Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

Un vecino de la provincia de Guipúzcoa descubrió que su compañía eléctrica, Iberdrola, le había rebajado la potencia contratada sin que él lo solicitara. Cuando llamó para interesarse, le comunicaron que la rebaja había sido tramitada a través del portal web, a pesar de que el titular del contrato nunca se había conectado a dicho portal.

La compañía restauró la potencia contratada y anuló los importes incorrectos facturados por la rebaja, pero no aclaró por qué se había producido esa rebaja ni quién había tenido acceso al portal web, por lo que el cliente remitió sendos escritos en un periodo de una semana solicitando una explicación “seria sobre los hechos ocurridos y claridad en el uso de los datos como usuario debido a la inseguridad que le provoca que alguien pueda tener sus datos personales”.

No sería hasta siete meses después cuando la compañía eléctrica identificó al usuario que había cursado la solicitud de rebaja de la potencia. Tras hacer las correspondientes averiguaciones, se señaló a la inquilina del vecino agraviado como la persona que había hecho los cambios. El titular del contrato decidió interponer una denuncia a la compañía eléctrica ante la Agencia Española de Protección de Datos (AEPD) por haber permitido que a través de su web se rebajara la potencia contratada en su domicilio sin su consentimiento.

Durante el proceso, Iberdrola no acreditó que la persona que “realizó el acceso a través de la web y llevó a cabo los cambios en el contrato del denunciante estuviera habilitada y autenticada para realizarlo” y le reprocha su falta de diligencia. Además, la compañía aportó como documentación que acredita la autenticación del denunciante un registro de sus ficheros informáticos en el que constan cuatro contratos suscritos por este, que sin embargo parecen corresponder a su inquilina.

Es por esto que la Agencia considera que el sistema de gestión de accesos a la zona de usuarios de la web de Iberdrola “no impidió de manera fidedigna que un tercero pudiera acceder a los datos personales de otro cliente”, debido a una serie de deficiencias que “han quedado acreditadas por la documentación aportada al expediente”.

La AEPD estima que se ha cometido una infracción grave del artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD) e impone una multa a la compañía eléctrica de 40.0001 euros. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

En este caso, la Agencia entiende que la compañía eléctrica no adoptó medidas de seguridad de nivel básico destinadas a salvaguardar la confidencialidad y seguridad de los datos de carácter personal recabados por la entidad. De este modo, insta a la empresa a “adoptar de manera efectiva las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros”.

 

iberdrola proteccion de datos

 

Fuente: eprivacidad

AXA sufre un ciberataque

Nuevo ciberataque a AXA

La aseguradora AXA sufrió este lunes un ciberataque en el Sistema de Pagos Electrónicos Interbancarios (SPEI), lo que detonó las alertas entre los participantes del sistema de pagos. “El pasado 22 de octubre, el monitoreo del funcionamiento del sistema financiero detectó algunos elementos que determinaron un ataque cibernético a AXA en el SPEI”, confirmó la aseguradora en un comunicado. La empresa francesa señaló que la información y los recursos de los asegurados no han sido afectados.

"Desde el primer momento en que detectamos esta incidencia con SPEI, notificamos al Banco de México e implementamos diferentes acciones para robustecer y garantizar aún más nuestros procesos de seguridad", mencionó la aseguradora de origen francés.

Tras este ataque cibernético, el Banco de México, la Secretaría de Hacienda y la Comisión Nacional Bancaria y de Valores (CNBV) decidieron elevar a rojo el nivel de alerta de seguridad informática en la operación de los participantes en el SPEI. De manera precautoria, algunas instituciones con un perfil de riesgo similar estarán operando a través del mecanismo alterno previsto para este tipo de eventos hasta nuevo aviso, han señalado las autoridades financieras en un comunicado conjunto enviado previamente, sin mencionar a la aseguradora que registró el ciberataque. 

axa ciberataque

Anteriormente cinco instituciones financieras sufrieron ciberataques

Durante mayo y abril de este año, al menos cinco instituciones financieras sufrieron un ciberataque en sus conexiones con el SPEI, que implicó daños por alrededor de 135 mil euros. En aquella ocasión, las personas que fueron contactadas por un grupo de hackers,  retiraron el dinero a través de 800 transacciones que fueron desde 1.400 euros  a más de 20.000 euros, según explicó el gobernador de Banxico, Alejandro Díaz de León.

