Desde la pérdida de los recuerdos más preciados hasta el incumplimiento de los plazos, el impacto de no contar con un backup de nuestros archivos más importantes es difícil de medir.

Perder información valiosa es una de las peores cosas que le puede pasar a cualquiera, al menos digitalmente. Imagínaate perder datos críticos que necesitas para la elaboración de un proyecto con un plazo de entrega inminente, como puede ser una tarea académica, o perder los documentos que necesitas presentar cuando solicitas una subvención, o incluso para realizar un trabajo que has tomado como freelance.

Hoy es el Día Mundial del Backup, fecha que se creó como una forma de ayudar a crear conciencia sobre el impacto que representa para las personas la pérdida de datos y el valor de estar preparados para una situación que atente contra nuestros archivos o información en general. Para conmemorar este día, el pasado lunes publicamos un artículo titulado Backup: 10 errores comunes que cometen los usuarios, y en esta oportunidad analizaremos diversos aspectos relacionados al hecho de no contar con una copia de seguridad cuando se experimenta en carne propia la pérdida de datos, y qué hacer en caso de que algo de esto suceda.

¿Cuáles son los impactos de la pérdida de datos?

Supongamos que has perdido información clave, que no ha sido respaldada, para un proyecto que debes entregar de manera urgente. El tiempo que se invierte en intentar recuperar esa información a través algún milagro o en tener que investigar, recopilar y reescribir todo el proyecto, se traduce en una menor productividad y tal vez provoque la entrega de un producto de calidad inferior. El tiempo perdido ya no se puede recuperar, por lo que deberás trabajar con una fecha de entrega acotada, y tal vez esto repercuta al final en una oportunidad perdida. Y algunas oportunidades no surgen con tanta frecuencia, ¿verdad?

El impacto de la pérdida de datos puede variar según el tipo de datos que se pierdan y en qué momento del proceso ocurre la pérdida. Si has realizado copias de seguridad de manera regular de todos los datos importantes que has estado utilizando durante el armado del proyecto te evitarás grandes dolores de cabeza, ya que si algo ocurre podrás simplemente volver al momento en el que estabas con solo restaura la información perdida desde tu backup.

Además de perder datos o archivos fundamentales para tu trabajo, la pérdida de datos puede ser aún más desgarradora si se pierden imágenes o videos que capturan recuerdos preciados que no podrás recrear. Estos pueden variar desde propuestas de matrimonio hasta recuerdos de la infancia, o incluso fotos de miembros de la familia que han fallecido hace mucho tiempo.

¿Cómo se pierden los datos?

Hay varias formas de perder la información. Algunas son evitables, mientras que otras son más difíciles de predecir y prevenir. Un malware que haya comprometido tu dispositivo puede ser la razón de la pérdida de datos. Dependiendo del código malicioso, todo en tu computadora podría llegar a ser eliminado por completo, tus datos podrían ser corrompidos o, si se trata de un ransomware, tus datos podrían ser cifrados. Esta causa específica de pérdida de datos pertenece al ámbito de lo evitable si utilizas una solución de seguridad con todas las funciones y aplicas las mejores prácticas en ciberseguridad.

Mientras tanto, en el otro extremo del espectro, tenemos imprevistos o accidentes. Tu dispositivo podría ser robado o podría sufrir daños mecánicos. Por ejemplo, si se derrama líquido sobre él o si se cae desde una altura significativa. Pero más allá del daño mecánico, no es raro que los dispositivos funcionen mal, ya sea debido a los años de uso o como consecuencia de un defecto de fábrica que afecte a un componente específico, como el sobrecalentamiento del disco duro. Los cortes de energía también pueden ocurrir, lo que significa que, si estás trabajando en una computadora de escritorio, podrías perder los datos en los que está trabajando en un abrir y cerrar de ojos. Por otra parte, también se debe tener en cuenta el error humano, que podría eliminar accidentalmente datos críticos o desencadenar una cadena de eventos que incluso podrían llevar a que tu dispositivo se borre por completo.

¿Qué hago si no tengo una copia de seguridad?

Si tus datos se borraron accidentalmente, deja de usar el dispositivo inmediatamente, pero no lo apagues. Si funciona con batería, conéctale su cargador. Luego, deshabilita toda conectividad de red —si tiene un “modo avión ” o una función similar, habilítala y luego activa el “modo suspensión”.

Sin embargo, si tu dispositivo ha sufrido un derrame accidental de líquido, apágalo inmediatamente e intenta secarlo rápidamente con un paño suave y seco. Si hay algún medio externo conectado, desconéctalo y sécalo también. Déjalo unos días para que se seque por completo. Dependiendo de la magnitud del daño causado por el líquido, es posible que debas consultar a un servicio profesional.

Afortunadamente, incluso si ocurre uno de los escenarios antes mencionados, todavía existen formas en las que se puede intentar recuperar los datos. Si tu dispositivo fue comprometido con ransomware, es posible que puedas encontrar descifradores gratuitos creados por compañías de seguridad para algunas familias de ransomware. También puedes intentar recuperar tus datos mediante el uso de varios software de recuperación que se desarrollaron específicamente para este propósito. Estas utilidades pueden ser del fabricante de su dispositivo o desarrolladas por el que fabrica los componentes, o alternativamente, puede confiar en software de terceros que pueden ser específicos para ciertos sistemas operativos o dispositivos.

Si te has quedado sin ideas acerca de lo qué puedes hacer por tu cuenta o sientes que el problema está fuera de tu alcance, entonces puedes pasar al siguiente nivel: llamar a un especialista en recuperación de datos. Sin embargo, considera esa alternativa como la opción última, ya que recuperar tus datos por esta vía puede significarte un costo de cientos o incluso miles de dólares. También vale la pena mencionar que, si intentas recuperar los datos por tus propios medios y no lo consigues, puede que también reduzcas las posibilidades de que un profesional pueda ayudarte.

Dependiendo del tipo de dispositivo y el tipo de daño, dichos servicios pueden ofrecerse mediante la conexión remota a tu dispositivo o requerir que lleves o envíes el dispositivo al servicio de recuperación. Si estás considerando esta opción, comunícate con el servicio lo antes posible, ya que ahí te aconsejarán con mejores argumentos qué es lo que puedes hacer con el dispositivo después de ocurrido el evento que provocó la pérdida de datos.

