Archivos de la etiqueta: Trabajos Derecho Informático

05Feb/24

Análisis de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial

Autor: José Luis Chávez Sánchez

20Nov/18

Protección de datos y universidades

Protección de datos y universidades

Una Universidad, aparte de ser un sujeto clave en la transferencia del conocimiento a la sociedad, es también un vivero de problemas respecto a la protección de datos debido a la multiplicidad de afectados (PDI, PAS y estudiantes), el tratamiento de datos a gran escala de dichos colectivos, o es posible realizar tratamientos a gran escala de categorías especiales de datos personales (p.ej. investigación biomédica).

Respecto a los problemas concretos, cabe destacar la necesidad de la publicación de las notas de los estudiantes en el tablón de anuncios. Ya se resolvió la necesidad del consentimiento para dicha comunicación de datos personales por la Disposición Adicional 21ª de la Ley Orgánica de Universidades, pero en la práctica se sigue  publicando dichas calificaciones con nombres, apellidos, DNI, número de expediente  y sus calificaciones, práctica que puede considerarse excesiva a la luz del principio de minimización de datos del artículo 5.1.c) del RGPD, puesto que el número del DNI o del expediente permite ya de por sí identificar al estudiante.

Recientemente, la AEPD ha tratado el problema de las comunicaciones de las calificaciones de hijos mayores de edad a sus progenitores. En el caso presentado, la comunicación se requiere para la solicitud para la modificación de la cuantía de prestación de alimentos. La AEPD adopta como solución –además del consentimiento- el interés legítimo, que es el derecho a la tutela judicial efectiva, y que debe primar por encima del derecho fundamental a la protección de datos.

No solo en estos casos, sino que en cualesquiera en los que los progenitores sufragasen el coste educativo del hijo mayor de edad, se presume que los progenitores poseen un interés legítimo para conocer las calificaciones de sus hijos por encima de los derechos a la intimidad y protección de datos. Por lo tanto, no existiría interés legítimo de los progenitores cuando el hijo sufragase los costes, o cuando alguno de los progenitores no sufragase los datos, ostentando dicho interés legítimo el progenitor sustentador.

A todo esto, siempre deberá informarse al afectado de la comunicación de los datos según la existencia de un interés legítimo para que pueda ejercer el derecho de oposición a esta comunicación.

No se duda de la existencia de un “derecho” de los padres a conocer las notas de sus hijos, pero dicho derecho nacerá en función de la incidencia de los padres a la hora se sufragar los gastos, pero la existencia del derecho de oposición traerá algún que otro “problema familiar” …

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

20Nov/18

Big data y decisiones automatizadas

Big data y decisiones automatizadas

Las nuevas tecnologías están revolucionando la toma de decisiones en el mundo empresarial, un mundo que vive de la propia información para dicha toma de decisiones y que se requieren tomarlas prácticamente “en tiempo real”, muchas veces sobreponiendo las conclusiones que se saquen de los datos que, de los propios directivos, instaurando así una dictadura del dato.

Para la toma de estas decisiones, se requiere el análisis de una cantidad ingente de datos para sacar conclusiones derivadas de dichos datos. Es lo que se conoce como Big Data. Uno de los medios utilizados según Big Data consiste en la creación de perfiles de riesgo basándose en patrones anteriores de situaciones anteriores.

Pongamos el ejemplo de una compañía de seguros que analiza una misma situación para determinar en qué circunstancias una persona puede tener un elevado riesgo a la hora de la contratación de un seguro de vida, y cuya decisión sobre la procedencia de la celebración del contrato se hace directamente por internet, y cuya respuesta es inmediata sin intervención de ningún empleado de la aseguradora. Este procedimiento es conocido como una decisión automatizada.

Son evidentes los problemas ­ que nos podemos encontrar: si una persona que introduce los datos personales en un programa el cual dicta la valoración al instante y es determinante para la celebración de un contrato, hace que las personas se conviertan en datos y no miren otras condiciones a la hora de firmar un contrato tan importante como es un contrato de seguro de vida.

Para prevenir esta situación, el RGPD (o GDPR en inglés) prevé el derecho a no ser objeto de decisiones automatizadas, una variante del ya conocido derecho de oposición. Esta disposición nos permite negar este tipo de actividades sobre nosotros que utilizan nuestros datos personales.

En caso de que para ese tipo de tratamiento se utilicen datos sensibles como pueden ser salud (enfermedades), ideología o vida sexual, el tratamiento estará prohibido, salvo que se haya otorgado un consentimiento “explícito” por parte del afectado.

