Protección de datos fuera de la UE

Protección de datos fuera de la UE

Los datos – el oro del mundo digital, el petróleo de la industria 4.0 y la base del modelo de negocio de Google y Facebook. Ya hemos explicado por qué los datos son insustituibles para el mundo de los negocios en los tiempos modernos. Con la adopción de la GDPR, el gobierno europeo ha considerado que los datos son especialmente dignos de protección y ha llamado la atención de los consumidores sobre la importancia de esta protección. Pero ¿se trata la información personal con la misma sensibilidad más allá de las fronteras europeas? ¿Dónde están las diferencias? Echamos un vistazo a la comprensión y la importancia de la protección de datos en otros países y mostramos lo que esto significa para la población, entre otras cosas.


EE.UU. – Leyes de protección de datos específicas del sector




A diferencia de la regulación básica de protección de datos en Europa, la protección de datos en los Estados Unidos está regulada sobre una base sectorial. Las empresas en los EE.UU. están generalmente obligadas a garantizar la seguridad de los datos personales y están sujetas a la obligación de informar en caso de fugas de datos. Sin embargo, las empresas deben o pueden determinar su propio nivel de protección de datos. ¿Pero de dónde provienen estos diferentes enfoques para el manejo de los datos? La protección de los datos personales en Europa está establecida en la constitución alemana como un derecho fundamental de autodeterminación informativa. En los Estados Unidos, en cambio, la protección de datos forma parte de la ley de protección del consumidor y, por lo tanto, es más parte de la vida económica. La supervisión en virtud de la ley de protección de datos está en manos de la Comisión Federal de Comercio, por lo que la cuestión de la protección de datos se considera desde una perspectiva económica y no tanto como un derecho personal. La Ley Patriota de los Estados Unidos fue aprobada después de los ataques terroristas del 11 de septiembre de 2001 y causó un gran revuelo más allá de las fronteras del país. Las autoridades de seguridad, como la NSA, podían acceder a los datos almacenados en los servidores locales sin una orden judicial en los casos sospechosos. Los proveedores de Internet y los proveedores de nubes también podrían ser obligados a revelar datos personales. En determinadas condiciones, las autoridades de investigación también podían obligar a las empresas a entregar datos sin siquiera informar a las personas afectadas por medio de la llamada Carta de Seguridad Nacional.


Con las revelaciones de Edward Snowden en 2013, la población estadounidense se ha vuelto mucho más cuidadosa en lo que respecta a la vigilancia estatal. En junio de 2015, el entonces presidente Barack Obama firmó la Ley de la Libertad de Estados Unidos, que volvió a restringir las facultades de las autoridades investigadoras.


El escándalo de Cambridge Analytica siguió en 2016. La empresa de análisis había obtenido acceso inadvertido a los datos de 87 millones de usuarios de Facebook y alimentó con ellos la campaña electoral presidencial de Donald Trump. Poco después del anuncio, el estado de California redactó una ley estricta para proteger los datos de los usuarios, que entrará en vigor en enero de 2020. La llamada Ley de Privacidad del Consumidor de California tiene como objetivo permitir a los consumidores saber qué datos son recogidos y utilizados por qué compañías y cómo, y exigir que sean eliminados si es necesario. Actualmente no existe una ley nacional, pero los Estados Unidos ya han dado un gran paso hacia los estándares europeos de la GDPR.

China – ¿vigilancia absoluta?




Desde 2015, la cobertura con cámaras de vigilancia en la capital Beijing es del 100 por ciento, muchos de los dispositivos funcionan con software de reconocimiento facial. Los ciudadanos de la República Popular China son vigilados en todas partes. Además, actualmente se está estableciendo un sistema para evaluar el comportamiento de las personas en China. El sistema de crédito social es para registrar y analizar no sólo la moral de pago, sino también los antecedentes penales, los hábitos de compra e incluso la lealtad. ¿Suena como una extraña serie de ciencia ficción crítica con la sociedad? Sin embargo, un sistema de crédito social de este tipo es una realidad en la ciudad costera de Rongcheng desde 2014. Los aproximadamente 670.000 habitantes tienen que mostrar su puntuación regularmente a las autoridades. Si el número de puntos no es correcto, una promoción en el trabajo o la solicitud de un préstamo del banco podría verse afectada negativamente. En Europa, un sistema de crédito social de este tipo sería ilegal, ya que violaría los principios de protección de datos y, por tanto, también la Ley Fundamental.

