Consejos prácticos para evitar que te espíen a través de la webcam

La webcam, objetivo de hackers

 

Las webcams se han convertido en los últimos años en objetivo de hackers; introducen en equipos informáticos un malware que capta imágenes a través de la cámara sin el consentimiento ni conocimiento del usuario, de modo que éste se convierte en víctima de espionaje. Paralelamente, cada vez estamos rodeados de más dispositivos electrónicos con cámaras integradas; ordenadores, tabletas, smartphones… aumentando así la probabilidad de sufrir ataques a nuestra privacidad. Suelen ser especialmente vulnerables aquellas webcams que funcionan a través de wifi.

 

La principal causa de este problema es la falta de concienciación por parte de los usuarios con respecto a la seguridad en Internet. Es una idea bastante extendida nadie mirará lo que graba tu cámara web, que no es interesante. Pero Internet no funciona así.

Por otro lado, piensa que si tú puedes acceder a tu webcam a distancia, otros usuarios también pueden. Además, a una webcam que no esté protegida por una contraseña fuerte se puede acceder a través de un buscador como Google (una tarea relativamente sencilla para alguien con ciertos conocimientos informáticos) y hay hackers que pueden acceder a la cámara incluso cuando está desconectada, aunque nunca con el ordenador apagado.

Teniendo en cuenta todos estos aspectos, desde Áudea queremos compartir con nuestros lectores una serie consejos prácticos para reforzar la seguridad de nuestra webcam y evitar que nos espíen por esta vía.

 

1. Desconexión remota

Desconecta el acceso remoto de la cámara cuando no lo necesites.

 

2. Cambio de la contraseña por defecto de la webcam

Esta medida debería de provenir de los propios fabricantes y proveedores de las Webcam, dejando de utilizar una contraseña por defecto en todos los dispositivos susceptibles de ser hackeados.

  • Las webcams habitualmente viene con una contraseña y un usuario por defecto, por lo que, una vez configurada, se debe cambiar estos parámetros. Es un aspecto muy importante para la seguridad del hardware, así como de cualquier dispositivo con acceso a Internet.
  • Asegúrate de que se ha cambiado lacontraseña que la cámara trae por defecto por una “más sólida” y fácil de recordar. “Incluso mejor, usar una frase como contraseña, como por ejemplo 84LoveEatingPizzaWatchingFootball!
  • Cerciórate de que se han aplicado y se están utilizando todos los ajustes para seguridad que provee el fabricante.
  • Se recomienda que tanto el nuevo usuario como la contraseña sean de un mínimo de 8 o 10 caracteres, procurando combinar letras, números y caracteres especiales, así como alternar minúsculas y mayúsculas.
3. Instalación del firmware

Todas las Webcams suelen llevar un firmware para asegurar la privacidad del consumidor, aunque muchas veces no es suficiente para asegurar nuestra intimidad y evitar que puedan espiarnos y difundir grabaciones.

Además de instalar el firmware correspondiente, debemos asegurarnos que disponemos de una versión actualizada y adecuada al modelo específico del que dispongamos. Esto es aplicable a cualquier dispositivo usado online.

4. Cambio de puertos

Los hackers atacan a los puertos por defecto, por lo que sería interesante cambiar el puerto por defecto por uno en el rango de 8100 o mayor. De esta forma, no le pondrás las cosas fáciles a los piratas informáticos.

5. Control de logs

Las cámaras y los otros dispositivos con acceso a Internet ofrecen la posibilidad de observar un listado con las direcciones IP que se conectan a nuestra webcam. Podrás comprobar los registros para controlar que nadie indeseado se esté conectando.

6. Cambio de la contraseña de tu wifi

Apuesta por claves de seguridad complicadas. Las claves de acceso a la red wifi pueden ser burladas por los hackers y, si las descubren, podrían tener acceso a tu ordenador.

Modifica la clave del wifi cada cierto tiempo. Crea una contraseña que tenga mínimo ocho caracteres y nunca utilices sólo palabras simples o nombres propios. Lo ideal es combinar números y letras en mayúsculas y minúsculas.

7. La webcam, mejor tapada

Algo tan simple como mantener la cámara tapada puede ser una gran medida de protección. Recuérdalo, usa un ‘post-it’, una pequeña pegatina o un trozo de papel para cubrir el objetivo de la webcam cuando no la estés utilizando.

De esta forma, si se hacen con el control de la cámara, los hackers se encontrarán con una imagen fija y negra. No podrán grabar nada.

Te proponemos que utilices un accesorio como este, que recibe el nombre de ipatch.

8. Instalación de app´s para proteger la privacidad

Instalación de programas que permitan para cuidar la privacidad y seguridad en los sistemas operativos. Por ejemplo Riot Isolator,  que además de ser gratis, se puede utilizar en cualquier versión desde Windows 7 tanto en sistemas de 32 como 64 bits, con el único requisito de instalar Microsoft .NET Framework 4.x en adelante.

Esta aplicación se propone desde el sitio Web RedesZone desde donde se cuentan todos los detalles de utilización, instalación y utilidades.