Este derecho se convierte a su vez en una salvaguarda fundamental para los derechos de los afectados en una situación muy sensible para ellos, puesto que se viene a evitar que se institucionalice aún más esa “dictadura del dato”.

 

Juan José Gonzalo Domenech

Legal Department

Áudea Seguridad de la Información

20Nov/18

Indicadores de Compromiso en la gestión de riesgos

Indicadores de Compromiso en la gestión de riesgos

 

Cuando hablamos de gestión de riesgos, la prevención es la mejor estrategia para intentar evitar un impacto sobre nuestros activos.  Pero prevenir; es un concepto amplio que consta de varios mecanismos que en función de las circunstancias pude incrementar los costes de la organización de manera innecesaria y poco efectiva.

Invertir recursos de manera desproporcionada que intenten abarcar todos los activos de una empresa, no hará más que generar procesos ineficientes y posiblemente duplicados con un consumo trivial de recursos tanto personales, financieros, como temporales.

Por ejemplo; no es la primera vez que organizaciones mal asesoradas han realizado inversiones en equipamiento de última generación que ni estaba bien configurado ni actualizado, o han delegado las labores de seguridad en personal poco cualificado con el consecuente incremento del riesgo.

Por tanto, un proceso de gestión del riesgo que se ejecute incorrectamente puede incurrir en el error de implementar controles totalmente innecesarios o en el de desequilibrar de manera negativa la efectividad de aquellos que deben ser implantados; con el consiguiente incremento en costes que se derivaría de su mantenimiento.

¿Cómo se puede por tanto prevenir sin incurrir en un gasto desproporcionado, logrando la mayor efectividad posible?  Evidentemente, no existe una receta mágica, pero si se tiene bien definido el alcance y cuáles son las funciones críticas del negocio, se cuenta con asesoramiento o personal cualificado; se diseñan controles en función de un análisis de riesgos basado en una metodología contrastada y se implementa un proceso que monitorice los riesgos y que evalúen los controles confirmando que son realmente eficientes; el riesgo residual se minimizaría considerablemente y el impacto potencial dentro de la organización podría ubicarse dentro de una zona de control bastante delimitada.

 

IOCs

Un mecanismo de prevención que resulta altamente efectivo y cuyo coste es muy asumible por cualquier organización, es el uso de Indicadores de Compromiso “Indicators of Compromise” (IOC).

Se trata de un método estandarizado basado principalmente en metalenguajes y cuyo fin principal es la identificación y detección de manera anticipada de amenazas relacionadas con la seguridad.

La efectividad de los indicadores de compromiso se encuentra en la posibilidad de que la información que contienen, es actualizable en cualquier momento y que se puede compartir e intercambiar de una manera muy sencilla con cualquier persona o grupo interesado, como podrían serlo aquellos dedicados a la gestión de incidentes de seguridad.

Un Indicador de Compromiso, nos describe desde actividad maliciosa (incluyendo los elementos que participan de ella), hasta un incidente de seguridad por medio de patrones de comportamiento y características que pueden ser parametrizadas y categorizadas.

Esta información contenida en los IOCs, permite compartir el comportamiento de un incidente analizado desde que es localizado hasta su última actualización. Se pueden incluir tantas variables y propiedades a través de atributos como consideremos precisos para su descripción.

Por tanto, estamos tratando de un elemento que nos permite detectar e identificar de manera anticipada amenazas para la seguridad de los activos de cualquier organización.

Llegados a este punto es donde la figura del profesional de la seguridad, y especialmente de quien se dedica a la gestión de riesgos, adquiere un protagonismo esencial ya que será el responsable de elaborar tanto los planes de prevención ante incidentes como del fortalecimiento de los sistemas de seguridad. Para ello deberá comprender los flujos de información de los procesos críticos del negocio y los actores relevantes participantes, identificando de este modo los activos a proteger.

Ya no se trata de procesar información en uno u otro formato en función de las variables predefinidas y actualizarla a medida que el incidente muta o evoluciona; ahora se trata de cómo interpretar la amenaza, el posible alcance que pudiera llegar a tener en la organización, además de contemplar la dependencia entre sistemas, procesos de negocio e información crítica y el contexto en el que un posible impacto pudiera producirse. Es el momento de anticiparse y plantear posibles soluciones a los responsables de negocio. Gracias al análisis pormenorizado de estos indicadores y a la correcta interpretación del riesgo por parte de los profesionales, más de una vez, se ha detectado la presencia una amenaza potencial en entornos internos y de confianza. Esto ha permitido aplicar las medidas preventivas necesarias para reducir el riesgo a un nivel más que aceptable.