En septiembre de 2019, la App china Zao atrajo la atención internacional. Mediante el uso de la inteligencia artificial, el software permitió a los usuarios transferir sus propios rostros a los de las estrellas de Hollywood en las escenas cinematográficas. Cuando de repente aparecieron en Internet extractos de las películas más famosas de Leonardo DiCaprio en las que la cara de un usuario de Zao se adaptaba de forma engañosamente realista a la de un actor de Hollywood, la aplicación se hizo viral. Sin embargo, rápidamente surgieron preocupaciones en relación con las condiciones de uso. Los usuarios de la aplicación aparecieron. Los usuarios de la aplicación cedieron “derechos completamente gratuitos, irrevocables, perpetuos, transferibles y re-licenciables” a los desarrolladores de la aplicación. Según Zao, se han eliminado los pasajes controvertidos, pero todavía existe la preocupación de que los ciberdelincuentes puedan utilizar el contenido generado para burlar el software de reconocimiento facial que, por ejemplo, da acceso a las cuentas bancarias. El peligro de informes falsos, que podrían ser generados por falsificaciones profundas, también está creciendo a medida que esta tecnología se desarrolla.

Además de Zao, la subsidiaria de la plataforma de comercio de Alibaba, Ant Financial, también enfureció a varios ciudadanos chinos. Con “Sesame Credit” Ant Financial introdujo un servicio que verifica la solvencia de los usuarios evaluando sus actividades en línea. Después de que los usuarios descubrieron que habían sido incluidos en el sistema por defecto sin su consentimiento, Alibaba se disculpó debido a la creciente presión pública.

China se está convirtiendo cada vez más en un estado de vigilancia digital. Pero la República Popular también cuenta con algunas leyes sobre ciberseguridad: el 1 de junio de 2017 entró en vigor la Ley de Ciberseguridad. Entre otras cosas, el objetivo era la seguridad de la red y el fortalecimiento de la protección de datos. En 2018, el Congreso del Pueblo Chino anunció que estaba prevista una ley general de protección de datos. La Ley de Ciberseguridad y partes de la Ley de Comercio Electrónico a partir de 2018 tienen como objetivo proporcionar un marco para la ley prevista sobre la protección de datos personales. Mientras se redactaba la nueva ley, la Administración del Ciberespacio de China (CAC), el máximo organismo administrativo regulador de Internet, publicó en junio de 2019 la Directriz Reguladora de Protección de Datos. Establece las normas para la recogida y el tratamiento de los datos de los clientes. La Directriz constituye la base para la futura orientación del derecho aplicable a nivel nacional.

GDPR crea transparencia




Con la GDPR, no sólo aumenta la confianza de los usuarios hacia las empresas, sino también la confianza de las empresas entre sí. El procesamiento de los datos de los clientes está ahora uniformemente regulado y ofrece más transparencia en esta área”, dice el CISO (Chief Information Security Officer) de Hornetsecurity, Olaf Petry, sobre la ley. “Las leyes de protección de datos como la GDPR aseguran el manejo uniforme de información sensible a través de las fronteras. Además de las ventajas que la GDPR ofrece a las empresas y a los particulares en Europa, los países fuera de la UE también pueden beneficiarse de ella. La GDPR ya es un modelo clave para futuros proyectos de legislación.​


Más información:

Formjacking – La nueva amenaza invisible del ciberespacio

Formjacking – La nueva amenaza invisible del ciberespacio

La Navidad está a la vuelta de la esquina y desgraciadamente algunas personas perderán su espíritu navideño. Cuando millones de personas se conectan a Internet para comprar regalos existe una trampa latente. Estamos hablando de la nueva amenaza invisible en Internet: Formjacking, también conocido como e-skimming. Los hackers están pirateando tiendas online, secuestrando datos bancarios y de tarjetas de crédito. El cliente desprevenido y la compañía afectada ni siquiera lo notan; todo va como de costumbre. El comprador recibe su producto y la empresa el pago, pero en segundo plano los ciberdelincuentes se conectan a la información secreta del pago. Sólo a posteriori, despertamos en la triste realidad: personas desconocidas han hecho grandes cantidades de compras a expensas del titular de la tarjeta.

 

La BKA y el FBI advierten

 

En su nuevo Informe de gestión federal sobre la ciberdelincuencia, la BKA (Oficina Federal de Investigación Criminal en Alemania) confirma que el año anterior se produjo un gran aumento del número de casos de secuestro durante el negocio navideño. El FBI también emitió recientemente una advertencia en el contexto del mes de la Seguridad Cibernética de Estados Unidos en 2019, en particular a las pequeñas y medianas empresas que ofrecen pagos con tarjeta de crédito en línea3. A menudo sus métodos de defensa son menos sofisticados y, por lo tanto, son particularmente vulnerables a los ataques. El malware infiltrado permanecerá también sin ser detectado en sus sistemas durante más tiempo.