Resumen

Una cosa es segura: “mejor prevenir que curar”. En este contexto, es preferible hacer copias de seguridad de tus datos confidenciales e importantes en intervalos de tiempo regulares, para que de esta manera siempre haya algo a lo que se pueda recurrir y no tener que tratar de recuperar frenéticamente los datos perdidos. Cuando se trata de planificar el backup, lo mejor es que esos recuerdos valiosos o datos críticos hayan sido almacenados en varios medios de almacenamiento.

Lo mejor que puedes hacer es utilizar múltiples medios de almacenamiento, como una solución en la nube confiable para que tengas los datos a mano cuando los necesites, y también dispositivos de almacenamiento físico sin conexión a Internet, como los discos externos. Por si acaso, siempre que puedas cifra todos los datos antes de almacenarlos en cualquier medio, de modo que si alguien robara tus copias de seguridad en la nube o tiene acceso a tus discos externos, los datos estarán igualmente protegidos.

Fuente: www.welivesecurity.com

Puede que te resulte imposible eliminar tu información personal de Houseparty y de otras plataformas sociales.

Mi colega Jake Moore publicó recientemente el artículo titulado “Houseparty: ¿deberías eliminar tu cuenta o solo desinstalar la app?“. La publicación me intrigó, no solo por el título, que hace referencia a la gran canción de 1982 de The Clash. Sino porque Jake, con sensatez, sugiere que cuando ya no use una aplicación, como Houseparty, elimine tanto la aplicación como la cuenta que creó para evitar que sus datos personales queden inactivos en un servidor que podría formar parte de una eventual brecha de datos.

Si cree que al eliminar tu cuenta se eliminará la Información Personal Identificable (PII, por sus siglas en inglés) de las aplicaciones de mensajería instantánea, es posible que debas pensarlo nuevamente, y esto probablemente aplique para todos los servicios que fomentan la interacción social entre amigos y que para facilitar esto solicitan permiso para acceder a los contactos en el dispositivo de un usuario. Si, como yo, nunca has utilizado Houseparty, puedes ser perdonado por asumir que el servicio no contiene ninguna información personal sobre ti; pero de nuevo, es posible que debas reconsiderar esto.

Tus datos personales, como el número de teléfono y el nombre, y tal vez incluso tu correo electrónico y la dirección física, probablemente se hayan cargado en servidores utilizados por redes sociales y empresas de mensajería instantánea cuando se concede permiso para sincronizar las listas de contactos de los dispositivos de tus amigos.

WhatsApp, que probablemente sea la que mayor cantidad de usuarios tiene entre las apps similares a Houseparty, solicita acceso a los contactos. La solicitud de permiso para acceder a los contactos es solicitada por los proveedores de la plataforma de aplicaciones, como Apple y Google, y buscan el consentimiento necesario que exija la legislación de privacidad local. La política de privacidad de WhatsApp establece que “usted nos proporciona de forma regular, en acuerdo con las leyes aplicables, los números de teléfono presentes en la libreta de direcciones de su dispositivo móvil, incluidos los de los usuarios de nuestros servicios así como sus otros contactos”.

Otra aplicación que solicita permisos similares es Telegram, una popular aplicación de mensajería instantánea. La funcionalidad de esta aplicación elimina cualquier duda de que este servicio almacena la lista de contactos cargada. Después de instalar la aplicación en el teléfono y otorgar acceso a tu lista de contactos, si instalas la versión de escritorio los contactos de la lista de contactos cargada de tu teléfono que también tienen cuentas de Telegram, estarán disponibles dentro de la aplicación de escritorio. La aplicación Telegram solicita permiso para “sincronizar tus contactos” de manera similar a otras aplicaciones. La política de privacidad de Telegram también es muy clara sobre los datos que se utilizan, en este caso el número de teléfono, el nombre y el apellido. Observe la Figura 1 a continuación.

Figura 1

La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) reconoce que un nombre real o alias es información personal y que un número de teléfono es un “identificador personal único”, ya que es un identificador persistente que se puede utilizar para reconocer a un consumidor, una familia o un dispositivo que está vinculado a un consumidor o familia. El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea define legalmente un nombre como datos personales, pero es menos claro en el caso del número de teléfono. Existen diferencias entre la legislación GDPR y CCPA: una significativa es que la CCPA no solo protege a un individuo, sino que se extiende a los hogares, lo que hace que la definición de “personal” sea más amplia que solo un individuo.

¿Y Houseparty?

Al comienzo de la pandemia, me comuniqué con un buen amigo mío, Kent, para organizar una reunión social virtual un viernes por la noche. Sugirió utilizar Houseparty; sin embargo, usamos Facetime debido a que prefería no crear otra cuenta. A raíz de esta situación supe que Kent usaba Houseparty y tenía una cuenta. Tras una llamada rápida confirmo que todavía tiene la aplicación instalada para mantenerse en contacto con familiares y amigos, y aproveché para preguntarle a Kent si concedía permiso a Houseparty para acceder a sus contactos. Después de decir inicialmente “No, ¿por qué haría eso?”, rápidamente establecimos que lo había hecho, ya que al hacer clic para agregar un amigo a través de contactos se mostraban todos los que estaban en su lista de contactos telefónicos. Vale la pena señalar que la aplicación no funciona realmente como una herramienta social a menos que tenga acceso a tus amigos.

Al instalar la aplicación Houseparty se ofrece habilitar varias opciones, ya sea para encontrar amigos que ya son usuarios o para sugerir amigos e incluso amigos de amigos (consulte la Figura 2a a continuación). Las opciones principales son permitir el acceso a los contactos almacenados en tu teléfono o permitir el acceso a tu cuenta de Facebook, permitiendo a Houseparty extraer tu lista de amigos de la red social. Como se puede leer en el texto de la Figura 2a, la app dice específicamente que “tus contactos se cargarán en los servidores de Houseparty para que usted y otros puedan encontrar amigos y mejorar su experiencia”. Aquellos lectores conscientes de la importancia que tiene proteger la privacidad probablemente estén suspirando en este momento, especialmente ante la inferencia de que otros serán presentados a sus contactos.

Si omites otorgar el permiso durante la instalación, si haces clic en “contactos” cuando intentes agregar amigos la aplicación te preguntará nuevamente. Nótese en la Figura 2b el cambio en el lenguaje y la no aclaración de que la lista de contactos se cargará en los servidores de Houseparty.

