leyes de Protección de Datos

La Unión Europea defiende que las empresas se sometan a las leyes de Protección de Datos

Viviane Reding, vicepresidenta de la Comisión Europea y responsable de Justicia ha defendido, a pocos meses de que la Comisión presente propuestas legislativas para actualizar la directiva de Protección de Datos de 1995, que “las compañías que dirigen sus servicios a los consumidores europeos deben estar sujetas a la legislación de protección de datos europea”.

Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.

Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.

Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.

01Ene/15

PCs Infectados en el mundo

PCs Infectados en el mundo

Una vez más, nos llegan los datos de los países con mayor número de PCs infectados por virus a nivel mundial por parte de Padsa Security, estando España entre los primeros lugares (séptimo, concretamente).

Sigue resultando impactante que más de un tercio de los ordenadores existentes en todo el mundo estén infectados por algún tipo de virus, llegando, en China por ejemplo, a ser superior al 50% este porcentaje. Y esto teniendo en cuenta, que tal y como refleja el informe de Pandasecurity, estas cifras han bajado más de un 3% con respecto a los datos del último informe.

La media de PCs infectados nivel mundial se sitúa en el 35,51%, bajando más de 3 puntos respecto a los datos de 2011, según los datos de Inteligencia Colectiva de Panda Security. China, es nuevamente el país con mayor porcentaje de PCs infectados con un 54,10%, seguido de Taiwán, y de Turquía. En cuanto a los países con menor índice de ordenadores infectados, 9 de 10 son europeos. Únicamente Japón está en la lista de los países por debajo del 30% de PCs infectados. Suecia, Suiza y Noruega son los países que ocupan las primeras plazas.

Países con mayor índice de Infección:

Image27

En 2011, el volumen total de troyanos suponía un 73% del total del software malintencionado.

La compañía de seguridad ha indicado que los datos del informe corroboran cómo “la época de las grandes epidemias masivas de gusanos ha dejado lugar a una masiva epidemia silenciosa de troyanos, arma preferida para el robo de información de los usuarios”.

Panda Security ha alertado del aumento de las técnicas de “ramsonware”, un tipo de amenaza que “secuestra” el ordenador del usuario y le exige una recompensa económica para volver a controlar el dispositivo, como el últimamente famoso “Virus de la Policía”, el cual utiliza el logo y las banderas de las fuerzas de seguridad de distintos países para hacer creer al usuario que su ordenador ha sido bloqueado por visitar contenidos inapropiados o realizar descargas. Para desbloquearlo solicita el pago de una multa por valor de 100 euros. La realidad es que estos mensajes son mostrados por el troyano y en ningún caso proceden de las fuerzas de seguridad, como debería ser evidente.

Fuente: www.pandasecurity.com

 

 

 

01Ene/15

Vulnerabilidad de ICMP en sistemas AIX

Vulnerabilidad de ICMP en sistemas AIX

Se ha anunciado de forma oficial, una importante vulnerabilidad que afecta a los sistemas IX de IBM en sus versiones 5,6 y 7.

Se trata de un problema en el sistema de procesamiento de paquetes, en el que se produce un error al procesar ciertos paquetes ICMP.

Si un atacante modifica un paquete ICMP echo reply, y seguidamente lo envía a un equipo afectado por la vulnerabilidad, éste dejará de responder, provocando una denegación de servicio.

Hace apenas unas semanas que se publicó un problema similar con paquetes TCP, que afectaba a las mismas versiones del Operativo. (más información sobre esta noticia en: http://aix.software.ibm.com/aix/efixes/security/large_send_advisory.asc).

El listado completo de versiones afectadas es el siguiente:

  • AIX 5.3.12.0-5
  • AIX 6.1.5.0-7
  • AIX 6.1.6.0-16
  • AIX 6.1.7.0-1
  • AIX 7.1.0.0-17
  • AIX 7.1.10-1

Los parches pueden descargarse desde:

  • ftp://aix.software.ibm.com/aix/efixes/security
  • http://www.ibm.com/eserver/support/fixes/fixcentral/main/pseries/aix

Más información en:

http://aix.software.ibm.com/aix/efixes/security/icmp_advisory.asc

 

01Ene/15

Nueva denuncia contra Google por los datos de Street view

Nueva denuncia contra Google por los datos de Street view

La Agencia de protección de Datos ha presentado una denuncia contra Google, por imágenes captadas con sus cámaras y colgadas en su programa Street View en las que se pueden apreciar caras descubiertas de ciudadanos españoles. Este hecho viola la normativa española de forma clara.

Todo el revuelo ha comenzado porque los coches de Street View han comenzado a recorrer de nuevo las calles españolas (pueblos y ciudades), con el objeto de actualizar las imágenes del programa (vista a pie de calle).

Google ya fue denunciado en el pasado por la localización de redes wifi, llegando a obtener correos electrónicos, historiales de navegación, conversaciones de chat, y contraseñas mientras recorría las calles realizando fotografías, aunque asegura que en esta ocasión, se abstendrá de realizar estas prácticas.

Con respecto a la denuncia de la AGPD, asegura que aplicará las técnicas de difuminado permanente e irreversible en los rostros y las matrículas.

No obstante, según lo establecido en el artículo 6 del reglamento, la obtención de datos de carácter personal requiere el consentimiento “inequívoco” del afectado, por lo que la normativa se sigue incumpliendo.

El acuerdo alcanzado con la AGPD exige a google que “antes, durante y después” de la captación de datos, realice el difuminado de las caras y las matrículas y hasta la eliminación de los originales. Además han indicado que se encargarán de comprobar este hecho.

Esta no es la primera ni será la última vez en la que google se salta las normas para obtener datos personales.

No hay que olvidar que la prioridad de la empresa es la de obtener datos con el mayor detalle posible de las personas, para posteriormente enviarles publicidad personalizada, que actualmente es su mayor fuente de ingresos.

 

Fuente: El País

 

 

 

01Ene/15

La APEP alerta contra estafas en el asesoramiento en materia de LOPD

La APEP alerta contra estafas en el asesoramiento en materia de LOPD

La Asociación Profesional Española de Privacidad (APEP) advierte la existencia de estafas en el asesoramiento en materia de Protección de Datos.