En resumen, el compartir información a través de estos indicadores en coordinación con todas las áreas interesadas de una corporación; es un método eficaz de prevención generando alertas tempranas que ayudan a garantizar de manera proactiva la detección y la gestión de incidentes, reforzando los niveles de seguridad de los activos críticos frente a amenazas ya existentes.

 

Principales IOCs

 Existen una gran cantidad de Indicadores de Compromiso. Unos hacen una descripción de actividades inusuales en un sistema o en una red, otros se pueden basar en evidencias obtenidas de equipos comprometidos. Como ejemplo se pueden considerar las modificaciones que hayan tenido lugar en aplicativos o en las entradas de los registros, servicios o nuevos procesos, etc.

Como más frecuentes se pueden destacar, el uso inusual de puertos por aplicaciones, la detección de tráfico irregular, el número elevado de solicitudes de acceso a un mismo activo, un incremento injustificado de consultas a bases de datos o actividad anómala en cuentas de usuario con privilegios. Los hay más específicos que requieren de un perfil mucho más técnico para su procesamiento, como por ejemplo las distintas firmas de virus, listas de hash asociados a activos de malware, conjuntos de IPs detectadas en ataques dirigidos y en casos de botnets o ransomware, los nombres de dominio o las URL de los servidores de comando y control.

 

Implementación de IOCs

A día de hoy coexisten varios sistemas estandarizados de intercambio de Indicadores de Compromiso. Casi todos hacen uso del metalenguaje XML conteniendo los parámetros que definirán un posible compromiso y el valor asignado en cuanto a su probabilidad de ocurrencia.

Entre los más conocidos destacan:

  • OpenIOC (Open Indicators of Compromise)
  • Oasis Cyber Threat Intelligence (CTI)
  • Cybox (Cyber Observable eXpression)
  • Maec (Malware Attribute Enumeration and Characterization)

Existen además repositorios de IOCs como IOC Bucket o Openioc Db; plataformas gratuitas donde encontrar indicadores e información relevante sobre amenazas que son compartidos por una amplia comunidad de usuarios con la única finalidad de que le demos el mejor uso para la protección de nuestros sistemas.

Para su despliegue, existen plataformas como MISP o MANTIS encargadas de la recogida, almacenaje y distribución indicadores de seguridad

 

 Conclusión

La prevención como elemento de protección a través de los IOCs, minimiza la exposición en el tiempo a la detección y respuesta ante un posible incidente de seguridad; siendo ambos factores críticos en un procedimiento de gestión del riesgo.

La cantidad de información tan masiva que se requiere para la detección de potenciales amenazas y la posterior definición de actuaciones y acciones preventivas, correctivas o incluso de recuperación, precisan de un procedimiento automatizado que haga sencillo y ágil la identificación de incidentes. Esta necesidad queda satisfecha con los IOCs, al permitir modelar un incidente, categorizarlo en función de diferentes variables y asociarlas a ese incidente en concreto.

El ahorro relativo comparado con los efectos de un impacto es significativo y su mantenimiento y monitorización a través de las plataformas descritas muy asumible para cualquier organización.

 

Iker Sala Simón

GRC Department

Áudea Seguridad de la Información

20Nov/18

Riesgos del uso de redes sociales

Riesgos del uso de redes sociales

 

En un mundo cada vez más conectado, cada usuario utiliza una o varias redes sociales tanto en el ámbito personal como el profesional, en el presente articulo vamos a describir algunos problemas o riesgos derivados del uso de redes sociales , los cuales nos podemos encontrar sino las usamos de forma adecuada.

 

  • Publicación de datos personales

Una de las ventajas de las redes sociales es que ayudan a conectarse con amigos u otras personas con las que compartir información relevante. Sin embargo, la publicación de información personal sin control puede atentar contra la seguridad de la persona que los publica así como de su entorno.

Por lo que no es aconsejable compartir con extraños la dirección del domicilio, número de teléfono o el lugar de trabajo, sobretodo al hacerlo sin un control adecuado en redes sociales si van a ser visibles a millones de usuarios.

Para mantener acotado el número de personas que tienen acceso a nuestra información es importante revisar las opciones de privacidad de aquellas redes sociales en las que estamos suscriptos para comprobar quienes pueden consultar nuestra información y poder minimizar daños posteriores.