Ahora que hemos establecido que la aplicación potencialmente exfiltra todos los datos de contacto de tu teléfono y de cualquier cuenta de Facebook conectada, echemos un vistazo a la política de privacidad de Houseparty para establecer exactamente qué recopilan y cómo se usa.

Si alguna vez has utilizado una aplicación o servicio que carga tus datos de contacto, es posible que hayas visto mensajes de tipo “X se ha unido” que se muestran en la aplicación o servicio. La opción de iniciar una conversación o conectarse con la persona es una notificación conveniente y la razón por la que las empresas solicitan permiso para cargar datos de contacto en sus servidores.

Política de privacidad de Houseparty: “Qué información recopilamos”

La recopilación de información de la cuenta incluye la aclaración de que se recopila “cierta información” sobre tus amigos si importas tus contactos, consulte la Figura 3.

Figura 3

Y si vincula una cuenta de redes sociales, se recopila “determinada información de la cuenta de la red social”, consulte la Figura 4.

Figura 4

El uso de las palabras “algunos” y “ciertos” parece vago para referirse a la recopilación de datos del tipo Información Personal Identificable; esto probablemente sea por diseño, ya que una lista detallada podría causar preocupación, o incluso alarma. Que la referencia a los “contactos” esté dividida entre dos secciones de la política que cubren “información de cuenta” y “cuentas y aplicaciones de terceros” es confusa. Sin embargo, lo que se confirma es que los números de teléfono y las direcciones de tus contactos se recopilan si se otorga permiso para cargar tus contactos. Espero que por “direcciones” se refieran a direcciones de correo electrónico … ¿o estoy siendo optimista?

Política de privacidad de Houseparty: “Por qué recopilamos información”

El concepto general de que tus datos de contacto se utilizan para ayudar a conectarse con tus amigos parece perfectamente razonable y lógico: consulte la Figura 5. La sugerencia de otras conexiones basadas en tus amigos existentes implica que los usuarios son perfilados, lo que de nuevo probablemente no es tan sorprendente para una herramienta de redes sociales.

Figura 5

Política de privacidad de Houseparty: “Cómo recopilamos información”

Al registrar una cuenta se requiere una cantidad de datos para crear la misma, pero como era de esperar, también hay beacons de navegador y cookies web, así como muchos otros métodos relativamente normales y esperados de recopilación de datos. La Figura 6 muestra la redacción de Houseparty para la sección titulada “Obtenemos información sobre usted de terceros”. ¿Se refieren por “usted” a un usuario de Houseparty o a cualquier otra persona en el mundo? Una política de privacidad debe ser aceptada por las personas a las que afecta, por lo tanto, ¿es seguro para Houseparty asumir que esto significa que solo se aplica a un usuario registrado de Houseparty?

Figura 6

Luego llegamos a que podría ser la respuesta a las preguntas que acabo de plantear: “También podemos recopilar lo información sobre usted de otros usuarios. Esto podría incluir su nombre, número de teléfono o dirección de correo electrónico si lo invitan o lo refieren a nuestra aplicación o si han vinculado sus contactos a su cuenta de Houseparty”. Esto establece que la política de privacidad de Houseparty se aplica a alguien que no es usuario de Houseparty y a alguien que nunca podría haber accedido a aceptar la política de privacidad de Houseparty. Esto confirma que, potencialmente, poseen mis datos debido a la carga de la lista de contactos de un “amigo”.

Sin embargo, el “usted” se vuelve confuso al leer la siguiente sección sobre “sus opciones”, ya que aquí se hace referencia a que un usuario registrado puede tomar decisiones en la configuración de su cuenta sobre cosas tales como preferencias de marketing.

Recuperando mi identidad

He establecido anteriormente que mi amigo Kent subió su lista de contactos y, como se indica en la política de privacidad de Houseparty, esto incluye al menos mi número de teléfono y mi nombre, ambos clasificados como PII según la Ley de Privacidad del Consumidor de California. Como residente de California, tengo el derecho de preguntar qué información de identificación personal una empresa retiene y potencialmente comparte sobre mí y, si así lo deseo, solicitar la eliminación de dichos datos. Hice tal solicitud para averiguar qué datos tienen sobre mí. Aquí hay un resumen de la conversación por correo electrónico …

Hay una evidente desconexión entre mi solicitud y la respuesta; les pedí datos que pudieran tener sobre mí, pero la respuesta se refiere a que no hay una cuenta registrada para los datos que proporcioné en mi solicitud. Así que volví a preguntar …

La desconexión parece ser que no soy un usuario y, por lo tanto, no hay datos sobre mí, pero en realidad tienen acceso a los datos de contacto cargados por Kent, que incluyen mi información personal. Nunca en ningún momento les di mi consentimiento para que retengan mis datos personales ni acepté sus términos de negocios o política de privacidad. ¿Los datos se guardan como parte de la cuenta de mi amigo o se han fusionado en un conjunto de datos más grande? ¿Se están utilizando para perfilar usuarios que permitan la introducción de otros amigos desconocidos hasta ahora? ¿Se eliminan los datos de la lista de contactos cargados cuando el usuario que los cargó elimina su cuenta? Según el equipo de soporte de Houseparty, la respuesta es sí…

Confirmar que no se cargan datos y luego confesar que en realidad el equipo de soporte no sabe que es lo que se carga es malo. Si no conoce los hechos, ¡no proporcione una respuesta!

En defensa de Houseparty, y como vimos al comienzo de esta publicación, es probable que el problema no sea solo de ellos. Cualquier aplicación que cargue listas de contactos desde el dispositivo de alguien a sus propios sistemas o conserve el acceso a las listas de contactos sufre potencialmente el mismo problema. Y si Houseparty no está cargando ni almacenando listas de contactos de los dispositivos de los usuarios registrados, entonces la empresa debe cambiar la redacción de su política de privacidad y actualizar el mensaje que se muestra en la aplicación. En mi experiencia, las empresas rara vez afirman que almacenan datos de PII a menos que realmente lo hagan; ¿Por qué afirmar que tiene o hacer algo si no es así, especialmente teniendo en cuenta las responsabilidades legales que genera la retención de PII en estos días?

¿Quién es el propietario de los datos de contacto almacenados en el teléfono de alguien? ¿El propietario del dispositivo tiene derecho a compartirlos con terceros, como Houseparty o Telegram? ¿Y debería una tercera parte solicitar el consentimiento del contacto, yo en este caso, para retener el acceso o el almacenamiento de los datos de identificación personal en sus sistemas?