Con mayor frecuencia, las empresas más grandes están en el punto de mira. Uno de los casos más espectaculares ocurrió en septiembre de 2018, cuando British Airways perdió más de 380.000 datos de tarjetas de crédito de clientes, debido a una página de reservas infectada. Es probable que este ataque haya hecho ganar a los hackers varios millones de dólares. Por su parte, British Airways no sólo sufrió una inmensa pérdida de confianza, sino que también se enfrenta a una posible multa de 230 millones de dólares a causa de medidas de seguridad inadecuadas, es la mayor multa hasta la fecha desde la entrada en vigor de GDPR.

 

¿Cómo funciona el Formjacking?

 

El término “formjacking” es una combinación de “online form” y “hijacking” y describe básicamente la versión digital del conocido skimming, en el que los estafadores preparan la ranura de tarjetas en los cajeros automáticos con su propio lector de tarjetas. El código PIN se espiará simultáneamente con cámaras pequeñas y la tarjeta bancaria se puede duplicar con los datos recogidos.

Un secuestro similar tiene lugar en el ciberespacio. En el ataque se crea una página web con un código malicioso, generalmente pequeños JavaScripts ocultos. Según el FBI, los hackers suelen conseguirlo mediante la suplantación de identidad (phishing) y el envío de correos electrónicos maliciosos a empleados o proveedores vulnerables de terceros, cuyas aplicaciones tienen acceso al entorno de servidores de una empresa. Una vez que el código malicioso ha sido implementado, los datos de la tarjeta de crédito pueden ser capturados en tiempo real tan pronto como el cliente los introduce en el sitio web de la tienda.

Los ciberdelincuentes utilizan la valiosa información para ir de compras o venderla en Darknet. Según un estudio de la agencia de crédito estadounidense Experian, un número de tarjeta de crédito con un código de seguridad se vende en el mostrador digital por unos 5 dólares estadounidenses. Los datos de acceso de proveedores de servicios de pago como Paypal pueden incluso ganar alrededor de 20 dólares estadounidenses.

Formjacking

¿Quién está detrás de los ataques?

 

El formjacking pertenece a los llamados ataques man-in-the-middle, en los que los atacantes se posicionan de forma inadvertida entre los partners de comunicación que utilizan malware. ¿Pero quiénes son los desconocidos? Por lo general, no se puede asignar claramente, pero el nombre de Magecart aparece una y otra vez en relación con los incidentes, como en el caso de British Airways descrito al principio. Se trata de un término genérico que describe las actividades de al menos siete grupos de hackers que utilizan malware parecido en ataques orquestados de forma similar. Los grupos Magecart no se limitan a una plataforma específica de tiendas online en el marco de sus guardias. Además, se ha observado que algunos ciberdelincuentes se especializan en servicios de terceros, como los widgets de chat en vivo.

 

¿Cómo puedes protegerte?

 

No es posible que el cliente detecte y prevenga el formjacking durante las compras online porque las páginas infectadas no se ven modificadas. Por lo tanto, es aconsejable limitar las compras a las grandes tiendas que, a diferencia de los pequeños sitios web de comercio electrónico, están equipados con sistemas de seguridad más amplios. Las tarjetas de crédito también deben tener un segundo nivel de defensa en forma de 3D Secure. Por ejemplo, ninguna transacción es posible sin un código TAN enviado al smartphone.

Pero la verdadera responsabilidad de prevenir los ataques de e-skimming recae en las empresas. Es necesario que actualicen sus sistemas de seguridad. El objetivo es mantener las puertas de entrada cerradas al malware, por ejemplo: en forma de correos maliciosos con amplias medidas de protección.

Formjacking se centra actualmente en el robo de datos de tarjetas de crédito, pero en principio puede ser utilizado para conseguir cualquier tipo de datos que se capturan a través de formularios online. Por lo tanto, la expansión del fraude es más que probable.