Fuente: expansion

FBI y Policía Nacional investigan ciberataques que afectaron a 12 empresas colombianas

data protection

Durante una reunión sostenida con diferentes representantes del sector de seguridad privada, agremiados a las Empresas Colombianas de Seguridad (ECOS) y el Brigadier General Fernando Murillo, director del Grupo Unificado para la Libertad Persona (GAULA) de la Policía Nacional, se llevó a cabo una de las primeras reuniones que busca evitar el fraude electrónico o los ciberataques a las empresas colombianas.

Hasta el momento se han registrado 12 casos que son objeto de investigación del Cibergaula en asocio de organizaciones internacionales como la Oficina Federal de Investigación (FBI) de los Estados Unidos, toda vez que se ha evidenciado que los intentos de ataque son de hackers provenientes de países europeos y asiáticos.

Al respecto, el general Murillo aseguró que es importante generar un binomio de seguridad privada y pública "para que integremos capacidades y para que los dos seamos corresponsales a la seguridad que nos está pidiendo el ciudadano del común".

Así mismo, el oficial enfatizó que "desde el Cibergaula contamos con todas las capacidades, especialmente, en el secuestro de la información, este año hemos atendido 12 casos de empresas colombianas, es donde hemos reiterado nuestra capacidad de identificar cómo llega el ataque, que normalmente se hace por correos comerciales o por la falta de conocimiento de los empleados en donde se ataca todo el sistema desde los servidores donde empiezan a recibir mensajes exigiéndoles dinero para recuperar la información. Desde el Gaula los invitamos a que reciban nuestras charlas de prevención para evitar este tipo de inconvenientes".

Por su parte, José Saavedra, presidente de las Empresas Colombianas de Seguridad (ECOS) manifestó que “es importante estar a la vanguardia con los temas que permitan combatir la delincuencia y sus nuevas formas de actuar. Respecto al delito del secuestro cibernético de la información, hemos venido trabajando con el Gaula de la Policía Nacional para conocer las últimas tendencias que nos permitan contrarrestar este tipo de fraude electrónico, por lo que en alianza con la Policía Nacional haremos capacitaciones a nivel regional con nuestros grupos de trabajo para que entiendan de qué se trata este delito y cómo prevenirlo en nuestras organizaciones”....LEER NOTICIA COMPLETA.

Reino Unido tendrá que pagar 185.000€ a los demandantes

El Tribunal Europeo de Derechos Humanos concluye que Reino Unido vulneró dos conceptos del artículo 8 del Convenio Europeo de Derechos Humanos que protege el derecho a la vida privada, familiar y a la privacidad de la correspondencia.

El Tribunal Europeo de Derechos Humanos (TEDH) ha condenado a Reino Unido por la interceptación masiva de comunicaciones y la obtención de datos de empresas tecnológicas por sus servicios secretos, pero no por haber compartido esa información con otros estados. También que violó el artículo 10, sobre libertad de expresión, por la ausencia de garantías en la divulgación de la identidad de la fuente de un periodista. Pero al mismo tiempo, por cinco votos contra dos, ha dictaminado que Reino Unido no infringió el artículo 8 por compartir los datos con agencias de inteligencia extranjeras, en concreto de Estados Unidos. La sentencia hace referencia a tres casos presentados por 16 asociaciones, periodistas y activistas, entre ellas la ONG británica de defensa de los derechos civiles y la privacidad Big Brother Watch, en España el conocido progrma de televisión Gran Hermano.

reino unido sentencia TEDH

En su fallo, los jueces europeos imponen a Reino Unido el pago a los demandantes de 185.000 euros en concepto de costas. Al no haber reclamación por daños morales, no se ha atribuido ninguna cantidad por ese concepto. Aunque para el TEDH los servicios de inteligencia británicos "se toman en serio las obligaciones" con el Convenio Europeo de Derechos Humanos y "no abusan de sus poderes", sí se queja de que el proceso de selección y la búsqueda de comunicaciones interceptadas "no están sometidos a una vigilancia independiente adecuada". En la práctica, "no hay auténticas garantías en la selección de datos de comunicación pertinentes a examinar", y eso significa que esas informaciones "son susceptibles de revelar muchas cosas sobre los hábitos y los contactos de un individuo".