Entonces, cuando mi colega Jake sugirió eliminar las cuentas y aplicaciones no utilizadas, estaba brindando un buen consejo, algo que yo defiendo y con lo que estoy totalmente de acuerdo. Sin embargo, como se detalla anteriormente, esto no significa necesariamente que se evite el riesgo de ser parte de cualquier violación de datos que pueda sufrir una empresa, en este escenario Houseparty, Telegram o WhatsApp. Es probable que su información de identificación personal permanezca en los servidores de las empresas de mensajería instantánea y redes sociales y continúe siendo accesible para ellos a través de cuentas de redes sociales vinculadas o listas de contactos de sus amigos.

En caso de que ocurriera una brecha de seguridad, ¿se les exige que envíen un aviso de infracción no solo a los titulares de cuentas registrados, sino a todas las personas sobre las que tienen datos o cuyos datos tienen o tuvieron acceso? Desafortunadamente, hasta donde yo sé, la notificación de incumplimiento es solo un requisito que se aplica a los titulares de cuentas. La legislación de privacidad y las notificaciones de incumplimiento probablemente deberían extenderse a todos los datos de PII almacenados, no solo a los de los titulares de cuentas.

Conclusión

Mi conclusión es que algunos servicios de mensajería instantánea y redes sociales almacenan mi información de identificación personal no solo sin mi consentimiento, sino sin mi conocimiento, y probablemente sin ningún mecanismo (o incluso sin voluntad deliberada) que me permita descubrir si ese es el caso.

Fuente: www.welivesecurity.com

Compartimos una serie de herramientas y recomendaciones para almacenar credenciales y datos de manera segura, como son gestores de contraseñas, soluciones VPN y herramientas de cifrado.

Compartimos una serie de recomendaciones y herramientas para administrar y proteger nuestros datos de forma más eficiente, teniendo en cuenta las mejores prácticas en materia de seguridad informática. Para cada uno de los escenarios planteados recomendamos herramientas útiles para cada una de las tareas.

En este sentido, además de recordar algunos conceptos básicos sobre la seguridad de los datos, hablaremos de las siguientes herramientas: KeePass, Have I Been Pwned, VeraCrypt, Google Drive y ExpressVPN.

1- Seguridad de Credenciales

En esta sección hablaremos de las herramientas: ‘KeePass’ y ‘Have I Been Pwned’.

Por lo general, en cualquier sistema, antes de intercambiar datos o acceder a nuestra información se nos solicitará que ingresemos nuestras credenciales de acceso. Se trata de la forma más común de demostrar nuestra identidad, ya que, en teoría, cómo está compuesta la contraseña es algo que solo nosotros sabemos.

Continuamente recordamos la importancia de utilizar contraseñas fuertes que sean difíciles de adivinar. Las mejores prácticas de seguridad también sugieren utilizar contraseñas diferentes para cada sitio o aplicación que utilicemos, además de modificarlas periódicamente, preferentemente cada 90 días.

Esto se debe a que, a pesar de tener una contraseña altamente segura, puede ocurrir que un sitio o servicio al cual ingresamos utilizando credenciales de acceso sea vulnerado en algún momento. En estos casos, es poco lo que podemos hacer como usuarios para evitar que nuestra contraseña se filtre, ya que no tenemos control sobre el sitio o servicio afectado. Sin embargo, si utilizamos contraseñas diferentes para cada sitio el impacto ante una posible brecha será menor, ya que las credenciales que se filtran únicamente funcionan para el sitio vulnerado. Si utilizamos la misma contraseña en todas las plataformas, existe siempre la posibilidad de que el efecto de una brecha en un sitio se propague, afectando nuestra privacidad en otros sitios.

Ahora bien, la mayoría de nosotros utilizamos decenas de sitios y aplicaciones. Memorizar decenas de contraseñas diferentes puede ser difícil, especialmente si tenemos que modificarlas periódicamente. Esta es la causa por la que muchos usuarios eligen utilizar siempre la mismas contraseñas y rara vez la modifican. Sin embargo, lo que quizás algunos usuarios no saben es que existen gestores de contraseñas que nos facilitan esta tarea.

Uno de estos gestores es KeePass. Se trata de una herramienta de software libre que nos permite almacenar todas nuestras credenciales (usuario + contraseña) para diversas plataformas. Se puede utilizar tanto en Windows como en MacOS y sistemas operativos tipo Unix. Sólo necesitamos recordar una única “contraseña maestra” para poder acceder a una base de datos con todas las credenciales que hayamos almacenado. Además, la herramienta nos ofrece la opción de generar y almacenar nuevas contraseñas, que son seguras y que no necesitaremos recordar. Luego, podremos copiar la contraseña elegida al portapapeles y pegarla directamente en el sitio.

Todas las credenciales que se ingresan o crean en KeePass se almacenan en una base de datos encriptada con AES + Twofish (algoritmos considerados seguros). Esta base de datos se almacena localmente en nuestro equipo, en otras palabras, KeePass no sube esta base de datos a Internet.

La herramienta soporta extensiones y también permite la modificación del código fuente. Para información más detallada, pueden visitar el sitio oficial de KeePass.

En esta misma línea, es una buena idea utilizar Have I Been Pwned. Se trata de una herramienta web que nos permite comprobar si algún sitio en el que nos hayamos registrado utilizando nuestra dirección de email ha sido vulnerado.

2- Herramientas para asegurar datos almacenados en nuestro equipo

En esta sección hablaremos de las herramientas: ‘VeraCrypt’, ‘Google Drive’ y ‘zip’.

La información puede encontrarse en tres estados: En reposo, en tránsito o en uso. Aunque en esta publicación nos enfocaremos en los primeros dos estados. Empecemos por el primer escenario, cuando nuestra información se encuentra “en reposo”. En este caso, nuestra información está almacenada en algún equipo, más precisamente, en un disco duro o unidad de almacenamiento.

¿Qué ocurre si perdemos el acceso al disco?

Puede ocurrir que nuestro equipo sea robado o que el disco duro se dañe. Para cada uno de estos escenarios surge una nueva pregunta:

• ¿Cómo nos aseguramos que un tercero no puede acceder a la información que contiene el equipo robado o extraviado?

Respuesta: encriptando los contenidos del disco.

