Nueva multa de la AEPD a Mercadona: 170.000 euros por no entregar a una clienta imágenes de las cámaras

Mercadona ha recibido una nueva multa de 170.000 euros de la Agencia Española de Protección de Datos (AEPD), que ya en julio de 2021 le impuso otra sanción de 2,5 millones. Si entonces fue por instalar aparatos de reconocimiento facial en algunos de sus establecimientos, esta vez ha sido por no entregarle a una clienta las imágenes de las cámaras de seguridad, que aquella había solicitado tras sufrir un accidente en uno de sus establecimientos.

Según informa El Confidencial Digital, una mujer que sufrió un accidente en una tienda de Mercadona, para reclamar por los daños sufridos, solicitó las imágenes de las cámaras de videovigilancia a los cuatro días del incidente, cumplimentando para ello un formulario situado en el apartado de Política de Privacidad de la página web de Mercadona. La mujer recibió un mensaje confirmando la recepción.

Tras más de un mes sin respuesta, la afectada remitió un correo al Delegado de Protección de Datos de Mercadona (DPD). Esta vez la respuesta era distinta: allí no habían recibido ninguna solicitud y, por tanto, las imágenes se habían eliminado.

Un fallo "involuntario"

Según la Instrucción 1/2006, que regula el plazo de conservación de las imágenes, los archivos se borran cuando pasa un mes desde su grabación si nadie los reclama.

Para entonces, la afectada ya había puesto en marcha una denuncia contra la firma, tenía en su posesión el número de referencia de la queja y las grabaciones eran la única prueba que ella tenía para presentar.

En su escrito de alegación, Mercadona se defendió explicando que, tras una investigación interna, se había detectado un "error humano" en la gestión de la reclamación civil presentada por la clienta. Un fallo "involuntario" que provocó que la gestión nunca llegara a conocimiento del DPD.

Dos multas por sendas infracciones

La empresa intentó llegar a un acuerdo por los daños y perjuicios sufridos y, también, por los derivados de no atender su derecho de acceder a sus datos personales. Además, Mercadona comunicó a la AEPD que se habían tomado medidas disciplinarias, técnicas y organizativas para evitar que este fallo volviera a ocurrir.

La AEPD, que considera insuficientes estos argumentos, precisa en la resolución sancionadora que la empresa no ha detallado cuál ha sido el error humano que condujo al borrado de las imágenes. Además, según el organismo, aunque la clienta hubiera desistido en su reclamación tras el acuerdo alcanzado, ello no implica el archivo del procedimiento sancionador porque, de hecho, se había vulnerado la normativa de protección de datos personales.

Por los motivos expuestos, la AEPD ha decidido sancionar a Mercadona con una multa de 170.000 euros por dos infracciones: una por vulnerar el artículo 12, relacionado con el número 15 del Reglamento General de Protección de Datos (RGPD), que se refiere a la transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado (70.000 euros). La otra (100.000 euros), por incumplir el el artículo 6 de dicho reglamento: la licitud del tratamiento de los datos del cliente.

No es la primera vez para Mercadona

El pasado 22 de febrero, el Boletín Oficial del Estado publicó una resolución de la AEPD en la que plasmó un listado de empresas que durante 2021 recibieron sanciones por más de un millón de euros.

Mercadona ocupa el cuarto lugar, por la ya citada multa de 2,5 millones impuesta por la AEPD a raíz de la colocación de cámaras de reconocimiento facial que, tras esa medida sancionadora, retiró de sus establecimientos. Junto a la empresa de distribución aparecen en el listado Vodafone, BBVA y EDP.

Fuente: Facua

Prohibido que te pidan datos 'indiscretos' para un préstamo.

Ante algún robo de datos, los bancos tienen la obligación de avisar a sus clientes e informar las medidas preventivas que se deben tomar.

Ante el eventual robo de bases de datos, o en casos de vulneración en los sistemas de seguridad, los bancos tienen la obligación de avisar inmediatamente a sus clientes y explicarles las medidas preventivas que deben tomar, según informó Notimex.

En entrevista con Notimex, la comisionada del Inai, Patricia Kurczyn Villalobos, resaltó que las personas afectadas por estas situaciones, deben acudir al Ministerio Público a presentar la denuncia correspondiente.

Comentó que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (Inai) no está facultado para conocer de delitos, ni siquiera los relativos a la obtención y uso indebido de datos personales.

Sus facultades en la materia son supervisar que los bancos cuenten con las medidas de seguridad adecuadas y que informen a los clientes a través del llamado Aviso de Privacidad, sobre el uso que darán a los datos personales.

Recordó que los bancos deben tener un Aviso de Privacidad y difundirlo a sus clientes a través de todos los documentos que se dan por escrito, en los estados de cuenta, en sus portales web, entre otros medios.

Entre otros puntos, los Avisos de Privacidad deben explicar la forma en que los clientes podrán ejercer sus “derechos A.R.C.O” es decir, la forma en que podrán Acceder, Rectificar y Cancelar sus datos, así como Oponerse a su difusión.

Vale recordar que en caso de no contar con el aviso de privacidad los sujetos obligados podrán hacerse acreedores a sanciones que van de 100 a 160 mil días de salario mínimo, de acuerdo con el Artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Kurczyn Villalobos recordó que no solo los bancos sino los médicos, hospitales y otras empresas que manejen datos personales deben contar con Aviso de Privacidad.

Asimismo recomendó a los ciudadanos ser cuidados de a quién le proporcionan sus datos y cuidar que los datos solicitados sean congruentes y necesarios para el servicio que se recibe de las empresas.

“Por ejemplo, para darnos un préstamo, el banco puede preguntar cuál es tú ingreso, pero no el de tu cónyuge”, señaló.

Agregó que toda empresa en posesión de datos personales está obligada a apegarse a los principios de calidad, consentimiento, finalidad, información, lealtad, licitud y responsabilidad.

Respecto al robo de la base de datos de Grupo Financiero Banorte, revelado la semana pasada, Kurczyn Villalobos señaló que el Inai acaba de conocer del caso, por lo que se reservó su opinión.

Fuente: sipse

Protección de Datos acusa a Google de incumplir el ‘derecho al olvido’

El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, ha denunciado este jueves en Santander que el buscador Google incumple las sentencias del Tribunal Superior de Justicia Europeo (TJUE) sobre el ‘derecho al olvido’ de los ciudadanos porque “no bloquea los datos” de las personas físicas en su servidor mundial (Google.com), aunque sí lo hace de los nacionales (Google.es, en el caso de España).

