Mucha gente se pregunta ¿a dónde va nuestra privacidad? Y la respuesta es fácil: a Internet. ¿Qué dice Google cuando escriben su nombre? ¿Qué dice el detalle de llamadas de la factura del celular? ¿Qué sabe el banco de tus viajes y tus ingresos? En las preguntas anteriores están las claves de los principales servicios de rastreo con fines comerciales que son satanizados porque en efecto: en malas manos puede vulnerar la privacidad.
Hace unos días fue publicada una nota de un programa que reproduce el historial geoposicionado que se guarda en las computadoras sincronizadas a un iPhone 3G o el iPad 3G, en otras palabras: podías ver en un mapa el rastro de los lugares donde ha estado tu teléfono. La noticia no es nueva pero ver el mapa y el historial puede dar calofríos. Sin embargo, la dificultad de obtener la información del GPS en tiempo real es relativamente difícil por eso en lugar de preocuparnos por el desinformado “rastreo del iPhone” mejor revisemos qué páginas, aplicaciones y compañías tienen verdaderos servicios de rastreo.
Google
La política de Google es proteger información sensible sobre tu privacidad, pero no sobre tu perfil.
Modus operandi:
Si hoy escribes un correo en Gmail o en el buscador de Google palabras como vacaciones, fin de semana, hotel y días después buscas información sobre Migraña, farmacias en Morelia etcétera Google guardará esa información hasta por 8 meses, así, el buscador sabrá tu edad aproximada, en qué ciudad vives, si tienes problemas de salud e incluso tu poder adquisitivo; toda esa información llega a una base de datos que desarrolla perfiles que después son vendidos a agencias de publicidad para mejorar el rendimiento de ciertas campañas publicitarias, Por esa razón si usas el buscador o Gmail, encontrarás que a la derecha de las páginas existe publicidad discreta relacionada a tus intereses. Otra herramienta podría ser Google Latitude, el servicio social GPS de Google, es por invitación, necesita una clave de acceso para terceros pero no para la empresa estadounidense.
Cuponeros
Groupon, LetsBonus o Clickonero son muy posesivos de sus clientes tanto que guardan perfiles de los usuarios.
Modus Opernadi:
De manera similar a Google, las empresas de cupones guardan información general hasta por 2 años y algunos de sus algoritmos permiten conocer quiénes son los mejores clientes, dónde están, en qué días compran mas y qué compran mas.
Foursquare
Red social cuya naturaleza es la geolocalización.
Modus Operandi:
A permiso del usuario publica en tiempo real la dirección y el nombre del lugar en donde estas, deja un registro y permite conocer la frecuencia de visita a través del GPS.
Facebook
Hace mucho escribí qué información personal sí podía vender Facebook y es parte del sigiloso rastreo de los feisbuqueros para que Mark Zuckeberg pueda ganar unos pesitos vendiendo la información a empresas de publicidad.
Modus Operandi:
Cada “Me gusta”, “Está en una relación”, “Tiene una relación complicada”, datos de edad o cada cambio de estatus son alimento para la gran base de datos de Facebook que se concentra en California y que por primera vez ha podido descifrar masivamente el comportamiento social del hombre de acuerdo a la temporada del año.
Twitter
El señor Twitter puede saber con cada twitt dónde estas, con quién estas y desde qué equipo twiteaste.
Modus Operandi:
Cada Twitt escrito es una coordenada que le dice a Twitter en dónde estas; en la red social es posible aplicar algoritmos para determinar el estado de ánimo de las personas por países o regiones. Twitter recolecta datos del dispositivo donde escribes, la frecuencia con que escribes y las personas o empresas que sigues. Gracias a estos datos muchas consultoras puede saber cómo se comportarán los mercados accionarios o medir el éxito de campañas publicitarias; lo anterior es algo que antes era imposible determinar.
Tu compañía celular
Sí, ellos en realidad sí pueden saber en dónde estas… o al menos dónde está tu celular con señal.
Modus Operandi:
La empresa que te da tu servicio tiene antenas y bases de datos que registran el historial de dónde o qué llamada hiciste desde tu teléfono, esta información tiene fines de control de calidad pero puede ser sustraída por una orden judicial.
Tarjetas bancarias
Son las peores y las que a mi me dan más miedo, además de tener tu apellido en el plástico, cada tarjeta es una herramienta fácil para saber dónde estas cuando pagas, cuánto ganas o cuánto debes.
Modus Operandi
No requiere mucha explicación, porque cada pago electrónico es una herramientas para el hostigamiento de consumidores; con el uso de un plástico se queda el registro de dónde, cuándo y cuánto gastaste, recordemos que algunos bancos vendieron bases de datos de sus clientes y si no los vendieron tal vez se los robaron.
Un principio básico es que si eres usuario de Internet puedes olvidarte de algunos aspectos de tu privacidad, así de fácil.
Fuente: El universal.mx
Fecha: 27/04/2011
martes, 3 de mayo de 2011
La Policía Local de Ourense tramitó 41 causas por filtraciones de datos
La Policía Local ourensana tramitó en los últimos cuatro años 41 expedientes contra empresas e instituciones por vulnerar la Ley de Protección de Datos. No obstante, no todos ellos afectaron a la provincia, dado que el programa informático que tienen en la Jefatura de A Ponte les permitió rastrear descargas irregulares de datos personales de los ficheros de los servicios de salud canario y cántabro, de los archivos de Telefónica, de varios centros médicos de todo el territorio nacional e incluso de clínicas veterinarias.
La última denuncia la tramitaron contra una clínica de Jerez de la Frontera (Cádiz) por facilitar, involuntariamente, la identidad de 130 pacientes. 'En la actualidad, no estamos tan atentos a este tipo de infracciones, pero tuvimos un tiempo en que detectábamos descargas de archivos con datos personales prácticamente a diario', explica el policía Pedro Fernández.
Los expedientes tramitados afectan a la documentación personal de más de 20.000 individuos, entre ellos los más de 300 clientes de una clínica de ginecología.
