Nextcloud Hub 24 es lo último de «la plataforma de colaboración más extendida del mundo, utilizada por decenas de millones de usuarios privados, gobiernos y compañías de Fortune 500 por igual para recuperar la soberanía y la privacidad de los datos». Así introduce el proyecto la nueva versión del mismo, la primera que ve la luz este año 2022.

Sin tanta fanfarria, sin embargo, Nextcloud Hub 24 es la nueva versión del Nextcloud de siempre, renombrado como Nextcloud Hub hace unas cuantas versiones para reflejar su condición de suite de aplicaciones, algo que sirva para más de una cosa -sirve para muchas, de hecho- aunque su función elemental como Dropbox a la software libre y autogestionado no cambia, pues todo sigue girando en torno a eso.

Así, Nextcloud mantiene su esencia: es tu propia nube, esa que puedes instalar en tu servidor o contratar a un tercero ya montada para almacenar archivos y sincronizarlos entre diferentes dispositivos, pero lo cierto es que relegar a Nextcloud solo a eso se queda muy corto. Nextcloud Hub, pues, ofrece funciones de almacenamiento y sincronización de archivos, pero también calendario, tareas, correo electrónico, videoconferencia, ofimática y un largo, largo etcétera de aplicaciones de productividad libres y privadas, en tu servidor o en la nube de tu elección.

Asimismo, es cierto lo que dice la compañía, y es que Nextcloud Hub se ha convertido en una de las plataformas de su categoría con una mayor adopción, incluyendo despliegues como solución de colaboración en línea en administraciones públicas de ámbito nacional o local, como ha sucedido en Francia, Suecia, Génova o Luxemburgo, así como en medianas y grandes empresas, especialmente en el entorno europeo.

Con respecto a Nextcloud Hub 24, entre sus novedades destaca la ampliación de las opciones de exportación e importación de datos, dos procesos clave en un software como este que puede o no funcionar como servicio, pero que debe facilitar la movilidad al usuario. Así las cosas, aunque los datos almacenados en Nextcloud y gestionados por las aplicaciones de la suite suelen conservarse como archivos de formato estándar, fácilmente accesibles y portables, estaba todo más desperdigado de lo deseable.

Nuevo asistente de exportación e importación de datos de Nextcloud Hub 24

Con esta actualización, los datos permanecen accesibles como siempre (por ejemplo, se sigue pudiendo exportar los calendarios o los contactos desde las preferencias de sus respectivas aplicaciones), pero se reúne todo en un nuevo apartado de la configuración de Nextcloud para facilitar la migración, automatizando todo con apenas un par de clics. O por ahí se empieza, dado que en esta primera etapa el asistente de exportación recoge solo datos tales como los archivos, los calendarios o la información del perfil.

Es de esperar que en futuras versiones se amplíe la capacidad de integración de los datos para su exportación. Además, lo que se puede exportar es, por ahora, lo mismo que se puede importar, por lo que se agradecerá que se amplíe cuanto antes mejor. Es nueva función de migración de datos está enfocada en agilizar los procesos de quienes se van y vienen a Nextcloud, pero también de quienes mueven sus instancias entre diferentes infraestructuras, incluyendo usuarios corrientes y empresas.

Otras novedades de Nextcloud Hub 24 incluyen mejoras de rendimiento y escalabilidad en Nextcloud Files, la aplicación principal del entramado y responsable de la gestión de los archivos del usuario, de manera particular, con las bases de datos; mejoras en Nextcloud Groupware, el conjunto de aplicaciones de productividad básicas de la suite, por ejemplo Calendar o Mail, con diversos retoques de la interfaz y la adición de alguna función nueva; Nextcloud Talk, el complemento de videoconferencia, que introduce reacciones en el chat o una mejor función de búsqueda de archivos multimedia; y unas cuantas novedades más.

Para más datos, el anuncio oficial de Nextcloud Hub 24, donde se explica todo con detalle, incluyendo presentaciones en vídeo con las nuevas características en movimiento, que es como mejor se ven.

Fuente: https://www.muylinux.com/

Lamentablemente, muchas personas siguen utilizando pocas contraseñas para acceder a todas sus cuentas online, y esto supone un gran riesgo.

Las contraseñas son un dolor de cabeza para todos, pero aceptémoslo, las necesitamos. Y no van a desaparecer tan rápido como Microsoft podría querer. Por el momento, seguiremos dependiendo de ellas para el impredecible futuro. Es posible que usted tenga 50, 100 o incluso 200 cuentas online, pero ¿cuántas contraseñas tiene? ¿todas son únicas? A continuación, comparto una anécdota que sugiere que las personas siguen utilizando unas pocas contraseñas personalizadas para acceder a todas sus cuentas.

Hace unos meses asistí a una conferencia organizada por una empresa de gestión de patrimonios a la que me habían invitado para hablar sobre ciberseguridad. La audiencia estaba compuesta por más de 50 personas y, cuando mencioné “las contraseñas”, hicieron lo que la mayoría de la gente hace cuando me refiero al tema: comenzaron a mirar hacia los costados, evitando el contacto visual, con la esperanza de que no los señale para hablar. Instantáneamente me di cuenta de que su lenguaje corporal me estaba diciendo que no seguían las mejores prácticas en cuanto al uso y creación de contraseñas, así que decidí profundizar un poco más y les hice preguntas sobre cómo gestionaban sus credenciales. Algunas de las respuestas fueron muy interesantes.

En primer lugar, pregunté si alguien utilizaba un administrador de contraseñas. Un miembro de la audiencia levantó la mano y dijo que lo hacía solamente porque había escuchado una de mis charlas en el pasado (¡me sentí honrado!). Por lo tanto, el 98% de las personas en la sala no habían usado un gestor de contraseñas ni tenían un sistema para cuidar sus cuentas. Luego les pregunté cómo administraban sus cuentas online y varios señalaron que utilizaban las mismas tres o cuatro contraseñas, en las cuáles incluían información personal como fechas especiales o nombres significativos. Sí, fue terrible.Lectura relacionada: Las contraseñas más comunes del 2021 son también las más inseguras

Decidí realizar un pequeño experimento sobre la marcha con la ayuda de un voluntario. He comprobado en varias oportunidades que en momentos como estos los experimentos “de la vida real” sirven de maravilla porque, si funcionan, generan que los miembros de la audiencia hagan su tarea antes de irse a la cama esa misma noche.

Con su permiso, busqué a este caballero en Facebook y lo encontré rápidamente. Localicé todo su contenido público e hice una lista en la pizarra de las posibles contraseñas que imaginé que podría estar usando. Anoté lugares de interés, nombres de mascotas, nombres de los hijos, fechas de interés, equipos deportivos, libros, música… en fin, todas las posibilidades clásicas. Tenía alrededor de 20 palabras y números diferentes en una lista y aquí viene la parte impactante en la que sentí que había encontrado un tesoro enterrado.

Mientras me miraba boquiabierto, dijo que no solo había descifrado una de sus contraseñas, sino que incluso había encontrado iteraciones de tres de las cuatro contraseñas que “usa para todo”. Más tarde descubrí que a las iteraciones les faltaba una letra mayúscula al principio y un número al final (típico, ¿no?). Este número siempre era el mismo: la fecha del mes en que nació. La multitud estaba perpleja de que yo hubiera descifrado sus contraseñas, pero yo no. Este es un comportamiento estándar, y los ciberdelincuentes también lo saben.

Entonces, surge la pregunta de por qué una persona, y especialmente si tiene acceso a una gran cantidad de riqueza, datos y medios de vida, aún hoy elegiría usar una contraseña que es débil en tantos niveles.