9. Lo más importante: si te espían denuncia

Saber si nos están espiando es muy sencillo. La mayoría de cámaras disponen de una pequeña luz que indica que, cuando está encendida, indica que la webcam está activa. Si nosotros no hemos encendido la cámara, es posible que esté siendo utilizada en remoto por un hacker. Es recomendable desconectar de inmediato el wifi del equipo y activar el antivirus si no lo estuviera.

Si eres de los que ha detectado ya la existencia de imágenes de tu webcam en Internet, puedes ejercitar tus derechos y solicitar la retirada de las mismas. Dirígete a la Policía. Allí tendrás que interponer una denuncia a través de la brigada de delitos informáticos, quienes te dirán cómo actuar.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

tecnologia , , , ,

¿Es necesario un nuevo derecho para proteger los datos personales?

La Oficina Española de Patentes y Marcas junto con LES han organizado este 13 de marzo una interesante jornada sobre el Big Data, que ha contado con la presencia del abogado y profesor de Derecho Aurelio López-Tarruella, quien ha expuesto su opinión sobre la necesidad de un nuevo marco legal para proteger los datos no personales.

Para López-Tarruella, el análisis de esta cuestión tiene su inicio en el estudio de la estrategia europea del mercado único digital. Esta estrategia se divide en tres pilares:

  1. Mejorar elacceso de los consumidores y las empresas a los bienes y servicios digitales en toda Europa.
  2. Crear las condiciones adecuadas y garantizar la igualdad de condiciones para que lasredes digitales y los servicios innovadores puedan prosperar.
  3. Maximizar el potencial decrecimiento de la economía digital.

La presentación se ha basado en este último pilar, concretamente en la propuesta de la Unión Europea consistente en crear derechos para los productores de datos. Para entender esta propuesta, ha sido necesario responder a tres cuestiones preliminares:

¿Es inadecuado el actual derecho de propiedad intelectual respecto a los productores de datos?

Para responder a esta pregunta, es necesario dividir el Big Data en dos:

  1. Por un lado, lasherramientas de recolección de datos, tratamiento y análisis, que quedan protegidas por el derecho actual de propiedad intelectual mediante patentes o derechos de autor,
  2. Y por otro lado, losdatos, donde la protección actual parece no ser suficiente.

Para ilustrar este problema, el ponente utiliza el ejemplo del caso Ryanair, la sentencia que versaba sobre la protección jurídica de las bases de datos, estableció que la base de datos de Ryanair no quedaba protegida por los derechos de autor ya que para que exista esta protección, la base debe ser original, es decir, una creación propia del autor. Tampoco quedaría protegida  por el derecho sui generis, ya que para ello la base de datos debe llevar aparejada una inversión sustancial. La sentencia tampoco consideró que la base de datos pudiera ser protegida bajo el concepto de secreto industrial, ya que los datos eran públicos. Por el contrario, sí consideró de aplicación el último sistema de protección: el contractual.

El Tribunal de Justicia de la Unión Europea (TJUE) consideró que no habría problema en que Ryanair estableciera limitaciones al uso de su base de datos mediante contratos exclusivos de licencia.

En caso de existir un derecho de exclusividad para el productor, ¿existiría una problemática a la hora de configurar y justificar este derecho?

En cuanto a la configuración del derecho, el ponente considera que un productor de datos no personales no goza de exclusividad sobre los mismos salvo en casos puntuales y durante un periodo máximo de 5 años. Para entender esta opinión se debe tener en cuenta la problemática relativa a:

  • la configuración de la exclusividad,
  • el objeto de la misma, es decir, el tipo de datos al que afectaría. Se entiende que versaría sobre los “datos máquina”, aquellos datos que permiten la toma de decisiones.
  • quién sería el titular de dicha exclusividad, el TJUE ha establecido que el titular sería el usuario del dispositivo, lo que establece dudas sobre los derechos del fabricante o la cotitularidad.
  • el ámbito de protección, si se pretende proteger el derecho o por otro lado proteger de las conductas ilícitas
  • la duración de dicha protección,
  • y las limitaciones o excepciones que deberían estar definidas (derechos de los fabricantes, utilización para el interés general para fines de investigación…etc.)

En lo que respecta a la justificación, el ponente entiende que si el objetivo europeo es promover la innovación en el sector, esto no podrá conseguirse mediante la exclusividad. Objetivo que sí se conseguiría de optar por promover la transferencia, acceso y creación de un mercado de datos.

¿Habría que desarrollar medidas de acompañamiento o alternativas?

Concretamente, se plantean las siguientes:

  • ¿Habría que obligar a las empresas a divulgar sus datos mediante la concesión delicencias? Tal y como se plasma en los casos sobre essential facilities de Microsoft, Magill o IMS Health referidos al derecho de la competencia.
  • ¿Sería conveniente facilitar elacceso remunerado a los datos previamente anonimizados?
  • ¿Habría que fomentar la asimetría en la contratación incluyendo obligaciones de transparencia, control de cláusulas abusivas…etc.?