Así, ha considerado “inaceptable” este comportamiento de Google, pero también ha aclarado que “no se trata de la extraterritorialización” del ‘derecho al olvido’ fuera de los países europeos, sino de que “no se pueda eludir” la obligación del cumplimiento de la sentencia del TJUE, tal y como ha asegurado esta tarde en el encuentro ‘Retos de protección de datos en las sociedades actuales’, que se está celebrando esta semana en la Universidad Internacional Menéndez Pelayo (UIMP).

El ‘derecho al olvido’ es el derecho de cualquier persona física a solicitar a los buscadores de Internet que no indexen enlaces con información personal suya, siempre y cuando no tenga relevancia pública ni sea de interés.

En este sentido, Rodríguez Álvarez ha reconocido que con esta medida “obviamente” no se impide el acceso a la información de las personas físicas desde cualquier punto del mundo, y que “incluso alguien con conocimientos especializados utilizando un proxy, podría acceder a la información”.

“No es la solución perfecta, pero es la que más se aproxima. No tenemos otra, salvo borrar el original, pero borrar el original es una cuestión distinta. Esto afecta mucho a la libertad de expresión y afecta al derecho de acceso a la información”, ha relatado el director de la AEPD. A este respecto, ha reivindicado que la AEPD “siempre ha buscado la solución que suponga el menor impacto en el derecho a la información”.

En este sentido, ha defendido que “no se deben tocar las fuentes” de la información, ya que “tienen que permanecer intactas salvo que por las razones que tradicionalmente venimos aplicando a los límites de la libertad de expresión, se hayan rebasado” estos límites. “Una cosa es la publicación y otra es la difusión de esa información”, ha sostenido.

Por su parte, el presidente de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, Eduardo Méndez Rexach, ha asegurado que Google “tiene el monopolio de casi todos los buscadores, pero hay unos pocos” que no pertenecen a esta compañía. Durante su intervención en el encuentro ‘, Rexach ha aclarado que la jurisprudencia sobre el ‘derecho al olvido’ es reciente y que “se debe garantizar su cumplimiento en toda la Unión Europea”.

“Ahora somos más conscientes de la repercusión de la gestión de los datos personales. Estamos reaccionando ante las consecuencias reales”, ha afirmado, al tiempo que ha incidido en que el “primer impulso” para que se cumpla este derecho –que, según ha matizado, se trata en realidad de la unión de los derechos de acceso, modificación, cancelación y oposición–, debe ser de los ciudadanos y que “después ya actuarán los tribunales”.

Fuente: diariodeavisos

Protección de Datos amplía la investigación de la app Radar COVID tras admitir a trámite una denuncia

La Agencia Española de Protección de Datos (AEPD) ampliará la investigación de la aplicación Radar COVID, lanzada por el Gobierno para tratar de combatir la pandemia del coronavirus.

El organismo ha admitido a trámite la denuncia presentada por Pau Enseñat el pasado 8 de septiembre en nombre de Reclamadatos, empresa dedicada a desvelar qué datos personales están en manos de organizaciones y reclamarlos. En concreto, Enseñat denunció a la Secretaría General de Administración Digital (SGAD), ente encargado de implantar la app Radar COVID en nuestro país.

En la denuncia, Reclamadatos pedía un análisis para resolver si la Radar COVID cumplía con los principios de licitud, lealtad, transparencia y responsabilidad proactiva reflejados en el Artículo 5 del Reglamento General de Protección de Datos (RGPD), ya que la SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos. También se alega que la Política de Privacidad de la app no tiene definidas las funciones y responsabilidades de las autoridades sanitarias de las comunidades autónomas. "Además, no se dan detalles sobre los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, algo que exige Bruselas", explicaba Pau Enseñat tras presentar la denuncia.

La reclamación se ha integrado al expediente iniciado el pasado 23 de junio por el cual la AEPD anunciaba el comienzo de las investigaciones para saber si el tratamiento de los datos de los usuarios de la app desarrollada por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) se ajusta al Reglamento General de Protección de Datos.

Fuentes del sector jurídico explican que hay "indicios razonables de vulneración de la normativa. Protección de Datos tenía tres meses para pronunciarse respecto a la denuncia de Reclamadatos, pero han empleado menos de un mes en responder".

Desde el organismo encargado de velar por el buen tratamiento de los datos de los españoles no facilitan información respecto al estado del procedimiento, o si hay más empresas o corporaciones que hayan reclamado a la aplicación ante la AEPD. "Al estar en esa fase de actuaciones previas, la Agencia no puede puede facilitar información sobre las mismas", declara la Agencia.

La AEPD tendrá que mover de nuevo ficha tras concluir las investigaciones, un proceso que podría durar hasta doce meses. Las mismas fuentes jurídicas consideran que "atendiendo al problema y situación actual lo lógico es que esta fase del proceso se acelere lo máximo posible".

El antecedente noruego

Si tras la investigación se resuelve que hay evidencias de un mal tratamiento de los datos de los usuarios de Radar COVID, se deberá iniciar un expediente sancionador. Así las cosas, antes de que la sanción sea en firme la AEPD podría tomar medidas provisionales, como exigir el cambio del tratamiento de los datos o suspender temporalmente la aplicación para que no pueda ser utilizada.

Un supuesto que en Noruega ha sido una realidad. La app Smittestopp para reducir los contagios en el país nórdico cesó su actividad el pasado mes de junio. El organismo competente en el ámbito de Protección de Datos en la nación prohibió al Instituto Noruego de Salud Pública continuar recopilando datos de los ciudadanos a través de la app, cuyo uso quedó, por consiguiente, interrumpido.

El punto 'caliente' que provocó que la autoridad de datos noruega decidiera detener el uso de la app estaba en que la plataforma utilizaba el GPS de los teléfonos, algo que no sucede con Radar COVID. La aplicación española se sirve de la tecnología bluetooth para cruzar los datos de contagiados o posibles contagiados, pero en ningún caso accede al GPS.

#protecciondedatos #aepd #radarcovid #usoinapropiadodeinformacion #agenciaespañoladeprotecciondedatos #proteccionciudadana

Fuente: Vozpopuli

Protección de Datos investiga a la Comunidad de Madrid por la difusión de información personal de los docentes

La Agencia Española de Protección de Datos (AEPD) ha anunciado que va a  iniciar actuaciones de investigación a la Comunidad de Madrid para obtener información en relación con la difusión de datos personales de trabajadores de centros docentes para que asistieran este miércoles a realizarse pruebas serológicas ante el inicio de curso.