 

  • Publicación de datos personales por parte de otra persona

Tal y como se ha mencionado anteriormente es posible configurar las opciones de visibilidad de nuestra información en las redes sociales; sin embargo, es fácil perder el control de esa información si nuestros contactos publican la información que nosotros subimos a las redes sociales y a continuación la comparten con sus amistades sin antes consultarlo con nosotros.

Esto suele ocurrir, por ejemplo, cuando nuestros amigos nos etiquetan en fotos en una red social como Facebook, dejando nuestro nombre expuesto a gente que podría no ser de nuestra confianza.

Antes esto, puedes comunicar a tus contactos que no te etiqueten en fotos o bien activar la opción de revisar etiquetas con tu nuestro nombre antes de ser publicadas en Facebook (en el caso de esta red social).

 

  • Pérdida de tiempo para realizar otras actividades

Es muy común ver tanto a jóvenes como adultos dedicando toda la atención a los terminales móviles, tanto con amigos como en familia.

En muchos casos esta abstracción de la vida real puede deberse a la lectura de las últimas noticas o publicaciones de los contactos de Facebook o contabilizar el número de “me gusta” de la última foto de Instagram.

La interacción con las distintas redes sociales existentes es importante pero también en realizar otro tipo de actividades como pasar tiempo de calidad con nuestro entorno o invertir el tiempo en actividades de nuestro interés fuera de la conexión a una red social ya que estas en algunas circunstancias pueden ocasionar problemas de salud relacionados con la adicción a las mismas.

 

  • Potencial exposición al ciberbullying

Muchas de las redes sociales existentes han sido creadas para compartir información entre amigos pero existen personas que pueden utilizarlas para publicar información dañina hacia otras personas.

Esta acción se conoce como ciberbullying y por suerte son cada vez más redes sociales las que han tomado medidas para prevenir este tipo de situaciones añadiendo herramientas para bloquear y denunciar estos conflictos.

Los jóvenes que tengan perfiles en las redes sociales no necesariamente tienen que sufrir ciberbullying pero es importante repasar con ellos acciones importantes en caso de verse enfrentados a este problema e informar inmediatamente a un adulto de este hecho.

 

  • Suplantación de identidad

Una suplantación de identidad se produce cuando otra persona actúa con nuestro nombre con fines maliciosos. Este hecho cada vez es más habitual en redes sociales, donde se crea un perfil falso con el nombre de la víctima bajo el que se comparte contenido o se produce un daño reputacional y de imagen de la persona suplantada.

Los perfiles pueden ser creados utilizando nuestros datos personales o bien modificando nuestro perfil a través del robo de credenciales y la utilización del mismo sin nuestro consentimiento, para poder modificar o crear contenido en nuestro nombre.

Para evitar este hecho es importante controlar aquella información que publicamos en las redes así como por ejemplo tener contraseñas de acceso fuertes que eviten que una persona maliciosa obtenga nuestras credenciales.

 

  • Ser víctima malware / código malicioso

En la red podemos encontrar numerosas aplicaciones online que se conectan con nuestros perfiles en redes sociales o que prometen informarnos de quien visitó nuestro perfil o ver las respuestas a preguntas que han contestado nuestros amigos de una red social, pero que en realidad pueden contener malware que nos puede infectar.

Antes de instalar cualquier aplicación es importante asegurarse de que ésta tiene buena reputación y que lo estás descargando de un sitio oficial y confirmado.

Otro ejemplo en el que nos encontramos malware en las redes sociales se da en Twitter, ya que el uso de acortadores de URL para los enlaces han sido aprovechados para campañas de spam o distribución de malware.

 

  • Rechazos laborales/ Mala reputación

Los departamentos de recursos humanos de las empresas están cada vez más pendientes de las redes sociales y a lo que allí dicen o hacen sus futuros empleados haciendo verdaderos exámenes de la actividad de los mismos.

Este hecho no se tiene en cuenta por muchos usuarios y puede afectar a la reputación online de la persona y provocar consecuencias inesperadas en procesos de selección cuando se opta a un empleo.

Además, esto no solo ocurre a nivel de personas, también es muy habitual ver noticias donde una empresa sufre mala reputación debido a la mala gestión de una crisis online, una gestión inadecuada de perfiles profesionales o una mala gestión en la publicación de contenidos entre otros.

Por lo que también es muy importante que la persona o departamento en la que deleguemos la gestión de las redes sociales corporativas tenga formación y experiencia en la materia para evitar casos de mala reputación en nuestra marca que puede llegar a provocar un daño irreparable en nuestra compañía.

 

Para concluir mencionar que en internet nada se olvida y que hay que pensarse varias veces si aquella información que vertemos o compartimos en redes sociales no nos ocasionarán problemas en un futuro.