En conclusión, López-Tarruela entiende que la creación de un nuevo derecho de propiedad intelectual no es algo recomendable, ya que puede conllevar más inconvenientes (inseguridad jurídica) que ventajas. Sin embargo, es necesario considerar que a día de hoy se aprecia un cambio de paradigma, basado en que la innovación debe promoverse con medidas legislativas que favorezcan el acceso a los datos.

 

Audea Seguridad de la Información

http://www.audea.com/es/

 

 

legal , , , , , ,

Películas para aficionados a la ciberseguridad

¿Te gusta el cine? ¿Te interesa la ciberseguridad? Hackers, ataques cibernéticos, virus en sistemas… El mundo de la ciberseguridad es un tema muy interesante y atractivo para tratar en el cine. Es además una forma de aprender nuevos conceptos que no sabías del mundo de la informática. Os recomendamos algunas películas que tratan este tema:

 

Juegos de guerra (WarGames) (1983)

Una de las primeras películas en las que se trató la ciberseguridad. David (Matthew Broderick) es un informático que, sin intención, conecta su ordenador al del Departamento de Defensa de Estados Unidos. En este servidor central, la realidad se confunde con el juego y David tendrá que contar con la ayuda de su novia y de un amigo informático para intentar detener una posible Tercera Guerra Mundial.

 

La Red (The Net) (1995)

Sandra Bullock interpreta en La Red a Ángela, una informática experta en encontrar virus e irregularidades en los sistemas. Ángela descubre un programa que permite al usuario acceder a bases de datos secretas. Su vida cambia a partir de entonces, envolviéndose en una trama de conspiración y corrupción poniendo en peligro su vida y la de sus familiares.

 

Matrix (1999)

Esta película de ciencia ficción la protagoniza un programador informático (Keanu Reeves) que vive una doble vida: por las noches se convierte en hacker usando el alias Neo. Es así como entra en contacto con Trinity (Carrie-Anne Moss), que le pondrá en contacto con Morpheo (Laurence Fishburne) y con la verdadera realidad de Matrix: una simulación social del mundo que representa el final del siglo XX. Los humanos están esclavizados por las máquinas, se encuentran en suspensión y sus mentes están conectadas a esta simulación. Neo se unirá a Trinity, a Morpheo y a su grupo de rebeldes para luchar contra las máquinas y liberar a los humanos esclavizados.

 

Blackhat (Amenaza en la red) (2015)

En Blackhat, el Gobierno chino y estadounidense se ven forzados a cooperar para detener una red de cibercrímenes de alto nivel. Para ello, necesitarán la ayuda de un hacker  (Chris Hemsworth) que ha sido condenado a quince años de prisión y que les ayudará a proteger la seguridad nacional de ambas potencias a cambio de que reduzcan su condena.

 

Snowden (2016)

Oliver Stone dirige a Joseph Gordon-Lewitt en este film que cuenta parte de la vida de Edward Snowden. Está basada en el libro The Snowden files: The inside story of the world’s most wanted man de Luke Harding y su trama nos traslada a Hong Kong en 2013, cuando Edward Snowden se juntó con los periodistas Glenn Greenwald y Ewen MacAskill y la documentalista Laura Poitras para publicar en el diario The Guardian los documentos clasificados y confidenciales que Snowden había adquirido al trabajar para la NSA (Agencia de Seguridad Nacional). Además, nos relatan los acontecimientos posteriores y la repercusión que tuvo la publicación de estos documentos en la opinión pública y en la vida de Snowden. A su vez, nos cuentan, a través de flashbacks al pasado, acontecimientos previos: cuando Snowden se alistó en el ejército, cuando conoció a su pareja Lindsay Mills y sobre sus comienzos en la CIA y la NSA.

 

Jason Bourne (2016)

Son cinco las películas que en total se han dirigido sobre el personaje ficticio, ex agente de la CIA, Jason Bourne (Matt Damon). Están basadas en las novelas que escribió Robert Ludlum y que continuó Eric Van Lustbader con una serie de secuelas protagonizadas por Bourne. El protagonista, que desapareció misteriosamente al dar a conocer detalles secretos de los programas de asesinato de la CIA, lucha por recuperar su identidad, involucrándose en redes de manipulación y asesinato. Esta última entrega, que se estrenó en 2016, trata diversos temas relacionados con la ciberseguridad.

 

Ghost in the Shell (2017)

Ghost in the Shell es un popular manga de ciencia ficción creado por Masamune Shirow que ha sido adaptado para la televisión, los videojuegos y el cine pero siempre en formato de animación. El 31 de marzo llega a los cines españoles la adaptación de Ghost in the shell con actores y actrices de carne y hueso. Scarlett Johansson ha sido la encargada de dar vida a la futurista policía secreta cyborg (organismo cibernético), Major Motoko Kusanagi, que lucha contra los crímenes tecnológicos.

