+34 976 22 41 41 aralegis@aralegis.es

ESTRATAGEMAS PARA OBTENER INFORMACIÓN DE LA EMPRESA A TRAVÉS DE SU PERSONAL

Existen múltiples amenazas, algunas conocidas, como el “fraude del CEO” que utiliza a cualquier empleado de una compañía autorizado para emitir pagos por transferencia y que recibe un correo, en el que su superior le pide ayuda para una operación financiera confidencial y urgente que acaba en manos de ciberdelincuentes, o como el “ransonware» que cifra los archivos de la propia empresa reclamándosele un rescate para recuperarla y que no pagar la cantidad reclamada se puede recuperar dicha información, como explica INCIBE
La formación del personal facilita el uso seguro de la información en empresas y organizaciones para que  la información se gestione de forma adecuada.
La seguridad no solamente consiste en aplicar herramientas tecnológicas a la información que están en los sistemas de las empresas, ya que existen amenazas reales que provienen de técnicas que se conocen como de «Ingeniería social» las cuales:
• afectan cada día más y
• se utilizan por los ciberdelincuentes con mayor frecuencia, dada la facilidad que estos tienen para extraer de las personas adecuadas la información necesaria para acceder a los sistemas informáticos de las Pymes.
La ingeniería social es un fenómeno, o una técnica mediante la cual los ciberdelincuentes pueden dirigirse a cualquier elemento de los recursos humanos de una empresa y aprovechar la información que han obtenido del mismo, a través de:
a) redes sociales, o
b) correos electrónicos a los que el personal de la organización ha respondido descuidada o inconscientemente, entregando información de forma voluntaria al no sospechar las intenciones de su comunicante.
Una vez obtenida la información necesaria, los ciberdelincuentes son capaces de aprovechar su conocimiento sobre esa persona para lograr que entreguen contraseñas o la forma en la que pueden conseguirlas.
Para hacer frente a las amenazas de las técnicas de «Ingeniería social»:
a) El primer remedio es disponer de una buena política de copias de seguridad, un remedio sencillo, aplicado de forma rutinaria y habitual, que permite incrementar la seguridad de la información de nuestras empresas
b) Acudir a las soluciones que se ofrecen en el «servicio antiransomware» de INCIBE (Instituto Nacional de Ciberseguridad -www.incibe.es-)
La prevención es una herramienta fundamental para evitar este y otros problemas que acechan a nuestras empresas.
Según INCIBE* entre las mejores prácticas para evitarlos pueden destacarse:
• Entrenarse para no caer víctimas de las técnicas de ingeniería social
• Configurar y mantener los sistemas para que no tengan agujeros de seguridad.
• Adoptar un buen diseño de nuestra red para no exponer servicios internos al exterior, de manera que infectarnos le sea al ciberdelincuente más difícil.
• Contar con procedimientos para: tener actualizado todo el software, hacer copias de seguridad periódicas, controlar los accesos, restringir el uso de aplicaciones o equipos no permitidos, actuar en caso de incidente, etc.
• Vigilar y las auditar para mantenernos alerta ante cualquier sospecha.
No obstante, si el mal ya está hecho y somos víctimas del ciberdelincuente, desde INCIBE se indica:
• Desconectar inmediatamente los equipos infectados de la red, desconectando el cable de red o el acceso a la red wifi para evitar que el problema se expanda al resto de equipos o servicios compartidos
• Cambiar todas las contraseñas de red y de cuentas online desde un equipo seguro y después de eliminar el ransomware cambiarlas de nuevo
• Contactar con un técnico o un servicio informático especializado que aplique las medidas necesarias que nos permitan recuperar la actividad y desinfectar el equipo

NUEVAS FORMAS DE ENTENDER LA IDENTIDAD EN UN MUNDO DIGITAL

La identidad es hoy para nosotros un concepto que nos vincula a nuestro propio nombre de forma única. Ciertamente puede haber coincidencia de nuestro nombre con el de otras personas pero para ello el Estado nos ha dotado de otros identificadores (por ejemplo el número de DNI) que nos permiten diferenciarnos también de esas personas.