 

Más información:

 

Infraestructuras críticas – probablemente el punto más vulnerable de un país

Infraestructuras críticas – probablemente el punto más vulnerable de un país

¿Qué pasaría si nos quedáramos sin electricidad? Los alimentos y los medicamentos esenciales ya no se podrían enfriar, las máquinas que mantienen la vida de los pacientes en los hospitales dejarían de funcionar, las luces se apagarían y las calles se hundirían en el caos. Un escenario que parece inimaginable. Los ciberdelincuentes se centran cada vez más en las instalaciones vulnerables que constituyen la base del bien común: las infraestructuras críticas.

El presidente de BSI, Arne Schönbohm, también ve a los operadores de las centrales hidroeléctricas nacionales o, por ejemplo, a la industria farmacéutica cada vez más en el centro de los ataques cibernéticos profesionalizados. ¿Por qué? La manipulación de los procedimientos operativos en estos sectores económicos podría poner en riesgo a la población. Las medidas de protección de TI interna deben tener una alta prioridad.

A continuación, echamos un vistazo a las infraestructuras críticas y damos una visión de las enormes consecuencias que un ataque cibernético puede tener en estas organizaciones tan sensibles.

 

Una cuestión crítica

 

Las infraestructuras críticas incluyen organizaciones o instituciones que desempeñan un papel importante para la comunidad. Proporcionan servicios o productos de los que dependen tanto los consumidores como las empresas. Estos incluyen instalaciones en los sectores de energía, TI y telecomunicaciones, salud, agua, alimentación, transporte, finanzas y seguros, gobierno y administración, medios de comunicación y cultura.

Las infraestructuras críticas se consideran especialmente sensibles en lo que respecta a su infraestructura de TI, por lo que el gobierno quiere protegerlas, especialmente con la ley de seguridad de TI que entró en vigor en julio de 2015. Por lo tanto, los operadores deben informar de los fallos de sus sistemas informáticos y permitir que se comprueben periódicamente. La mencionada sensibilidad de los sistemas se deriva del hecho de que la mayoría de ellos ya se desarrollaron en un pasado lejano. Queda claro que los aspectos de seguridad de TI no se tuvieron en cuenta desde el principio, pero si se tuvieron, inicialmente, los aspectos de seguridad física, como la construcción de sistemas de vallado de gran complejidad y el suministro de personal de seguridad.

Otra causa fue la separación de los sistemas informáticos del acceso a Internet. Sin embargo, la digitalización no sólo ha pasado desapercibida, sino que ha dado lugar a cambios considerables en los últimos años. En las empresas industriales modernas, por ejemplo, muchas máquinas, dispositivos y empleados están ahora conectados a Internet. Además de las muchas ventajas que esto trae consigo, también hay desventajas que no son insignificantes: Por lo tanto, las infraestructuras críticas son aún más vulnerables para los ciberataques.

 

¡…y estaba todo a oscuras!

 

El alcance de un ataque cibernético a infraestructuras críticas queda demostrado por un ataque sin precedentes a la red eléctrica de Ucrania en 2015: los hackers paralizaron todo el suministro de energía. Los hogares permanecieron a oscuras durante horas, los hospitales tuvieron que acceder a generadores de energía de emergencia. El ataque del hacker fue supuestamente llevado a cabo por actores estatales que sabotearon el suministro de energía del país con la ayuda del malware Industroyer. En 2017, una central eléctrica saudí fue víctima de piratas informáticos. El objetivo del ataque era presumiblemente destruir la planta.

El ataque fue descubierto por casualidad. De esta manera, se pudieron prevenir cosas peores. Según los medios de comunicación, el ataque se produjo a través de un sistema de seguridad que se utiliza en todo el mundo en centrales eléctricas de gas y petróleo, así como en centrales nucleares, también en Alemania. El código Triton utilizado en el ataque fue publicado en Internet poco después. Esto creó la base para nuevos ataques de hackers experimentados. Según sus propias declaraciones, los investigadores de seguridad pudieron localizar otro ataque con el código Triton en abril de 2019. Sin embargo, sigue sin estar claro cuándo tuvo lugar el ataque y qué sistema estaba en el punto de mira. Los investigadores llegaron a la conclusión de que los atacantes querían sentar las bases para el daño físico. Esto sugeriría también que se estaban dirigiendo a otros operadores de infraestructuras críticas. Por este motivo, los investigadores han hecho públicos los detalles del malware detectado para ayudar a los responsables de TI a detectarlo y prevenirlo.

Los acontecimientos del pasado son preocupantes. Una buena señal, sin embargo, es la creciente conciencia de la seguridad de TI dentro de las infraestructuras críticas. El control de desastres, por ejemplo, ya ha elogiado la creciente seguridad informática.