El futuro

¿Cuál es el futuro de las contraseñas? ¿Somos verdaderamente capaces de ir a donde los humanos aún no se han aventurado e intentar vivir en una sociedad sin contraseñas? ¿O crees, como yo, que, las contraseñas y el uso de frases como contraseña en realidad tienen un lugar en la cibersociedad y, cuando son bien utilizadas, en realidad son una ventaja? A diferencia de los datos biométricos, no hay un límite para la cantidad de contraseñas que una persona puede tener, además de que es posible almacenarlas en un administrador de contraseñas e incluso usarlo para que genere claves. Además, es extremadamente fácil acceder a una cuenta utilizando una contraseña en combinación con el doble factor de autenticación, como puede ser el uso de una aplicación de autenticación o una clave de seguridad, incluso para un usuario básico. De hecho, mis padres, a mediados de sus 70 años, utilizan gestores de contraseñas junto con aplicaciones de autenticación basadas en el teléfono para todas las cuentas que se los permiten, ¡y siempre me repiten lo fácil que les resulta!

Una brecha de datos que sufra un servicio en el cual tiene una cuenta puede ser suficiente para que un criminal tenga acceso a todas sus cuentas, si es que usted suele reutilizar sus contraseñas. Por lo cual, es posible que quiera mantener sus contraseñas en un lugar seguro. Muchas personas utilizan el gestor de claves de Apple o simplemente las guardan en su navegador. Sin embargo, si alguna vez su dispositivo es robado y no tiene cifrado de disco completo, si llega a las manos equivocadas podrían tener acceso al mismo, aún sin estar viendo cuál es la contraseña. Por esta razón, el uso de un administrador de contraseñas de terceros en varios dispositivos puede ser más beneficioso.Lectura recomendada: 5 herramientas para administrar la seguridad de tus datos

En los dispositivos de Apple, otro consejo importante para mantener sus datos seguros y lejos de las miradas indiscretas o las filtraciones de datos es utilizar una función que permite ocultar su dirección de correo electrónico para externos. “Iniciar sesión con Apple” le permite anonimizar su dirección al iniciar sesión en los servicios que admiten la función. De hecho, recientemente se ha lanzado una actualización en la que permite a los usuarios de iCloud hacer uso de la función “Hide My Email”, que en español significa ocultar mi correo electrónico, que hace exactamente lo que su nombre indica al permitirle generar una dirección de un solo uso, que reenvía los correos entrantes a su cuenta real. De esta forma, si alguna vez los datos se ven comprometidos, ¡su dirección de correo electrónico permanecerá segura!

Fuente: https://www.welivesecurity.com/

Mientras iniciamos el Año Nuevo, echemos un vistazo sobre algunos datos necesarios para mantenerse actualizado sobre las últimas tendencias en ciberseguridad.

A medida que la montaña rusa de 2021 llega a su fin y entramos en un año más esperanzador, pensamos que sería útil compilar una interesante lista de estadísticas de ciberseguridad, que deberían ayudarte a mantenerte en la cima de la seguridad y privacidad durante los próximos 12 meses. Esperamos que esta lista ayude a comprender que la ciberseguridad impacta en todas las áreas de su vida digital y, por esa razón, es un tema que no debería descuidarse.

Sin más preámbulos, aquí está nuestra lista de los 22 datos más impactantes sobre ciberseguridad que necesitas saber para 2022:

1. En 2021 se registró el costo promedio más alto de una violación de datos en 17 años, con un costo que aumentó de US$3.86 millones a US$4.24 millones por año. (Informe de IBM sobre el costo de una violación de datos de 2021)
2. El giro hacia el trabajo remoto, impulsado por la pandemia de COVID 19, tuvo un impacto directo en los costos de las filtraciones de datos. El costo promedio de una brecha fue de US$1.07 millones más alto cuando el trabajo remoto fue uno de los factores que causó la violación. (Informe de IBM sobre el costo de una violación de datos de 2021)
3. La causa más común de filtración de datos fue el robo de credenciales de usuario. Como un vector de ataque comúnmente utilizado, fueron responsables del 20% de las brechas, y estas filtraciones causaron un costo promedio de US$4.37 millones. (Informe de IBM sobre el costo de una violación de datos de 2021)
4. A mediados de 2021, el proveedor de software de gestión de IT Kaseya vio sus sistemas comprometidos por el ransomware Sodinokibi. Los perpetradores pidieron un rescate de US$ 70 millones: la tarifa de ransomware más grande que haya sido exigida hasta el momento. (Informe de amenazas ESET T2 2021)
5. El 36% de las brechas se relacionaron con ataques de phishing, lo cual implica un aumento del 11% que, en parte, podría atribuirse a la pandemia de COVID 19. Como era de esperarse, se ha observado que los ciberdelincuentes modifican sus campañas de phishing en función de lo que está siendo noticia en cada momento. (Informe de Verizon sobre investigaciones de violaciones de datos 2021)
6. Los ataques de ingeniería social son la amenaza más grave para la administración pública, representando el 69% de todas las brechas de la administración pública analizadas por Verizon en 2021. (Informe de Verizon sobre investigaciones de violaciones de datos 2021)
7. Poco después de que Log4Shell, la vulnerabilidad crítica en la utilidad de registro Log4j, fuera revelada en diciembre de 2021, ESET detectó y bloqueó cientos de miles de intentos de explotación. La mayoría de ellos, localizados en Estados Unidos y Reino Unido.
8. En 2021 se registró un increíble aumento en la detección de malware bancario de Android. En el primer cuatrimestre aumentó un increíble 158,7%, y en el segundo experimentó un crecimiento continuo del 49%. Esto debería considerarse como una tendencia preocupante, ya que los troyanos bancarios tienen un impacto directo en las finanzas de sus objetivos. (Informe de amenazas ESET T2 2021)
9. Cuatro años después, WannaCryptor (también conocido como WannaCry) sigue siendo una amenaza global a tener en cuenta. En el segundo cuatrimestre, el infame troyano que infecta máquinas vulnerables con el exploit EternalBlue, encabezó las listas de las principales detecciones de ransomware de ESET, representando el 21,3% de las detecciones. (Informe de amenazas ESET T2 2021)
10. Las estafas de inversión en criptomonedas siguen siendo cada vez más populares. Entre octubre de 2020 y mayo de 2021, las víctimas fueron estafadas por más de US$80 millones. Se espera incluso que el número real sea mayor, ya que muchas personas se avergüenzan de admitir que han sido engañadas. (Comisión Federal de Comercio de los Estados Unidos)
11. La criptomoneda ha sido el método de pago preferido de los ciberdelincuentes, especialmente cuando se trata de ransomware. Hasta US$ 5.2 billones de transacciones salientes de Bitcoin pueden estar vinculadas a pagos de ransomware, involucrando las 10 variantes de ransomware más comunes. (Informe de FinCEN sobre tendencias de ransomware en los datos de la Ley de Secreto Bancario)
12. A principios de 2021, la infame botnet Emotet, una de las amenazas de malware más duraderas y omnipresentes, fue desconectada en una operación de aplicación de la ley a escala global. Unos 700 servidores de comando y control se desconectaron en el operativo. (Europol)
13. La estimación de la fuerza laboral en ciberseguridad, que evalúa el número de profesionales de la ciberseguridad disponibles alrededor del mundo, estimó que el grupo de especialistas en 2021 es de unos 4.2 millones. Esto implica un aumento de 700.000 en comparación con el año anterior. (Estudio sobre la fuerza laboral en ciberseguridad 2021 (ISC)²)
14. El mismo estudio también concluyó que, por segundo año consecutivo, la brecha de personal de ciberseguridad ha disminuido. Mientras que en 2020 el número de especialistas en ciberseguridad adicionales que las organizaciones necesitaban para defender sus archivos era de 3.12 millones, en 2021 ese número se ha reducido a 2.72 millones. (Estudio sobre la fuerza laboral en ciberseguridad 2021 (ISC)²)
15. Para compensar la escasez de profesionales de ciberseguridad necesarios para defender eficazmente los activos críticos de las organizaciones, la fuerza laboral global de ciberseguridad tendría que crecer en un enorme 65%. (Estudio sobre la fuerza laboral en ciberseguridad 2021 (ISC)²)
16. Un total de 82% de las organizaciones ha admitido haber aumentado sus presupuestos de ciberseguridad durante el año pasado. Estos fondos representan hasta el 15% del gasto total en IT. (Informe de Accenture sobre el estado de la resiliencia de la ciberseguridad 2021)
17. En los últimos años, los atacantes han pasado de solo infestar sistemas con ransomware a la doble extorsión en la que, además, amenazan con filtrar los datos y divulgarlos al público o venderlos. Tanto es así que las amenazas de filtrar los datos robados han experimentado un fuerte aumento, pasando del 8,7% en 2020 a un 81% en el segundo cuatrimestre de 2021. (Panorama de amenazas 2021 de ENISA)
18. Hubo un aumento significativo en los costos generales de remediar un ataque de ransomware. Mientras que en 2020 el costo era de US$761.106, en 2021 el costo total se disparó a US$1.85 millones. (Panorama de amenazas 2021 de ENISA)
19. El número de ataques de denegación de servicio distribuidos (DDoS, por sus siglas en inglés) también ha ido en aumento, en parte, debido a la pandemia de COVID 19. En 2020 se produjeron más de 10 millones de ataques, 1.6 millones más que el año anterior. (Panorama de amenazas 2021 de ENISA)
20. En 2020, el Centro de Delitos en Internet (IC3) de la Oficina Federal de Investigaciones (FBI) recibió un récord de 791.790 denuncias por delitos cibernéticos. Las pérdidas reportadas fueron responsables de unos US$4.200 billones en pérdidas. (Informe sobre delitos en Internet 2020 del FBI)
21. Las estafas de “Fraude del CEO” (Business Email Compromise BEC) siguen siendo el ciberdelito más costoso, con pérdidas que superan los US$ 1.86 billones en 2020, de acuerdo con los últimos datos disponibles del FBI. En comparación, la segunda estafa más costosa, el fraude de confianza/romance registró “solamente” US$600 millones. (Informe sobre delitos en Internet 2020 del FBI)
22. Los adultos mayores se vieron afectados de manera desproporcionada por el delito cibernético, ya que alrededor del 28% de las pérdidas totales por fraude fueron sufridas por víctimas mayores de 60 años. Esto representa aproximadamente US$ 1.000 millones en pérdidas para las víctimas de edad avanzada. (Informe de fraude de adultos mayores 2020 FBI)