El Obispado, la Delegación Defensa o la Comandancia de la Guardia Civil también se enfrentaron a los requerimientos de la Agencia de Protección de Datos. El Obispado es el que más acumula (seis en cuatro años de los que cinco concluyeron con apercibimientos) por apostátas que querían causar baja de los archivos eclesiáticos.
Un céntimo por fichero
Los agentes locales de Ourense entienden que las nuevas tecnologías facilitan la filtración de datos personales de cualquier vecino. Hay veces que las descargas pueden ser involuntarias 'pero otras son para hacer negocio. Hay muchas empresas interesadas en los datos de carácter personal y los pagan bien, a un céntimo cada ficha', apuntó Pedro Fernández. 'Lo que no se puede consentir es que un cliente confíe en una empresa y le ofrezca todos sus datos y, al cabo de un tiempo, estén circulando por internet', añade. Los delitos a través de red crecieron en los últimos cuatro años en la provincia un 20 por ciento según los datos que manejan los agentes. La mayoría de ellos son estafas.
Fuent: La Región
Fecha: 02/05/2011
La última denuncia la tramitaron contra una clínica de Jerez de la Frontera (Cádiz) por facilitar, involuntariamente, la identidad de 130 pacientes. 'En la actualidad, no estamos tan atentos a este tipo de infracciones, pero tuvimos un tiempo en que detectábamos descargas de archivos con datos personales prácticamente a diario', explica el policía Pedro Fernández.
Los expedientes tramitados afectan a la documentación personal de más de 20.000 individuos, entre ellos los más de 300 clientes de una clínica de ginecología.
El Obispado, la Delegación Defensa o la Comandancia de la Guardia Civil también se enfrentaron a los requerimientos de la Agencia de Protección de Datos. El Obispado es el que más acumula (seis en cuatro años de los que cinco concluyeron con apercibimientos) por apostátas que querían causar baja de los archivos eclesiáticos.
Un céntimo por fichero
Los agentes locales de Ourense entienden que las nuevas tecnologías facilitan la filtración de datos personales de cualquier vecino. Hay veces que las descargas pueden ser involuntarias 'pero otras son para hacer negocio. Hay muchas empresas interesadas en los datos de carácter personal y los pagan bien, a un céntimo cada ficha', apuntó Pedro Fernández. 'Lo que no se puede consentir es que un cliente confíe en una empresa y le ofrezca todos sus datos y, al cabo de un tiempo, estén circulando por internet', añade. Los delitos a través de red crecieron en los últimos cuatro años en la provincia un 20 por ciento según los datos que manejan los agentes. La mayoría de ellos son estafas.
Fuent: La Región
Fecha: 02/05/2011
A la cuarta el spam es falta grave
Si bien el tipo de sanción más habitual en protección de datos por el envío de correos comerciales no solicitados (spam) es de 1.200 euros, esto se debe a que la mayor parte de los procedimientos sancionadores de la Agencia Española de Protección de Datos (AEPD) sobre este asunto se califican como falta leve, al proceder la denuncia de la recepción de un sólo email de este tipo.
Sin embargo se dan también los casos en los que la sanción puede ser mucho mayor al considerarse por parte de la AEPD que se trata de una falta grave.
Así, por ejemplo, el procedimiento sancionador PS/00191/2010 se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de una empresa del sector de artes gráficas.
Puesto que las cuentas de correo emisoras de los correos no solicitados pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que “No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia”, al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Y por lo tanto el Director de la AEPD RESUELVE:
PRIMERO: IMPONER a la entidad XXX, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.
Fuente: Marketing Positivo
Fecha: 03/05/2011
Sin embargo se dan también los casos en los que la sanción puede ser mucho mayor al considerarse por parte de la AEPD que se trata de una falta grave.
Así, por ejemplo, el procedimiento sancionador PS/00191/2010 se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de una empresa del sector de artes gráficas.
Puesto que las cuentas de correo emisoras de los correos no solicitados pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que “No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia”, al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Y por lo tanto el Director de la AEPD RESUELVE:
PRIMERO: IMPONER a la entidad XXX, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.
Fuente: Marketing Positivo
Fecha: 03/05/2011
Sony admite el robo de los datos de 77 millones de usuarios de PlayStation
Setenta y siete millones de personas en todo el mundo se levantaron ayer con la confirmación oficial de una sospecha, tras días de rumores: entre el 17 y el 19 de abril, un intruso consiguió quebrar el sistema de seguridad de PlayStation Network, la red de juegos «on line» de Sony para las consolas PlayStation 3 y PSP. Se trata de una de las brechas de seguridad más importantes en la historia de internet, quizá la segunda tras la que sufrió en 2009 Heartland, uno de los mayores procesadores de transacciones con tarjetas de pago en Estados Unidos, cuando los «hackers» robaron los datos de 130 millones de cuentas.
Sony informó de la caída del servicio el pasado día 21. Dijo que los técnicos trabajaban en encontrar las causas del «problema», y que el sistema volvería a funcionar en uno o dos días. Nada más lejos de la realidad. El pasado martes por la noche, la compañía japonesa confirmó los daños: «Hemos descubierto que entre el 17 y el 19 de abril, determinada información de los usuarios de PlayStation Network y Qriocity ha sido puesta en compromiso por una intrusión ilegal en nuestro sistema». El robo afecta a todos los usuarios de la PS3 y la PSP con cuenta en PlayStation Network: 77 millones en todo el mundo (36 en Estados Unidos, 32 en Europa y otros 9 en Asia). Sony nunca entra en detalles de usuarios por países.
El asalto de los «hackers» ha dejado al descubierto cientos de millones de datos sensibles. Entre ellos, confirmados por Sony, nombre, dirección, cuenta de correo electrónico, fecha de nacimiento, y usuario y contraseña tanto de PlayStation Network como de Qriocity, el servicio de música y vídeos de Sony, parecido al iTunes de Apple. Entre la información «posiblemente obtenida», figura la dirección de facturación, el historial de compras, la respuesta a la pregunta de seguridad, y los datos de cuentas asociadas, como las de otros miembros de la familia. Y, al cabo, la traca final: Sony no puede descartar que el robo incluya las tarjetas de crédito, con su fecha de caducidad, aunque no con el número de seguridad.