Éstas consisten en suplantar la identidad de la Agencia Española de Protección de Datos, por medio de empresas que registran dominios de Internet con denominaciones similares al de la propia Agencia. Es el caso que tenemos a continuación, en el que el dominio utilizado es “agenciaprotecciondatos.net”.

Obtenido el dominio, la empresa envía un mensaje de correo anunciando una supuesta inminente Inspección de la AEPD. Una vez se dispone de un dominio basta con buscar empresas cuya cuenta de correo sea pública y se envía un mensaje como el que sigue:

Date: Mon, 26 Sep 2011 10:23:19 +0200

From: [email protected]

To: info@__-andalucia.es

Subject: Notificacion Urgente

Estimado Sr __________

Le comunicamos que pronto recibira la visita de un Agente Inspector

para comprobar si cumple con la normativa de LOPD (Ley Organica de Proteccion de Datos)

Le recordamos que deve tener visibles los documentos que acreditan dicha inscripcion en nuestros archivos

Si la gestion de sus datos lo gestiona una empresa o agente autorizado (INFORMATICAS, CONSULTORAS o ADMINISTRADORAS) debe facilitarnos los datos de la misma para comprobar su inscripcion en nuestros sistemas.

Recordandole que de no cumplir con la normativa vigente sobre la proteccion de datos puede recibir una sancion de 900 a 40.000EUR

Rogamos nos indique su horario laboral para consertar la cita de nuestro agente

De no indicarnos su horario laboral procederemos hacer visita sorpresa

AGENCIA DE PROTECCION DE DATOS

     COORDINADOR DE AGENTES

Aún a pesar de lo pueril del método empleado, el desconocimiento sobre estos temas en algunos ámbitos y el temor que infunde la AEPD en los mismos ha provocado que la APEP haya “puesto estos hechos en conocimiento de las autoridades policiales y administrativas competentes, y sin perjuicio de otras acciones que puedan emprenderse, se hace un llamamiento a quienes los reciban a poner en conocimiento los hechos mediante denuncia formulada ante las Fuerzas y Cuerpos de Seguridad del Estado”, apelando a “las Cámaras de Comercio y a las organizaciones empresariales para que procedan a informar a sus asociados y a prevenir ante este tipo de actuaciones”.

La APEP considera perjudicial esta conducta por cuanto “afecta al buen nombre de una alta institución del Estado, la Agencia Española de Protección de Datos, y genera desconfianza respecto de quienes desarrollan tareas de consultoría con la adecuada profesionalidad”.

Conviene recordar en este punto, y así lo hace la OPEP, que “la implementación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal por todas las organizaciones constituye un proceso beneficioso más allá del mero cumplimiento normativo”, en tanto que provee de seguridad y calidad a todos “los procesos basados en el uso de tecnologías de la información y de las comunicaciones”, otorgando así confianza a “aquellas personas cuyos datos tratamos”.

FUENTE: www.apep.es

01Ene/15

La imagen de Booking.com es utilizada para una ciberestafa

La imagen de Booking.com es utilizada para una ciberestafa

G Data Security ha detectado en la última semana envíos masivos de correos electrónicos relacionados con confirmaciones de reservas hoteleras que contienen un peligroso troyano bancario capaz de asaltar la cuenta corriente de sus víctimas. Los estafadores han usado el nombre de un popular buscador de reservas hoteleras -Booking.com.

El malware utilizado pertenece a la familia de troyanos bancarios Bebloh, que es capaz de robar los datos de acceso a las cuentas corrientes de sus víctimas y no ofrece síntomas aparentes de infección, por lo que no es fácil de detectar por el usuario.

Es posible que en las próximas semanas, y hasta el periodo vacacional, se repitan correos similares enmascarados bajo remitentes conocidos y vinculados a esta industria, portales de reservas de vuelos, hoteles o paquetes vacacionales.

En caso de estar esperando algún tipo de confirmación o haber realizado alguna reserva online es conveniente asegurarse de que el remitente del correo recibido es el mismo que aquel donde se hizo la reserva. De igual forma, es necesario tener especial cuidado con los documentos adjuntos y utilizar una solución de seguridad que chequee estos emails potencialmente peligrosos.

 

01Ene/15

Talleres prácticos sobre innovación para empresas turísticas

Unos 150 profesionales participan en Cádiz en los talleres prácticos sobre innovación para empresas turísticas

El encuentro, organizado por la Consejería de Turismo, Comercio y Deporte a través de Andalucía Lab, abordó la reputación de marca en Internet

Unos 150 profesionales participaron el jueves 29 de septiembre en los Talleres de Aceleración Empresarial de la Industria Turística, unas jornadas organizadas por la Consejería de Turismo, Comercio y Deporte, a través del centro de innovación Andalucía Lab.

A través de estas jornadas, que contaron con la presencia de expertos nacionales como Chimo Soler (ISOC Internet Society), Albert Barra (HotelJuice) y Miguel Arias (Rankia) y José Luis Martínez (Kayak), se abordó la temática de la reputación de la marca en la red, poniendo a disposición de los empresarios asistentes algunos de los programas de asesoramiento de Andalucía Lab.

Estos talleres tendrán continuidad en Granada el próximo 20 de octubre, y en Huelva, el 27 del mismo mes.

Cada una de las jornadas consta de “una ponencia inaugural o mesa redonda, impartida por expertos y de asistencia gratuita”, en la que se tratan temas relacionados con el turismo e Internet, para continuar con “varios talleres simultáneos de seis horas duración y de carácter práctico”, con aforo limitado, que requieren de inscripción previa y tienen una cuota de 15 euros.

La finalidad de este encuentro es permitir a los empresarios turísticos “diseñar toda la presencia digital de su establecimiento y explotar de forma efectiva la comercialización a través de Internet”, por lo que se estudia “la gestión de canales online, marketing, posicionamiento en buscadores, analítica web, redes sociales, reputación de marca, generación de contenidos y claves de un proyecto online en turismo”.

En la misma, los técnicos de Andalucía Lab “asesoran a los profesionales turísticos sobre los servicios disponibles y realizarán ‘consultorías express’ a todas las empresas que acuden a los talleres y lo soliciten”.