Aquí lo tiene. Es cierto que estas estadísticas son solo la punta del iceberg cuando se trata de las amenazas que enfrentan tanto las personas como las organizaciones. Aun así, esperamos que le den una idea de la evolución y la creciente magnitud de las ciberamenazas.

Fuente: https://www.welivesecurity.com/

Desde la pérdida de los recuerdos más preciados hasta el incumplimiento de los plazos, el impacto de no contar con un backup de nuestros archivos más importantes es difícil de medir.

Perder información valiosa es una de las peores cosas que le puede pasar a cualquiera, al menos digitalmente. Imagínaate perder datos críticos que necesitas para la elaboración de un proyecto con un plazo de entrega inminente, como puede ser una tarea académica, o perder los documentos que necesitas presentar cuando solicitas una subvención, o incluso para realizar un trabajo que has tomado como freelance.

Hoy es el Día Mundial del Backup, fecha que se creó como una forma de ayudar a crear conciencia sobre el impacto que representa para las personas la pérdida de datos y el valor de estar preparados para una situación que atente contra nuestros archivos o información en general. Para conmemorar este día, el pasado lunes publicamos un artículo titulado Backup: 10 errores comunes que cometen los usuarios, y en esta oportunidad analizaremos diversos aspectos relacionados al hecho de no contar con una copia de seguridad cuando se experimenta en carne propia la pérdida de datos, y qué hacer en caso de que algo de esto suceda.

¿Cuáles son los impactos de la pérdida de datos?

Supongamos que has perdido información clave, que no ha sido respaldada, para un proyecto que debes entregar de manera urgente. El tiempo que se invierte en intentar recuperar esa información a través algún milagro o en tener que investigar, recopilar y reescribir todo el proyecto, se traduce en una menor productividad y tal vez provoque la entrega de un producto de calidad inferior. El tiempo perdido ya no se puede recuperar, por lo que deberás trabajar con una fecha de entrega acotada, y tal vez esto repercuta al final en una oportunidad perdida. Y algunas oportunidades no surgen con tanta frecuencia, ¿verdad?

El impacto de la pérdida de datos puede variar según el tipo de datos que se pierdan y en qué momento del proceso ocurre la pérdida. Si has realizado copias de seguridad de manera regular de todos los datos importantes que has estado utilizando durante el armado del proyecto te evitarás grandes dolores de cabeza, ya que si algo ocurre podrás simplemente volver al momento en el que estabas con solo restaura la información perdida desde tu backup.

Además de perder datos o archivos fundamentales para tu trabajo, la pérdida de datos puede ser aún más desgarradora si se pierden imágenes o videos que capturan recuerdos preciados que no podrás recrear. Estos pueden variar desde propuestas de matrimonio hasta recuerdos de la infancia, o incluso fotos de miembros de la familia que han fallecido hace mucho tiempo.

¿Cómo se pierden los datos?

Hay varias formas de perder la información. Algunas son evitables, mientras que otras son más difíciles de predecir y prevenir. Un malware que haya comprometido tu dispositivo puede ser la razón de la pérdida de datos. Dependiendo del código malicioso, todo en tu computadora podría llegar a ser eliminado por completo, tus datos podrían ser corrompidos o, si se trata de un ransomware, tus datos podrían ser cifrados. Esta causa específica de pérdida de datos pertenece al ámbito de lo evitable si utilizas una solución de seguridad con todas las funciones y aplicas las mejores prácticas en ciberseguridad.

Mientras tanto, en el otro extremo del espectro, tenemos imprevistos o accidentes. Tu dispositivo podría ser robado o podría sufrir daños mecánicos. Por ejemplo, si se derrama líquido sobre él o si se cae desde una altura significativa. Pero más allá del daño mecánico, no es raro que los dispositivos funcionen mal, ya sea debido a los años de uso o como consecuencia de un defecto de fábrica que afecte a un componente específico, como el sobrecalentamiento del disco duro. Los cortes de energía también pueden ocurrir, lo que significa que, si estás trabajando en una computadora de escritorio, podrías perder los datos en los que está trabajando en un abrir y cerrar de ojos. Por otra parte, también se debe tener en cuenta el error humano, que podría eliminar accidentalmente datos críticos o desencadenar una cadena de eventos que incluso podrían llevar a que tu dispositivo se borre por completo.

¿Qué hago si no tengo una copia de seguridad?

Si tus datos se borraron accidentalmente, deja de usar el dispositivo inmediatamente, pero no lo apagues. Si funciona con batería, conéctale su cargador. Luego, deshabilita toda conectividad de red —si tiene un “modo avión ” o una función similar, habilítala y luego activa el “modo suspensión”.

Sin embargo, si tu dispositivo ha sufrido un derrame accidental de líquido, apágalo inmediatamente e intenta secarlo rápidamente con un paño suave y seco. Si hay algún medio externo conectado, desconéctalo y sécalo también. Déjalo unos días para que se seque por completo. Dependiendo de la magnitud del daño causado por el líquido, es posible que debas consultar a un servicio profesional.

Afortunadamente, incluso si ocurre uno de los escenarios antes mencionados, todavía existen formas en las que se puede intentar recuperar los datos. Si tu dispositivo fue comprometido con ransomware, es posible que puedas encontrar descifradores gratuitos creados por compañías de seguridad para algunas familias de ransomware. También puedes intentar recuperar tus datos mediante el uso de varios software de recuperación que se desarrollaron específicamente para este propósito. Estas utilidades pueden ser del fabricante de su dispositivo o desarrolladas por el que fabrica los componentes, o alternativamente, puede confiar en software de terceros que pueden ser específicos para ciertos sistemas operativos o dispositivos.