En dispositivos Android, a partir de la versión 6.0, la encriptación total de disco es obligatoria para los fabricantes y se encuentra activada por defecto. Sin embargo, esto no ocurre  de la misma manera en dispositivos Windows, Mac o en sistemas operativos tipo Unix.

VeraCrypt: es una herramienta de software libre multiplataforma que permite encriptar nuestros datos en reposo en estos sistemas. Esta herramienta nos permitirá crear volúmenes encriptados en los que podemos almacenar carpetas o archivos individuales, o bien, podemos optar por encriptar la totalidad del disco duro, utilizando algoritmos como AES o TwoFish, que son altamente seguros en ambos casos, o incluso una combinación “en cascada” de ambos.

Al crear un volumen encriptado, VeraCrypt se nos solicitará una contraseña para el descifrado de los datos. Esta es una buena oportunidad para comenzar a utilizar KeePass para crear una contraseña segura.

El aspecto más importante de utilizar herramientas como VeraCrypt, o cualquier otra herramienta similar, es que nuestros datos permanecerán confidenciales aun cuando nuestro dispositivo haya sido extraviado o robado.

• ¿Cómo podemos recuperar nuestra información si esto ocurre?

Respuesta: habiendo hecho una copia de seguridad de nuestros datos de antemano.

El proceso de realizar un backup es simple: consiste en copiar nuestros datos a otros medios de almacenamiento. Realizar estas copias de seguridad es fundamental para mantener la disponibilidad de nuestros datos en el caso de que nuestro equipo se dañe o extravíe.

Siguiendo las mejores prácticas en materia de seguridad informática, lo más recomendable es que el almacenamiento de resguardo se encuentre en otra ubicación, en lo posible, lejana a la información original. Esto es para prevenir que el evento que haya afectado a la información original afecte también a la copia de seguridad, como puede ser un robo, inundación, incendio, etc.

En este sentido, si no disponemos de nuestro propio servidor, es posible utilizar servicios de almacenamiento en línea, siempre y cuando se trate de proveedores serios, como puede ser Google Drive. Este servicio permite a cualquier usuario almacenar hasta 15 GB de información de manera gratuita.

Pero antes de subir nuestra información hay que tener dos factores en cuenta:

1. Compresión: para maximizar el espacio disponible, los datos que subamos a Internet deberían ser comprimidos.
2. Encriptación: los datos que vayamos a subir a Internet también deben estar encriptados para garantizar la confidencialidad de la información ante cualquier incidente. Más allá de la propia encriptación que provee el servicio, es una buena idea adicionar una capa de encriptación propia.

Hay múltiples herramientas que nos permiten realizar ambas tareas, como, por ejemplo, WinRar en Windows o la herramienta zip de Unix. Ambas nos permiten cifrar archivos o carpetas usando encriptación segura, que solo pueden ser descifrados con las contraseñas que le hayamos configurado al archivo.

Es importante recordar que para recuperar la información encriptada son necesarias las credenciales, por lo que si utilizan KeePass para almacenar las claves, debemos asegurarnos de que la base de datos sea la principal prioridad a la hora de realizar una copia de seguridad.

3- Herramientas para asegurar los datos en tránsito

En esta sección hablaremos de las herramientas: ‘ExpressVPN’

Finalmente, debemos considerar la confidencialidad de nuestros datos mientras éstos son transferidos desde nuestro equipo hacia otro equipo o sitio a través de Internet. Esto se vuelve aún de mayor importancia si la red de área local a la cual estamos conectados no es segura, por ejemplo, si utilizamos una red Wi-Fi pública.

Lo primero que viene a la mente es la utilización de un servicio de VPN para generar un túnel seguro entre ambos equipos, a través del cual se transmitirá todo el tráfico de red.

ExpressVPN es un proveedor de servicios VPN que nos permite elegir entre la utilización de protocolos L2TP+IPSec o el más versátil OpenVPN. Todo el tráfico que se envía desde nuestro equipo hacia el mundo exterior viajará cifrado y será ilegible para cualquier atacante que intente espiar nuestras actividades.

Hay que aclarar que la utilización de una VPN no nos protegerá de engaños como el phishing, por lo que siempre debemos estar atentos.

Conclusión

Es importante tener en cuenta la seguridad de nuestros datos en cada uno de sus estados. Las herramientas que mencionamos en este artículo, si bien no son las únicas que deberían utilizar, los ayudarán a mantener la confidencialidad, integridad y disponibilidad de sus datos durante las etapas de reposo y tránsito. Como habrán notado, la encriptación de los datos y las copias de resguardo son conceptos fundamentales.

En este articulo no mencionamos el tercer estado, los datos en uso, ya que sería un artículo completo por sí mismo. Sin embargo, es otro factor importante a tener en cuenta. Llamamos datos en uso a aquellos que están almacenados temporalmente en la memoria RAM o registros del CPU mientras éstos se utilizan. La seguridad en esta etapa está más asociada a la utilización de aplicaciones seguras y actualizadas junto al uso de soluciones anti-malware. Lamentablemente, las medidas que mencionamos en este artículo no resultarán útiles si, por ejemplo, nuestras credenciales están siendo capturadas por un  keylogger con acceso al portapapeles.

Como conclusión, cuantas más medidas de seguridad adoptemos y cuanto mayor sea el número de mejores prácticas que respetemos, el riesgo de que nuestra información sea robada será menor. Esto nos ayudará a conformar una defensa en capas que hace menos probable que suframos un incidente de seguridad. Por eso, el primer paso es ser consciente de los riesgos.

Fuente: www.welivesecurity.com

En un solo portal, la Dirección Nacional de Registro de Datos Públicos (Dinardap) agrupó la información personal de cada ciudadano.  Dato Seguro se denomina el servicio que permite la consulta de información de entidades públicas sin la necesidad de acercarse a una oficina para obtener información.

Tras la divulgación de bases de datos en los últimos meses, los ciudadanos mostraron preocupación por saber  qué tipo de información manejaban organismos privados. Nombres, información financiera y datos de identidad civil de cerca de 17 millones de personas, incluyendo 6,7 millones de niños se encontraban expuestas en una nube insegura al que casi cualquier usuario podía acceder.

Este portal se lanzó en el 2014 y buscaba coordinar el intercambio de información de los registros de datos públicos y verificar datos de carácter personal. Con esto se reducía el tiempo que tardaba el usuario en conocer esta información, cuatro años más tarde este cambió su interfaz.