Retraso en reaccionar
La plataforma de juego seguía caída ayer por la noche, mientras internet hervía en comentarios críticos con la tardanza de Sony en dar la señal de alerta. También sobre ese punto, responde la compañía: «El tiempo que ha pasado entre que identificamos la intrusión el 19 de abril y el momento en que avisamos a nuestros usuarios es debido a que, en el momento de dicha intrusión, cerramos nuestros sistemas y, a partir de ese momento, iniciamos una investigación exhaustiva para determinar el alcance del incidente. Han sido necesarios varios días de trabajo forense, hasta que nuestros expertos pudieron ayer dar un balance del alcance de la situación».
Una vez conocidos los hechos, los expertos se preguntan por los autores de la intrusión y por sus consecuencias. En cuanto al primer capítulo, este tipo de casos suele responder a retos tecnológicos de algunos «hackers», que no acostumbran a utilizar la información obtenida. De hecho, ayer, en los foros de la PS3 se hablaba más de los días perdidos sin jugar que de los daños económicos que les pueda ocasionar el incidente, aunque también hubo quien llamó al Banco para anular su tarjeta de crédito. Respecto a las repercusiones, son imprevisibles, según el uso que se haga de la información robada. Heratland, por ejemplo, tuvo que abonar una indemnización de cuatro millones de dólares a los afectados.
Piden una investigación
En España, Facua ha pedido a la Agencia de Protección de Datos (AEPD) que abra una investigación a Sony para determinar si la empresa japonesa ha vulnerado el «principio de seguridad de los datos». Fuentes de la Agencia confirmaron ayer que van a «iniciar actuaciones previas de investigación para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la LOPD, y las responsabilidades atribuibles».
Los usuarios de la consola de Sony son precisamente los que más se conectan a la Red, según un estudio realizado por The Diffusion Group en Estados Unidos, aunque las consolas (todas) e internet cada vez tienen una relación más estrecha, lo que aumenta los riesgos de seguridad. De hecho, Microsoft confirmó ayer que se están registrando intentos de estafas informáticas («phishing») con el fin de recopilar datos de los usuarios en su plataforma de juego online Xbox Live. La compañía aseguró que están «trabajando para resolver el problema».
Fuente: ABC
Fecha: 28/04/2011
Sony informó de la caída del servicio el pasado día 21. Dijo que los técnicos trabajaban en encontrar las causas del «problema», y que el sistema volvería a funcionar en uno o dos días. Nada más lejos de la realidad. El pasado martes por la noche, la compañía japonesa confirmó los daños: «Hemos descubierto que entre el 17 y el 19 de abril, determinada información de los usuarios de PlayStation Network y Qriocity ha sido puesta en compromiso por una intrusión ilegal en nuestro sistema». El robo afecta a todos los usuarios de la PS3 y la PSP con cuenta en PlayStation Network: 77 millones en todo el mundo (36 en Estados Unidos, 32 en Europa y otros 9 en Asia). Sony nunca entra en detalles de usuarios por países.
El asalto de los «hackers» ha dejado al descubierto cientos de millones de datos sensibles. Entre ellos, confirmados por Sony, nombre, dirección, cuenta de correo electrónico, fecha de nacimiento, y usuario y contraseña tanto de PlayStation Network como de Qriocity, el servicio de música y vídeos de Sony, parecido al iTunes de Apple. Entre la información «posiblemente obtenida», figura la dirección de facturación, el historial de compras, la respuesta a la pregunta de seguridad, y los datos de cuentas asociadas, como las de otros miembros de la familia. Y, al cabo, la traca final: Sony no puede descartar que el robo incluya las tarjetas de crédito, con su fecha de caducidad, aunque no con el número de seguridad.
Retraso en reaccionar
La plataforma de juego seguía caída ayer por la noche, mientras internet hervía en comentarios críticos con la tardanza de Sony en dar la señal de alerta. También sobre ese punto, responde la compañía: «El tiempo que ha pasado entre que identificamos la intrusión el 19 de abril y el momento en que avisamos a nuestros usuarios es debido a que, en el momento de dicha intrusión, cerramos nuestros sistemas y, a partir de ese momento, iniciamos una investigación exhaustiva para determinar el alcance del incidente. Han sido necesarios varios días de trabajo forense, hasta que nuestros expertos pudieron ayer dar un balance del alcance de la situación».
Una vez conocidos los hechos, los expertos se preguntan por los autores de la intrusión y por sus consecuencias. En cuanto al primer capítulo, este tipo de casos suele responder a retos tecnológicos de algunos «hackers», que no acostumbran a utilizar la información obtenida. De hecho, ayer, en los foros de la PS3 se hablaba más de los días perdidos sin jugar que de los daños económicos que les pueda ocasionar el incidente, aunque también hubo quien llamó al Banco para anular su tarjeta de crédito. Respecto a las repercusiones, son imprevisibles, según el uso que se haga de la información robada. Heratland, por ejemplo, tuvo que abonar una indemnización de cuatro millones de dólares a los afectados.
Piden una investigación
En España, Facua ha pedido a la Agencia de Protección de Datos (AEPD) que abra una investigación a Sony para determinar si la empresa japonesa ha vulnerado el «principio de seguridad de los datos». Fuentes de la Agencia confirmaron ayer que van a «iniciar actuaciones previas de investigación para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la LOPD, y las responsabilidades atribuibles».
Los usuarios de la consola de Sony son precisamente los que más se conectan a la Red, según un estudio realizado por The Diffusion Group en Estados Unidos, aunque las consolas (todas) e internet cada vez tienen una relación más estrecha, lo que aumenta los riesgos de seguridad. De hecho, Microsoft confirmó ayer que se están registrando intentos de estafas informáticas («phishing») con el fin de recopilar datos de los usuarios en su plataforma de juego online Xbox Live. La compañía aseguró que están «trabajando para resolver el problema».