El TEDH estima que la interceptación masiva "no supone en sí una vulneración del Convenio" y que "los gobiernos disponen de un amplio margen de apreciación para determinar qué tipo de sistema de vigilancia necesitan para proteger la seguridad nacional". De hecho, sostiene que ese carácter masivo era "adecuado", respecto al objetivo legítimo perseguido, en un contexto de amenaza del terrorismo global. Sobre el hecho de compartir datos con otras agencias extranjeras, la sala primera del tribunal dice que "nada indica la existencia de fallos importantes" en la aplicación de la normativa británica que recoge esa posibilidad, "ni elementos que atestigüen posibles abusos". En cuanto a la libertad de expresión, los jueces se inquietan porque "informaciones periodísticas confidenciales puedan ser seleccionadas deliberadamente para ser examinadas" y el "efecto disuasivo" de esa injerencia en las fuentes informativas.

Las demandas se presentaron ante el TEDH entre 2013 y 2015, después de que el exagente de la CIA Edward Snowden revelara la existencia de programas de vigilancia e intercambio de información entre los servicios de inteligencia de EEUU y Reino Unido. Los demandantes denunciaban que sus comunicaciones pudieron ser interceptadas o recopiladas por los servicios secretos británicos.

Fuente: expansion

Costa Rica:Proteja a su empresa ante el riesgo de manejar datos personales de clientes

data protection en Costa Rica

La información personal no pertenece a las empresas, son solo depositarias

El adecuado uso de la tecnología para el procesamiento de datos personales de los clientes es una herramienta estratégica para la competitividad de las empresas. El conocimiento de los clientes, así como la satisfacción inmediata de sus necesidades son factores que establecen la diferencia entre los competidores.

Las empresas requieren contar con información de carácter personal de sus clientes que les permita dirigir sus estrategias de mercadeo, venta y servicio al cliente. Dicha información y su manejo implica una serie de responsabilidades y riesgos para las empresas, sus representantes y empleados.

Para disminuir esos riesgos, se deben establecer políticas claras de cumplimiento de las normas que regulan el manejo de los datos personales de los clientes y que regulan el giro comercial de las empresas.

Asimismo, establecer los procedimientos necesarios y suficientes (evitar burocracia excesiva) para cumplir con las normas aplicables y mantener la seguridad de la información.

Las empresas que trabajen con datos otorgados por sus clientes, se encuentran sometidas a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (8968) y su reglamento, así como a las demás normas que se apliquen supletoriamente.

Los datos personales de los clientes no pertenecen a las empresas, estas son simples depositarias. Como tales tienen el deber de proteger la información personal que les entregan y se convierten en responsables del manejo que le dan a esta.

Por ejemplo, en el caso de que la información generada entre la empresa y el cliente involucre la entrega de datos personales de este último, la empresa y sus empleados serán responsables de su utilización interna, así como si se produce su divulgación sin el consentimiento del propietario.

 Requisitos

Las empresas que cuenten con bases que contienen datos personales de sus clientes y que tienen una finalidad de comercialización, distribución o difusión comercial según los alcances de la ley, deben inscribirse ante la Agencia de Protección de Datos de los Habitantes (Prodhab). Una empresa que no cumpla con dicha obligación se expone a cuantiosas multas económicas y a la inhabilitación de su base de datos por un periodo de hasta seis meses..

Además, el perjuicio asociado a la fuga de datos personales en las compañías puede ser la pérdida de reputación y el daño en la imagen de la empresa. La compañía podría verse afectada por la exposición negativa ante la opinión pública, los medios de comunicación y sus propios clientes.

Es común que la violación de la seguridad de datos personales sea realizada desde lo interno de la compañía, por empleados, exempleados o terceros que se aprovechan de las deficiencias de seguridad de las empresas.

Por estas razones es que se deben crear procedimientos, políticas y mecanismos de fiscalización dentro de la empresa. Que sean de cumplimiento obligatorio y fácil entendimiento de todos los colaboradores.

Por esta razón, en todas las empresas que manejen datos personales de sus clientes, se debe considerar al menos lo siguiente:

Verificar el cumplimento de la Ley 8968.

Verificar si se debe registrar la base de datos ante la Prodhab.

Definir una estrategia de protección de datos personales empresarial y elaborar el protocolo de actuación que requiere la ley.

Definir políticas ciberseguridad empresarial....LEER NOTICIA COMPLETA.