Según información en la página web de la Dinardap, la creación de este espacio se encuentra contemplado en el artículo 18 de la Constitución que contempla el derecho de todas las personas el acceso a la información generada en instituciones públicas, o privadas que manejen fondos públicos o realicen funciones públicas. Así como el artículo 66 garantiza el derecho a la protección de datos personales, «el cual incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección».

La Ley del Sistema Nacional de Registro de Datos Públicos señala en su artículo 13 que son datos públicos los del Registro Civil, de la Propiedad, Mercantil, Societario, Vehicular, de naves y aeronaves, patentes, de propiedad intelectual y los que en la actualidad o en el futuro determine la Dirección Nacional de Registro de Datos Públicos, en el marco de lo dispuesto por la Constitución de la República y las leyes vigentes.

¿Qué datos tiene el portal Dato Seguro?

Del Registro Civil: 

• Cédula
• Nombres y Apellidos
• Sexo
• Condición Ciudadano
• Fecha de Nacimiento
• Lugar de nacimiento
• Nacionalidad
• Estado civil
• Código dactilar
• Cónyuge
• Nombre del padre
• Nacionalidad del padre
• Nombre de la madre
• Nacionalidad de la madre
• Domicilio
• Calles del domicilio
• Número de casa
• Fecha de matrimonio
• Lugar de matrimonio
• Fecha de defunción
• Observaciones
• Fecha de inscripción de defunción
• Fecha de expedición de la última cédula
• Fecha de expiración de la última cédula
• Género

Del Ministerio de Relaciones Laborales

• Datos personales
• Impedimentos

Del Consejo Nacional Electoral

• Cédula
• Nombres
• Provincia
• Cantón
• Parroquia
• Recinto
• Código Electoral

De la Secretaría Nacional de Educación Superior, Ciencia, Tecnología e Información

• Cédula
• Títulos de Tercer Nivel
• Títulos de Cuarto Nivel

De los Registros Mercantiles

Del Instituto Nacional de Contratación Pública

Del Registro de la Propiedad

Del Instituto Ecuatoriano de Seguridad Social

• Cédula
• Estado de Afiliado
• Historial de tiempo de trabajo
• Resumen de Imposiciones
• Prestaciones
• Pensiones

De la Policía Nacional

• Orden de captura
• Antecedentes
• Impedimentos de salida
• Alerta migratoria
• Tipo de movimiento, fecha, origen-destino, documento, visa, puerto

De la Agencia Nacional de Tránsito

• Tipo
• Tipo de sangre
• Licencias
• Movimientos
• Bloqueos
• Infracciones
• Restricciones
• Revisiones
• Matrículas
• Bloqueos vehículos

De la Superintendencia de Compañías

Del Servicio de Rentas Internas

¿Cómo puedo acceder a esta información?

Para acceder a este portal primero deberá registrarse.

• Ingrese a la página web www.datoseguros.gob.ec
• Haga clic en Regístrate Aquí y escriba su número de cédula.
• Llene el formulario con los datos que se le solicita.
• Valide las letras y números que le solicitan
• Lea las condiciones de servicios y si está de acuerdo acepte, confirme su registro.
• A su correo llegará un correo con una clave temporal.
• En la pantalla Ingreso al sistema escriba su número de cédula y su clave temporal.
• Le pedirá cambiarla, tras esto deberá seleccionar las preguntas de seguridad y responderlas.

Recuerde que hay información que también puede ser consultada sin registrarse. Por ejemplo, el Registro Civil  a través de sus servicios en línea solo permite ver el número de cédula, el nombre y condición del cédulado. Mientras que la Agencia Nacional de Tránsito (ANT) permite ver las multas que se tiene ingresando el número de cédula o placa.

La información en el portal Dato Seguro es responsabilidad de cada entidad.

Fuente: www.eluniverso.com

Los ataques más llamativos y sofisticados probablemente no representen el tipo de amenaza que más debería preocupar a la mayoría de las empresas. A continuación explicamos a que sí debería prestarle atención su organización.

Cuando nos enteramos acerca de una nueva brecha, asumimos que los atacantes utilizaron un exploit nunca antes visto para aprovecharse de una vulnerabilidad zero-day y así lograr quebrar la defensa de una empresa. Sin embargo, este escenario está normalmente lejos de ser realidad en la mayoría de los casos. Si bien es cierto que los grupos de cibercriminales respaldados por los Estados-nación tienen una inclinación a hacer uso de vulnerabilidades zero-day para infiltrarse en los objetivos más importantes de una nación, esos objetivos no son usted; y probablemente tampoco lo sea su organización.

En la última edición de la conferencia Virus Bulletin que se llevó a cabo a principios de octubre de este año, al igual que en otros años, disfrutamos de muchas historias sobre ataques contra objetivos financieros de alto perfil. Pero al final, los actores maliciosos no lograron comprometer a estos objetivos con exploits aterradores, sino que lograron entrar a los sistemas con un correo de phishing o, tal como en el caso que narró un presentador de RiskIQ, utilizaron permisos abiertos en un popular recurso en la nube.

La realidad es que el punto débil de la industria de la seguridad está en que los cibercriminales eligen preferentemente el camino que oponga menor resistencia, el cual a menudo está dado por software de seguridad mal configurado, errores humanos u otros problemas de seguridad operacional. En otras palabras, no se trata de las técnicas sofisticadas utilizadas por un súper hacker, se trata de lo que hacemos nosotros.

Si creemos que estamos haciendo todo bien dentro de nuestra propia organización, esto incluso puede no ser suficiente. Si bien es posible que hayamos protegido completamente nuestra propia red, las personas con las que interactuamos pueden no estar tan protegidas. Podemos pensar que hemos rechazado con éxito el software de un tercero, que no utilizamos la nube para la colaboración, por lo que sentimos que estamos en terreno seguro. Sin embargo, terceras partes dentro de la cadena de suministro pueden estar utilizando servicios en la nube de una manera riesgosa. Y a veces, ni nosotros ni ellos saben que esta situación ha creado un riesgo significativo para ambos entornos.

Sin embargo, hay cosas que podemos hacer al respecto.

Los incidentes de seguridad de mayor magnitud que se dan en estos días, a menudo comienzan en una solución o servicio externo que utiliza. Si bien es posible que contemos con el mejor equipo de seguridad, tal vez estas terceras partes no lo tengan.