Este año se celebra la segunda edición de estos talleres, que pretenden trasladar al sector turístico desde un punto de vista eminentemente práctico su incorporación al nuevo fenómeno de la web 2.0 y las redes sociales, así como “el posicionamiento en Internet, las estrategias de fijación de precio y las ventajas de las nuevas tecnologías en la gestión de los negocios”.

Se pone de manifiesto así el creciente interés en la gestión y vigilancia de lo que se dice de una empresa o producto en la red, y la necesidad de buscar soluciones adecuadas al nuevo entorno digital en el que nos desenvolvemos.

www.turismoandaluz.com

01Ene/15

Hacking a la web de la Agencia Británica contra el Crimen Organizado

Hacking a la web de la Agencia Británica contra el Crimen Organizado

Piratas informáticos han atacado este jueves la página web de la Agencia Británica contra el Crimen Organizado.

El FBI británico, cerró su sitio web el miércoles por la tarde después de que fuera atacado por una fuente desconocida. Han aclarado que no se perdió información confidencial durante el incidente.

“Elegimos cerrar nuestro sitio web desde las 22.00 para limitar el impacto del ataque de otros clientes alojados en nuestro servidor”, ha explicado el portavoz. “La página web sólo tiene información disponible al público y no proporciona acceso a cualquier material operativo”, ha dicho.

La agencia, que investiga delitos graves como el tráfico de personas, el tráfico de drogas y los tiroteos, cerró el mes pasado 36 dominios de internet que se utilizaban para vender los datos robados de tarjetas de crédito.

Esta página ya había sido víctima de los ataques anteriores por los miembros de Anonymous .

El secretario del Gabinete británico, advirtió esta semana que es probable que los Juegos Olímpicos de este verano también sufran un ataque cibernético.

 

 

 

01Ene/15

Más de 2,5 millones de ficheros inscritos en la AEPD

Más de 2,5 millones de ficheros inscritos en la AEPD

El Registro General de Protección de Datos – RGPD – ha superado ya los 2.500.000 ficheros inscritos, según se refleja de la estadística mensual mencionada por dicho organismo correspondiente al mes de septiembre. Este dato representa un incremento de un 22,7 % al dato del mismo mes un año antes.

Entre los sectores que se han notado una mayor actividad en las notificaciones a la AEPD destaca en primer lugar las comunidades de propietarios, con más de 300.000 ficheros inscritos y un incremento de un 25%. Por otro lado, destacan tanto el incremento de las pequeñas y medianas empresas del sector comercio principalmente, como las empresas del sector sanitario; empresas conscientes del tratamiento de datos de salud que realizan.

De los ficheros inscritos, se desprende que 115.000 son de titularidad pública, pertenecientes a las Administraciones Públicas, y 2.400.000 de titularidad privada, habiendo sido inscritos por más de 900.000 empresas y organizaciones. Cataluña, Andalucia y Madrid son las comunidades autónomas que más ficheros inscriben.

La LOPD establece la obligación para todos los organismos y entidades, sean públicas o privadas, dar de alta los ficheros que contengan datos de carácter personal (clientes, pacientes, videovigilancia, personal, etc.), con un simple objetivo; hacer público a los ciudadanos quién trata sus datos y así poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Fuente: www.agpd.es

01Ene/15

Día de Internet

Día De Internet

Ayer 17 de Mayo, ha sido designado como el Dia de Internet, una iniciativa resultante de la Cumbre Mundial de la Sociedad de la Información, que en su artículo 121 afirma que:

“Es necesario contribuir a que se conozca mejor Internet para que se convierta en un recurso mundial verdaderamente accesible al público. El 17 de mayo Día Mundial de la Sociedad de la Información, se celebrará anualmente y servirá para dar a conocer mejor la importancia que tiene este recurso mundial, en especial, las posibilidades que pueden ofrecer las TIC a las sociedades y economías, y las diferentes formas de reducir la brecha digital.”

En este sentido se creó un Site donde se recogen propuestas e iniciativas en este sentido.

El Día de Internet aporta una oportunidad para impulsar y favorecer el acceso a la Sociedad de la Información de los no conectados y de los discapacitados. Además, aprovechando la experiencia adquirida en España, se va a fomentar la celebración del Día de Internet en otros países, poniendo a disposición de aquellos que estén interesados todo el trabajo, información y metodología desarrollado por los que han participado en ediciones anteriores.

Con este motivo, nos congratulamos de contar con numerosas publicaciones y noticias destinadas a fomentar e impulsar esta iniciativa concienciando a los usuarios hacia un uso responsable de Internet y formándoles para que, desde el conocimiento, eviten caer en errores comunes de los que los usuarios maliciosos tratan siempre de beneficiarse.

Es particularmente interesante constatar que varias de estas iniciativas llevadas a cabo en el día de hoy tratan de animar y concienciar a los mas jóvenes a la hora de iniciarse o de seguir utilizando Internet.

En este sentido, podemos destacar algunos ejemplos, como serían los siguientes:

Fuentes:

 

01Ene/15

Anonymous contra la Ley SOPA de EEUU

Anonymous contra la Ley SOPA de EEUU

Anonymous está movilizando a los usuarios para llevar a cabo una protesta generalizada contra Estados Unidos hoy 3 de enero. La iniciativa se ha denominado Operación BlackOut y se ha asegurado que es “un llamamiento a los ciudadanos para protestar” por la ley SOPA.

Han asegurado que la ley “tira a la basura derechos que los ciudadanos pensaban que tenían, incluyendo la libertad de expresión, la libertad de acceso a la información y la libertad a protestar”.

Anonymous ha animado a los internautas a participar en la protesta para mostrar su descontento con la posible aprobación de la ley. Los ‘hacktivistas’ han invitado a usuarios a sustituir la imagen principal de las páginas web por un mensaje de protesta contra la ley.

Anonymous ha finalizado su comunicado, publicado en YouTube, asegurando que “ha llegado el momento de derrocar a otro régimen militar corrupto” en referencia a Estados Unidos.

La ley SOPA propuesta por Estados Unidos se ha comparado en varias ocasiones con la conocida ‘Ley Sinde’. Se trata de una norma pensada para luchar contra la piratería. Esta ley amplía los poderes de acción para evitar el intercambio de este tipo de contenidos y en la Red se ha denunciado que se trata de una forma de censura y ya se han iniciado distintas campañas en contra de SOPA.

Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
www.audea.com

Fuente: PortalTIC

01Ene/15

Avería en Gmail

Avería en Gmail

El servicio de correo de Google sufrió un corte en el servicio. Se estimó que se vieron afectados el 2% de los usuarios, lo que significa, en cifras reales, que 7 millones de buzones dejaron de ser accesibles por sus usuarios, reportando un error temporal 500 al intentar iniciar sesión.

La avería se dio por solventada a las 19:46, en el que google realizó un comunicación oficial, lamentando las molestias ocasionadas.

En ningún momento se comunicó el motivo del problema ocurrido, si bien, se empezó a generar un descontento generalizado por parte de los usuarios.

A falta de un número al que llamar, y la escasa información que ofrece el sistema de apertura de incidencias de google, los usuarios bombardearon twitter con una gran cantidad de mensajes sobre el tema, convirtíendose en “Trending Topic”.

Actualmente vivimos en una sociedad que depende totalmente de los sistemas de comunicación electrónica. Esto provoca que ante fallo de dichos sistemas, aunque sea por un breve periodo de tiempo, puede causar descontento, e incluso pánico en los usuarios.

En el caso del correo electrónico, la solución es simple: disponer de otro buzón de correo con un proveedor alternativo, y disponer de una copia de nuestros contactos, para poder seguir conectado a estos servicios de mensajería, pese a un fallo en el sistema utilizado habitualmente.

 

Fuente: El País

 

01Ene/15

Próximo ataque de Anonymous: “Apagón en Internet”

Próximo ataque de Anonymous: “Apagón en Internet”

El día 31 de marzo ha sido marcado en el calendario por Anonymous como el día en que el grupo de ‘hacktivistas’ pretende hacer su mayor ataque en la red hasta el momento, atacando a 13 servidores clave.

Comenzando con una frase que parece atacar al propio usuario: “el mayor enemigo de la libertad es un esclavo feliz”, la intención de este grupo enmascarado es protestar por la ley SOPA, Wallstreet, “los irresponsables líderes” y lo banqueros. Y es por es que quieren hacer que se caiga Internet.

Al acabar con estos trece servidores, según Anonymous, “nadie será capaz de llevar a cabo una búsqueda de nombres de dominio”, y por consiguiente se llevará a cabo la desactivación de HTTP, que es la función más utilizada de la web.

Es decir, si alguien entrar por ejemplo en “http://www.google.com” o cualquier otro URL, recibirá un mensaje de error, “por lo que pensará que Internet ha caído”, aunque en realidad no se trate de eso. La verdad es que Anonymous se ha esforzado en el comunicado en explicar todos los aspectos técnicos de cómo van a llevar estar tarea a cabo.

No concretan la duración del hipotético ataque, pero afirman que puede ser de una hora hasta días. Pero lo que sí tienen seguro es que será nivel global.

Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
www.audea.com

Fuente: PortalTic.es

01Ene/15

Análisis Bitdefender: Spam, millones por segundo

Análisis Bitdefender: Spam, millones por segundo

Después de recoger durante dos semanas correos spam de diferentes regiones y horarios, han llegado a concluir que cada segundo en Internet, mueve 2 millones de correo basura.

Según el análisis, aunque todo los correos spam son peligrosos hay que prestar más atención a aquellos que lleven archivos adjuntos (el 1,14 % del spam lleva archivos adjuntos).

Han detectado que el 10% de los spam con adjuntos incluyen “malware” o formularios fraudulentos, lo que supone 300 millones de correos al día con archivos maliciosos.

El desglose por tipo de archivo adjunto reveló que un considerable 29,74 por ciento está compuesto de páginas HTML (ya sean ofertas de phishing o comerciales), seguido por los archivos (9,6 por ciento) y los archivos DOC con el 6,26 por ciento. Otros archivos comunes están hechos de imágenes, archivos ejecutables, hojas de cálculo XLS, PDFs y archivos de audio.

La mayoría de los archivos adjuntos ejecutables que se han encontrado llevan a gusanos de correo electrónico (Worm.Generic.24461 y Worm.Generic.23834), así como a virus genéricos (Win32.Generic.497472 y Win32.Generic.494775).

Según los datos de BitDefender, el 78 por ciento de los incidentes de pérdidas de datos en las empresas se debe a comportamientos inseguros por parte de los trabajadores. En este sentido, la presencia de ‘spam’ en las bandejas de entrada de los trabajadores, sólo aumenta el riesgo de que estos cometan un fallo y pongan en peligro la seguridad de la empresa.

Fuente: EuropaPress

 

01Ene/15

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de datos

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de datos.

Recientemente se ha publicado en la página Web de la AEPD una resolución cuanto menos curiosa, que pone de manifiesto la necesidad de fundamentar motivadamente los hechos y motivos por las que una persona considera que una información publicada en Internet atenta contra su derecho a la dignidad y protección de datos. La resolución en cuestión es la R/01545/2011.

La noticia que aparecía en Internet hacía referencia a la vinculación de esta determinada persona con una red de narcotráfico. El afectado, que no quería que la noticia pudiese ser conocida por la totalidad de la población, decidió solicitar a dos de los buscadores de referencia, Yahoo y Google, que procediesen a cesar en el tratamiento de sus datos personales ejercitando su derecho de oposición, o en su defecto procediesen a cancelar sus datos personales en estos buscadores.

La Agencia durante 25 hojas se dedica a fundamentar jurídicamente si los buscadores están obligados a atender estos requerimientos según tengan establecimiento o medios en el territorio del Estado Español, o de la Comunidad Europea. Para ello hace referencia a varias resoluciones y recomendaciones anteriores tanto de la propia Agencia, como del Grupo de Trabajo del Artículo 29, en la que llegan a la conclusión final que estos dos buscadores tienen tanto establecimientos en España, como utilizan medios en nuestro territorio para realizar la búsqueda, y por tanto deben atender la solicitud de derechos ARCO que se les planteen por los particulares. Resulta una buena noticia para los que no sabíamos como hacerlo, porque la respuesta que hemos recibido siempre de Google es que la empresa principal se encuentra en América, y por lo tanto allí no se aplica la legislación Española.