El consejo fundamental es que revisemos las opciones de privacidad de todas las redes sociales a las que estamos suscritos para tener identificado cómo y con quién se comparte nuestra información así como el uso que hacen éstas de nuestra información.

 

Plácida Fernández

Cybersecurity Departament

Áudea Seguridad de la Información

20Nov/18

Malware, no todas las infecciones son virus

Malware, no todas las infecciones son virus

 

En los últimos meses se suele escuchar con frecuencia la palabra ransomware; sin embargo, no es el único malware que existe. ¿Conoces los tipos de malware a los que estamos expuestos con el uso de las nuevas tecnologías?

A continuación, se describen los tipos de malware más comunes y las diferencias entre ellos:

Gusanos: Este tipo de malware usa los recursos de red para distribuirse. Su nombre implica que pueden propagarse de un equipo a otro. Esta propagación se realiza mediante sistemas de mensajería instantánea, redes de archivos compartidos (P2P), correo electrónico….

La velocidad de propagación es muy alta.

Virus clásicos: Se trata de programas que infectan a otros programas al añadir su código para tomar el control después de ejecución de los archivos infectados. El objetivo principal de un virus es infectar el sistema.

La velocidad de propagación de los virus es algo menor que la de los gusanos.

Troyanos (caballo de Troya). Esta clase de programas maliciosos se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que al ejecutarse, brinda al atacante acceso al equipo infectado sin que el usuario se dé cuenta y sin su consentimiento, los troyanos recolectan datos y los envían a los cibercriminales; alteran o destruyen datos con intenciones delictivas, causan desperfectos en el funcionamiento del ordenador o usan los recursos del ordenador para fines criminales, como por ejemplo hacer envíos masivos de correo no solicitado.
Los troyanos no infectan a otros programas ni se propagan; no pueden infectar los equipos por sí mismos, sino que necesitan estar camuflados en algún software “deseable” para el usuario y que éste lo instale mediante técnicas, como por ejemplo ingeniería social.

Spyware. Se trata de un software que permite la recolección de información sobre un usuario/organización de forma no autorizada, pueden llegar a recolectar todo tipo de datos como puede ser: contenido del disco duro, velocidad de conexión, software instalado, acciones del usuario, etc…

Su presencia puede llegar a ser invisible para el usuario.

Adware. Este tipo de malware muestra publicidad al usuario, la misma aparece en la interfaz y a veces incluso pueden colectar y enviar los datos personales del usuario.

La mayoría de programas adware son instalados mediante software gratuito.

Rootkit. Es un conjunto de software que permite un acceso con privilegios continuo a un ordenador pero que mantiene su presencia activamente oculta al control de los administradores.

Esta acción es posible normalmente por dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel.

Rogueware: Este tipo de malware cuya principal finalidad es la de hacer creer que el ordenador está infectado por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo.

En ocasiones se presenta bajo la forma de la versión de prueba de un producto antimalware que el usuario descarga de buena fe pero que actúan generando falsos positivos a propósito detectando malware inexistente para conseguir que el usuario pague por la versión completa.

Keylogger: Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente almacenarlas en un fichero o enviarlas al atacante través de internet.

Ransomware: Tal y como se comentaba al principio el malware que últimamente acapara la atención es el ransomware, se trata de un tipo de malware que impide o limita el acceso del usuario a su propio sistema informático. Este tipo de malware cifra y bloquea los archivos de sus víctimas a las que se solicita un rescate monetario a cambio de recuperarlos.

Las vías de infección de nuestros dispositivos son numerosas; entre las más comunes se encuentran las siguientes:

  • Descarga e instalación de archivos adjuntos en mensajes de correo electrónico.
  • Descarga de aplicaciones desde fuentes no confiables.
  • USBs, DVDs o CDs infectados
  • Sitios webs sospechosos
  • Anuncios publicitarios falsos.

 

Desde Áudea aconsejamos seguir una serie de recomendaciones para no ser víctimas de una infección por cualquier tipo de malware:

  • Adoptar un comportamiento seguro y precavido a la hora de navegar por internet.
  • Evitar descargar e instalar programas desconocidos
  • No pinchar en enlaces provenientes de correos para acceder a servicios bancarios así como dudar de cualquier email sospechoso.
  • Mantener protegido el sistema con soluciones de seguridad como: cortafuegos, filtros antispam, etc. Además de mantener actualizado el sistema operativo y todos los programas instalados.

Plácida Fernández

Cybersecurity Departament

Áudea Seguridad de la Información