Si no estamos seguros, aquí hay algunas cosas obvias (o no tan obvias) que podemos consultar con nuestros equipos:

Permisos en la nube

Sin duda es conveniente para los equipos que comparten recursos en la nube, especialmente para compartir archivos, tener permisos totales sobre los archivos para poder añadir/cambiar/eliminar el acceso a cualquier persona. Pero esto también podría abrirnos problemas. En el caso de proyectos y equipos que se arman apresuradamente, muchas veces ocurre que los recursos “temporales” son arrojados a la nube sin considerar las mejores prácticas de seguridad. Esto a menudo lleva a que todos tengan permisos abiertos como forma de asegurarse de que todo “simplemente funcione”. Y estos recursos suelen sobrevivir por años, con el riesgo que supone el hecho de que haya información privada accesible de manera pública.

Plataformas de colaboración

¿Nuestros equipos o proveedores externos utilizan servicios de mensajería, foros o plataformas no seguras y/o no monitoreadas para discutir temas relacionados con el negocio? Si los delincuentes (o incluso los competidores) pueden acceder a las comunicaciones internas sobre nuestro negocio, esto podría causarnos grandes problemas. Como mínimo, estaríamos proporcionando recursos significativos a atacantes que buscan mediante ingeniería social ingresar a nuestra red.

Correo corporativo comprometido

¿Qué tan bien hemos bloqueado la capacidad de enviar correos electrónicos desde nuestro dominio? ¿Podría esa avalancha de phishing venir desde el interior de nuestra propia casa? Si no estamos cuidando bien la seguridad del correo electrónico, los atacantes podrían estar utilizando nuestro nombre para engañar a las personas y convencerlas para que hagan clic en enlaces maliciosos. Muy pocas compañías están utilizando estrategias de autenticación de correo electrónico como DMARC, DKIM o SPF para ayudar a verificar los mensajes válidos.

Puede ser tentador seguir buscando las nuevas amenazas que los atacantes están desarrollando, pero al final lo más importante pasa más por reparar las grietas simples que puedan existir dentro de nuestro propio edificio. A medida que la tecnología se vuelve más omnipresente, también introduce más complejidad. Al abordar a fondo estos problemas más simples, seremos capaces de dedicar menos energía a estresarnos por las sofisticadas técnicas que se utilizan contra blancos de alto valor y aprovecharla para hacer que las cosas sean realmente más seguras.

Fuente: www.welivesecurity.com

En los mercados ilegales, la información personal es ofertada desde USD 500. Empresas sufren robos de sus bases de datos. Foto referencial: Flickr/Christoph Scholz.

La oferta circula en Internet. ‘Hackers’ y hasta empresas legalmente constituidas ofrecen información de familias enteras. Dicen que los interesados pueden acceder a los nombres de los padres, de los hijos, cédulas, direcciones, correos electrónicos, números telefónicos, remuneración mensual y que solo necesita pagar de USD 500 a USD 1 000 al mes.

Investigaciones ejecutadas al respecto muestran que esas empresas y ‘hackers’ compran las bases de datos en el mercado ilegal, las almacenan y revenden a través de otras compañías, que también están legalmente constituidas.

En el último mes, la Fiscalía investiga dos casos, en los que hay información de millones de ecuatorianos. En el último operativo, realizado la semana pasada, se descubrió que estos archivos se ofertaban a través de suscripciones mensuales.

Quienes contrataban este “servicio” eran empresas, que accedían a información sobre el estado civil de la gente, situación sociodemográfica, árboles genealógicos, números de cédula, profesiones, información laboral, de actividades económicas, salarios que iban entre el 2016 y el 2019.

Para Diego Yépez, gerente de Seguridad y Data Center de CenturyLink, estos datos pueden obtenerse por dos vías.

La primera es legal y consiste en recopilar información que se encuentra almacenada en la base de cualquier institución pública. Por ejemplo, en la Red se puede consultar valores sobre los tributos. Lo único que exige el sitio web es el número de cédula, RUC o nombres de la persona.

Pero la gente también entrega información cuando llena formularios, por ejemplo, para sorteos, cuando publican sus datos en redes sociales o al divulgar sus hojas de vida. Pero las bases también son robadas a través de virus informáticos o la información es comprada ilegalmente. De hecho, los archivos personales descubiertos en el último operativo “evidencian que el origen no es legal”. Esto fue confirmado por un investigador que lleva la causa.

La Agencia de Regulación y Control de las Telecomunicaciones monitorea estos casos.

La semana pasada, la entidad presentó una denuncia en la Fiscalía, para que se investigue a un grupo de “empresas que estarían usando de forma ilegal indicadores personales”.

La transacción web

La compra-venta de las bases de datos se concreta en la denominada Web profunda o Deep Web. A ese espacio solo pueden acceder quienes tienen un cierto grado de especialización en informática. Las transacciones son, por lo general, a través de monedas electrónicas como bitcoins, que por su naturaleza digital son difíciles de rastrear.

Después de concretada la compra, para que la información no pierda vigencia, pues muchos se cambian de casas, adquieren nuevos carros o se divorcian, las firmas pagan por las actualizaciones mensuales.

Quienes están detrás de las actualizaciones son las mismas personas que tienen acceso a las bases de datos de una empresa privada o institución pública de donde se originó la información personal. Este Diario conoció dos casos de empresas que sufrieron el robo de sus bases. Los directivos contaron que las fugas fueron internas. En una compañía, por ejemplo, un empleado se sustrajo la información de la cartera de clientes.

Sin embargo, los directivos no denunciaron. “Eso era más perjudicial. Significa que uno dice: miren nos robaron, porque no pudimos cuidar”, cuenta una ejecutiva. Para evitar este tipo de hechos, el Ministerio de Telecomunicaciones presentó la Ley de Protección de Datos. Las personas que prefieren no pagar mensualmente por los datos, sino tenerlos de forma íntegra y permanente pagan hasta USD 30 000 por todo el paquete ofertado. Pero el robo de información personal no solo es a gran escala.

También hay personas particulares que usan los archivos de otros y los venden. Una persona que repara computadoras en su vivienda, en el norte de Guayaquil, ha logrado recopilar 20 archivos con más de 65 000 contactos. Esta base la oferta en una página de Internet por USD 50.

Dice que es un precio razonable, pero que también tiene paquetes de USD 80 y 100.

