INTECO advierte de una ola de mensajes falsos relativos al WhatsApp

A día de hoy yo soy una de las muchísimas personas que utiliza la aplicación WhatsApp, pero a pesar de ello sigo creyendo que hay un enorme vacío en cuanto a la protección de datos se refiere en torno a esta aplicación.

FUENTE: INTECO:

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Oficina de Seguridad del Internauta (OSI) ha difundido un boletín en el que advierte de la existencia de una ola de mensajes falsos o bulos relativos al WhatsApp.

“WhatsApp va a costar 0,01€. El mensaje mándalo a 10 personas”, así comienza el último bulo o mensaje falso distribuido a través del WhatsApp, pero no es el único.

Según informa la OSI, actualmente son dos los bulos que están circulando a través de la aplicación de chat para dispositivos móviles. Uno de ellos se aprovecha del fallo de la aplicación que provocó que el miércoles el estado de todos sus usuarios se cambiase por «Error: status unavailable» y el otro, similar, alude al estado «unavailable» de los contactos.

Aunque la compañía logró solucionar el error y restablecer el servicio con normalidad, el bulo se ha seguido extendiendo. Los últimos mensajes detectados incitan al usuario a reenviar el texto entre sus contactos de la aplicación, con la excusa de que si no lo hacen, WhatsApp pasará a ser de pago y los mensajes ya no saldrán gratis como hasta ahora.

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la OSI, aconseja que, para evitar ser engañado con trucos de ingeniería social, se configuren correctamente lasopciones de seguridad en el smartphone y se utilice el sentido común:

• No creer todos los mensajes que se reciban, a través de las distintas aplicaciones instaladas, en el smartphone.
• No entrar en el juego de reenviar cualquier mensaje que se reciba.
• No pinchar en enlaces cuya procedencia es desconocida.
• Instalar un antivirus actualizado en el dispositivo. Se pueden encontrar antivirus gratuitos en la sección de «útiles gratuitos» de la web de INTECO.

Si se duda sobre la veracidad de un determinado mensaje, lo mejor siempre es consultar la página web de la aplicación, en este caso http://www.whatsapp.com/ o verificar la información en terceras partes de confianza.

No se puede olvidar que los smartphones pueden ser utilizados para navegar por Internet, leer el correo electrónico, acceder a las redes sociales, jugar online, etc. Por este motivo, todas lasrecomendaciones de seguridad, proporcionadas en el portal de la Oficina de Seguridad del Internauta (www.osi.es), son aplicables a estos dispositivos, ya que, las técnicas de engaño/estafa utilizadas por los delincuentes, pueden ser las mismas y/o muy parecidas a las utilizadas con los usuarios de ordenador.

Ante cualquier duda, puede solicitar ayuda a través del servicio de «soporte por chat» o «atención telefónica» de la OSI.

10 consejos para evitar la ira de los auditores

1. Cifrado completo de disco duro

La mayor parte de las pérdidas de datos se deben a la pérdida accidental un dispositivo –en un taxi, en el tren o durante la clásica noche de viernes en un pub. En este caso demostrar que no existía información confidencial en ese dispositivo es una ardua labor. Si el dispositivo disponía de un cifrado completo, no se necesitan más explicaciones, ya que el inspector sabe que el cifrado protege al dispositivo. Si por el contrario no se dispone de este tipo de cifrado, el inspector lo verá como una clara señal de que encontrará más problemas.

Asegúrate que dispones de informes que atestigüen que los dispositivos han sido cifrados y realiza comprobaciones de que mantienen esa medida de seguridad. Si tu empresa no ha implementado políticas de este tipo, debería ser una prioridad máxima.

2. Cifrado de unidades extraíbles

Una vez que los discos duros están seguros, tendrás que lidiar con las molestas llaves USB y los sistemas de almacenamiento extraíble. Éste es el punto débil de muchas empresas: invierten en tecnología pero los usuarios buscan una manera de franquearla ya que no les facilita el compartir información. Antes que definir unas reglas estrictas e inflexibles (que está demostrado que son menos seguras), prepárate para la auditoría con informes que demuestren que cifráis este tipo de dispositivos.

3. Un sistema de normas efectivo

Una parte de las medidas organizativas y técnicas requeridas consiste en documentar cómo tus “datos” van a ser protegidos. Ya hemos explicado que no hay ninguna garantía al 100% contra la pérdida de información, pero si no has documentado correctamente los procedimientos que empleas en caso de incidente, lo más seguro es que el auditor te machaque a preguntas. Tu sistema de normas será lo primero que revise el auditor, incluso antes de que inspeccione los informes que presentes de controles técnicos y procesos. Debo prevenirte que tener un sistema complejo y tedioso no te va ayudar.

Planifícate y mantén tus políticas en orden.