En concreto, la Comunidad convocó en la tarde de este martes a cientos de docentes en el IES Virgen de la Paloma para someterse a estos test. Sindicatos y docentes, además de Facua Madrid, han denunciado que este proceso se salta la ley de protección de datos.

Varios docentes han puesto de manifiesto que en la noche del martes recibieron un correo electrónico, en el que les citan para una PCR que les realizará Ribera Salud este miércoles por la mañana, acompañado de un documento adjunto con datos de casi 17.000 trabajadores del Área Territorial Madrid-Sur.

Protección de Datos multa con 12.000 euros a un comercio por publicar fotos de un sin techo

La Agencia Española de Protección de datos ha multado con 12.000 euros en total a Recambios Villalegre S.L., una empresa de Asturias, por difundir la fotografía de una persona sin hogar en su cuenta de Facebook. El comercio denunció que era él el responsable de un robo y, tras la publicación, el sin techo comenzó a sufrir acoso en la ciudad. 

No fue una carta, sino dos sucesivas, el 23 y el 25 de julio de este año, remitidas a Protección de Datos por un particular. “Me pongo en contacto con ustedes debido al acoso y amenazas que está sufriendo un pobre indigente”, decía la misiva. 

La empresa asturiana publicó en Facebook que la persona sin hogar había robado 480 euros de la caja registradora y adjuntaba una fotografía tomada de las cámaras de videovigilancia. “Algo totalmente ilegal, más aún cuando la empresa carece de cartel informativo de zona videovigilada en sus instalaciones”, explicaba la denuncia. 

La publicación tuvo repercusión en la ciudad de Avilés y fue compartida por un gran número de usuarios con comentarios vejatorios, insultantes e incluso amenazantes. “Puesto que esta persona carece de recurso alguno para tratar de solucionar el problema que le han causado de forma intencionada, y tras comunicarme su decisión de abandonar la ciudad (en el mejor de los casos) por todo lo que está sufriendo, me veo en la obligación de comunicarlo”, decía el denunciante.  

Un segundo escrito 

La empresa Recambios Villalegre puso una denuncia por lo que el sin techo fue detenido, pero puesto en libertad sin cargos por falta de pruebas tras un juicio rápido. Los medios de locales se hicieron eco del caso por lo que la repercusión de este hecho fue creciendo. Motivo por el que el particular envía una segunda carta a la Agencia de Protección de Datos.

 motivo alguno por el cual someter al acusado a semejante exposición social”, explicaba la segunda misiva.  

El denunciante exponía también que la empresa había hecho circular por grupos de Whatsapp otra fotografía de la persona tomada de frente y en la que era perfectamente reconocible la cara de la persona.

En la publicación de Facebook decía: “Este señor que se pasa los días pidiendo ayuda muy educadamente por el centro [...] y en especial, por las terrazas de los bares, hoy por la tarde nos ha entrado en nuestro negocio y en un momento que hemos tenido que estar en la parte de atrás de la tienda, ha entrado por dentro del mostrador y se llevó todo el dinero que teníamos en efectivo. Las cámaras lo han grabado perfectamente. Ruego máxima difusión para ayuda de todos”. 

En la resolución de la Agencia Española de Protección de Datos, se especifica que el tratamiento de las imágenes se ha utilizado y difundido sin el consentimiento del interesado, por lo que impone a la empresa una multa de 10.000 euros. Además, a esto se suman otros 2.000 porque la empresa tenía cámaras de videovigilancia sin estar señalizado en la puerta que se estaba grabando. 

#protecciondedatos #agenciaespañoladeprotecciondetdatos #AEPD #publicarfotossinpermiso #usoinapropiadodeinformacion

Fuente: Elconfidencialdigital

Hasta el 70% de las empresas viola la nueva protección de datos, según una encuesta

Las compañías de fuera de la UE que ofrecen sus servicios en Europa cumplen mejor la normativa que las propias empresas europeas

Las empresas extranjeras tienen más miedo a las sanciones del Reglamento General de Protección de Datos (RGPD) de la UE que las propias compañías europeas. Es uno de los resultados de una encuesta sobre la aplicación de la nueva normativa, que arroja que hasta un 65% las empresas de la UE no cumplen con la nueva normativa. En el caso de las empresas no europeas, la cifra es del 50%.

Los datos han sido proporcionados por Talend, empresa dedicada a ofrecer servicios de integración de datos en la nube. Su investigación se basa en las solicitudes de datos personales realizadas entre el 1 y el 3 de septiembre a 103 empresas con sede o que operan en Europa. La empresa  evaluó las respuestas a las solicitudes de los artículos 15 ("Derecho de acceso del interesado") y 20 ("Derecho a la portabilidad de los datos") del RGPD. "El 70% de las empresas no pudieron cumplir con las solicitudes de acceso y portabilidad de datos dentro del plazo marcado por el RGPD", señala la empresa. El Reglamento General de Protección de Datos entró en vigor el pasado 25 de mayo y es de directa aplicación para todos los países de la UE. 

Los sectores analizados fueron  el comercio minorista, los medios de comunicación, la tecnología, el sector público, las finanzas y los viajes. Las empresas peor puntuadas pertenecían al sector del comercio minorista: el 76% de las compañías de retail encuestadas no respondieron, mientras que el sector más cumplidor, Servicios Financieros, sólo logró una tasa de éxito del 50%. 

Datos muy preocupantes: solo el 63% de las pymes españolas conocen el Reglamento 

El sector de las pequeñas y medianas empresas es el que mostró más dificultades para adaptarse a la nueva protección de datos europea. Según otra encuesta de la Agencia Española de Protección de Datos (AEPD) cuyos resultados se hicieron públicos en julio, " casi cuatro de cada diez empresas, no tienen aún conocimiento de esta normativa".

El estudio de la AEPD también pone de relieve la falta de recursos de muchas pymes para poder afrontar las obligaciones de la normativa en materia de protección de datos, aunque también "manifiesta la actitud positiva de estas empresas para cumplir sus obligaciones en este ámbito", señaló la Agencia. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios.

Fuente: eldiario

Una compañía de ciberseguridad descubrió tres vulnerabilidades en el registro de cuentas del videojuego Fortnite,que dejaron expuestos los datos personales y de tarjetas de crédito de los jugadores.

A través de estos fallos los ciberatacantes podían tomar el control de las cuentas de usuarios del juego, con la posibilidad de hacer compras de objetos con la moneda virtual V-Buck.

Según informó la empresa Check Point, este problema también afecta a la privacidad, ya que el ciberdelincuente podría escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas. Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en 'tokens'.