Cada carpeta contiene nombres, números de teléfonos, dirección de domicilios y correos electrónicos. “Las he recopilado de las empresas donde reparaba las computadoras. Primero las usaba para ofertar mis servicios. Enviaba correos masivos o a veces llamaba, pero he decidido venderlas”. Las personas que tiene registradas son de las provincias de Guayas, Quito, Cuenca y Santa Elena.

La mayoría son ejecutivos de seguros y funcionarios públicos. Cuando una persona está interesada en la base de datos, él cita en una cafetería o parque. Allí le entrega un ‘pendrive’ de 8GB, pues los archivos ocupan entre 4 y 5 GB. Una de sus carpetas se llama Base de Empresas Ejecutivas. Tiene contactos de personas que trabajan en empresas, en el área de recursos humanos.

En contexto

En septiembre, la firma de seguridad informática vpnMentor reveló una brecha de seguridad que expuso la información de 20 millones de ecuatorianos (incluidos fallecidos). Según su reporte, la brecha ya fue cerrada, pero esta podría haber sido copiada.

Fuente: www.elcomercio.com

La masiva filtración de datos afecta a más de 17 millones de personas.

Ecuador tiene menos de 17 millones de habitantes y, según una firma de seguridad, la mayoría de los datos personales de casi todos ellos han sido expuestos.

La compañía de seguridad informática vpnMentor aseguró en un informe que dos de sus expertos detectaron a inicios de septiembre que un servidor utilizado por una empresa de análisis de datos y que contenía información personal sobre millones de ecuatorianos no contaba con los protocolos de protección necesarios.

Y, por lo tanto, casi cualquier persona podía acceder a ellos.

El gobierno de Ecuador no confirmó de inmediato la filtración, aunque indicó que está investigando lo sucedido y recopilando información al respecto.

«Desde primeras horas de la mañana, el gobierno ecuatoriano realiza una investigación para levantar toda la información y descubrir qué ha sucedido y quiénes son los responsables», indicó una fuente oficial a BBC News Mundo.

De confirmarse de forma oficial, sería la mayor filtración en línea de información personal en la historia del país sudamericano y una de las mayores en Latinoamérica, dado el número de personas expuestas.

¿Qué se sabe de la filtración?

De acuerdo con vpnMentor, la filtración ocurrió desde un servidor en Miami que no contaba con los requisitos de seguridad establecidos y que era administrado por Novaestrat, una empresa ecuatoriana de marketing y análisis.

Se trata de 18 GB de datos distribuidos en una variedad de archivos y que incluía nombres, información financiera y datos civiles de hasta 20 millones de personas.

La filtración comprometió la información personal de millones de personas en Ecuador.

«La filtración abarca una gran cantidad de información personal confidencial (…) La mayoría de los individuos afectados parecen estar ubicados en Ecuador», señala la firma en un comunicado en su página web.

Tras el comunicado de vpnMentor, el acceso al servidor fue restringido por el equipo de seguridad informática de emergencia de Ecuador.

Novaestrat no respondió de forma inmediata a las preguntas de la BBC.

¿Qué información reveló la filtración?

Además de los datos de identidad básicos, los archivos expuestos incluían:

• números oficiales de identificación del gobierno

• números de teléfono

• registros familiares

• fechas de matrimonio

• historias educativas

• registros de trabajo

El caché de información también incluía algunos registros financieros que contaban los saldos de las cuentas de los clientes de un gran banco ecuatoriano, según la firma de seguridad informática.

Mientras, los registros de impuestos, incluidos los números de identificación de ingresos oficiales de las empresas, se encontraron en otro archivo.

¿Cuán grave es la filtración?

Según vpnMentor, se trata de una falla informática «particularmente grave», dado el tipo y la cantidad de información que se reveló sobre cada individuo.

«La violación de datos implica una gran cantidad de información sensible de identificación personal a nivel individual», escribieron Noam Rotem y Ran Locar, los expertos que encontraron la falla.

El gobierno de Ecuador anunció que investiga lo sucedido.

La noticia sobre la violación de datos fue revelada en el sitio web de ZDNet, quien consideró que esa información podría ser «tan valiosa como el oro en manos de bandas criminales».

Las búsquedas simples revelaban listas de ecuatorianos ricos, sus domicilios, si tenían hijos, los autos que conducían y sus números de matrícula, indicó el portal de tecnología.

«Esto pone a las personas en riesgo de robo de identidad y fraude financiero. Una parte maliciosa con acceso a los datos filtrados posiblemente podría reunir suficiente información para obtener acceso a cuentas bancarias y más», consideró vpnMentor.

La empresa informática estimó además que el acceso a detalles sobre los carros puede ayudar a los delincuentes a identificar vehículos específicos y la dirección de su propietario.

«Este tipo de violación de datos podría haberse evitado con algunas medidas de seguridad básicas», consideró el portal tecnológico.

¿Cómo se descubrió?

La agencia de seguridad informática indicó que descubrió la filtración como parte de un proyecto de mapeo web a gran escala.

Los expertos de vpnMentor escanean puertos IP y luego buscan vulnerabilidades en el sistema que indiquen una base de datos abierta.

Se desconoce quién pudo obtener acceso a los datos.

Fue así como encontraron que un servidor en Miami contenía información en la nube de millones de personas.

La compañía indicó que, como parte de su práctica, tras detectar la filtración, contactaron el propietario del servidor y le informaron sobre la vulnerabilidad.

¿Aún es riesgosa la fuga?

Desafortunadamente, sí.

Según vpnMentor, una vez que los datos se han expuesto, la filtración no se puede deshacer.

Esto implica que, aunque actualmente no se puede acceder a la base de datos del servidor, la información podría estar ya en manos de partes malintencionadas.

Según el reporte, la filtración también podría tener un impacto en empresas ecuatorianas, ya que los datos filtrados incluían información sobre empleados, así como detalles sobre algunas compañías.

«Estas compañías pueden estar en riesgo de espionaje comercial y fraude. El conocimiento de los empleados de una empresa podría ayudar a los competidores u otras partes maliciosas a recopilar datos confidenciales adicionales de la empresa», indicó vpnMentor.

Fuente: www.bbc.com

José Manuel Rodríguez expone la creciente preocupación por la forma en que las compañías tecnológicas recolectan, gestionan y protegen la información personal de los usuarios.

Fuente: cnnespanol.cnn.com