Fuente: ABC
Fecha: 28/04/2011
Sony reconoce el robo de datos de tres millones de españoles
Ciberladrones han accedido a la información confidencial de los clientes de la red de Playstation, incluidos los números de tarjeta bancaria de 330.000 usuarios en España. La Agencia de Protección de Datos investiga el caso
La Agencia Española de Protección de Datos (AEPD) ha decidido investigar a Sony por el robo de datos de los usuarios de su PlayStation Network (PSN). La compañía ha reconocido que la base de datos de sus 77 millones de clientes de todo el mundo ha sido asaltada por unos intrusos, y no descarta que se hayan llevado la información de las tarjetas de crédito. De los tres millones de españoles que juegan en PSN, unos 330.000 habían pagado con tarjeta su derecho a jugar.
Una semana ha tardado Sony en reconocer que tenía un serio problema. Los clientes de su plataforma de juegos online empezaron a notar que las conexiones no iban bien el 19 de abril. Aunque no se ha sabido hasta ahora, cuando lo ha reconocido la compañía en su blog oficial, intrusos aún no identificados habían conseguido entrar en sus servidores y se lo habían llevado todo: "A pesar de estar todavía investigando los detalles de este incidente, creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/Qriocity, y PSN ID [un identificador de la red]", explican. Fue esta pérdida de datos la que obligó a Sony a cerrar temporalmente PSN y no un fallo técnico, como se dijo en un principio.
La empresa ha tardado una semana en reconocer la intrusión
Además, la compañía japonesa no descarta que también se hayan llevado datos financieros de sus usuarios. "Es también posible que vuestros datos de perfil, así como historial de compra, dirección de cobro (ciudad, provincia, código postal) y preguntas de seguridad de acceso a vuestras cuentas de PlayStation Network/Qriocity hayan sido obtenidos", sigue escribiendo en el blog el director de comunicación, Patrick Seybold. Incluso el número de la tarjeta bancaria y su fecha de validez también podrían haber volado. Desde la compañía explican que esto aún no se ha confirmado. Tampoco tienen el código de seguridad, el CVV que hay que indicar al comprar en muchas tiendas de internet.
Según datos de la compañía, el número de posibles afectados es enorme: PSN tiene 77 millones de usuarios en todo el mundo. De los 32 millones de europeos que juegan online o ven películas en la plataforma de Sony, tres millones son españoles. Y de estos, 330.000 han facilitado los datos de sus tarjetas a la compañía. "No tenemos constancia de que ninguno de los clientes españoles haya sufrido algún movimiento extraño en su cuenta", explica una portavoz de Sony. Sin embargo, en algunos foros aparecían ayer las primeras quejas de cargos indebidos. La empresa nipona pide a sus clientes que vigilen bien sus cuentas para detectar movimientos sospechosos.
Ante la preocupación suscitada, la AEPD decidió ayer "iniciar actuaciones para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la Ley de Protección de Datos (LOPD) y las responsabilidades atribuibles", dijo un portavoz de la agencia. Pero, desde un punto de vista legal, las cosas no están del todo claras y Sony podría escaparse. "Primero habrá que saber si la AEPD es competente para investigar a Sony", explica el abogado especialista en privacidad Samuel Parra. Si Sony tiene los datos de los usuarios, aunque sean españoles, en servidores de Japón y los gestiona desde allí y no una filial suya en territorio español, "la AEPD no podría actuar contra la compañía", opina Parra.
Sony podría evitar la sanción española si los datos están en Japón o EEUU
Además, no se estaría ante la vulneración del derecho a la intimidad y la privacidad, sino el de protección de datos. El principio de seguridad, que obliga a las compañías que tienen los datos personales a una custodia efectiva, está regulado en la LOPD (Ley Orgánica de Protección de Datos) y exige al responsable del fichero instalar las medidas de protección adecuadas. "Es una obligación de resultado, que exige a la compañía hacer lo que sea para protegerlos", dice Parra. Y esa posible negligencia habrá que probarla. En el caso de que se pruebe, Sony habría incurrido en una falta muy grave y podría ser sancionada con 300.000 euros. "Aunque haya un millón de españoles afectados, sólo habrá una única sanción", recuerda Parra.
Fallo de seguridad
Aunque el comunicado de Sony abunda en disculpas y consejos, apenas da una explicación de lo ocurrido, alegando que lo está investigando. Pero, como explica el director de Hispasec, Antonio Ropero, "las compañías suelen minimizar el número de afectados cuando sufren un ataque y Sony ha reconocido que, en este caso, ha afectado a todos". Esto implica que los ciberdelincuentes han tenido acceso a toda la base de datos. Si los intrusos han podido hacerse con los datos de 77 millones de personas, algo ha debido de hacerse mal. "Las empresas, al menos la mayoría, protegen sus servidores", recuerda Luis Corrons, de Panda. El método más habitual es usar una contraseña para acceder a cada fichero personal y esta clave se cifra con un algoritmo matemático. "Esto hace que, si la información es robada, sea inservible", explica Corrons. No parece que sea el caso de Sony.
Hay otro problema que destacan los expertos y que ha sido pasado por alto. Por razones de economía mental, la mayoría de las personas usan las mismas claves para los diferentes servicios de internet, desde cuentas del banco a chats. Ahora alguien tiene en su poder las contraseñas de millones de personas.
En cuanto a los culpables, hay quienes señalan al grupo Anonymous. Hace unas semanas, miembros de este colectivo lanzaron un ataque masivo contras las redes de Sony para protestar por la persecución que mantenía contra el hacker GeoHotz, un joven de 18 años que, en enero, hizo públicas las claves de la PlayStation. Anonymous cesó la ofensiva para evitar perjudicar a los jugadores de la PSN. De hecho, en un comunicado en el que tildaron a Sony de incompetente, el grupo aseguró la semana pasada: "Por una vez, nosotros no fuimos".