Si te has quedado sin ideas acerca de lo qué puedes hacer por tu cuenta o sientes que el problema está fuera de tu alcance, entonces puedes pasar al siguiente nivel: llamar a un especialista en recuperación de datos. Sin embargo, considera esa alternativa como la opción última, ya que recuperar tus datos por esta vía puede significarte un costo de cientos o incluso miles de dólares. También vale la pena mencionar que, si intentas recuperar los datos por tus propios medios y no lo consigues, puede que también reduzcas las posibilidades de que un profesional pueda ayudarte.

Dependiendo del tipo de dispositivo y el tipo de daño, dichos servicios pueden ofrecerse mediante la conexión remota a tu dispositivo o requerir que lleves o envíes el dispositivo al servicio de recuperación. Si estás considerando esta opción, comunícate con el servicio lo antes posible, ya que ahí te aconsejarán con mejores argumentos qué es lo que puedes hacer con el dispositivo después de ocurrido el evento que provocó la pérdida de datos.

Resumen

Una cosa es segura: “mejor prevenir que curar”. En este contexto, es preferible hacer copias de seguridad de tus datos confidenciales e importantes en intervalos de tiempo regulares, para que de esta manera siempre haya algo a lo que se pueda recurrir y no tener que tratar de recuperar frenéticamente los datos perdidos. Cuando se trata de planificar el backup, lo mejor es que esos recuerdos valiosos o datos críticos hayan sido almacenados en varios medios de almacenamiento.

Lo mejor que puedes hacer es utilizar múltiples medios de almacenamiento, como una solución en la nube confiable para que tengas los datos a mano cuando los necesites, y también dispositivos de almacenamiento físico sin conexión a Internet, como los discos externos. Por si acaso, siempre que puedas cifra todos los datos antes de almacenarlos en cualquier medio, de modo que si alguien robara tus copias de seguridad en la nube o tiene acceso a tus discos externos, los datos estarán igualmente protegidos.

Fuente: www.welivesecurity.com

Puede que te resulte imposible eliminar tu información personal de Houseparty y de otras plataformas sociales.

Mi colega Jake Moore publicó recientemente el artículo titulado “Houseparty: ¿deberías eliminar tu cuenta o solo desinstalar la app?“. La publicación me intrigó, no solo por el título, que hace referencia a la gran canción de 1982 de The Clash. Sino porque Jake, con sensatez, sugiere que cuando ya no use una aplicación, como Houseparty, elimine tanto la aplicación como la cuenta que creó para evitar que sus datos personales queden inactivos en un servidor que podría formar parte de una eventual brecha de datos.

Si cree que al eliminar tu cuenta se eliminará la Información Personal Identificable (PII, por sus siglas en inglés) de las aplicaciones de mensajería instantánea, es posible que debas pensarlo nuevamente, y esto probablemente aplique para todos los servicios que fomentan la interacción social entre amigos y que para facilitar esto solicitan permiso para acceder a los contactos en el dispositivo de un usuario. Si, como yo, nunca has utilizado Houseparty, puedes ser perdonado por asumir que el servicio no contiene ninguna información personal sobre ti; pero de nuevo, es posible que debas reconsiderar esto.

Tus datos personales, como el número de teléfono y el nombre, y tal vez incluso tu correo electrónico y la dirección física, probablemente se hayan cargado en servidores utilizados por redes sociales y empresas de mensajería instantánea cuando se concede permiso para sincronizar las listas de contactos de los dispositivos de tus amigos.

WhatsApp, que probablemente sea la que mayor cantidad de usuarios tiene entre las apps similares a Houseparty, solicita acceso a los contactos. La solicitud de permiso para acceder a los contactos es solicitada por los proveedores de la plataforma de aplicaciones, como Apple y Google, y buscan el consentimiento necesario que exija la legislación de privacidad local. La política de privacidad de WhatsApp establece que “usted nos proporciona de forma regular, en acuerdo con las leyes aplicables, los números de teléfono presentes en la libreta de direcciones de su dispositivo móvil, incluidos los de los usuarios de nuestros servicios así como sus otros contactos”.

Otra aplicación que solicita permisos similares es Telegram, una popular aplicación de mensajería instantánea. La funcionalidad de esta aplicación elimina cualquier duda de que este servicio almacena la lista de contactos cargada. Después de instalar la aplicación en el teléfono y otorgar acceso a tu lista de contactos, si instalas la versión de escritorio los contactos de la lista de contactos cargada de tu teléfono que también tienen cuentas de Telegram, estarán disponibles dentro de la aplicación de escritorio. La aplicación Telegram solicita permiso para “sincronizar tus contactos” de manera similar a otras aplicaciones. La política de privacidad de Telegram también es muy clara sobre los datos que se utilizan, en este caso el número de teléfono, el nombre y el apellido. Observe la Figura 1 a continuación.

Figura 1

La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) reconoce que un nombre real o alias es información personal y que un número de teléfono es un “identificador personal único”, ya que es un identificador persistente que se puede utilizar para reconocer a un consumidor, una familia o un dispositivo que está vinculado a un consumidor o familia. El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea define legalmente un nombre como datos personales, pero es menos claro en el caso del número de teléfono. Existen diferencias entre la legislación GDPR y CCPA: una significativa es que la CCPA no solo protege a un individuo, sino que se extiende a los hogares, lo que hace que la definición de “personal” sea más amplia que solo un individuo.

¿Y Houseparty?

Al comienzo de la pandemia, me comuniqué con un buen amigo mío, Kent, para organizar una reunión social virtual un viernes por la noche. Sugirió utilizar Houseparty; sin embargo, usamos Facetime debido a que prefería no crear otra cuenta. A raíz de esta situación supe que Kent usaba Houseparty y tenía una cuenta. Tras una llamada rápida confirmo que todavía tiene la aplicación instalada para mantenerse en contacto con familiares y amigos, y aproveché para preguntarle a Kent si concedía permiso a Houseparty para acceder a sus contactos. Después de decir inicialmente “No, ¿por qué haría eso?”, rápidamente establecimos que lo había hecho, ya que al hacer clic para agregar un amigo a través de contactos se mostraban todos los que estaban en su lista de contactos telefónicos. Vale la pena señalar que la aplicación no funciona realmente como una herramienta social a menos que tenga acceso a tus amigos.

Al instalar la aplicación Houseparty se ofrece habilitar varias opciones, ya sea para encontrar amigos que ya son usuarios o para sugerir amigos e incluso amigos de amigos (consulte la Figura 2a a continuación). Las opciones principales son permitir el acceso a los contactos almacenados en tu teléfono o permitir el acceso a tu cuenta de Facebook, permitiendo a Houseparty extraer tu lista de amigos de la red social. Como se puede leer en el texto de la Figura 2a, la app dice específicamente que “tus contactos se cargarán en los servidores de Houseparty para que usted y otros puedan encontrar amigos y mejorar su experiencia”. Aquellos lectores conscientes de la importancia que tiene proteger la privacidad probablemente estén suspirando en este momento, especialmente ante la inferencia de que otros serán presentados a sus contactos.

Si omites otorgar el permiso durante la instalación, si haces clic en “contactos” cuando intentes agregar amigos la aplicación te preguntará nuevamente. Nótese en la Figura 2b el cambio en el lenguaje y la no aclaración de que la lista de contactos se cargará en los servidores de Houseparty.

Ahora que hemos establecido que la aplicación potencialmente exfiltra todos los datos de contacto de tu teléfono y de cualquier cuenta de Facebook conectada, echemos un vistazo a la política de privacidad de Houseparty para establecer exactamente qué recopilan y cómo se usa.

Si alguna vez has utilizado una aplicación o servicio que carga tus datos de contacto, es posible que hayas visto mensajes de tipo “X se ha unido” que se muestran en la aplicación o servicio. La opción de iniciar una conversación o conectarse con la persona es una notificación conveniente y la razón por la que las empresas solicitan permiso para cargar datos de contacto en sus servidores.

Política de privacidad de Houseparty: “Qué información recopilamos”

La recopilación de información de la cuenta incluye la aclaración de que se recopila “cierta información” sobre tus amigos si importas tus contactos, consulte la Figura 3.