Una vez que se hace click, el 'token' de autenticación de Fortnite del usuario puede ser capturado sin que su dueño tenga que introducir ninguna credencial. La vulnerabilidad se originó por los defectos encontrados en dos de los subdominios de Epic Games que eran susceptibles a una redirección maliciosa. La compañía de ciberseguridad le informó a Epic Games, la desarrolladora de Fortnite, acerca de las vulnerabilidades de su videojuego, que suma cerca de 80 millones de jugadores a nivel global. Según la propia Check Point, la empresa que encontró el fallo, el problema ya fue solucionado.

Fuente: Tn.com

No es fácil mantener nuestro anonimato en Internet. Desde el momento en el que encendemos el ordenador, sistemas operativos como Windows 10, nos identifican, cuentan al mundo desde donde nos conectamos e incluso, las actividades que llevamos a cabo. Y aunque para muchas personas esto no es necesariamente un problema, para otros, proteger su identidad en Internet puede ser vital en su vida diaria (activistas, disidentes políticos, etc.) o profesional (periodistas, determinados cargos políticos, etc.)

¿Pero cómo podemos mantenernos ocultos en Internet? Si preguntásemos a los expertos, probablemente nos recomendarían contar con dos perfiles. Uno “público” con el que actuar con total normalidad, y otro “oculto” destinado a proteger nuestra identidad en determinados escenarios. Separar ambos perfiles nos ayuda por un lado, a mimimizar el riesgo de que ambos se solapen en algún momento y por otro, nos facilita crear un mindset propio para nuestras actividades anónimas.

Dicho lo anterior, dar los primeros pasos en este mundo no es tan complicado como podría parecer. En MuySeguridad hemos establecido tres niveles (principiante, intermedio y paranoico) que no miden tanto la dificultad del méotodo, como la importancia que le damos a nuestra privacidad en la Red.

Nivel Principiante: Navega utilizando TOR

Aunque no es infalible, desde luego TOR es una gran forma de proteger nuestra identidad en Internet. Y aunque podemos instalarlo en cualquier equipo, para nuestro propósito (ese “mindset” del que hablábamos antes) lo más interesante es instalarlo en una llave USB.

Basado en Firefox, el navegador de Internet TOR (The Onion Router) enruta nuestra conexión a Internet a través de múltiples nodos, de modo que cuando finalmente nos conectamos a la Red, nuestra se oculta la IP real a través de la que nos estamos conectando.

El uso básico de TOR es tan sencillo como usar cualquier otro navegador web. Para configuraciones más avanzadas y descubrir qué otras cosas podemos hacer.

Nivel intermedio: Utiliza Tails

Si TOR te ha sabido a poco, o si lo que quieres es que anonimizar algo más que tu navegador web, puedes darle una oportunidad a Tails (The Amnesic Incognito Live System), una distibución Linux que pone el foco en el respeto por la privacidad de sus usuarios.

Como en el caso de TOR, Tails puede ser instalado en una llave USB,  aunque también podemos utilizar un disco duro externo. En ambos casos, contaremos con la ventaja de no dejar rastro en ninguno de los equipos en los que la utilicemos.

Además de utilizar los nodos de la red TOR para cualquier conexión a Internet, este desarrollo basado en Debian, encripta por defecto nuestros archivos, emails, comunicaciones de mensajería instantánea, etc. y nos promete que borra los archivos que no deseemos de forma completamente segura.

Nivel paranoico: Utiliza un equipo dedicado…y algo más

Pero si realmente crees que mantenerte anónimo va a formar parte de tu actividad habitual, lo más interesante es que te hagas con un equipo dedicado. Ojo, no cualquier equipo. En primer lugar te interesa un equipo con el que no te puedan conectar. Así que nada de comprarlo en Internet o utilizando una tarjeta de crédito. Limítate a dinero en efectivo y aún más, al mercado de segunda mano.

Por supuesto, olvídate de Windows. Servicios como Cortana, OneDrive y muchos de los que incluye Microsoft van a revelar quién eres en menos que canta un gallo. Linux (en cualquiera de sus variantes) será una vez más, nuestro mejor aliado.

A la hora de utilizar este equipo, olvídate por completo de usar ninguno de los servicios on- line que utilizas en tu vida pública. Nada de Gmail, redes sociales, o cualquier otra aplicación en Internet que pueda dar datos sobre tu verdadera identidad. Y, por supuesto, no te olvides de tapar tu webcam. Nunca se sabe quién hay al otro lado.

#leyorganicadeprotecciondedatos #privacidadeninternet #usofraudulentodedatos #protegeteeninternet

Fuente: Muyseguridad

Twitter afirma que podría haber usado datos de usuarios para anuncios sin su permiso

La red social Twitter ha informado este martes de que podría haber utilizado datos para anuncios personalizados sin el permiso de sus usuarios debido a problemas con la configuración de la página web. La compañía ha señalado que ha descubierto esos problemas recientemente y que han sido solucionados este lunes, aunque no ha detallado quién podría haberse visto afectado.

Los datos del consumidor son una fuerte herramienta que las empresas usan para decidir dónde colocar sus anuncios, qué contenido mostrar y qué consumidores podrían estar interesados en el producto. Las grandes empresas tecnológicas han estado bajo el escrutinio de los reguladores de todo el mundo sobre sus prácticas de intercambio de datos. Los datos que Twitter ha afirmado que podría haber utilizado incluyen el código de país, los detalles de su compromiso con un anuncio en particular y las inferencias hechas sobre los dispositivos que usan. La empresa se ha disculpado a través de su página web y ha prometido tomar medidas para no repetir el «error».

#protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Ultimahora

Uber, en el punto de mira de la Agencia Española de Protección de Datos

Tras las denuncias presentadas en los últimos meses por FACUA-Consumidores en Acción contra Uber ante distintos organismos, la Agencia Española de Protección de Datos (AEPD) ha apreciado la existencia de «indicios racionales de una posible vulneración del artículo 7 del RGPD (Reglamento General de Protección de Datos)«.

La AEPD ha dado traslado del caso a la autoridad de control de Países Bajos, donde Uber tiene su sede en la Unión Europea. «Corresponde a la autoridad de protección de datos de ese Estado asumir la tramitación de esta reclamación, según lo previsto en el artículo 56 del RGPD», señala la Agencia en el acuerdo que ha remitido a FACUA.