Por otro lado, según informaba ayer el diario The Guardian, también XboX Live, la plataforma de Microsoft, ha sido atacada. Los usuarios del juego Modern Warfare 2 estarían expuestos a recibir ataques de phishing, un tipo de estafa en internet. Aunque parece un caso puntual, la paranoia se está instalando entre los jugones.
Fuente: Publico
Fecha: 28/04/2011
La Agencia Española de Protección de Datos (AEPD) ha decidido investigar a Sony por el robo de datos de los usuarios de su PlayStation Network (PSN). La compañía ha reconocido que la base de datos de sus 77 millones de clientes de todo el mundo ha sido asaltada por unos intrusos, y no descarta que se hayan llevado la información de las tarjetas de crédito. De los tres millones de españoles que juegan en PSN, unos 330.000 habían pagado con tarjeta su derecho a jugar.
Una semana ha tardado Sony en reconocer que tenía un serio problema. Los clientes de su plataforma de juegos online empezaron a notar que las conexiones no iban bien el 19 de abril. Aunque no se ha sabido hasta ahora, cuando lo ha reconocido la compañía en su blog oficial, intrusos aún no identificados habían conseguido entrar en sus servidores y se lo habían llevado todo: "A pesar de estar todavía investigando los detalles de este incidente, creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/Qriocity, y PSN ID [un identificador de la red]", explican. Fue esta pérdida de datos la que obligó a Sony a cerrar temporalmente PSN y no un fallo técnico, como se dijo en un principio.
La empresa ha tardado una semana en reconocer la intrusión
Además, la compañía japonesa no descarta que también se hayan llevado datos financieros de sus usuarios. "Es también posible que vuestros datos de perfil, así como historial de compra, dirección de cobro (ciudad, provincia, código postal) y preguntas de seguridad de acceso a vuestras cuentas de PlayStation Network/Qriocity hayan sido obtenidos", sigue escribiendo en el blog el director de comunicación, Patrick Seybold. Incluso el número de la tarjeta bancaria y su fecha de validez también podrían haber volado. Desde la compañía explican que esto aún no se ha confirmado. Tampoco tienen el código de seguridad, el CVV que hay que indicar al comprar en muchas tiendas de internet.
Según datos de la compañía, el número de posibles afectados es enorme: PSN tiene 77 millones de usuarios en todo el mundo. De los 32 millones de europeos que juegan online o ven películas en la plataforma de Sony, tres millones son españoles. Y de estos, 330.000 han facilitado los datos de sus tarjetas a la compañía. "No tenemos constancia de que ninguno de los clientes españoles haya sufrido algún movimiento extraño en su cuenta", explica una portavoz de Sony. Sin embargo, en algunos foros aparecían ayer las primeras quejas de cargos indebidos. La empresa nipona pide a sus clientes que vigilen bien sus cuentas para detectar movimientos sospechosos.
Ante la preocupación suscitada, la AEPD decidió ayer "iniciar actuaciones para determinar si se han visto afectados derechos de ciudadanos, posibles vulneraciones de la Ley de Protección de Datos (LOPD) y las responsabilidades atribuibles", dijo un portavoz de la agencia. Pero, desde un punto de vista legal, las cosas no están del todo claras y Sony podría escaparse. "Primero habrá que saber si la AEPD es competente para investigar a Sony", explica el abogado especialista en privacidad Samuel Parra. Si Sony tiene los datos de los usuarios, aunque sean españoles, en servidores de Japón y los gestiona desde allí y no una filial suya en territorio español, "la AEPD no podría actuar contra la compañía", opina Parra.
Sony podría evitar la sanción española si los datos están en Japón o EEUU
Además, no se estaría ante la vulneración del derecho a la intimidad y la privacidad, sino el de protección de datos. El principio de seguridad, que obliga a las compañías que tienen los datos personales a una custodia efectiva, está regulado en la LOPD (Ley Orgánica de Protección de Datos) y exige al responsable del fichero instalar las medidas de protección adecuadas. "Es una obligación de resultado, que exige a la compañía hacer lo que sea para protegerlos", dice Parra. Y esa posible negligencia habrá que probarla. En el caso de que se pruebe, Sony habría incurrido en una falta muy grave y podría ser sancionada con 300.000 euros. "Aunque haya un millón de españoles afectados, sólo habrá una única sanción", recuerda Parra.
Fallo de seguridad
Aunque el comunicado de Sony abunda en disculpas y consejos, apenas da una explicación de lo ocurrido, alegando que lo está investigando. Pero, como explica el director de Hispasec, Antonio Ropero, "las compañías suelen minimizar el número de afectados cuando sufren un ataque y Sony ha reconocido que, en este caso, ha afectado a todos". Esto implica que los ciberdelincuentes han tenido acceso a toda la base de datos. Si los intrusos han podido hacerse con los datos de 77 millones de personas, algo ha debido de hacerse mal. "Las empresas, al menos la mayoría, protegen sus servidores", recuerda Luis Corrons, de Panda. El método más habitual es usar una contraseña para acceder a cada fichero personal y esta clave se cifra con un algoritmo matemático. "Esto hace que, si la información es robada, sea inservible", explica Corrons. No parece que sea el caso de Sony.
Hay otro problema que destacan los expertos y que ha sido pasado por alto. Por razones de economía mental, la mayoría de las personas usan las mismas claves para los diferentes servicios de internet, desde cuentas del banco a chats. Ahora alguien tiene en su poder las contraseñas de millones de personas.
En cuanto a los culpables, hay quienes señalan al grupo Anonymous. Hace unas semanas, miembros de este colectivo lanzaron un ataque masivo contras las redes de Sony para protestar por la persecución que mantenía contra el hacker GeoHotz, un joven de 18 años que, en enero, hizo públicas las claves de la PlayStation. Anonymous cesó la ofensiva para evitar perjudicar a los jugadores de la PSN. De hecho, en un comunicado en el que tildaron a Sony de incompetente, el grupo aseguró la semana pasada: "Por una vez, nosotros no fuimos".
Por otro lado, según informaba ayer el diario The Guardian, también XboX Live, la plataforma de Microsoft, ha sido atacada. Los usuarios del juego Modern Warfare 2 estarían expuestos a recibir ataques de phishing, un tipo de estafa en internet. Aunque parece un caso puntual, la paranoia se está instalando entre los jugones.