Películas para aficionados a la ciberseguridad

tecnologia , , , ,

Crónica de la Jornada de Seguridad en Entornos Cloud y Protección de Datos #JCloudPD

Un equipo de Áudea Seguridad de la Información asistimos a la Jornada de Seguridad en Entornos Cloud y Protección de Datos, organizada por BSI, en la que tuvimos la oportunidad de escuchar interesantes puntos de vista sobre el asunto con las ponencias de profesionales vinculados a compañías del sector, como Áudea, BSI Iberia, Secure & IT y Global Technology 4E. El evento tuvo lugar en el miércoles 22 de marzo en el campus de Villaviciosa de Odón de la Universidad Europea de Madrid, aunque al día siguiente se reeditaría en Barcelona.

 

Tras la presentación inaugural de Sylvia Ariza, marketing and training manager de BSI España, llegó el turno del representante de Iván Ontañón, consultor en Áudea. En su ponencia, titulada La Seguridad de la Información en el Reglamento General de Protección de Datos, hizo una introducción a la nueva norma europea y los nuevos conceptos y obligaciones que introduce, sobre todo aquellas que tienen que ver con la Seguridad de la Información. Y es que, según explicó Ontañón, el RGPD pone énfasis en la prevención de riesgos, a través de medidas organizativas, como el DPO, nuevos conceptos como la privacidad desde el diseño y por defecto y el análisis de los riesgos de seguridad.

 

A continuación Gigi Robinson, product technical manager de BSI Iberia, habló sobre Cloud & the privacy vs security issue. Puso el acento sobre la idea de que estos conceptos no se pueden entender de manera aislada, ya que privacidad y seguridad van de la mano.

Tras la pausa para el café pudimos escuchar a Francisco Valencia, CEO de Secure & IT, en una charla que trataba sobre Ciberseguridad y Cumplimiento en Entornos Cloud. Convencido de que “la nube ha aportado a las empresas una falsa sensación de seguridad”, reflexionó sobre las amenazas que suponen los hackers y las que proceden de la propia empresa, ya que los ciberataques tienen graves consecuencias económicas y para la organización. También ofreció a los asistentes un listado de aspectos a considerar antes de subir al cloud como por ejemplo, asegurar el cumplimiento normativo.

Por último, Enrique Polanco, director de Global Technology 4E, expuso el caso práctico que cerró el evento. Explicó cómo la implantación de estándares como el ISO-27001, de Seguridad de la Información, puede mejorar los procesos y la organización de la empresa.

Áudea Seguridad de la Información

 

Áudea estrenó en este evento unos dípticos que recogen de manera visual los servicios que ofrece la empresa en Ciberseguridad, Compliance, Digital Legal Services y Formación.

 

Además, los asistentes se llevaron a casa un pequeño obsequio de parte de Áudea; un ipatch con el que evitar que nos espíen a través de la webcam en caso de que nos cuelen un virus en nuestro ordenador.

tecnologia , , ,

Protege tu correo electrónico III: ProtonMail

En esta tercera y última entrega de la serie “Protege tu correo electrónico”, en la que hemos aprendido qué es la doble verificación y cómo emplear las claves simétricas y asimétricas para encriptar nuestros emails, os presentamos ProtonMail. Está considerado como uno de los servicios de correo electrónico más seguro y comprometido con privacidad del usuario ya que los mensajes van cifrados de extremo a extremo (y se almacenan cifrados en los servidores de ProtonMail).

 

¿Cómo funciona?

 

Los usuarios de ProtonMail manejan dos contraseñas; una para iniciar sesión en el sistema y otra que permite descifrar y acceder al buzón de correo. Este servicio también emplea un cifrado asimétrico de clave pública; cuando un usuario de ProtonMail envía un email u otro usuario del mismo servicio el mensaje se cifra con la clave pública del destinario y cuando éste lo recibe, su contraseña del buzón descifra su clave privada, pudiendo entonces leer el contenido del mensaje.

Si un usuario le envía a otro el mensaje “Hello”, este se encripta antes de enviarse y de este modo se envía y almacena en los servidores de ProtonMail y lo recibe el destinatario, una diferencia sustancial con respecto a la mayoría de servicios de correo electrónico.

 

Además, al igual que Snapchat, ofrece al usuario la posibilidad de que el mensaje desaparezca transcurrido un periodo de tiempo.

 

ProtonMail: historia y curiosidades

 

ProtonMail fue desarrollado a raíz del escándalo de la vigilancia masiva de las agencias de seguridad estadounidense, caso desvelado por Edward Snowden. Además, tanto la empresa propietaria como los servidores del servicio están en Suiza, fuera de la jurisprudencia tanto de la Unión Europea como de los Estados Unidos, con lo que la Justicia suiza sería la única que podría emitir una orden para solicitar los datos contenidos en este servidor. No obstante, como los mensajes se guardan encriptados, el sujeto al que en un hipotético caso se le entregaran los mensajes solo podría leer el contenido si  además consiguiera la clave para descifrarlos.

 

La creación de este servicio fue posible fue posible gracias a una campaña de crowdfunding y actualmente se financia con aportaciones voluntarias, la venta de merchandising de la marca y las cuotas que pagan los usuarios por usar el servicio. Y es que, aunque ProtonMail es gratuito en su versión básica, existe la posibilidad de contratar diversos planes de pago en los que el usuario tiene acceso a una serie de mayores y mejores prestaciones como por ejemplo más espacio de almacenamiento o la posibilidad de usar un dominio propio (por ejemplo: @audea.com).