Una de las cláusulas contractuales de Uber impone a los usuarios la recepción de «mensajes de texto informativos (SMS) como parte de la actividad comercial normal de su uso de los servicios». FACUA reclamó a Uber la modificación de la cláusula y advirtió de que su redacción no es clara, ya que no permite comprender si se refiere meramente a SMS informativos sobre el desarrollo de la ejecución del servicio de transporte que haya solicitado un usuario, a mensajes de texto con contenido publicitario o a ambos.

El pasado febrero, FACUA planteó una reclamación a Uber para pedirle que corrigiera ésta y otras prácticas que considera contrarias a la legislación. La compañía eludió hacerlo, por lo que la asociación interpuso una batería de denuncias contra la multinacional ante las autoridades de protección al consumidor de varias comunidades autónomas. Una de ellas, la andaluza, dio traslado a la AEPD de los hechos relacionados con la normativa en materia de protección de datos.

SMS y correos comerciales

Hasta la fecha, Uber no ha aclarado a FACUA cuál es el significado que pretende darle a la cláusula de su contrato en la que impone la recepción de SMS. Además, la compañía también envía a los usuarios mensajes de correo electrónicos comerciales a los que no alude en ninguna cláusula de su contrato, irregularidad que la asociación ha trasladado también a la AEPD.

FACUA advierte de que a día de hoy, Uber sigue sin modificar la cláusula contractual objeto de la controversia pese a que la solución a la irregularidad es tan simple como incorporar una casilla en la configuración del funcionamiento de su APP que el usuario debería marcar si acepta la recepción de mensajes de texto o correos electrónicos comerciales.

Qué dice la normativa

El artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su apartado tercero que «no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la redacción contractual».

Por otro lado, el artículo 7 del Reglamento General de Protección de Datos indica en su apartado segundo que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo». En el caso de Uber, en el contrato no hay una solicitud de consentimiento que permita al usuario aceptarla o rechazarla, sino que se impone a lo largo del clausulado y debe ser el afectado el que, posteriormente, envíe un correo electrónico para manifestar que quiere revocarla.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Diario16, Uber

acebook tiene concertada una serie de acuerdos con Samsung y otros fabricantes de 'smartphones' con sistema Android para hacer imposible eliminar la aplicación de la red social. La 'app' viene instalada por defecto y solo puede ser desactivada, no eliminada. No se sabe con cuántas empresas tiene concertados acuerdos similares con Facebook, pero se sabe con seguridad que esta característica está presente en varios modelos de Samsung, incluido el Galaxy S8.

Desde la red social declararon a Bloomberg que la imposibilidad de eliminar la aplicación depende de una serie de acuerdos que la compañía ha estado concertado durante años con fabricantes de teléfonos y sistemas operativos así como con operadores móviles de todo el mundo.

Un portavoz de Facebook se negó a revelar cuántos de estos acuerdos están en vigor y no dio información sobre la naturaleza financiera de los tratos, al tiempo que alegó que la medida está destinada a brindar al consumidor "la mejor" experiencia telefónica posible desde el primer momento que empieza a usar el dispositivo.

 

Las aplicaciones 'permanentes' son un elemento bastante común en el software de los teléfonos Android. Incluso el propio Google, el creador del sistema operativo, hace que los dispositivos lleven preinstaladas por defecto sus Google Play Music, YouTube y Gmail. Otros fabricantes y proveedores de servicios, como LG, Sony, Verizon Communications y AT&T, han llegado a acuerdos similares con creadores de aplicaciones.

Sin embargo, el caso de Facebook causa preocupación especial debido a los escándalos de seguridad que protagonizó la empresa en el 2018. En el último capítulo de la saga de noticias sobre filtraciones de datos, el pasado diciembre un informe desveló que populares aplicaciones para Android transmitían datos personales de usuarios a Facebook independientemente de que estos tuvieran cuenta en la red social o no. 

¿Cuánto vales para Facebook?

 

Nada es gratis en esta vida, y las aplicaciones móviles que se ofrecen cómo gratuitas, mucho menos. Unos se harán ricos a costa de la desinformación de otros. TTCS te recuerda la importancia de proteger siempre tus datos y tu información personal, no te fíes de dar información de caracter personal a la hora de registrarte en cualquier web o app. Navega un poco por la web y investiga qué harán con tus datos. Aunque a todos nos cueste, leer la politica de privacidad de datos es muy importante para saber qué y quién maneja nuestros datos. TTCS te recomienda no aceptar cualquier cosa, por muy buena que parezca, hay veces que los errores, desgraciadamente se pagan caros.

Fuente: Actualidad

 

 

Un error de Face Time, el software de vídeollamadas de Apple, permitía espiar brevemente a los usuarios, incluso si los receptores no cogían la llamada. En este corto período de tiempo se podían hacer escuchas un una vulnerabilidad que la compañía de la manzana ya se ha apresurado a corregir. Según sus palabras, durante esta semana implementará una actualización. Mientras, ha deshabilitado las capacidades para hacer llamadas en grupo.

El fallo, que ha sido revelado por el blog 9to5Mac, ocurre en la versión 12.1, o en las más recientes, del sistema operativo iOS del iPhone. Para explotarlo, simplemente hay que utilizar la función de chat en grupo, lo que aparentemente confunde al software para que active el micrófono del objetivo, incluso aunque la llamada no haya sido aceptada. Las escuchas finalizan cuando la llamada se corta.

Además del audio, el blog asegura que si se presionan los botones para bloquearla llamada o de apagado del dispositivo, el vídeo se envía automáticamente al que hace la llamada, sin que el destinatario lo sepa.

El error coincidió con la celebracióndel Día Internacional de la Protección de Datos, efeméride que se ha tomado muy en serio el propio consejero delegado de Apple, Tim Cook, que ha publicado mensajes en Twitter como: “Los peligros son reales y las consecuencias demasiado importantes, insistamos todos en la acción y las reformas para lograr protecciones de privacidad vitales”.

Fuente: Cso.computerworld

Un error en la Cámara de Google permitía que hackers espiaran a través de los dispositivos Android

Un error de software en la Cámara de Google podía permitir que hackers controlasen las cámaras de los smartphones Android, así como tomar fotos y grabar vídeos incluso estando bloqueados, según un estudio de la compañía de seguridad Checkmarx.

El equipo de Investigación de Seguridad de la compañía halló varias vulnerabilidades de la Cámara de Google al analizar un Google Pixel 2 XL y Pixel 3, derivadas de "problemas de omisión de permisos", como explican en el comunicado.

Entre otras cosas, Checkmarx descubrió que un hacker podía controlar la aplicación para tomar fotos y grabar vídeos sin necesidad de exigir permisos concretos, incluso si el teléfono está bloqueado, la pantalla apagada o cuando el usuario está en medio de una llamada.