Figura 3

Y si vincula una cuenta de redes sociales, se recopila “determinada información de la cuenta de la red social”, consulte la Figura 4.

Figura 4

El uso de las palabras “algunos” y “ciertos” parece vago para referirse a la recopilación de datos del tipo Información Personal Identificable; esto probablemente sea por diseño, ya que una lista detallada podría causar preocupación, o incluso alarma. Que la referencia a los “contactos” esté dividida entre dos secciones de la política que cubren “información de cuenta” y “cuentas y aplicaciones de terceros” es confusa. Sin embargo, lo que se confirma es que los números de teléfono y las direcciones de tus contactos se recopilan si se otorga permiso para cargar tus contactos. Espero que por “direcciones” se refieran a direcciones de correo electrónico … ¿o estoy siendo optimista?

Política de privacidad de Houseparty: “Por qué recopilamos información”

El concepto general de que tus datos de contacto se utilizan para ayudar a conectarse con tus amigos parece perfectamente razonable y lógico: consulte la Figura 5. La sugerencia de otras conexiones basadas en tus amigos existentes implica que los usuarios son perfilados, lo que de nuevo probablemente no es tan sorprendente para una herramienta de redes sociales.

Figura 5

Política de privacidad de Houseparty: “Cómo recopilamos información”

Al registrar una cuenta se requiere una cantidad de datos para crear la misma, pero como era de esperar, también hay beacons de navegador y cookies web, así como muchos otros métodos relativamente normales y esperados de recopilación de datos. La Figura 6 muestra la redacción de Houseparty para la sección titulada “Obtenemos información sobre usted de terceros”. ¿Se refieren por “usted” a un usuario de Houseparty o a cualquier otra persona en el mundo? Una política de privacidad debe ser aceptada por las personas a las que afecta, por lo tanto, ¿es seguro para Houseparty asumir que esto significa que solo se aplica a un usuario registrado de Houseparty?

Figura 6

Luego llegamos a que podría ser la respuesta a las preguntas que acabo de plantear: “También podemos recopilar lo información sobre usted de otros usuarios. Esto podría incluir su nombre, número de teléfono o dirección de correo electrónico si lo invitan o lo refieren a nuestra aplicación o si han vinculado sus contactos a su cuenta de Houseparty”. Esto establece que la política de privacidad de Houseparty se aplica a alguien que no es usuario de Houseparty y a alguien que nunca podría haber accedido a aceptar la política de privacidad de Houseparty. Esto confirma que, potencialmente, poseen mis datos debido a la carga de la lista de contactos de un “amigo”.

Sin embargo, el “usted” se vuelve confuso al leer la siguiente sección sobre “sus opciones”, ya que aquí se hace referencia a que un usuario registrado puede tomar decisiones en la configuración de su cuenta sobre cosas tales como preferencias de marketing.

Recuperando mi identidad

He establecido anteriormente que mi amigo Kent subió su lista de contactos y, como se indica en la política de privacidad de Houseparty, esto incluye al menos mi número de teléfono y mi nombre, ambos clasificados como PII según la Ley de Privacidad del Consumidor de California. Como residente de California, tengo el derecho de preguntar qué información de identificación personal una empresa retiene y potencialmente comparte sobre mí y, si así lo deseo, solicitar la eliminación de dichos datos. Hice tal solicitud para averiguar qué datos tienen sobre mí. Aquí hay un resumen de la conversación por correo electrónico …

Hay una evidente desconexión entre mi solicitud y la respuesta; les pedí datos que pudieran tener sobre mí, pero la respuesta se refiere a que no hay una cuenta registrada para los datos que proporcioné en mi solicitud. Así que volví a preguntar …

La desconexión parece ser que no soy un usuario y, por lo tanto, no hay datos sobre mí, pero en realidad tienen acceso a los datos de contacto cargados por Kent, que incluyen mi información personal. Nunca en ningún momento les di mi consentimiento para que retengan mis datos personales ni acepté sus términos de negocios o política de privacidad. ¿Los datos se guardan como parte de la cuenta de mi amigo o se han fusionado en un conjunto de datos más grande? ¿Se están utilizando para perfilar usuarios que permitan la introducción de otros amigos desconocidos hasta ahora? ¿Se eliminan los datos de la lista de contactos cargados cuando el usuario que los cargó elimina su cuenta? Según el equipo de soporte de Houseparty, la respuesta es sí…

Confirmar que no se cargan datos y luego confesar que en realidad el equipo de soporte no sabe que es lo que se carga es malo. Si no conoce los hechos, ¡no proporcione una respuesta!

En defensa de Houseparty, y como vimos al comienzo de esta publicación, es probable que el problema no sea solo de ellos. Cualquier aplicación que cargue listas de contactos desde el dispositivo de alguien a sus propios sistemas o conserve el acceso a las listas de contactos sufre potencialmente el mismo problema. Y si Houseparty no está cargando ni almacenando listas de contactos de los dispositivos de los usuarios registrados, entonces la empresa debe cambiar la redacción de su política de privacidad y actualizar el mensaje que se muestra en la aplicación. En mi experiencia, las empresas rara vez afirman que almacenan datos de PII a menos que realmente lo hagan; ¿Por qué afirmar que tiene o hacer algo si no es así, especialmente teniendo en cuenta las responsabilidades legales que genera la retención de PII en estos días?

¿Quién es el propietario de los datos de contacto almacenados en el teléfono de alguien? ¿El propietario del dispositivo tiene derecho a compartirlos con terceros, como Houseparty o Telegram? ¿Y debería una tercera parte solicitar el consentimiento del contacto, yo en este caso, para retener el acceso o el almacenamiento de los datos de identificación personal en sus sistemas?

Entonces, cuando mi colega Jake sugirió eliminar las cuentas y aplicaciones no utilizadas, estaba brindando un buen consejo, algo que yo defiendo y con lo que estoy totalmente de acuerdo. Sin embargo, como se detalla anteriormente, esto no significa necesariamente que se evite el riesgo de ser parte de cualquier violación de datos que pueda sufrir una empresa, en este escenario Houseparty, Telegram o WhatsApp. Es probable que su información de identificación personal permanezca en los servidores de las empresas de mensajería instantánea y redes sociales y continúe siendo accesible para ellos a través de cuentas de redes sociales vinculadas o listas de contactos de sus amigos.

En caso de que ocurriera una brecha de seguridad, ¿se les exige que envíen un aviso de infracción no solo a los titulares de cuentas registrados, sino a todas las personas sobre las que tienen datos o cuyos datos tienen o tuvieron acceso? Desafortunadamente, hasta donde yo sé, la notificación de incumplimiento es solo un requisito que se aplica a los titulares de cuentas. La legislación de privacidad y las notificaciones de incumplimiento probablemente deberían extenderse a todos los datos de PII almacenados, no solo a los de los titulares de cuentas.

Conclusión

Mi conclusión es que algunos servicios de mensajería instantánea y redes sociales almacenan mi información de identificación personal no solo sin mi consentimiento, sino sin mi conocimiento, y probablemente sin ningún mecanismo (o incluso sin voluntad deliberada) que me permita descubrir si ese es el caso.

Fuente: www.welivesecurity.com

Compartimos una serie de herramientas y recomendaciones para almacenar credenciales y datos de manera segura, como son gestores de contraseñas, soluciones VPN y herramientas de cifrado.

Compartimos una serie de recomendaciones y herramientas para administrar y proteger nuestros datos de forma más eficiente, teniendo en cuenta las mejores prácticas en materia de seguridad informática. Para cada uno de los escenarios planteados recomendamos herramientas útiles para cada una de las tareas.

En este sentido, además de recordar algunos conceptos básicos sobre la seguridad de los datos, hablaremos de las siguientes herramientas: KeePass, Have I Been Pwned, VeraCrypt, Google Drive y ExpressVPN.

1- Seguridad de Credenciales

En esta sección hablaremos de las herramientas: ‘KeePass’ y ‘Have I Been Pwned’.