Pero la Agencia va más allá, y analiza un requisito que hasta ahora había pasado desapercibido. El art. 34.a) del Real Decreto 1720/ 2.007 que regula el procedimiento de oposición exige que para que éste pueda ser atendido se deben dar las siguientes circunstancias:

  • Que exista un motivo legítimo y fundado.
  • Que dicho motivo se refiera a su concreta situación personal.
  • Que el motivo alegado justifique el derecho de oposición solicitado.

En la solicitud que el particular efectúa se omite este motivo, además no hace referencia a qué datos concretos hace referencia el titular para el ejercicio de derechos, dice la Agencia, y por tanto se desestima la solicitud de protección de derechos. “Toma ya”, eso se llama tirar la pelota en el tejado de otro.

En cuanto a la referencia a los datos concretos, creo que los mismos quedan perfectamente acreditados, si en toda la solicitud no se hace referencia a otros datos, nada más que a los identificativos, nombre y apellidos, es de suponer que los datos se refieran a éstos. Pero aún pudiendo existir dudas sobre aquellos, el mismo Real Decreto citado en su artículo 25.3 indica que “en el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos”. Y parece ser que el responsable no hizo ninguna mención en éste sentido, luego entendía que la solicitud estaba bien hecha y no necesitaba ningún dato adicional.

En cuanto a la acreditación de un motivo, si el Real Decreto lo dice por algo será. Pero parece obvio que éste motivo, implícitamente hace referencia a que no quiere que sus datos aparezcan en los motores de búsqueda, además también podemos deducir, por la naturaleza del derecho, que se trata de un derecho contra la dignidad, la propia imagen, y el específico de la protección de datos, que motivó la promulgación de una Ley concreta como la LOPD. Pero es más, dentro de estas 25 hojas a las que antes hacía referencia, la Agencia hace referencia expresa a una resolución de la misma, la recaída en el procedimiento de tutela de derechos TD/266/2.007 que indica ” que cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet”. En este sentido parece deducirse que si la persona es objeto de hecho noticiable tiene que soportar toda la vida la inclusión de esta noticia en Internet, cuando la propia resolución indica que si sus datos personales no son de interés público, por no contribuir su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático, debe gozar de mecanismos reactivos amparados en Derecho(como el Derecho de cancelación de datos de carácter personal). A esto quiero añadir, que hecho en falta un dato en esta resolución, y es que no pone la fecha de la noticia. Si la noticia fue publicada hace mucho tiempo, el carácter de noticiosa la perdió con el tiempo, y por lo tanto no es necesario el mantenimiento de la misma en el tiempo. La Agencia también se ha pronunciado en diversas resoluciones sobre el derecho al olvido.

Y por último, quisiera apuntar, que el solicitante hizo dos peticiones alternativas, oposición y alternativamente cancelación. El Real Decreto no exige la acreditación de ningún motivo fundado para el ejercicio de este derecho, y por tanto la Agencia, debería haber resuelto sobre esta petición alternativa.

 

01Ene/15

Fraude en Apps para Dispositivos móviles

Fraude en Apps para Dispositivos móviles

El uso de los dispositivos móviles en el día a día, sigue aumentando a un ritmo frenético, pasando a ser el medio por el que pasamos a realizar más y más tareas, y en el que confiamos gran parte de nuestra operativa diaria.

Pero hay que tener mucho cuidado con el uso que hacemos de este tipo de dispositivos, ya que la utilización de los mismos implica a su vez riesgos asociados a los que nos exponemos como usuarios.

Así mismo, existen reportes de numerosos organismos en los que podemos ver que cada dia son más millones los usuarios de banca en línea y por teléfono, por lo que es un mercado cada vez más atractivo para los criminales informáticos.

Esta mañana nos hemos levantado con la noticia de que se han detectado aplicaciones de Android maliciosas que obtenían los datos bancarios de los usuarios.

A través de aplicaciones diseñadas supuestamente para generar códigos bancarios y resguardar contraseñas financieras, los cibercriminales obtenían los datos y códigos de acceso a la banca en línea de estos usuarios Android, según , reveló McAfee en un comunicado.

McAfee señaló que la aplicación Token Generator engaña a los usuarios del sistema operativo de Google y obtiene de manera ilícita su nombre, número de cuenta y contraseñas financieras.

La aplicación maliciosa se anuncia supuestamente como una central de contraseñas y generador de códigos de seguridad, lo que provoca que los usuarios le confíen su información y por lo tanto el desarrollador de la misma acceda a dichos datos.

Los responsables de la aplicación han explotado la ingeniería social para que el número de víctimas se incremente, según alerta la firma de seguridad.

“Por medio de correos electrónicos, mensajes de texto y páginas web los cibercriminales le aconsejan al usuario descargar la aplicación que supuestamente protegerá su actividad financiera en línea”, denuncia McAfee

Antes de descargar cualquier aplicación, nosotros, como usuario, tenemos la responsabilidad de revisar cuál es la procedencia de la misma, así como inspeccionar qué permisos requiere, tal y como recomiendan los fabricantes de productos de seguridad y antivirus.

Fuente: www.besecure.com

 

 

 

 

01Ene/15

Facebook como “actividad de riesgo”

Facebook como “actividad de riesgo”

Facebook otra vez en el punto de mira y de nuevo desde Alemania. Esta vez ha sido el presidente del Tribunal Constitucional alemán, Andreas Vosskuhle, quien carga contra la red social calificándola como “actividad de riesgo” debido a la desprotección de los datos de los usuarios.

La red social por excelencia ha sido cuestionada en varias ocasiones desde diferentes organismos alemanes por sus políticas de privacidad, sobre todo por el rastreo de usuarios que realiza a través de las cookies que se instalan automáticamente en sus equipos. En este sentido, la Agencia de Protección de Datos de Hamburgo señala en un informe que las cookies pueden permanecer hasta dos años en el ordenador del usuario aun después de haberse dado de baja en el servicio. Según Johannes Caspar, director de la Agencia de Protección de Datos, “el argumento de que todos los usuarios deben seguir siendo identificables después de que cierren su cuenta en Facebook para garantizar el servicio no se sostiene legalmente”.

Estos nuevos estudios pueden poner en peligro el futuro de Facebook en Alemania y es que las actividades que realiza la compañía estadounidense pueden considerarse contrarias a derecho, incluso creando indefensión a los usuarios, ya que según palabras de Vosskuhle “existe un grave desequilibrio entre el poder de la compañía, cuyos servidores se encuentran fuera de Alemania, y los estados federados, cuya judicatura dispone de una competencia fragmentaria en materia de protección de datos”.