 

 

tecnologia , , , , ,

Las 4 Claves de la Protección de Datos

Según el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (2000/C 364/01), “toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan”.

Añade el punto 2 de este artículo que “estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”.

Y remata finalmente con el punto 3, que garantiza que “toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”.

Por lo tanto, sin perjuicio de otras obligaciones administrativas, excepciones, y numerosas particularidades, la Protección de Datos es un derecho fundamental que se sostiene sobre 4 claves principales:

  1. Información:

Este es el auténtico pilar central de toda la protección de datos. Sin información, no se pueden establecer los fines concretos que exige la Carta de los Derechos Fundamentales, ni se puede obtener un consentimiento válido del interesado.

Siempre que alguien facilite un dato personal, debe saber a quién se lo está dando y para qué. Tan sencillo como eso.

Sin embargo, las sucesivas normas europeas y nacionales que han desarrollado este derecho han ido complicando la información que debe ofrecerse, amenazando con cuantiosas multas a todo aquel que se deje una coma o un punto.

De esta forma, algo que podía haber sido tan sencillo como “TE VOY A ENVIAR PUBLICIDAD” acaba convirtiéndose en un manifiesto jurídico difícilmente comprensible para sus legítimos destinatarios, dando origen a 1 de las 2 mentiras más grandes de Internet: “HE LEÍDO LA POLÍTICA DE PRIVACIDAD”.

  1. Consentimiento/Base Legal:

Si no existiesen excepciones al consentimiento, resultaría adecuado vincular esta clave con la anterior.

Sin embargo, existen multitud de obligaciones legales, contractuales y otras situaciones que obligan o requieren tratamiento de datos personales. Y como el consentimiento, por definición, tiene que ser libre, no se puede dejar todo al consentimiento del interesado.

Sin embargo, tendemos a abusar del consentimiento cuando no siempre es “necesario”.

¿Por qué? Pues sencillamente, porque en los casos dudosos (y hay muchos… muchísimos), quien decide si las excepciones al consentimiento son aplicables o no es la autoridad de control (la AEPD en España), provocando dilaciones inasumibles, diferencias de criterio, etc.

Y, de esta forma, se da origen a la 2ª mentira más grande de Internet “ACEPTO LA POLÍTICA DE PRIVACIDAD”.

  1. Derechos:

Una vez que ya estamos tratando los datos legítimamente (o ilegítimamente… que también pasa), el interesado tiene una serie de derechos que han ido cambiando con el tiempo.

Como hemos visto, la Carta Europea sólo menciona el derecho de acceso y el de rectificación, pero las distintas normativas han ido incrementando esos derechos hasta llegar a la actual lista, definida por el Reglamento General de Protección de Datos: Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad.

En España estamos de luto porque ya no podemos seguir utilizando el famoso acrónimo (ARCO), que representaba los derechos de Acceso, Rectificación, Cancelación y Oposición derivados de la derogada Directiva 95/46. Y, al menos, hasta la fecha a nadie se le ha ocurrido ningún otro acrónimo que cubra este vacío. Una muestra evidente de la desconsideración del Parlamento Europeo, que tras 4 años negociando el RGPD, no cayeron en esto.

  1. Lealtad/Legalidad/Justicia:

Aunque la Carta habla de lealtad (concepto un poco complicado de incardinar en esta materia), realmente se refiere a que los datos sean tratados de forma legal o justa (de hecho, en inglés el artículo 8.2 de la Carta dice “Such data must be processed fairly”).

Y aquí tenemos el cajón de sastre (y a veces desastre). Aquí entran desde las “adecuadas” medidas de seguridad, hasta los contratos de encargo de tratamiento, pasando por el registro público (o ahora interno) de ficheros o procesos de tratamiento, la designación de determinadas figuras como el Delegado de Protección de Datos, las Evaluaciones de Impacto, las Consultas Previas, o la Privacidad por Defecto o desde el Diseño.

En definitiva, la protección de datos es un claro ejemplo de complicar hasta el extremo algo que debería haber sido mucho más básico, sencillo y evidente.

Los ciudadanos no expertos en esta materia, no llegan a imaginar las complicaciones y los riesgos que genera a una empresa del montón poner un formulario en una página web. Y si lo imaginaran, probablemente no sentirían su intimidad más protegida.

 

derecho , , ,

Protege tu correo electrónico (II): cifra tus mensajes

En esta segunda entrega de la campaña que tiene como objetivo concienciar a los usuario de la necesidad de proteger el correo electrónico, hoy proponemos que cifres los mensajes enviados por esta vía. Esta práctica, junto a la verificación en dos pasos y el uso de la llave de Google que sugeríamos la semana pasada, incrementará notablemente la seguridad de nuestro e-mail.

 

El cifrado consiste en transformar un mensaje en un conjunto de letras, números y caracteres que indescifrable empleando unos protocolos que aseguren que solo el receptor legítimo de esa comunicación pueda descifrarlo.