Por lo general, en cualquier sistema, antes de intercambiar datos o acceder a nuestra información se nos solicitará que ingresemos nuestras credenciales de acceso. Se trata de la forma más común de demostrar nuestra identidad, ya que, en teoría, cómo está compuesta la contraseña es algo que solo nosotros sabemos.

Continuamente recordamos la importancia de utilizar contraseñas fuertes que sean difíciles de adivinar. Las mejores prácticas de seguridad también sugieren utilizar contraseñas diferentes para cada sitio o aplicación que utilicemos, además de modificarlas periódicamente, preferentemente cada 90 días.

Esto se debe a que, a pesar de tener una contraseña altamente segura, puede ocurrir que un sitio o servicio al cual ingresamos utilizando credenciales de acceso sea vulnerado en algún momento. En estos casos, es poco lo que podemos hacer como usuarios para evitar que nuestra contraseña se filtre, ya que no tenemos control sobre el sitio o servicio afectado. Sin embargo, si utilizamos contraseñas diferentes para cada sitio el impacto ante una posible brecha será menor, ya que las credenciales que se filtran únicamente funcionan para el sitio vulnerado. Si utilizamos la misma contraseña en todas las plataformas, existe siempre la posibilidad de que el efecto de una brecha en un sitio se propague, afectando nuestra privacidad en otros sitios.

Ahora bien, la mayoría de nosotros utilizamos decenas de sitios y aplicaciones. Memorizar decenas de contraseñas diferentes puede ser difícil, especialmente si tenemos que modificarlas periódicamente. Esta es la causa por la que muchos usuarios eligen utilizar siempre la mismas contraseñas y rara vez la modifican. Sin embargo, lo que quizás algunos usuarios no saben es que existen gestores de contraseñas que nos facilitan esta tarea.

Uno de estos gestores es KeePass. Se trata de una herramienta de software libre que nos permite almacenar todas nuestras credenciales (usuario + contraseña) para diversas plataformas. Se puede utilizar tanto en Windows como en MacOS y sistemas operativos tipo Unix. Sólo necesitamos recordar una única “contraseña maestra” para poder acceder a una base de datos con todas las credenciales que hayamos almacenado. Además, la herramienta nos ofrece la opción de generar y almacenar nuevas contraseñas, que son seguras y que no necesitaremos recordar. Luego, podremos copiar la contraseña elegida al portapapeles y pegarla directamente en el sitio.

Todas las credenciales que se ingresan o crean en KeePass se almacenan en una base de datos encriptada con AES + Twofish (algoritmos considerados seguros). Esta base de datos se almacena localmente en nuestro equipo, en otras palabras, KeePass no sube esta base de datos a Internet.

La herramienta soporta extensiones y también permite la modificación del código fuente. Para información más detallada, pueden visitar el sitio oficial de KeePass.

En esta misma línea, es una buena idea utilizar Have I Been Pwned. Se trata de una herramienta web que nos permite comprobar si algún sitio en el que nos hayamos registrado utilizando nuestra dirección de email ha sido vulnerado.

2- Herramientas para asegurar datos almacenados en nuestro equipo

En esta sección hablaremos de las herramientas: ‘VeraCrypt’, ‘Google Drive’ y ‘zip’.

La información puede encontrarse en tres estados: En reposo, en tránsito o en uso. Aunque en esta publicación nos enfocaremos en los primeros dos estados. Empecemos por el primer escenario, cuando nuestra información se encuentra “en reposo”. En este caso, nuestra información está almacenada en algún equipo, más precisamente, en un disco duro o unidad de almacenamiento.

¿Qué ocurre si perdemos el acceso al disco?

Puede ocurrir que nuestro equipo sea robado o que el disco duro se dañe. Para cada uno de estos escenarios surge una nueva pregunta:

• ¿Cómo nos aseguramos que un tercero no puede acceder a la información que contiene el equipo robado o extraviado?

Respuesta: encriptando los contenidos del disco.

En dispositivos Android, a partir de la versión 6.0, la encriptación total de disco es obligatoria para los fabricantes y se encuentra activada por defecto. Sin embargo, esto no ocurre  de la misma manera en dispositivos Windows, Mac o en sistemas operativos tipo Unix.

VeraCrypt: es una herramienta de software libre multiplataforma que permite encriptar nuestros datos en reposo en estos sistemas. Esta herramienta nos permitirá crear volúmenes encriptados en los que podemos almacenar carpetas o archivos individuales, o bien, podemos optar por encriptar la totalidad del disco duro, utilizando algoritmos como AES o TwoFish, que son altamente seguros en ambos casos, o incluso una combinación “en cascada” de ambos.

Al crear un volumen encriptado, VeraCrypt se nos solicitará una contraseña para el descifrado de los datos. Esta es una buena oportunidad para comenzar a utilizar KeePass para crear una contraseña segura.

El aspecto más importante de utilizar herramientas como VeraCrypt, o cualquier otra herramienta similar, es que nuestros datos permanecerán confidenciales aun cuando nuestro dispositivo haya sido extraviado o robado.

• ¿Cómo podemos recuperar nuestra información si esto ocurre?

Respuesta: habiendo hecho una copia de seguridad de nuestros datos de antemano.

El proceso de realizar un backup es simple: consiste en copiar nuestros datos a otros medios de almacenamiento. Realizar estas copias de seguridad es fundamental para mantener la disponibilidad de nuestros datos en el caso de que nuestro equipo se dañe o extravíe.

Siguiendo las mejores prácticas en materia de seguridad informática, lo más recomendable es que el almacenamiento de resguardo se encuentre en otra ubicación, en lo posible, lejana a la información original. Esto es para prevenir que el evento que haya afectado a la información original afecte también a la copia de seguridad, como puede ser un robo, inundación, incendio, etc.

En este sentido, si no disponemos de nuestro propio servidor, es posible utilizar servicios de almacenamiento en línea, siempre y cuando se trate de proveedores serios, como puede ser Google Drive. Este servicio permite a cualquier usuario almacenar hasta 15 GB de información de manera gratuita.

Pero antes de subir nuestra información hay que tener dos factores en cuenta:

1. Compresión: para maximizar el espacio disponible, los datos que subamos a Internet deberían ser comprimidos.
2. Encriptación: los datos que vayamos a subir a Internet también deben estar encriptados para garantizar la confidencialidad de la información ante cualquier incidente. Más allá de la propia encriptación que provee el servicio, es una buena idea adicionar una capa de encriptación propia.

Hay múltiples herramientas que nos permiten realizar ambas tareas, como, por ejemplo, WinRar en Windows o la herramienta zip de Unix. Ambas nos permiten cifrar archivos o carpetas usando encriptación segura, que solo pueden ser descifrados con las contraseñas que le hayamos configurado al archivo.

Es importante recordar que para recuperar la información encriptada son necesarias las credenciales, por lo que si utilizan KeePass para almacenar las claves, debemos asegurarnos de que la base de datos sea la principal prioridad a la hora de realizar una copia de seguridad.

3- Herramientas para asegurar los datos en tránsito

En esta sección hablaremos de las herramientas: ‘ExpressVPN’

Finalmente, debemos considerar la confidencialidad de nuestros datos mientras éstos son transferidos desde nuestro equipo hacia otro equipo o sitio a través de Internet. Esto se vuelve aún de mayor importancia si la red de área local a la cual estamos conectados no es segura, por ejemplo, si utilizamos una red Wi-Fi pública.

Lo primero que viene a la mente es la utilización de un servicio de VPN para generar un túnel seguro entre ambos equipos, a través del cual se transmitirá todo el tráfico de red.

ExpressVPN es un proveedor de servicios VPN que nos permite elegir entre la utilización de protocolos L2TP+IPSec o el más versátil OpenVPN. Todo el tráfico que se envía desde nuestro equipo hacia el mundo exterior viajará cifrado y será ilegible para cualquier atacante que intente espiar nuestras actividades.

Hay que aclarar que la utilización de una VPN no nos protegerá de engaños como el phishing, por lo que siempre debemos estar atentos.