Áudea Seguridad de la Información,
Departamento de Gestión
www.audea.com

Fuente: www.elmundo.es

01Jul/14

Nuevo Virus. Infección de la red de aviones no tripulados de EEUU

Nuevo Virus. Infección de la red de aviones no tripulados de EEUU

El mundo del malware no deja de sorprendernos. En este ocasión, nos hemos encontrado con un virus informático que controla los drones (aviones no tripulados).

Se trata de un virus que registra las pulsaciones de teclado, y que infectó la red de ordenadores que controla estos aviones, cuya principal misión es la de sobrevolar áreas de conflicto, con el objetivo de obtener información.

Las comunicados hechos hasta el momento, han revelado que no ha habido difusión de información confidencial del os datos recogidos por los aviones, los que han seguido realizando sus tareas con total normalidad.

Por otro lado, aún no se sabe con certeza, si el virus forma parte de un ataque organizado o la infección se produjo de forma accidental.

Aunque parece que el virus no ha generado grandes repercusiones, se ha introducido en las Bases de Datos, y está resultando complicado llevar a cabo su eliminación.

En las últimas noticias publicadas sobre el tema, se denomina al virus de los drones como “una molestia”, ya que no causó problema alguno en las misiones de control remoto de estos aparatos.

El mecanismo de infección fue a través de los discos utilizados para la actualización de mapas topográficos, y ya se está trabajando en las medidas de seguridad oportunas para evitar que vuelva a ocurrir un problema similar.

Departamento de Seguridad TIC.
Áudea Seguridad de la Información S.L.

Fuente: www.elmundo.es

01Ene/14

Múltiples ataques de Anonymous

Múltiples ataques de Anonymous

Anonymous el grupo de ‘hackers’ informáticos ha realizado este lunes un ataque masivo contra las webs del Departamento de Justicia de Estados Unidos, la CIA y el MI6, según han anunciado a través de su página oficial en Facebook.

Horas antes, un miembro perteneciente a la rama brasileña del grupo, ha reclamado la responsabilidad de los ataques por saturación contra el Departamento de Justicia y la CIA, según ha recogido una cadena de televisión rusa.

A través de Twitter, han asegurado que la web de la CIA ha estado sin servicio durante una hora y media

Este ataque llega poco después del lanzado el 9 de abril contra la web del Ministerio del Interior británico, que permaneció varias horas inactiva por un presunto ataque en respuesta a la última iniciativa de vigilancia digital del Gobierno británico. Anonymous declaraba su intención de proseguir este ataque con posteriores asaltos informáticos que tendrán lugar los próximos sábados.

Asimismo, el 6 de abril llevó a cabo un ataque masivo contra casi 500 páginas web de entidades privadas e instituciones y agencias gubernamentales en China.

Los sitios que fueron víctimas del ataque quedaron marcados con un mensaje del grupo centrado en la crítica al Gobierno chino por el estricto control al que somete a sus ciudadanos y en la invitación a todos los chinos a sumarse a este colectivo para realizar sus propias iniciativas de protesta contra el régimen.

Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
www.audea.com
fuente: EuropaPress

 

01Ene/14

Publicado el código de PCANYWHERE

Publicado el código de PCANYWHERE

Un hacker, conocido con el nombre YamaTough consiguió obtener el código fuente de PCAnywhere, que es uno de los productos más importantes de la empresa Symantec.

Amenazando con publicar el código en Internet, el hacker pidió a Symantec 50.000 euros por su silencio, y destrucción del código obtenido.

Symantec por su parte afirma no haber realizado negociación alguna con el hacker, ya que fue la policía quien se comunicó con el hacker, haciéndose pasar por symantec, y ofreciéndole un pago fraccionado para conseguir localizarle con mayor facilidad.

No se descarta que el hacker posea datos sobre versiones anteriores del producto de symantec, además de relacionársele con el grupo Lords of Dharmaraja, que supuestamente está asociado con Anonymous.

El código fuente, finalmente ha sido publicado en The Pirate Bay.

Anonymous, por su parte, ha publicado las conversaciones por correo que se mantuvieron con el hacker.

Fuente: www.elpais.com

 

 

 

 

 

01Ene/14

Audea 10º Aniversario

Audea 10º Aniversario

En Áudea celebramos nuestro 10º Aniversario. El 15 de febrero en Áudea cumplimos 10 años, con la satisfacción de haber cumplido uno de nuestros objetivos: ser una de las compañías referentes en el ámbito de la seguridad de la información en España.

Desde sus comienzos, los socios fundadores de la firma tuvieron claro un concepto que poco a poco se dejaba oír más entre los expertos del sector, la “seguridad de la información”. Por ello la apuesta desde el principio fue crear una compañía que ofreciese a sus clientes servicios profesionales relacionados con la gestión de la seguridad de la información. Precisamente esta especialización es la que se convirtió en el verdadero valor de nuestra compañía, permitiéndonos alcanzar con éxito los proyectos de seguridad y que los clientes tuvieran un único proveedor.

Hoy en día contamos con tres delegaciones y seguiremos en este 2012 apostando por el crecimiento y expansión de nuestra firma para estar más cerca de nuestros clientes, entre los que destacan entidades nacionales e internacionales de todos los sectores (financiero, comunicación, telecomunicaciones, sanitario, seguros, marketing y entes públicos, etc.) que dan muestra de nuestra profesionalidad y buen hacer, siendo parte de nuestro mejor aval.

En la actualidad el equipo de Áudea está formado por 20 profesionales altamente cualificados que aportan conocimiento y experiencia de gran valor. Contamos con  abogados especialistas en nuevas tecnologías, consultores con certificaciones CISA, CISM Y CISSP e ingenieros informáticos. ,Gracias a ellos hemos conseguido un nicho en el mercado de este sector donde se encuentran grandes empresas.

Es probable que el trabajo en equipo, la honestidad, eficacia y eficiencia, cercanía hacia nuestros clientes y la personalización de cada  de uno de los proyectos con la misma profesionalidad y experiencia lograda a lo largo de estos años, sean los valores diferenciadores determinantes de nuestra empresa frente a las grandes consultoras.