4. Políticas sobre uso aceptable

Educar a los usuarios no sólo es una parte importante de un sistema de normas efectivo, sino que además es una manera barata de prevenir incidentes. En particular, asegúrate que las normas sobre usos aceptables que atañen a las últimas tecnologías están actualizadas. Por ejemplo ¿está previsto el uso de smartphones desde casa y compartiendo datos con terceros?

5. Antivirus moderno

Gran parte del malware más moderno está diseñado para robar información (por supuesto el tipo de información que te creará un problema). Asegúrate de que estás usando tecnología moderna, no la tradicional. Busca que emplee tecnología HIPS y tecnologías basadas en la nube. Comprar sistemas y no usarlos porque son muy complicados o caros de gestionar no es una buena idea.

6. Prevención de pérdida de datos

Las políticas de prevención de pérdida de datos han estado en boga durante los últimos años. No se trata que pases semanas identificando los tipos de datos que maneja tu empresa, ni que diseñes complejas soluciones en las que identifiques los usuarios que pueden acceder a cada documento. Identifica los datos más confidenciales y obliga a cifrar esa información cada vez que sea compartida ya sea al mandar un correo a un cliente, subiéndola a la nube o copiándola a una llave USB. Ofrece alternativas cuando bloquees aplicaciones. Por lo menos implementarás soluciones y te llevará 2 días no 200, además te servirá para que convencer a los auditores de que te tomas la seguridad de tus datos de forma responsable.

7. Política de contraseñas seguras

Una contraseña débil puede llevar al traste toda tu estrategia de defensa. Crea una norma que introduzca la complejidad suficiente para que sean robustas. Tampoco te pases en esa complejidad, si no, acabarán por escribirla en post-its con lo que no habremos ganado nada. En este video damos unos consejos sobre cómo escoger una buena contraseña.

8. Política de gestión de incidentes

Los incidentes relacionados con seguridad ocurren. Muchas veces al no existir una correcta gestión se magnifican y surgen filtraciones a clientes o a la prensa cuando en realidad su incidencia fue mínima. Si no quieres que la situación se vuelva un caos tienes que implementar una política de gestión de incidentes. En ella involucraremos otros departamentos como legal, marketing o atención al cliente. La idea es que en cuanto ocurra algo todos en la empresa sepan lo que tienen que hacer. Con una gestión eficiente conoceremos con mayor prontitud el alcance del incidente, lo comunicaremos correctamente y minimizaremos su alcance.

9. Protección móvil

Los dispositivos móviles son cada vez más numerosos. Por si fuera poco cada vez almacenan una mayor cantidad datos confidenciales. Todo esto hace que tanto los auditores como los cibercriminales los tengan en su punto de mira. Cada vez surgen soluciones más complejas para cubrir su seguridad. Asegúrate que tienes una idea clara de las necesidades de tu empresa, cíñete a lo básico: contraseñas, bloqueo, cifrado, parcheado de vulnerabilidades y borrado remoto. Una vez que tengas estos puntos bajo control, mantente alerta sobre nuevas amenazas y comprueba que se están cumpliendo tus políticas.

10. Vigilancia fuera de la oficina

Existen muchos elementos de seguridad que pueden que no funcionen eficazmente fuera de los límites de la oficina. Comprueba que elementos como “navegación segura” funcionan cuando los dispositivos se conectan a otros servidores. Control de parches, filtrado web y procedimientos de aviso deben estar activos dentro y fuera de la oficina.

Agujeros legales en torno a las apps que recopilan datos personales

Es divertido atacar a los cerdos en Angry BIrds. Pero, ¿somos conscientes de que a cambio estamos cediendo información personal a la app?

Angry Birds, la app de pago más vendida para iPhone en EEUU y Europa, acumula ya más de 1.000 millones de descargas en todo el mundo. Mientras que muchos se divierten jugando con estos populares pajaritos, no todos son conscientes de un aspecto muy importante: la tremenda capacidad que tiene el juego para recopilar información personal de sus usuarios.

Jason Hong, profesor asociado en el Instituto de Interacción Humano-Computadora de la universidad Carnegie Mellon y experto en privacidad de aplicaciones móviles, ha entrevistado a 40 usuarios del adictivo juego, y 38 de ellos desconocían el hecho de que el juego almacenaba su información para convertirlos más adelante en objetivo de anuncios y publicidad.

"Cuando estoy dando una charla acerca de esto, son varias las personas que sacan sus smartphones y borran el juego mientras yo sigo hablando", ha asegurado Hong a The New York Times en una entrevista.

Según los expertos, aplicaciones como Angry Birds y software aparentemente más inofensivo, como aplicaciones que convierten la pantalla del móvil en una linterna, también recopilan información personal. Por lo general, los datos que se almacenan son la ubicación del usuario, el sexo y el número de identificación del smartphone. Sin embargo, en algunas ocasiones también se almacenan las listas de contactos y las imágenes de las galerías de fotos.