La compañía ha explicado además que durante la investigación descubrió que estas vulnerabilidades de la Cámara de Google también afectan a otros proveedores de 'smartphones' con el sistema operativo Android, como Samsung, lo que "implica a cientos de millones de usuarios de smartphones".

Asimismo, Checkmarx creó un escenario de ataque para eludir la política de permisos y descubrió que los hackers podrían tener acceso a vídeos y fotos almacenadas en los dispositivos, así como los metadatos de GPS asociados a ellos.

Tras descubrir estos 'bugs', la empresa de seguridad notificó a Google, que confirmó que las vulnerabilidades no eran específicas de productos Pixel.

"Google informó a nuestro equipo de investigación que el impacto fue mucho mayor y que se extendió a una parte de Android más amplia, con otros proveedores como Samsung que han reconocido que estos defectos también afectan a sus aplicaciones de cámara y han comenzado a tomar medidas", explica Checkmarx.

Por su parte, Google agradeció a la compañía de seguridad por informarle sobre estas vulnerabilidades y afirmó que el problema se solucionó en sus dispositivos afectados mediante una actualización en Play Store de la Cámara de Google en julio de 2019. También distribuyó entre los fabricantes afectados.

Checkmarx ha recomendado a los usuarios que se aseguren de que todas las aplicaciones de sus 'smartphones' estén actualizadas para una "mitigación adecuada y como práctica recomendada".

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Lavanguardia

Una investigación dirigida por científicos españoles ha revelado que los móviles Android (de Google) monitorizan al usuario sin que él lo sepa y acceden a sus datos personales de forma masiva a través de un gran número de aplicaciones preinstaladas que apenas pueden retirarse del terminal.

Las conclusiones de la investigación realizada por el Instituto IMDEA Networks con sede en Leganes y la Universidad Carlos III de Madrid se recogen en el artículo “An Analysis of Pre-installed Android Software”, que difunde hoy la Agencia Española de Protección de Datos (AEPD) debido al “impacto masivo” de sus resultados sobre la privacidad y la protección de los datos personales de los ciudadanos, explica la entidad en una nota.

De hecho, la AEPD presentará este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la entidad junto a otras autoridades europeas de protección de datos y el supervisor europeo. La investigación incluye más de 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos con sistema operativo Android fabricados por 214 marcas.

Prácticamente en todos los fabricantes se ha detectado algún tipo de software preinstalado que utiliza acceso privilegiado sin conocimiento del usuario a recursos del sistema para la obtención de datos personales, según sus responsables.

La conclusión es que existe un complejo sistema de desarrolladores y acuerdos comerciales con aplicaciones preinstaladas que disponen de permisos que no se corresponden con los originarios de Android para dar acceso a sus servicios sin posibilidad de que un usuario medio pueda desinstalarlas.

Falta transparencia

El problema es que “no hay transparencia” en torno a la actividad de esas aplicaciones que el usuario no tiene capacidad para desinstalar y que vienen predeterminadas con el terminal, ha explicado uno de los autores de la investigación, Narseo Vallina-Rodríguez, de IMDEA Networks.

En ocasiones, puede que este haya dado el consentimiento para el acceso a un servicio pero en otros, puede ser totalmente inconsciente de qué está pasando con su información personal, añade el experto.

Según el estudio, el modelo de permisos para el acceso a las aplicaciones preinstaladas en Android que son distintos a los que incluye por defecto el sistema operativo de Google, permite monitorizar y obtener información personal a nivel operativo sin conocimiento del afectado, por parte de “un gran número de actores”.

Entre estos hay multitud de compañías que van desde fabricantes, hasta operadores, redes sociales, empresas multimedia, de videojuegos, de antivirus, y un sinfin más, que podrían obtener directamente beneficios por el acceso a esos datos de los usuarios para alguna actividad comercial o venderlos a otros agentes a cambio de dinero.

De hecho, el informe pretendía revelar acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en internet, así como detectar y analizar vulnerabilidades y otras prácticas opacas y analizar la transparencia en la información proporcionada al usuario.

Se han identificado más de 1.200 compañías relacionadas con las aplicaciones preinstaladas, y más de 11.000 librerías (software incluido en las apps para proporcionar servicios añadidos) de las cuales muchas están relacionadas con actividades de publicidad y monitorización “on line” con fines comerciales.

Un análisis exhaustivo del comportamiento del 50 % de las aplicaciones identificadas revela que una fracción importante de las mismas presenta comportamientos potencialmente maliciosos o no deseados, como muestras de malware, troyanos genéricos o software preinstalado que facilitaría prácticas fraudulentas. 

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos 

Fuente: Efefuturo

Un virus informático afecta desde el pasado viernes a varios sistemas de información del Hospital de Torrejón de Ardoz (Madrid) sin que ello haya repercutido en la actividad asistencial habitual del centro, desde el que se sigue trabajando con relativa normalidad.

Fuentes del hospital han explicado que esta incidencia informática afecta a la disponibilidad de algunas aplicaciones del centro y que el equipo informático interno del centro trabaja en continua coordinación con la Dirección de Sistemas de la Consejería de Sanidad para tratar de solucionar el problema «lo antes posible».

«A pesar de este problema puntual, la atención clínica se está prestando con normalidad en los diferentes servicios y no se ha tenido que derivar a ningún paciente a otros centros por este motivo», han comentado las mismas fuentes.

Desde el centro han querido agradecer la «implicación y colaboración» de todos los profesionales y solicitan asimismo «disculpas» a los usuarios por las posibles molestias que la incidencia informática haya podido causar. También han asegurado que a lo largo de lo que resta de semana varios equipos técnicos continuarán trabajando para restablecer el servicio informático en su totalidad.

Mientras, varios trabajadores del centro han explicado a Europa Press que fue el pasado viernes sobre las 16 horas cuando se cayó el sistema informático. Entonces, se decidió volcar toda la información en formato papel para seguir atendiendo a usuarios, como fue el caso de las Urgencias.

Estos empleados han lamentado que pese a los trabajos llevados a cabo el fin de semana estos sistemas aún no estén operativos a pleno rendimiento, afectando a procesos como analíticas y radiografías que se ralentizan. También han relatado que algunos no pueden utilizar sus ordenadores y que se ha reforzado al personal de administración.

Por su parte, desde CCOO Madrid ha cuestionado las explicaciones dadas por el centro relativas a que los problemas informáticos proceden de un virus informático y que habría entrado a través de un correo electrónico.