De cara al futuro, nuestro objetivo es afianzar el importante crecimiento que hemos vivido en los últimos años. Para ello  contamos con el mejor equipo de profesionales que hacen, día a día, que el proyecto de Áudea sea posible. La Dirección quiere agradecer todo ese esfuerzo, perseverancia y entrega a los Responsables de los Departamentos y a todos los que formamos esta empresa.

Todo el equipo de Áudea queremos agradecer a clientes, partners y colaboradores su fidelidad y confianza, porque sin ellos no hubiéramos podido llegar hasta donde nos encontramos en la actualidad, y con la misma dedicación y esfuerzo, esperamos cumplir muchos años más.

Muchas gracias a todos.

01Ene/14

Joven de 26 detenido por difundir vídeos y fotografías íntimos de otra persona

Joven de 26 detenido por difundir vídeos y fotografías íntimos de otra persona.

La Policía Foral detuvo, el pasado 15 de febrero, a una persona a la que responsabiliza de un delito de descubrimiento y revelación de secretos, calumnias, injurias y amenazas a través de Internet. El detenido, de 26 años, difundió fotografías y vídeos íntimos de otra persona que había obtenido haciéndose pasar por una mujer en los foros de las redes sociales.

La investigación se puso en marcha después de que en septiembre de 2011 fuera interpuesta una denuncia ante la Policía Foral en Pamplona por unos hechos que habían comenzado en julio de 2011. El denunciante declaró que había sido calumniado, amenazado e injuriado y que además habían atentado contra su intimidad mediante la revelación de datos íntimos mediante el envío de correos electrónicos.

Estos correos incluían fotografías y vídeos íntimos que el denunciante había mandado por correo electrónico a una dirección que pensaba que correspondía a una mujer, y que resultó ser la del varón ahora detenido.

El presunto autor del delito se sirvió de cuatro cuentas de correo electrónico para hacerse pasar por una mujer en diversos foros de las redes sociales de Internet y lograr así que le fueran remitidos los vídeos y las fotos comprometedores. Alguno de ellos fue enviado incluso a al lugar de trabajo del denunciante.

Como fruto de la investigación se ha descubierto que tanto el imputado como el perjudicado habían coincidido en un curso de formación en un centro escolar y que podía haber surgido algún tipo de disputa entre ellos.

Desde la Policía Foral han insistido en que no debe facilitarse información privada y personal que permita identificar con claridad a los usuarios de Internet, y especialmente en las redes sociales. Tampoco se deben intercambiar fotos y vídeos de cualquier naturaleza, pero sobre todo de contenido íntimo, con personas de las que no se sabe con certeza su identidad, ya que se puede dar un mal uso de las mismas incurriendo, a veces, en ilícitos penales.

Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
www.audea.com

Fuente: PortalTic.es

 

01Ene/14

INTECO como institución de referencia

INTECO como institución de referencia en el Programa europeo para la Competitividad de las grandes empresas y PYMES

En base a la estrategia europea I+D+I Horizonte 2020, integrada por el Programa Europeo para la Competitividad de las Empresas y PYMES (COSME), se desarrollará el Programa Marco de Competitividad e Innovación (CIP) para el período 2014-2020, en continuación del actual vigente durante el período 2007-2013, en cuya labor interviene como Punto Nacional de Contacto (NCP) el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

El objetivo principal del Programa Europeo consiste en el apoyo a la internacionalización de las empresas y la mejora de los instrumentos financieros empleados por éstas, simplificando y facilitando una mejor tramitación y gestión financiera.

Mediante este Programa Marco y, en concreto, mediante el Programa de Apoyo a la política en materia de TIC (ICT-PSP), INTECO pretende promover la confluencia en el binomio investigación-innovación, prestando servicios de asesoramiento y asistencia a las entidades españolas interesadas en participar en el Programa de apoyo a la política en materia de TIC del Programa Marco señalado. En este sentido, El Programa Marco CIP se lleva a cabo mediante la ejecución de tres programas específicos, entre los cuales figura el Programa de Apoyo a la Política en materia de TIC (ICT-PSP). La finalidad perseguida con este Programa consiste en estimular la innovación y competitividad a través de un mayor y mejor uso de las TIC por parte de los ciudadanos, los gobiernos y las empresas y está basado en las experiencias de programas anteriores (e-TEN, Modinis, e-Content), contando para ello con el apoyo de los objetivos trazados en la nueva estrategia integrada i2010: la Sociedad de la Información y los medios de comunicación al servicio del crecimiento y del empleo en la sociedad española.

Para más información:

Fuente: INTECO

01Ene/14

Las Federaciones Deportivas Andaluzas compartirán sus experiencias de gestión

Las Federaciones Deportivas Andaluzas compartirán sus experiencias de gestión

El IAD (Instituto Andaluz de Deporte), dependiente de la Consejería de Turismo, Comercio y Deporte de la Junta de Andalucía, organizó los pasados días 13 y 14 de octubre en el Estadio Olímpico de Sevilla un foro “para informar a las federaciones andaluzas sobre la gestión de estas entidades, su adaptación a la Ley de Protección de Datos y los seguros de accidentes.”.

El mismo, que contó con la asistencia de unos 50 miembros de estos organismos, y que fue inaugurado por el Delegado de Turismo, Comercio y Deporte de Sevilla, Francisco Díaz Morillo, puso sobre la mesa “los derechos y obligaciones de las federaciones con las Administraciones públicas”, para lo cual se contó con la colaboración de “asesores empresariales y de comunicación, responsables de otras entidades deportivas y de la Junta, así como con la dirección del presidente de la Confederación Andaluza de Federaciones Deportivas, Jesús Rossi”.

Además de tratar asuntos más vinculados tradicionalmente con los organismos federativos, como “el seguro de accidente deportivo, y responsabilidad civil; los patrocinios; la justificación de las subvenciones públicas y las condiciones de los beneficiarios; las relaciones con los medios de comunicación”, o la necesidad de implantar un sitio web “como espacio informativo entre los federados”, llama la atención el protagonismo que se le dio a la adecuación a la Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo, tema relevante por cuanto estos organismos son susceptibles de tratar datos personales sensibles, y por tanto su adaptación a la Ley es fundamental.