A medida que Internet se vuelve más y más móvil, el debate entre los defensores de la privacidad y los de los negocios online va creciendo. Mucha gente acepta recibir publicidad a cambio de usar aplicaciones gratis. O simplemente no entiende qué son todos esos permisos de acceso que solicita la app cuando se instala, y los aceptan para empezar a usarla cuanto antes.

En EEUU, no existe regulación sobre las prácticas de recolección de datos por parte de los fabricantes de aplicaciones. El año pasado, el fiscal general de California, Kamala D. Harris, llegó a un acuerdo con seis grandes distribuidores de aplicaciones móviles (Amazon, Apple, Google, Hewlett-Packard, Microsoft y Research in Motion) para que solamente distribuyeran apps que permitieran a los usuarios consultar las políticas de privacidad antes de descargar. A pesar de ello, esto no supuso un gran cambio. "La vida privada de los usuarios no debe ser el coste del uso de las aplicaciones móviles, pero lo es con demasiada frecuencia" ha asegurado Harris.

También hay que aclarar que en algunas ocasiones, la culpa es de los propios usuarios. “La mayoría de la gente hace clic y acepta los permisos de privacidad sin ni siquiera leerlos”, asegura el profesor Hong. En su universidad se está desarrollando una herramienta de software llamada AppScanner que pretende ayudar a los consumidores a identificar el tipo de información que recogen las aplicaciones móviles y con qué propósito.

Por otro lado, en Europa se están llevando a cabo otras propuestas de regulación y protección de datos. La Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo pretende obligar a las empresas a obtener el consentimiento explícito de los consumidores para recopilar sus datos. La propuesta también pretende dar a los consumidores la posibilidad de elegir qué información podrá almacenar una aplicación, sin perder la capacidad de utilizar el software.

A pesar de todo, andaremos con cuidado. Y tú, ¿seguirás jugando tranquilo a Angry Birds?

Guía contra el ciberacoso

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la Oficina de Seguridad del Internauta (OSI) y del portal Menores OSI, presenta la primera edición de la «Guía de actuación contra el ciberacoso» para padres y educadores, un documento que pretende acercar a los usuarios no sólo cómo detectar el fenómeno, sino también cómo actuar ante esta situación.

El hecho de que los menores de nuestro tiempo, los llamados «nativos digitales», viven en las nuevas tecnologías es una realidad incontestable. Esta capacidad de acceso a múltiples fuentes de información, la posibilidad de estar hiperconectados con sus compañeros y todas las ventajas que trae esta realidad, no ha impedido la aparición de riesgos. Ante esta situación, la mejor opción es, como se reitera desde la OSI, conocer profundamente el medio en el que se mueven los menores y, en el caso de que llegue una situación de acoso, saber cómo actuar.

Por lo tanto, la guía se presenta como un trabajo de análisis de los dos principales tipos de acoso que se dan actualmente en la red: el ciberbullying, o acoso entre menores, y el grooming, o acoso de un adulto a un menor de edad, para continuar analizando las formas de prevención en casa y en el centro escolar y terminar en la actuación no solo desde estos ámbitos, sino también en el judicial.

Para la elaboración de la guía se ha contado con la participación de expertos en distintas áreas: educadores, psicólogos, abogados, Fuerzas y Cuerpos de Seguridad del Estado y juristas, que han aportado su conocimiento y análisis de las situaciones que se dan en estos casos.

Descarga (PDF)
http://menores.osi.es/sites/default/files/Guia_lucha_ciberacoso_menores_osi.pdf

Un tratamiento de datos excesivo a través de sus sistemas de video vigilancia ha llevado a la Agencia a multar a la red ferroviaria

Tal y como indicaba la última memoria de la Agencia Española de Protección de Datos (AEPD), el número de sanciones establecidas por un mal uso de los sistemas de video vigilancia ha incrementado notablemente.

En esta ocasión, RENFE ha sido una de las últimas compañías sancionadas en relación a este tema. La denuncia llegaba de la mano de la Guardia Civil que alertaba sobre posibles infracciones en materia de video vigilancia en varias estaciones de la red de cercanías de Sevilla (Olivares-Villanueva del Ariscal, Sanlúcar la Mayor y Benacazón).

La Agencia, por su parte, abrió un proceso de investigación en donde se examinaron más de 50 cámaras. La AEPD constató finalmente la inexistencia de carteles informativos, así como la captación de imágenes de manera excesiva. De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA (entidad que gestiona el servicio)

De este modo, ha quedado demostrado que las cámaras captan toda la extensión de los distintos aparcamientos registrando imágenes en donde se pueden identificar a personas y vehículos. Es por ello que tras una infracción del artículo 6.1 de la LOPD, la Agencia ha impuesto a RENFE una multa de 40.001 €.