 

Para llevar a cabo este proceso se puede utilizar bien una clave, la misma para el cifrado y el descifrado de la información o dos claves, utilizando una en cada extremo. En el primer caso estaríamos ante cifrado simétricos y en el segundo ante cifrado asimétricos.

 

Cifra tu correo con una clave asimétrica

 

La criptografía asimétrica es un método de cifrado de la información que en la que cada usuario tiene asignadas dos claves: una clave pública, que el usuario debe dar a cualquier persona con la que se quiera comunicar, y una clave privada, que no debe conocer nadie nada más que él.

 

En el caso de las comunicaciones por correo electrónico, este sistema permite dos funcionalidades principales: asegurar que solo el destinatario del mensaje pueda leerlo y verificar la identidad del remitente.

 

Para explicar dichas funcionalidades, vamos a pensar en una empresa en la que Celia, del Departamento Financiero, quiere enviar un correo electrónico con información sensible a su compañero Manuel, del Departamento de Recursos Humanos.

 

  1. Celia quiere asegurarse de que ese mensaje sólo será leído por Manuel:

 

Al enviar el mensaje, Celia deberá escribir la clave pública de Manuel quien, al recibirlo solo podrá leerlo si introduce su clave privada.

 

  1. Celia quiere asegurarse de que cuando Manuel reciba el mensaje, éste tenga la certeza de que ha sido Celia quien ha escrito el mensaje y que nadie le ha suplantado la identidad:

 

Al enviar el mensaje, Celia escribirá su clave privada y cuando Manuel lo reciba sólo lo podrá leer si introduce la clave pública de Celia.

 

En uno u otro caso, la comunicación entre ambos estaría segura ya que si aunque un tercer usuario interceptase el email no podría leer el contenido del mismo. Solo vería un archivo repleto de números, letras y caracteres especiales sin sentido alguno.

 

¿Cómo implementar el cifrado de clave asimétrica en tu correo?

 

Existen varias alternativas para poder enviar correos mediante el sistema de clave asimétrica.

 

Thunderbird es un cliente de correo electrónico multiplataforma diseñado por la Fundación Mozilla. Tiene soporte nativo para el estándar de cifrado S/MIME, no obstante si se desea emplear el estándar OpenPGP habrá que instalar la extensión Enigmail.

 

Por otro lado, si utilizas un servidor de correo electrónico Gmail, Outlook.com o Yahoo, la forma de cifrar tus comunicaciones es instalando un extensión para el navegador. La aplicación Mailvelope está disponible tanto para Google Chrome como Firefox, aunque existen otras específicamente funcionadas para funcionar en la plataforma de correo y el navegador de Google:  Secure Mail for Gmail, SafeGmail.

 

Por último, hay que tener en cuenta que Outlook 2013 y Office 365 permiten cifrar el correo sin necesidad de instalar ninguna aplicación adicional.

 

tecnologia ,

ES-CIBER lanza un curso presencial con certificado para formar a Delegados de Protección de Datos

ES-CIBER lanza el curso presencial DPO –  Experto en Protección de Datos certificado por Tüv Nord. Se celebrará en la semana del lunes 17 al viernes 21 de abril en horario de 08.30h a 14.30h, lo que da lugar a un total de 30 horas lectivas. Las clases tendrán lugar en Madrid, en la calle Velázquez nº 22, 5º derecha

De lunes a jueves los alumnos estudiarán los contenidos del curso y la jornada del viernes se dedicará a trabajar sobre un caso práctico y a resolver las dudas y consultas de los asistentes. Las clases serán impartidas por expertos en protección de datos del Departamento Legal de Áudea Seguridad de la Información. Los contenidos del curso están repartidos en 10 módulos que cubren las áreas más relevantes de la Protección de Datos: introducción y principios generales del RGPD, los movimientos de datos, la seguridad de los datos y la evaluación de impacto, los derechos de los afectados, los ficheros de solvencia patrimonial, la LSSI y las campañas publicitarias, las autoridades nacionales de control, el régimen sancionador y los códigos de conducta y certificación.

 

Temario

Módulo 1: INTRODUCCIÓN AL REGLAMENTO EUROPEO

Módulo 2: PRINCIPIOS GENERALES

Módulo 3: LOS MOVIMIENTOS DE DATOS

Módulo 4: SEGURIDAD DE LOS DATOS Y EVALUACIÓN DE IMPACTO

Módulo 5: DERECHOS DE LOS AFECTADOS

Módulo 6: FICHEROS DE SOLVENCIA PATRIMONIAL

Módulo 7: LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y CAMPAÑAS PUBLICITARIAS

Módulo 8: LA AUTORIDAD NACIONAL DE CONTROL. LA AEPD

Módulo 9: RÉGIMEN SANCIONADOR

Módulo 10: CÓDIGOS DE CONDUCTA Y CERTIFICACIÓN

* Para que este curso se celebre es necesaria la inscripción de al menos cuatro alumnos.