Fuente: Publico
Fecha: 28/04/2011
La pesadilla del ´¿tiene un momento?´
El acoso telefónico. El teléfono, especialmente el móvil, puede pasar de ser un vehículo de comunicación que nos permite hacer la vida más fácil a convertirse en una pesadilla gracias a la creciente publicidad no deseada, que en forma de llamadas inesperadas dinamita siestas, películas, comidas, reuniones familiares e incluso nuestros momentos más íntimos.
El acoso telefónico ya no es sinónimo de llamadas de un perturbado que amenaza o dice obscenidades, sino del martilleo constante de ofertas telefónicas que nos llegan a casa o al móvil a horas intempestivas con el propósito de convencernos para que cambiemos de operadora, de proveedor de servicios de internet, compañía eléctrica, de gas o de seguros, o vendernos cualquier producto o servicio en el que no estamos interesados.
La federación de consumidores Facua, que incluye a a estas llamadas o mensajes de publicidad no deseada, como una de las cinco peores prácticas empresariales del año, critica que pese a las promesas de autorregulación que el sector se comprometió hace un año con la firma de un "código de buenas prácticas", las compañías siguen haciendo caso omiso a las peticiones de los consumidores de que no vuelvan a ser molestados con llamadas reiteradas y, aunque está prohibido, algunas de ellas continuan utilizando números de teléfono ocultos para que no se pueda identificar quién llama y, por tanto, los clientes a los que van a la caza desistan de descolgar el teléfono.
"Incumplimiento masivo"
Ante este panorama, el portavoz de Facua, Rubén Sánchez, denuncia "el incumplimiento masivo del sector debido a la proliferación del 'spam' telefónico [publicidad no deseada]". Desde Valencia, Julián Tío, jefe del Servicio de Reclamaciones de la Asociación Valenciana de Consumidores y Usuarios (Avacu), incide en que se trata de una técnica de mercadotecnia "agresiva" y recuerda que la ley obliga a que las llamadas de este tipo que nos llegan al móvil o al teléfono de casa deben de ser "a través de un número abierto que se pueda reconocer". También son ilegales las llamadas automáticas sin intervención humana con fines de venta directa.
Tío añade que el consumidor, si no está conforme con estas llamadas, puede solicitar al anunciante que le facilite el registro de donde han obtenido sus datos. "Todos tenemos derecho a acceder a nuestros datos, pedir que se rectifiquen o cancelen e, incluso, oponernos a que se utilicen para usos publicitarios". "Si se niegan a facilitarnos estos derechos fundamentales recogidos en la Ley Orgánica de Protección de Datos (LOPD) -que se identifican con el acrónimo ARCO de Acceso, Rectificación, Cancelación y Oposición-, se puede presentar ante la Agencia Española de Protección de Datos (AEPD) una reclamación de tutela".
El portavoz de Avacu también recomienda que se exijan por escrito las ofertas que nos llegan por teléfono "como condición previa a la contratación de cualquier servicio". Y, si la empresa se niega, "evidentemente, no contratar nada ¿qué puedes esperar de una compañía que antes incluso de contratar es incapaz de cumplir la ley?"
Pídalo todo por escrito
Tío considera que no es recomendable aceptar ofertas telefónicas sin un respaldo por escrito, porque "si luego no cumplen lo que nos han prometido, ¿cómo podemos acreditar las condiciones pactadas?" "No hay que contratar a tontas y a ciegas, el consumidor debe ser responsable de sus contratos y exigir que se los entreguen por escrito antes de dar su aceptación a una oferta telefónica".
En las llamadas al teléfono fijo hay que saber que la mayoría de empresas obtiene nuestros datos de archivos abiertos como las ediciones electrónicas del listín telefónico. El citado derecho de Oposición permite que, sin necesidad de aportar motivo alguno, nos podamos oponer a que nuestros datos se traten con fines publicitarios.
Desconocimiento
Sin embargo, el porcentaje de usuarios que ha solicitado acogerse a este derecho es mínimo, tal vez porque la mayoría lo desconoce. En la web de la AEPD (www.agpd.es) se puede descargar una guía sobre cómo proteger nuestros datos.
Si todo esto falla, siempre queda el derecho al pataleo y comunicar a quien nos agobia desde el otro lado del teléfono que el "señor o señora de la casa se fue a comprar tabaco y no regresó".
Fuente: Levante-emv
Fecha:03/05/2011
El acoso telefónico ya no es sinónimo de llamadas de un perturbado que amenaza o dice obscenidades, sino del martilleo constante de ofertas telefónicas que nos llegan a casa o al móvil a horas intempestivas con el propósito de convencernos para que cambiemos de operadora, de proveedor de servicios de internet, compañía eléctrica, de gas o de seguros, o vendernos cualquier producto o servicio en el que no estamos interesados.
La federación de consumidores Facua, que incluye a a estas llamadas o mensajes de publicidad no deseada, como una de las cinco peores prácticas empresariales del año, critica que pese a las promesas de autorregulación que el sector se comprometió hace un año con la firma de un "código de buenas prácticas", las compañías siguen haciendo caso omiso a las peticiones de los consumidores de que no vuelvan a ser molestados con llamadas reiteradas y, aunque está prohibido, algunas de ellas continuan utilizando números de teléfono ocultos para que no se pueda identificar quién llama y, por tanto, los clientes a los que van a la caza desistan de descolgar el teléfono.
"Incumplimiento masivo"
Ante este panorama, el portavoz de Facua, Rubén Sánchez, denuncia "el incumplimiento masivo del sector debido a la proliferación del 'spam' telefónico [publicidad no deseada]". Desde Valencia, Julián Tío, jefe del Servicio de Reclamaciones de la Asociación Valenciana de Consumidores y Usuarios (Avacu), incide en que se trata de una técnica de mercadotecnia "agresiva" y recuerda que la ley obliga a que las llamadas de este tipo que nos llegan al móvil o al teléfono de casa deben de ser "a través de un número abierto que se pueda reconocer". También son ilegales las llamadas automáticas sin intervención humana con fines de venta directa.