Esperemos que tomen ejemplo el resto de Consejerías y sus órganos dependientes, y que este tipo de eventos estén a la orden del día, para garantizar la protección del derecho fundamental a la privacidad de los ciudadanos en sus relaciones con los entes públicos.

Áudea Seguridad de la Información
Departamento Derecho NNTT
www.audea.com

Fuente: www.eldesmarque.es

01Mar/12

Entra en vigor la Ley Sinde-Wert

Entra en vigor la Ley Sinde-Wert

Hoy Jueves 1 de Marzo 2012 entra en vigor el Real Decreto que desarrolla la nueva legislación que pretende evitar la descarga ilegal de contenidos protegidos por derechos de autor en Internet, conocida popularmente como Ley Sinde-Wert.

El nuevo Ejecutivo de Mariano Rajoy aprobó la nueva regulación antidescargas el 30 de diciembre de 2011, aprobado de manera mayoritaria en las Cortes y con fecha 1 de marzo para entrar en vigor.

Este Real Decreto pone en marcha la sección segunda de la Comisión de Propiedad Intelectual, compuesta por un grupo de funcionarios, de los ministerios de Educación, Cultura y Deporte; Industria, Energía y Turismo; Economía y Competitividad; y Presidencia.

Esta comisión servirá de puente entre los propietarios de los derechos de autor y los dueños de las páginas webs, con la intención de reestablecer la legalidad en internet. Esto supone que los miembros de la Comisión tendrán poder para solicitar la retirada de contenidos e incluso el cierre de las páginas que los alojen o enlacen sin permiso de los titulares.

El proceso siempre comenzará a partir de una solicitud del titular de estos derechos de autor, iniciando así un proceso administrativo que puede durar en torno a 20 días, y en el que el Juzgado Central de los Contencioso Administrativo tendrá que pronunciarse hasta en dos ocasiones si los dueños de la web no acuerdan la retirada de contenidos.

Una vez aceptada a trámite una solicitud, se pide al juez una petición de autorización para identificar al responsable, a quien se contactará seguidamente para informarle. Éste tiene 48 horas desde ese momento para retirar contenidos o presentar alegaciones. Después hay un plazo de deliberación, tras el cual si la Comisión cree que hay vulneración solicita de nuevo la intervención judicial, quien en última instancia decide sobre la interrupción o retirada.

Por último, la ejecución de esta decisión judicial puede ser voluntaria o forzosa, en cuyo caso se solicitará (al igual que a la hora de identificar) la colaboración del prestador de servicios de internet (empresas de telecomunicaciones).

Desde el cierre de Megaupload por la intervención del FBI, las páginas más populares en España de servicios de descargas y ‘streaming’,  llevan un tiempo retirando enlaces. Sin embargo, hoy jueves es su fecha límite.

Fuente: PortalTic.es

 

 

28Feb/12

Áudea y Buguroo os invitan a un Desayuno Tecnológico ¿Son sus Aplicaciones Seguras?

Áudea y Buguroo os invitan a un Desayuno Tecnológico ¿Son sus Aplicaciones Seguras?

Martes 28 de Febrero 2012 Áudea y Buguroo les invitan a un Desayuno Tecnológico, en la Sede Central de Áudea Seguridad de la Información (Las Rozas- Madrid).

En este Desayuno le mostraremos como proteger las aplicaciones, uno de los eslabones más débiles de la cadena, ya que:

  • El 95% de los ataques en Internet van contra el aplicativo.
  • Más del 90% de las vulnerabilidades de Internet están en el código.

Para inscribirse contacte con el 91.745.11.57 o envíe un email a [email protected]

 

13Feb/12

Cinetube no comete ningún delito

Cinetube no comete ningún delito

La actividad de Cinetube no constituye un delito contra la propiedad intelectual. Los jueces citan a sentencias previas y aseguran que al tratarse de una web de enlaces no comente ningún delito, por lo que en la Audiencia Provincial de Álava se ha desestimado la demanda interpuesta por varias productoras de Hollywood.

La web Cinetube se encontraba en el punto de mira de las productoras de cine, sobre todo en EE.UU. Tras el cierre de Megaupload, Cinetube era una de las páginas que se encontraban en el punto de mira del FBI debido a que aseguraban que ofrecían contenido audiovisual que violaba las leyes de propiedad intelectual. Sin embargo, la Audiencia Provincial de Álava no está de acuerdo con esta interpretación.

La justicia declara a Cinetube como una página web legal que no constituye ningún delito contra la propiedad intelectual, asegurando que “no existen indicios en las presentes actuaciones de la concurrencia de los elementos objetivos del tipo penal objeto de imputación y dando lugar al sobreseimiento interesado por la defensa”, según se recoge la sentencia publicada por el bufete de abogados Almeida en su página web.

Sentencia

Fuente: Portaltic.es

01Jul/11

Kaspersky publica informe sobre ataques DDoS y su aumento de potencia

Kaspersky publica informe sobre ataques DDoS y su aumento de potencia en el segundo semestre de 2011

Karspersky ha hecho público su Informe de ataques DDoS relativo al segundo semestre de 2011, en el que asegura que la potencia de los ataques DDoS neutralizados por sus soluciones de seguridad aumentaron su potencia en un 57 % respecto al primer semestre del año. Según la compañía, los que más utilizan este tipo de ataques son los falsificadores de tarjetas de crédito.

Los ‘hacktivistas’ y los ciberdelincuentes han adoptado este sistema de ataque como una herramienta para sus ataques y han hecho que se convierta en una de las preocupaciones fundamentales de las empresas y compañías de seguridad.

Este tipo de ataques puede dejar fuera de servicio páginas o sistemas que sean su objetivo, por lo que su duración es un dato especialmente importante.

En el segundo semestre de 2011, la gran mayoría de los ataques DDoS se lanzaron contra una página web que vendía documentos falsificados dando muestra de la dura competencia existente entre los ciberdelincuentes.

Los investigadores de Kaspersky han explicado que las ‘botnets’ atacan foros en los que se discuten temas de venta de tarjetas de crédito y sitios en los que se venden datos de dueños de tarjetas. Las siguientes víctimas de los ataques DDoS son los sitios que ofrecen alojamiento blindado y servicios VPN para ciberdelincuentes.

fuente: PortalTic