El portavoz del área de sanidad privada del sindicato, Samuel Mosquera, ha apuntado que los problemas proceden del sistema informático Florence, instalado para optimizar los recursos humanos del centro ante la llegada imprevista de pacientes. El representante sindical entiende que esta aplicación informática «no tiene suficiente capacidad para el trasiego de datos que tiene este centro hospitalario», que tiene gestión externalizada.

«La sanidad pública se ve de nuevo comprometida por la gestión de una empresa privada», ha subrayado Mosquera quien ha incidido en que, a causa de estos problemas, en la UCI del centro se han recurrido a «gráficos», el sistema antiguo que se utilizaba por parte de las enfermeras para anotar las evoluciones de los pacientes.

Por otro lado, ha señalado que la actividad en el centro se ha «ralentizado» por esta incidencia informática, que ha llevado incluso a la «imposibilidad» de acceder a la información previa de los pacientes (Historia clínica) y ni poder abrir la herramienta de calendario para solicitar cita. «Todo es más lento y está afectado a la asistencia al paciente» ha insistido el portavoz de CCOO para sostener también, frente a lo dicho por el hospital, que se ha derivado alguna actividad menor a otros centros.

#protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

Fuente: Muyseguridad

Videovigilancia, una de las reclamaciones planteadas con mayor frecuencia ante la AEPD

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria 2021, que recoge de forma exhaustiva las actividades realizadas, las cifras de gestión, los informes y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La actividad de organismo en 2021 ha estado centrada de forma prioritaria en una doble vertiente: dar respuesta a los desafíos de protección de datos relacionados con la pandemia y seguir impulsando que aquellos que tratan datos se comprometan con la protección de la privacidad.

En el primer bloque, la Agencia ha continuado participando en articular garantías para proteger los datos personales en los tratamientos relacionados con las medidas contra la COVID-19, tanto en un plano nacional como en el europeo a través del Comité Europeo de Protección de Datos (CEPD). En el segundo, en 2021 se puso en marcha el Pacto Digital para la Protección de las Personas, una iniciativa que ya cuenta con casi 400 entidades adheridas y que promueve la privacidad y la ética digital como un activo que las organizaciones deben tener en cuenta a la hora de diseñar sus políticas y sus estrategias.

13.905 reclamaciones se presentaron ante AEPD en 2021

En cuanto a las cifras de gestión, en 2021 se han presentado ante la AEPD 13.905 reclamaciones, un aumento de un 35% respecto a 2020. Esta cifra asciende a las 14.571 incluyendo los casos transfronterizos, los casos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección.

En 2021 las reclamaciones resueltas han aumentado un 35% (14.098) respecto al año anterior (10.443), una cifra muy destacable que ha permitido resolver reclamaciones pendientes de ejercicios anteriores sin que hayan aumentado significativamente los tiempos medios de resolución.

En esos tiempos de tramitación de las reclamaciones hay que hacer una referencia a los traslados, una previsión recogida por la LOPDGDD para facilitar la resolución rápida de las reclamaciones y que ha permitido que estas se resuelvan en menos de dos meses.

Durante el año 2021 se ha seguido trabajando en el Canal Prioritario para solicitar la retirada urgente de contenido sexual o violento publicado en internet sin el permiso de las personas que aparecen en ellos. Así, se han recibido 377 peticiones a través del Canal Prioritario, de las cuales 215 han entrado a través del canal de menores.

En cuanto a las reclamaciones ordinarias, las planteadas con mayor frecuencia por los ciudadanos en 2021 corresponden a servicios de internet (16%), videovigilancia (12%), recepción de publicidad (excepto spam) (11%) e inserción indebida en ficheros de morosidad (9%). En cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).

Se han realizado 264 resoluciones que han finalizado con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas han sido la publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros). Estas seis áreas suponen más del 90% del importe global de sanciones, que en 2021 ascendió a 35.074.800 euros.

En cuanto a los casos transfronterizos, la AEPD ha iniciado 16 en 2021 y se ha declarado autoridad interesada en más de 300. Asimismo, se han recibido 1.070 peticiones de otras autoridades europeas, solicitudes de asistencia y consulta, y proyectos de decisión.

En lo referente a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la Agencia, de las 66 dictadas en 2021, 56 (el 85%) fueron desestimatorias o inadmitidas. Por su parte, el Tribunal Supremo ha dictado 4 sentencias, todas ellas favorables a la Agencia.

Ciberincidentes, filtrado de datos…

En cuanto a las notificaciones de brechas de datos personales realizadas ante la AEPD, estas son inicialmente recibidas por la División de Innovación Tecnológica (DIT), que realiza un primer análisis. La DIT ha recibido y analizado 1.647 notificaciones en 2021, de las que poco más del 4% (76) se han remitido a la Subdirección de Inspección por requerir de una investigación en profundidad. Las brechas de datos personales más frecuentes son las causadas por ciberincidentes de origen externo/malintencionado y, dentro de este tipo de incidentes, el ransomware es el más repetido. En paralelo, siguen en aumento los casos en los que el cifrado de los datos y/o los sistemas van precedidos de una filtración de información y su puesta a la venta en internet/darkweb.

En lo relativo a las cifras de delegados de protección de datos (DPD) notificados ante la Agencia, 2021 se cerró con 82.249 DPD frente a los 65.040 DPD de 2020. De la cifra del año pasado, 74.033 corresponden al sector privado y 8.396 al sector público. Por lo que respecta a los servicios de ayuda que presta la Agencia para la adaptación al Reglamento, se han recibido casi 670 consultas a través del Canal del DPD, que da respuesta a las consultas que plantean los Delegados de Protección de Datos previamente notificados a la Agencia.

Fuente: Cuadernosdeseguridad

Visa alerta del robo de datos de tarjetas en gasolineras

Visa ha alertado de un grupo de delincuentes cibernéticos que están explotando activamente una vulnerabilidad en las redes de puntos de venta de estaciones de servicio de combustible para robar los datos de tarjetas de crédito.

Los equipos contra el fraude de la compañía financiera están investigando varios incidentes en los que un grupo conocido como Fin8 defraudó a los propietarios de dispensadores de combustible.

Los atacantes obtuvieron acceso a las redes de punto de venta (POS) a través de correos electrónicos maliciosos y otros medios desconocidos. Luego instalaron un software que explotó las vulnerabilidades de seguridad en las tarjetas de banda magnética que carecen de chip.