Conclusión

Es importante tener en cuenta la seguridad de nuestros datos en cada uno de sus estados. Las herramientas que mencionamos en este artículo, si bien no son las únicas que deberían utilizar, los ayudarán a mantener la confidencialidad, integridad y disponibilidad de sus datos durante las etapas de reposo y tránsito. Como habrán notado, la encriptación de los datos y las copias de resguardo son conceptos fundamentales.

En este articulo no mencionamos el tercer estado, los datos en uso, ya que sería un artículo completo por sí mismo. Sin embargo, es otro factor importante a tener en cuenta. Llamamos datos en uso a aquellos que están almacenados temporalmente en la memoria RAM o registros del CPU mientras éstos se utilizan. La seguridad en esta etapa está más asociada a la utilización de aplicaciones seguras y actualizadas junto al uso de soluciones anti-malware. Lamentablemente, las medidas que mencionamos en este artículo no resultarán útiles si, por ejemplo, nuestras credenciales están siendo capturadas por un  keylogger con acceso al portapapeles.

Como conclusión, cuantas más medidas de seguridad adoptemos y cuanto mayor sea el número de mejores prácticas que respetemos, el riesgo de que nuestra información sea robada será menor. Esto nos ayudará a conformar una defensa en capas que hace menos probable que suframos un incidente de seguridad. Por eso, el primer paso es ser consciente de los riesgos.

Fuente: www.welivesecurity.com

En un solo portal, la Dirección Nacional de Registro de Datos Públicos (Dinardap) agrupó la información personal de cada ciudadano.  Dato Seguro se denomina el servicio que permite la consulta de información de entidades públicas sin la necesidad de acercarse a una oficina para obtener información.

Tras la divulgación de bases de datos en los últimos meses, los ciudadanos mostraron preocupación por saber  qué tipo de información manejaban organismos privados. Nombres, información financiera y datos de identidad civil de cerca de 17 millones de personas, incluyendo 6,7 millones de niños se encontraban expuestas en una nube insegura al que casi cualquier usuario podía acceder.

Este portal se lanzó en el 2014 y buscaba coordinar el intercambio de información de los registros de datos públicos y verificar datos de carácter personal. Con esto se reducía el tiempo que tardaba el usuario en conocer esta información, cuatro años más tarde este cambió su interfaz.

Según información en la página web de la Dinardap, la creación de este espacio se encuentra contemplado en el artículo 18 de la Constitución que contempla el derecho de todas las personas el acceso a la información generada en instituciones públicas, o privadas que manejen fondos públicos o realicen funciones públicas. Así como el artículo 66 garantiza el derecho a la protección de datos personales, «el cual incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección».

La Ley del Sistema Nacional de Registro de Datos Públicos señala en su artículo 13 que son datos públicos los del Registro Civil, de la Propiedad, Mercantil, Societario, Vehicular, de naves y aeronaves, patentes, de propiedad intelectual y los que en la actualidad o en el futuro determine la Dirección Nacional de Registro de Datos Públicos, en el marco de lo dispuesto por la Constitución de la República y las leyes vigentes.

¿Qué datos tiene el portal Dato Seguro?

Del Registro Civil: 

• Cédula
• Nombres y Apellidos
• Sexo
• Condición Ciudadano
• Fecha de Nacimiento
• Lugar de nacimiento
• Nacionalidad
• Estado civil
• Código dactilar
• Cónyuge
• Nombre del padre
• Nacionalidad del padre
• Nombre de la madre
• Nacionalidad de la madre
• Domicilio
• Calles del domicilio
• Número de casa
• Fecha de matrimonio
• Lugar de matrimonio
• Fecha de defunción
• Observaciones
• Fecha de inscripción de defunción
• Fecha de expedición de la última cédula
• Fecha de expiración de la última cédula
• Género

Del Ministerio de Relaciones Laborales

• Datos personales
• Impedimentos

Del Consejo Nacional Electoral

• Cédula
• Nombres
• Provincia
• Cantón
• Parroquia
• Recinto
• Código Electoral

De la Secretaría Nacional de Educación Superior, Ciencia, Tecnología e Información

• Cédula
• Títulos de Tercer Nivel
• Títulos de Cuarto Nivel

De los Registros Mercantiles

Del Instituto Nacional de Contratación Pública

Del Registro de la Propiedad

Del Instituto Ecuatoriano de Seguridad Social

• Cédula
• Estado de Afiliado
• Historial de tiempo de trabajo
• Resumen de Imposiciones
• Prestaciones
• Pensiones

De la Policía Nacional

• Orden de captura
• Antecedentes
• Impedimentos de salida
• Alerta migratoria
• Tipo de movimiento, fecha, origen-destino, documento, visa, puerto

De la Agencia Nacional de Tránsito

• Tipo
• Tipo de sangre
• Licencias
• Movimientos
• Bloqueos
• Infracciones
• Restricciones
• Revisiones
• Matrículas
• Bloqueos vehículos

De la Superintendencia de Compañías

Del Servicio de Rentas Internas

¿Cómo puedo acceder a esta información?

Para acceder a este portal primero deberá registrarse.

• Ingrese a la página web www.datoseguros.gob.ec
• Haga clic en Regístrate Aquí y escriba su número de cédula.
• Llene el formulario con los datos que se le solicita.
• Valide las letras y números que le solicitan
• Lea las condiciones de servicios y si está de acuerdo acepte, confirme su registro.
• A su correo llegará un correo con una clave temporal.
• En la pantalla Ingreso al sistema escriba su número de cédula y su clave temporal.
• Le pedirá cambiarla, tras esto deberá seleccionar las preguntas de seguridad y responderlas.

Recuerde que hay información que también puede ser consultada sin registrarse. Por ejemplo, el Registro Civil  a través de sus servicios en línea solo permite ver el número de cédula, el nombre y condición del cédulado. Mientras que la Agencia Nacional de Tránsito (ANT) permite ver las multas que se tiene ingresando el número de cédula o placa.

La información en el portal Dato Seguro es responsabilidad de cada entidad.

Fuente: www.eluniverso.com

Los ataques más llamativos y sofisticados probablemente no representen el tipo de amenaza que más debería preocupar a la mayoría de las empresas. A continuación explicamos a que sí debería prestarle atención su organización.

Cuando nos enteramos acerca de una nueva brecha, asumimos que los atacantes utilizaron un exploit nunca antes visto para aprovecharse de una vulnerabilidad zero-day y así lograr quebrar la defensa de una empresa. Sin embargo, este escenario está normalmente lejos de ser realidad en la mayoría de los casos. Si bien es cierto que los grupos de cibercriminales respaldados por los Estados-nación tienen una inclinación a hacer uso de vulnerabilidades zero-day para infiltrarse en los objetivos más importantes de una nación, esos objetivos no son usted; y probablemente tampoco lo sea su organización.

En la última edición de la conferencia Virus Bulletin que se llevó a cabo a principios de octubre de este año, al igual que en otros años, disfrutamos de muchas historias sobre ataques contra objetivos financieros de alto perfil. Pero al final, los actores maliciosos no lograron comprometer a estos objetivos con exploits aterradores, sino que lograron entrar a los sistemas con un correo de phishing o, tal como en el caso que narró un presentador de RiskIQ, utilizaron permisos abiertos en un popular recurso en la nube.

La realidad es que el punto débil de la industria de la seguridad está en que los cibercriminales eligen preferentemente el camino que oponga menor resistencia, el cual a menudo está dado por software de seguridad mal configurado, errores humanos u otros problemas de seguridad operacional. En otras palabras, no se trata de las técnicas sofisticadas utilizadas por un súper hacker, se trata de lo que hacemos nosotros.

Si creemos que estamos haciendo todo bien dentro de nuestra propia organización, esto incluso puede no ser suficiente. Si bien es posible que hayamos protegido completamente nuestra propia red, las personas con las que interactuamos pueden no estar tan protegidas. Podemos pensar que hemos rechazado con éxito el software de un tercero, que no utilizamos la nube para la colaboración, por lo que sentimos que estamos en terreno seguro. Sin embargo, terceras partes dentro de la cadena de suministro pueden estar utilizando servicios en la nube de una manera riesgosa. Y a veces, ni nosotros ni ellos saben que esta situación ha creado un riesgo significativo para ambos entornos.