* Precio del curso: 1.000 euros

El Delegado de Protección de Datos: nueva figura introducida por el RGPD

El Reglamento General de Protección de Datos (RGPD) es la nueva norma europea en este ámbito. Entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse en todos los estados de la Unión a partir del mismo día de 2018. Durante este periodo de tiempo las instituciones públicas, organizaciones y empresas europeas deben adaptarse al nuevo reglamento.

El RGPD representa el cambio más relevante en materia de privacidad en los últimos 20 años. Entre las novedades que introduce está la de la figura del Delegado de Protección de Datos (también conocido como DPO por sus siglas en inglés Data Protection Officer).  Se trata de un profesional que debe ser designado por el responsable del fichero y el encargado del tratamiento cuando se manejen datos en organismos públicos, que requieran una observación habitual y sistemática o cuando se realice un tratamiento de datos a gran escala especialmente sensibles.

Sus funciones son fundamentalmente informar y asesorar al responsable o al encargado y demás personas que manejen datos en la organización de las obligaciones a las que están sujetos, velar por el cumplimiento de la normativa en materia de Protección de Datos y cooperar con la autoridad de control (en nuestro país, la Agencia Española de Protección de Datos)

Para ejercer como Delegado de Protección de Datos la ley no determina la titulación específica que éste debe poseer, pero fija que debe ser designado de acuerdo a sus cualidades profesionales y tener conocimientos especializados en Derecho y Protección de Datos.

Más información

Si necesitas más información o quieres inscribirte en el curso, contacta con ES-CIBER a través del formulario de contacto y nuestro equipo comercial se pondrá en contacto contigo.

 

cursos , , ,

Consejos para tener un móvil ciberseguro

Hoy en día, guardamos una gran cantidad de información en nuestros móviles: contactos, correos electrónicos, imágenes, música… Según INCIBE, Instituto Nacional de Ciberseguridad, cada año se detectan más de 140.000 programas maliciosos que van dirigidos a smartphones y tablets. Por ello, es necesario que mantengamos estos dispositivos libres de amenazas externas. Os damos algunos consejos para mantener los móviles ciberseguros:

Haz una copia de seguridad de tu móvil

Es siempre recomendable hacer una copia de seguridad. Una ventaja para los usuarios de Apple es que puedes hacerte una copia de seguridad a través de iTunes de una manera fácil y sencilla. En este caso, tienes que conectar tu móvil al ordenador. Además, puedes hacer una copia de seguridad en la nube a través de iCloud sin necesidad de conectarlo. Con Android también puedes hacer una copia de seguridad conectando el móvil al ordenador mediante el cable USB o a través de Google.

Si alguien consigue acceso a tu móvil, cualquier daño que hagan o contenido que borren, lo vas a tener guardado en la nube o en tu ordenador.

Utiliza una contraseña segura para desbloquear tu móvil

Hoy en día, hay varias formas de desbloquear los móviles: clave de números, huella dactilar, patrón de desbloqueo e incluso a través de reconocimiento facial. Servicios como la huella dactilar o el reconocimiento facial son convenientes, ya que es imposible que otra persona que no seas tú acceda a través de ellos. Sin embargo, hay móviles que no tienen este servicio y que te ofrecen poner una contraseña o un patrón de desbloqueo. Ten mucho cuidado con las contraseñas que uses. Si necesitas algunos consejos sobre cómo crear contraseñas seguras y quieres conocer los riesgos a los que te puedes exponer empleando claves fáciles de descifrar, consulta este artículo.

Cuidado con las redes WiFi públicas

Una de las técnicas que emplean los hackers malintencionados es la creación de redes WiFi con el nombre de restaurantes, hoteles, tiendas o cualquier otro servicio conocido. De esta manera captan la atención y la confianza de los usuarios, que se conectan a la red WiFi pensando que han conseguido una conexión gratuita, cuando en realidad están entregando todos los datos que transmiten a través de esa conexión a un pirata informático.

Los riesgos de conectarte a una red WiFi que no es segura son muchos: robo de información, infección de dispositivos… Nuestra recomendación es no conectarse a redes WiFi que permitan acceso a Internet sin contraseña y que os sean desconocidas. Es recomendable una revisión de la lista de redes WiFi a la que os habéis conectado en el pasado (eliminad aquellas redes que se han memorizado por defecto y que sean poco fiables).

Cierra sesión de las aplicaciones a las que hayas accedido

Cerrar sesión cada vez que acabas de usar una aplicación y volver a introducir tus credenciales de acceso cuando vuelves a usarla, parece una tarea aburrida y repetitiva. No obstante, por incómodo que parezca, es un buen método para proteger tu información. Si alguien consiguiera acceder a la información de tu móvil, tu email, redes sociales, apps de banco o cualquier otra aplicación que tenga credenciales de acceso, estarán a salvo.

Instala apps y programas procedentes de fuentes fiables

No te bajes aplicaciones que no proceden de fuentes fiables, como son por ejemplo la App Store de Apple, Play Store en Android o Microsoft Store en los dispositivos Windows Phone. Aunque sea tentador poder descargarte apps gratis y que en tu store son de pago, es siempre recomendable no hacerlo. Además de ser ilegal, optar por descargar estas aplicaciones no te garantiza que lo que estás descargando sea fiable.