El ataque no parece afectar a las tarjetas con chip más seguras, pero no todos los consumidores las tienen, por lo que las estaciones de servicio a menudo también trabajan con lectores de banda magnética. Aparentemente, los datos se envían sin cifrar a la red principal del proveedor, donde los rateros han descubierto cómo interceptarlos. El otro problema es que los sistemas POS no están protegidos por un cortafuegos, lo que permite a los atacantes obtener acceso lateral una vez que se rompe la red.

Los titulares de tarjetas no pueden hacer mucho para evitar los ataques, pero Visa ha aconsejado a los comerciantes de combustible que cifren los datos mientras migran a una política de chip y PIN. «Los comerciantes de dispensadores de combustible deben tomar nota de esta actividad e implementar dispositivos que admitan tarjetas con chip siempre que sea posible, ya que esto reducirá significativamente la probabilidad de estos ataques», dice la alerta de Visa.

A principios de este año, Visa anunció que todos los comerciantes deben implementar lectores de chips antes de octubre de 2020. Después de eso, cualquier estación de servicio sin la nueva tecnología será responsable de cualquier fraude. El problema es que muchos de estos negocios tienen tecnologías muy antigua y al parecer tendrían que cambiar una buena parte de los surtidores.

No es el modelo principal de todos los países y todas las zonas, pero, cuidado, mejor evitar este tipo de estaciones de servicio con pagos no seguros.

#protecciondedatos #usofraudulentodedatos #robodedatos #robovisa #POS

Fuente: Muyseguridad

VISA: un fallo de seguridad permite eludir el PIN

Si el pago por medios electrónicos, Visa, Paypal, monederos electrónicos, etcétera, no había dejado de crecer durante los últimos años, con la situación provocada por el coronavirus su uso se ha disparado hasta niveles que no eran previsibles, en circunstancias normales, hasta dentro de algunos años. En parte por el auge del comercio electrónico, y también en una parte importante por los temores asociados a emplear dinero en efectivo, y que este pueda actuar como vector de difusión del patógeno.

Y es que, por norma general, el nivel de seguridad que nos ofrecen los medios de pago electrónicos es muy alto. No digo, claro, que sean 100% seguros (¿hay algo en esta vida que lo sea?), pero es indudable que sus responsables, ya sean bancos, emisores de tarjetas, entidades de pago, etcétera, extreman los cuidados a este respecto. Ir al supermercado y pagar con Visa, Mastercard o cualquier otra tarjeta de débito/crédito es, por norma general, una opción muy segura.

Esa seguridad depende, no obstante, de sistemas que no son perfectos, y no es sino por la colaboración de expertos e investigadores de seguridad, que son detectados algunos problemas de seguridad. Tal es el caso de un equipo de investigación suizo, que ha encontrado un problema de seguridad en el protocolo EMV, empleado por Visa, y que es vulnerable a un ataque de tipo man-in-the-middle que permite realizar transacciones sin que sea necesario validarlas mediante el PIN asociado a las tarjetas.

EMV («Europay, MasterCard, Visa) es el protocolo utilizado por todos los principales bancos e instituciones financieras del mundo. Europay, Mastercard y Visa desarrollaron el estándar y existe desde hace más de 20 años. La razón más importante para la adopción generalizada del protocolo EMV tiene que ver con el «cambio de responsabilidad», un procedimiento que garantiza que, siempre que el cliente apruebe la transacción con un PIN o firma, la institución financiera no es responsable.

“Utilizando nuestro modelo, identificamos un fallo crítico en las propiedades de autenticación mediante el protocolo sin contacto de Visa: el método de verificación del titular de la tarjeta utilizado en una transacción, si lo hay, no está autenticado ni protegido criptográficamente contra modificaciones”, dicen los investigadores en su artículo.

«Desarrollamos una aplicación de Android de prueba de concepto que aprovecha esto para eludir la verificación del PIN mediante el montaje de un ataque de intermediario que indica al terminal que no se requiere la verificación del PIN porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor«.

De esta manera, un delincuente que lograra hacerse con una tarjeta Visa robada, podría realizar compras con ella sin que fuera necesario emplear el PIN para validar la operación. Y, debido al planteamiento asociado a EMV, la responsabilidad del mismo recaería sobre el titular de la tarjeta robada, y no de la entidad, pese a que el problema de seguridad tenga su origen en ésta. Cabe entender, no obstante, que de darse algún ataque in the wild que aproveche esta vulnerabilidad, las entidades financieras actuarán de forma responsable.

La mala noticia es que todas las tarjetas Visa con chip se ven afectadas por este problema, y la entidad financiera tiene que emitir una actualización del software empleado en datáfonos y TPVs. En su parte positiva, el problema de seguridad no es inherente a EMV, sino a una implementación deficiente de las medidas de seguridad asociadas a la validación de los pagos mediante PIN en operaciones contactless. Eso sí, los investigadores cifran en alrededor de 161 millones los TPVs que hay a lo largo del mundo, por lo que vaticinan que la actualización de todos ellos será un proceso que llevará cierto tiempo.

Fuente: Muyseguridad

Un análisis demuestra cómo hacen varios servicios para proteger la privacidad de sus usuarios.

Un análisis de la Electronic Frontier Foundation (EFF), una muy conocida organización sin fines de lucro dedicada a defender la libertad y privacidad digital, analizó cómo hacen varios servicios para proteger la privacidad de sus usuarios.
 
El análisis se hizo en base a cinco criterios:
 
1) Seguir las prácticas recomendadas por la industria respecto a mantener ocultos los datos personales de los usuarios.
 
2) Informar a sus usuarios de los pedidos de información que hacen los gobiernos a esa compañía.
 
3) Hacer pública su política de almacenamiento de los datos de sus usuarios.
 
4) Informar de los pedidos que hacen los gobiernos de eliminación de contenido específico.
 
5) Oponerse a accesos secretos que permitan el espionaje por parte del estado.
 
Son varias las firmas que recibieron la máxima calificación, cinco estrellas, es decir, que cumplen con esos cinco criterios. Entre ellas están Adobe, Apple, Dropbox, Wikimedia, Wordpress o Yahoo. Facebook, Twitter, Pinterest y Reddit tienen cuatro puntos (es decir, no cumplen con uno de esos cinco criterios); Microsoft, Google y Snapchat tienen tres. WhatsApp es la única del estudio en recibir una sola estrella.
 
WhatsApp sigue la posición de su dueño (Facebook) de oponerse a la inclusión de las denominadas 'puertas traseras' que permitan a un gobierno acceder al contenido de un chat sin previo aviso, pero no implementa como parte de sus políticas públicas el resto de los criterios de defensa de la privacidad de sus usuarios.

Fuente: d24ar