 

El peor caso: ataque cibernético al operador de infraestructuras críticas

Sin embargo, esto no significa que el tema esté fuera de debate. Durante mucho tiempo su objetivo fue el de sensibilizar a la gente sobre el establecimiento de medidas de seguridad. ¿Y si este fuera el caso? Partimos del peor de los escenarios: Un ataque cibernético apaga la electricidad en España. Según Arne Schönbohm de BSI, la red y el suministro de energía es un objetivo atractivo para paralizar a todo un país. De acuerdo con esto, en caso de un corte de energía cada vez mayor se producirían grandes cuellos de botella en el suministro. Esto también suscita preocupación en el campo del control de desastres. Echemos un vistazo más en detalle a un pequeño escenario de ataque:

 

Un ataque de un Ransomware se ejecuta en los siguientes pasos:

  1. Reconocimiento
  2. Armonización
  3. Entrega
  4. Explotación
  5. Instalación
  6. Mando y control
  7. Acciones sobre el objetivo

 

Reconocimiento: Identificación del objetivo

Existen básicamente dos tipos de ataques: ataques dirigidos y ataques masivos. La cadena de ataque se trata principalmente en ataques dirigidos. Primero se elige el objetivo. Aquí se recoge toda la información posible para averiguar cómo se crea la empresa y dónde hay lagunas que podrían utilizarse para la intrusión. La atención se centra normalmente en un determinado empleado que comparte mucha información sobre sí mismo: Detalles de contacto, títulos de trabajo, planes de vacaciones y más. Una vez que se ha encontrado la vulnerabilidad correcta, se da el siguiente paso.

Armonización: preparación del ataque

El atacante selecciona una herramienta adecuada dependiendo del objetivo deseado y del procedimiento planeado – si es posible, por supuesto, debe ser pérfido. A menudo una encriptación trojan es la mejor solución, que se mantiene cubierta al principio y recoge más información. Muchos de estos códigos están disponibles gratuitamente en Darknet (red oscura).

Entrega: primeros pasos para ejecutar el ataque

En esta fase, el delincuente tiene que elegir un canal de distribución. El delincuente puede optar por utilizar un CD-ROM, una memoria USB o el clásico correo electrónico. Los más populares son los correos electrónicos de phishing que se vinculan a un sitio web malicioso o que contienen un documento infectado que se supone que el destinatario debe abrir. La ventaja del método de phishing nos lleva directamente al siguiente paso.

Explotación: Detección de vulnerabilidades de seguridad

La falta de conciencia por parte de los empleados es un vector popular de inspiración. Palabra clave “ingeniería social”: el phishing, el fraude del ceo o la caza de ballenas se utilizan para explotar la incertidumbre y la ignorancia de los empleados para entrar en el sistema. Pero las superficies de ataque abiertas también pueden estar en la tecnología, como los agujeros de seguridad sin parchear en los programas utilizados en toda la empresa.

Instalación: implementación de una puerta trasera

Lógicamente, no aparecerá ninguna ventana emergente una vez que se haya instalado el malware. La instalación se ejecuta de forma oculta y sin el conocimiento del usuario. El malware anida y espera su gran momento.

Mando y Control: Control remoto del sistema de destino

Para mantener el control del malware, se puede utilizar el protocolo de escritorio remoto. El control remoto es esencial para alcanzar el objetivo real. Ahora incluso es posible utilizar la inteligencia artificial para que el malware pueda realizar acciones de autoaprendizaje, como recargar otro malware o espiar datos personales.

Acciones sobre el objetivo: Logro del propósito

El gran momento ha llegado y el atacante puede hacer su acción concreta después de la infiltración completa del sistema. En nuestro caso, la fuente de alimentación está desconectada. Pueden pasar varios años hasta que el malware se ejecute o se detecte.

De la cadena de ataque se desprende claramente que la prevención y la defensa contra ataques cibernéticos sofisticados sólo es posible con herramientas especiales y una fuerte y regular sensibilización a los empleados. Estos incluyen servicios que pueden detectar malware pérfido y complicado, como amenazas persistentes avanzadas con motores de análisis especiales, congelación y sandboxing. El hecho es que los ataques cibernéticos seguirán aumentando y que deben adoptarse medidas de protección en una fase temprana.

En resumen, los ciberataques a infraestructuras críticas pueden suponer una amenaza para la seguridad nacional. Un ataque a la red de energía o al suministro de agua puede tener consecuencias que no sólo podrían resultar en pérdidas económicas, sino que también podrían cambiar completamente la vida tal y como la conocemos.