 

tecnologia , , , ,

Las retrasmisiones ilegales de eventos deportivos: el caso Rojadirecta

Recientemente, el medio “Verne” ha publicado un artículo sobre cómo determinados usuarios de Facebook utilizan la herramienta “Facebook Live” (“streaming”) para retransmitir partidos usando para ello “páginas fantasmas” que enlazan a dichos partidos.

Este entramado de hipervínculos, permite a los usuarios vulnerar las normas comunitarias de Facebook relativas a la propiedad intelectual, concretamente su declaración de derechos y responsabilidades, donde se estipula expresamente la siguiente obligación para el usuario: “No publicarás contenido ni realizarás ninguna acción en Facebook que infrinja o viole los derechos de otros o que viole la ley de algún modo”.

Hay que tener en cuenta que aunque la red cuenta con mecanismos para proceder a la denuncia de la vulneración de derechos de autor, la identificación de los infractores es casi imposible, ya que los emisores del contenido no coinciden con los anunciantes del mismo, desapareciendo los primeros de forma casi inmediata una vez finalizada la emisión.

Ante este escenario, cabe plantearse si los propietarios de los derechos televisivos, tomarán acciones contra estas páginas o quizá contra el propio Facebook, como ya hicieron en el caso “Roja Directa” Gol Televisión y Mediaproduccion.

Roja Directa, uno de los principales portales de “futbol pirateado”, cerró su web a principios de 2017 como consecuencia de la sentencia del Juzgado Mercantil nº 1 de A Coruña. En dicha sentencia se descartó que las grabaciones de los eventos deportivos constituyeran obras protegidas por la propiedad intelectual, pero si se consideró que éstas generan para su productor unos derechos afines, de naturaleza exclusiva y patrimonial, y que corresponde al productor el derecho exclusivo a autorizar la reproducción del original y sus copias tal y como determina la Ley de Propiedad Intelectual en sus artículos 121 y 122.

En resumen, el tribunal entendió que la actuación de la web constituía un acto de comunicación pública, si bien no de una obra en sentido estricto, si de una grabación audiovisual.

Para entender la decisión del tribunal en el caso Roja Directa, las posibles consecuencias a las que se enfrentarían las páginas de Facebook antes mencionadas y sobretodo, el concepto “comunicación pública”, hay que considerar que para el desarrollo de su sentencia, el juzgado tuvo en cuenta jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) muy relevantes a la hora de tratar casos relacionados con páginas webs que alojan enlaces:

  • La jurisprudencia del TJUE considera en primer lugar, que la presentación en páginas de enlaces de otras páginas webpertenecientes a terceros es una actividad muy frecuente que reviste particular importancia para la libertad de expresión e información y que por lo tanto la misma no puede entorpecerse.
  • En el caso Svensson, el TJUE entendió que facilitar enlaces en Internetsobre los que se puede pulsar y que conducen a obras protegidas por derechos de autor, debe calificarse como puesta a disposición y en consecuencia como acto de comunicación. Sin embargo, esa conducta solo será pública si se dirige a un público nuevo, es decir, a un número indeterminado de destinatarios potenciales, que no hubiesen sido tomados en consideración por los titulares de los derechos de autor cuando autorizaron la comunicación inicial al público.
  • En el caso BestWater, el TJUE consideró que la técnica de los enlaces puede ser utilizada para poner a disposición del público una obra evitando tener que copiarla, aunque el mero uso de los enlaces no implicara que el público al que se dirige sea nuevo. Entiende que desde el mismo momento en el que el sitio al que enlaza el hipervínculo esta disponible, los titulares han autorizado dicha comunicación teniendo en cuenta como público a la totalidad de los internautas.

En conclusión y teniendo en cuenta lo anterior, es necesario dilucidar si el hecho de colocar en un sitio de Internet hipervínculos que remiten a obras protegidas, disponibles libremente en otro sitio de Internet sin la autorización del titular de los derechos de autor, constituye una «comunicación al público». La jurisprudencia del TJUE en consonancia con el artículo 3.1 de la Directiva 2001/29/CE relativo al “Derecho de comunicación al público de obras y derecho de poner a disposición del público prestaciones protegidas” establece que esta comunicación pública se producirá:

  • Cuando se realice mediante unatécnica específica, diferente de las utilizadas anteriormente, o, en su defecto, ante un “público nuevo”.
  • Cuando se ha acreditado que el proveedor de enlaces sabía o debía saber que el hipervínculo que ha colocado da acceso a una obra publicada ilegalmente en Internet.
  • Cuando el vínculo permita a los usuarios del sitio web eludir medidas de restricción adoptadas por el sitiodonde se encuentra la obra protegida para limitar el acceso al mismo por parte del público a sus abonados únicamente, siendo este el supuesto que se aplicaría en el caso Roja Directa o en el caso de entramados de enlaces en Facebook.

 

derecho , , , ,