Tío añade que el consumidor, si no está conforme con estas llamadas, puede solicitar al anunciante que le facilite el registro de donde han obtenido sus datos. "Todos tenemos derecho a acceder a nuestros datos, pedir que se rectifiquen o cancelen e, incluso, oponernos a que se utilicen para usos publicitarios". "Si se niegan a facilitarnos estos derechos fundamentales recogidos en la Ley Orgánica de Protección de Datos (LOPD) -que se identifican con el acrónimo ARCO de Acceso, Rectificación, Cancelación y Oposición-, se puede presentar ante la Agencia Española de Protección de Datos (AEPD) una reclamación de tutela".
El portavoz de Avacu también recomienda que se exijan por escrito las ofertas que nos llegan por teléfono "como condición previa a la contratación de cualquier servicio". Y, si la empresa se niega, "evidentemente, no contratar nada ¿qué puedes esperar de una compañía que antes incluso de contratar es incapaz de cumplir la ley?"
Pídalo todo por escrito
Tío considera que no es recomendable aceptar ofertas telefónicas sin un respaldo por escrito, porque "si luego no cumplen lo que nos han prometido, ¿cómo podemos acreditar las condiciones pactadas?" "No hay que contratar a tontas y a ciegas, el consumidor debe ser responsable de sus contratos y exigir que se los entreguen por escrito antes de dar su aceptación a una oferta telefónica".
En las llamadas al teléfono fijo hay que saber que la mayoría de empresas obtiene nuestros datos de archivos abiertos como las ediciones electrónicas del listín telefónico. El citado derecho de Oposición permite que, sin necesidad de aportar motivo alguno, nos podamos oponer a que nuestros datos se traten con fines publicitarios.
Desconocimiento
Sin embargo, el porcentaje de usuarios que ha solicitado acogerse a este derecho es mínimo, tal vez porque la mayoría lo desconoce. En la web de la AEPD (www.agpd.es) se puede descargar una guía sobre cómo proteger nuestros datos.
Si todo esto falla, siempre queda el derecho al pataleo y comunicar a quien nos agobia desde el otro lado del teléfono que el "señor o señora de la casa se fue a comprar tabaco y no regresó".
Fuente: Levante-emv
Fecha:03/05/2011
Facebook estrena el botón Enviar, obviando la LOPD
Facebook ha estrenado esta semana el nuevo botón enviar, con el objetivo de mejorar la interacción entre los usuarios de la red social y aportar a las webs un nuevo elemento para que su información sea difundida.
Su diseño es similar al botón “Me Gusta”, y funciona de manera que al hacer click, podemos enviar esa página por mensaje privado a cualquier amigo, grupo (siempre que estes conectado en Facebook) o a una dirección de mail, con la posibilidad de dejar algún comentario al respecto. Lo provechoso es que estos envíos se suman al número total que ya tenga el “Me gusta” de la página.
A diferencia de este último la utilidad sigue siendo compartir información, aunque de forma más privada. De modo que podemos enviar un link a un amigo a través de mensajes de Facebook (llegan como un mail), postearlo a un grupo o enviárselo a una persona por correo electrónico que no necesariamente pertenezca a la red social.
Según la Agencia de Protección de Datos, la funcionalidad “enviar a un amigo” vulnera la LSSI y la LOPD, pero podemos ver como la mayoría de tiendas online no lo tienen en cuenta, podéis comprobarlo en El Corte Ingles
Al parecer en Facebook nuevamente pasan por alto a las autoridades españolas (hurra!)
El problema es que el responsable legal de esta infracción, podría ser el web que pone el botón, y no Facebook, quien solamente proporcionaría la herramienta.
Dudo que la AEPD cargue contra las webs que utilizen estos sistemas, tranquilamente el 85 % de las tiendas on-line en España.
Fuente: brickandclic
Fecha: 30/04/2011
Su diseño es similar al botón “Me Gusta”, y funciona de manera que al hacer click, podemos enviar esa página por mensaje privado a cualquier amigo, grupo (siempre que estes conectado en Facebook) o a una dirección de mail, con la posibilidad de dejar algún comentario al respecto. Lo provechoso es que estos envíos se suman al número total que ya tenga el “Me gusta” de la página.
A diferencia de este último la utilidad sigue siendo compartir información, aunque de forma más privada. De modo que podemos enviar un link a un amigo a través de mensajes de Facebook (llegan como un mail), postearlo a un grupo o enviárselo a una persona por correo electrónico que no necesariamente pertenezca a la red social.
Según la Agencia de Protección de Datos, la funcionalidad “enviar a un amigo” vulnera la LSSI y la LOPD, pero podemos ver como la mayoría de tiendas online no lo tienen en cuenta, podéis comprobarlo en El Corte Ingles
Al parecer en Facebook nuevamente pasan por alto a las autoridades españolas (hurra!)
El problema es que el responsable legal de esta infracción, podría ser el web que pone el botón, y no Facebook, quien solamente proporcionaría la herramienta.
Dudo que la AEPD cargue contra las webs que utilizen estos sistemas, tranquilamente el 85 % de las tiendas on-line en España.