Sin embargo, hay cosas que podemos hacer al respecto.

Los incidentes de seguridad de mayor magnitud que se dan en estos días, a menudo comienzan en una solución o servicio externo que utiliza. Si bien es posible que contemos con el mejor equipo de seguridad, tal vez estas terceras partes no lo tengan.

Si no estamos seguros, aquí hay algunas cosas obvias (o no tan obvias) que podemos consultar con nuestros equipos:

Permisos en la nube

Sin duda es conveniente para los equipos que comparten recursos en la nube, especialmente para compartir archivos, tener permisos totales sobre los archivos para poder añadir/cambiar/eliminar el acceso a cualquier persona. Pero esto también podría abrirnos problemas. En el caso de proyectos y equipos que se arman apresuradamente, muchas veces ocurre que los recursos “temporales” son arrojados a la nube sin considerar las mejores prácticas de seguridad. Esto a menudo lleva a que todos tengan permisos abiertos como forma de asegurarse de que todo “simplemente funcione”. Y estos recursos suelen sobrevivir por años, con el riesgo que supone el hecho de que haya información privada accesible de manera pública.

Plataformas de colaboración

¿Nuestros equipos o proveedores externos utilizan servicios de mensajería, foros o plataformas no seguras y/o no monitoreadas para discutir temas relacionados con el negocio? Si los delincuentes (o incluso los competidores) pueden acceder a las comunicaciones internas sobre nuestro negocio, esto podría causarnos grandes problemas. Como mínimo, estaríamos proporcionando recursos significativos a atacantes que buscan mediante ingeniería social ingresar a nuestra red.

Correo corporativo comprometido

¿Qué tan bien hemos bloqueado la capacidad de enviar correos electrónicos desde nuestro dominio? ¿Podría esa avalancha de phishing venir desde el interior de nuestra propia casa? Si no estamos cuidando bien la seguridad del correo electrónico, los atacantes podrían estar utilizando nuestro nombre para engañar a las personas y convencerlas para que hagan clic en enlaces maliciosos. Muy pocas compañías están utilizando estrategias de autenticación de correo electrónico como DMARC, DKIM o SPF para ayudar a verificar los mensajes válidos.

Puede ser tentador seguir buscando las nuevas amenazas que los atacantes están desarrollando, pero al final lo más importante pasa más por reparar las grietas simples que puedan existir dentro de nuestro propio edificio. A medida que la tecnología se vuelve más omnipresente, también introduce más complejidad. Al abordar a fondo estos problemas más simples, seremos capaces de dedicar menos energía a estresarnos por las sofisticadas técnicas que se utilizan contra blancos de alto valor y aprovecharla para hacer que las cosas sean realmente más seguras.

Fuente: www.welivesecurity.com

En los mercados ilegales, la información personal es ofertada desde USD 500. Empresas sufren robos de sus bases de datos. Foto referencial: Flickr/Christoph Scholz.

La oferta circula en Internet. ‘Hackers’ y hasta empresas legalmente constituidas ofrecen información de familias enteras. Dicen que los interesados pueden acceder a los nombres de los padres, de los hijos, cédulas, direcciones, correos electrónicos, números telefónicos, remuneración mensual y que solo necesita pagar de USD 500 a USD 1 000 al mes.

Investigaciones ejecutadas al respecto muestran que esas empresas y ‘hackers’ compran las bases de datos en el mercado ilegal, las almacenan y revenden a través de otras compañías, que también están legalmente constituidas.

En el último mes, la Fiscalía investiga dos casos, en los que hay información de millones de ecuatorianos. En el último operativo, realizado la semana pasada, se descubrió que estos archivos se ofertaban a través de suscripciones mensuales.

Quienes contrataban este “servicio” eran empresas, que accedían a información sobre el estado civil de la gente, situación sociodemográfica, árboles genealógicos, números de cédula, profesiones, información laboral, de actividades económicas, salarios que iban entre el 2016 y el 2019.

Para Diego Yépez, gerente de Seguridad y Data Center de CenturyLink, estos datos pueden obtenerse por dos vías.

La primera es legal y consiste en recopilar información que se encuentra almacenada en la base de cualquier institución pública. Por ejemplo, en la Red se puede consultar valores sobre los tributos. Lo único que exige el sitio web es el número de cédula, RUC o nombres de la persona.

Pero la gente también entrega información cuando llena formularios, por ejemplo, para sorteos, cuando publican sus datos en redes sociales o al divulgar sus hojas de vida. Pero las bases también son robadas a través de virus informáticos o la información es comprada ilegalmente. De hecho, los archivos personales descubiertos en el último operativo “evidencian que el origen no es legal”. Esto fue confirmado por un investigador que lleva la causa.

La Agencia de Regulación y Control de las Telecomunicaciones monitorea estos casos.

La semana pasada, la entidad presentó una denuncia en la Fiscalía, para que se investigue a un grupo de “empresas que estarían usando de forma ilegal indicadores personales”.

La transacción web

La compra-venta de las bases de datos se concreta en la denominada Web profunda o Deep Web. A ese espacio solo pueden acceder quienes tienen un cierto grado de especialización en informática. Las transacciones son, por lo general, a través de monedas electrónicas como bitcoins, que por su naturaleza digital son difíciles de rastrear.

Después de concretada la compra, para que la información no pierda vigencia, pues muchos se cambian de casas, adquieren nuevos carros o se divorcian, las firmas pagan por las actualizaciones mensuales.

Quienes están detrás de las actualizaciones son las mismas personas que tienen acceso a las bases de datos de una empresa privada o institución pública de donde se originó la información personal. Este Diario conoció dos casos de empresas que sufrieron el robo de sus bases. Los directivos contaron que las fugas fueron internas. En una compañía, por ejemplo, un empleado se sustrajo la información de la cartera de clientes.

Sin embargo, los directivos no denunciaron. “Eso era más perjudicial. Significa que uno dice: miren nos robaron, porque no pudimos cuidar”, cuenta una ejecutiva. Para evitar este tipo de hechos, el Ministerio de Telecomunicaciones presentó la Ley de Protección de Datos. Las personas que prefieren no pagar mensualmente por los datos, sino tenerlos de forma íntegra y permanente pagan hasta USD 30 000 por todo el paquete ofertado. Pero el robo de información personal no solo es a gran escala.

También hay personas particulares que usan los archivos de otros y los venden. Una persona que repara computadoras en su vivienda, en el norte de Guayaquil, ha logrado recopilar 20 archivos con más de 65 000 contactos. Esta base la oferta en una página de Internet por USD 50.

Dice que es un precio razonable, pero que también tiene paquetes de USD 80 y 100.

Cada carpeta contiene nombres, números de teléfonos, dirección de domicilios y correos electrónicos. “Las he recopilado de las empresas donde reparaba las computadoras. Primero las usaba para ofertar mis servicios. Enviaba correos masivos o a veces llamaba, pero he decidido venderlas”. Las personas que tiene registradas son de las provincias de Guayas, Quito, Cuenca y Santa Elena.

La mayoría son ejecutivos de seguros y funcionarios públicos. Cuando una persona está interesada en la base de datos, él cita en una cafetería o parque. Allí le entrega un ‘pendrive’ de 8GB, pues los archivos ocupan entre 4 y 5 GB. Una de sus carpetas se llama Base de Empresas Ejecutivas. Tiene contactos de personas que trabajan en empresas, en el área de recursos humanos.

En contexto

En septiembre, la firma de seguridad informática vpnMentor reveló una brecha de seguridad que expuso la información de 20 millones de ecuatorianos (incluidos fallecidos). Según su reporte, la brecha ya fue cerrada, pero esta podría haber sido copiada.

Fuente: www.elcomercio.com