Fuente: brickandclic
Fecha: 30/04/2011
Economistas señalan que La reforma de la Ley de Protección de Datos podría iniciar un cambio en el tratamiento de las pymes
- El Registro de Economistas Auditores de Sistemas de Información, RASI, órgano especializado del Consejo General de Colegios de Economistas, ha analizado la nueva reforma de la LOPD, que se ha introducido en la Ley de Economía Sostenible y entre los aspectos más destacables como positivos se encuentra el apercibimiento como medida a aplicar antes de la sanción, que no existía en la Ley anterior: de forma excepcional el órgano sancionador de la AGPD podrá no acordar la apertura del procedimiento sancionador y sustituirlo por apercibir al sujeto responsable para que en un plazo acredite la adopción de medidas correctoras, siempre y cuando el sujeto no hubiera sido sancionado o apercibido con anterioridad (se trate de infracciones leves o graves)
En el resumen comparativo que se adjunta, se observa que ésta reforma supone una nueva graduación de las infracciones, más acorde con la realidad, por lo que en principio, salvo algún aspecto particular, en general resulta un poco menos estricta en determinados aspectos que la LOPD vigente. No obstante, advertimos que el intervalo sancionador superior, se mantiene en los 600.000 euros para las infracciones muy graves y en las graves también permanece el límite superior en 300.000 euros, lo que parece elevado a juicio del RASI del Consejo General de Economistas. Además la franja inferior (infracciones leves) se ha incrementado desde los 600 a los 900 euros. Sin embargo, el umbral superior de las infracciones leves se ha reducido de 60.000 a 40.000 euros y el correspondiente a las infracciones graves se ha bajado a partir de 40.001 euros (antes era a partir de 60.001 euros).
El presidente del Consejo General de Colegios de Economistas, Valentí Pich señala que: “Cuando se crean nuevos requisitos legales, es importante estudiar que su aplicación es amigable, posible y realista con la estructura económica de nuestras pymes, al objeto de que las leyes sean eficaces para conseguir el fin previsto y no se conviertan en un brindis al sol”
En opinión del presidente del RASI-CGCEE, Alonso Hernández, “debería haber mayor debate en esta reforma y una mayor participación de las distintas organizaciones involucradas en protección de datos, teniendo en cuenta que se trata de una Ley Orgánica y que esta reforma ha sido introducida a través de una enmienda en la última fase del Senado del Proyecto de Ley de Economía Sostenible”.
Asimismo, Alonso Hernández, especialista en Sistemas de Información, señala que: “encontramos, por otro lado, positiva la inclusión de más supuestos a tener en cuenta en la graduación de las infracciones. Entre ellos se encuentra, el volumen de negocio o actividad del infractor, por lo que parece que se está refiriendo a si se trata de una gran empresa o una pyme. Este criterio corrector está en la línea defendida desde el Consejo General de Colegios de Economistas desde hace años y transmitida a la Agencia de Protección de Datos, a favor de una específica regulación o consideración de protección de datos para las pymes, así como en la consulta remitida recientemente desde RASI-CGCEE a la Comisión Europea, que por fin el legislador parece tener en consideración”.
No obstante, consideramos que la LOPD sigue siendo estricta comparativamente con Europa y se debe tener en cuenta con esta reforma que, “el deber de secreto”, de infracción leve en determinados casos, pasa a infracción grave en todos los casos. Esta es una excepción a la graduación a la baja de las infracciones, por lo que habrá que tener mucho cuidado en este aspecto.
EJEMPLO: Si por error, en el envío de un correo electrónico a diferentes destinatarios ajenos entre sí, no se envía con copia oculta, de manera que quedan identificados todos ellos, se incumpliría el deber de secreto, por lo que, si alguno de los destinatarios lo denuncia, se consideraría infracción grave.
Fuente: Diario Juridico
Fecha: 19/04/2011
En el resumen comparativo que se adjunta, se observa que ésta reforma supone una nueva graduación de las infracciones, más acorde con la realidad, por lo que en principio, salvo algún aspecto particular, en general resulta un poco menos estricta en determinados aspectos que la LOPD vigente. No obstante, advertimos que el intervalo sancionador superior, se mantiene en los 600.000 euros para las infracciones muy graves y en las graves también permanece el límite superior en 300.000 euros, lo que parece elevado a juicio del RASI del Consejo General de Economistas. Además la franja inferior (infracciones leves) se ha incrementado desde los 600 a los 900 euros. Sin embargo, el umbral superior de las infracciones leves se ha reducido de 60.000 a 40.000 euros y el correspondiente a las infracciones graves se ha bajado a partir de 40.001 euros (antes era a partir de 60.001 euros).
El presidente del Consejo General de Colegios de Economistas, Valentí Pich señala que: “Cuando se crean nuevos requisitos legales, es importante estudiar que su aplicación es amigable, posible y realista con la estructura económica de nuestras pymes, al objeto de que las leyes sean eficaces para conseguir el fin previsto y no se conviertan en un brindis al sol”
En opinión del presidente del RASI-CGCEE, Alonso Hernández, “debería haber mayor debate en esta reforma y una mayor participación de las distintas organizaciones involucradas en protección de datos, teniendo en cuenta que se trata de una Ley Orgánica y que esta reforma ha sido introducida a través de una enmienda en la última fase del Senado del Proyecto de Ley de Economía Sostenible”.
Asimismo, Alonso Hernández, especialista en Sistemas de Información, señala que: “encontramos, por otro lado, positiva la inclusión de más supuestos a tener en cuenta en la graduación de las infracciones. Entre ellos se encuentra, el volumen de negocio o actividad del infractor, por lo que parece que se está refiriendo a si se trata de una gran empresa o una pyme. Este criterio corrector está en la línea defendida desde el Consejo General de Colegios de Economistas desde hace años y transmitida a la Agencia de Protección de Datos, a favor de una específica regulación o consideración de protección de datos para las pymes, así como en la consulta remitida recientemente desde RASI-CGCEE a la Comisión Europea, que por fin el legislador parece tener en consideración”.
No obstante, consideramos que la LOPD sigue siendo estricta comparativamente con Europa y se debe tener en cuenta con esta reforma que, “el deber de secreto”, de infracción leve en determinados casos, pasa a infracción grave en todos los casos. Esta es una excepción a la graduación a la baja de las infracciones, por lo que habrá que tener mucho cuidado en este aspecto.
EJEMPLO: Si por error, en el envío de un correo electrónico a diferentes destinatarios ajenos entre sí, no se envía con copia oculta, de manera que quedan identificados todos ellos, se incumpliría el deber de secreto, por lo que, si alguno de los destinatarios lo denuncia, se consideraría infracción grave.
Fuente: Diario Juridico
Fecha: 19/04/2011
Suscribirse a:
Entradas (Atom)
Entradas