La coexistencia cada vez mayor entre nuestro mundo físico tradicional con un mundo digital genera importantes contradicciones con este concepto ya que mientras que en el mundo físico tenemos una identidad única (1:1) que nos asigna el Estado del que somos nacionales, en el ámbito digital podemos tener infinitas identidades (1:infinito) y pueden asignarse por otros actores digitales (Por ejemplo una red social), pudiéndose disponer en una misma red social varias identidades diferentes.
Tanto en el mundo físico como en el digital se utilizan sistemas de gestión de la identidad centralizados en los que una entidad otorga la identificación bajo sus propias reglas a las que tenemos que someternos si queremos interactuar dentro de esa entidad, sea esta un Estado, una red social o una plataforma de compras “on line”.
En estos casos, nos podemos encontrar además con la posibilidad de que distintas entidades reconozcan la identificación que han realizado otras entidades. Un ejemplo de esto en el mundo físico sería la expedición de pasaportes que se reconocen por los diferentes Estados o en el mundo digital la identificación ante un determinado sitio web usando la identificación que ya hemos efectuado en alguna red social (Facebook, Google, etc.). Este tipo de reconocimiento se conoce como identidades federadas o delegadas.
En este tipo de identidades centralizadas el individuo tiene un papel muy limitado ya que como mucho puede optar entre identificarse o no en un determinado servicio web y ni siquiera esto cuando se quiere relacionar con un Estado. Esto supone que tenemos que dar todos los datos que se nos solicitan si hemos de establecer relaciones legalmente válidas ante esta entidad o Estado y carecemos de todo control acerca de como se usan o como estos se custodian.
Este sistema de gestión de la identidad centralizada encuentra graves problemas cuando lo trasladamos al mundo digital.
En nuestras relaciones “on line” proliferan de forma masiva técnicas para detectar nuestro rastro digital siendo un ejemplo de ello las denominadas “cookies” y muchas otras que permiten identificarnos sin que resulte siquiera preciso conocer nuestro nombre real para clasificarnos, elaborar nuestro perfil y poder adoptar decisiones sobre nosotros muchas veces sin nuestro conocimiento.
Es por ello por lo que se están abriendo paso otro tipo de sistemas de gestión de la identidad de carácter descentralizado merced a los cuales una sola Entidad no tiene toda la información sobre una persona sino que solamente tiene una parte de esta.
Este tipo de sistemas descentralizados permiten además lo que se conoce como “identidades digitales soberanas autogestionadas” mediante las cuales podemos establecer qué tipo de datos queremos compartir de forma tal que solo revelemos aquellos que sean los estrictamente necesarios para obtener un determinado servicio.
Además estos datos no se conservan todos juntos en una base de datos centralizada sino que se utiliza para ello la tecnología de bases de datos distribuidas (esta replicada en distintos “nodos” o “servidores”) con lo que su custodia resulta mucho más segura.

Demostrar el cumplimiento de las normas de privacidad

La necesidad de demostrar el cumplimiento efectivo de las normas de privacidad es algo recurrente en el nuevo Reglamento Europeo de Protección de datos.

En muchos casos se menciona la necesidad de demostrar el cumplimiento del mismo o en otros casos de alcanzar un nivel de implementación que permita estar en condiciones de demostrar tal implementación.

Como vemos en la tabla que sigue a continuación, esto se evidencia en supuestos como los siguientes:

 

Artículo/Considerando

Tema regulado

Regla

Considerando 86 Brechas de Seguridad Se deben notificar las brechas de seguridad, a menos que el responsable «pueda demostrar  la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas.
Considerando 42 Consentimiento para el tratamiento de los datos El responsable del tratamiento debe ser capaz de demostrar que el interesado ha dado su consentimiento a la operación de tratamiento de datos
Artículo 7 Consentimiento para el tratamiento de los datos
Considerando 74 Aplicación de medidas de seguridad El responsable debe aplicar medidas de seguridad oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el   Reglamento
Artículo 24 Aplicación de medidas de seguridad El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Considerando 90 Evaluaciones de Impacto Toda entidad debe «demostrar la conformidad con el   Reglamento».
Artículo 5 Principios relativos al tratamiento de los datos El responsable del tratamiento deberá cumplir lo dispuesto en dicho artículo y ser «capaz de demostrarlo» («responsabilidad proactiva»).

INTELIGENCIA ARTIFICIAL vs. INTELIGENCIA COLECTIVA

La progresiva implantación de sistemas de toma decisiones basados en inteligencia artificial puede alterar de forma significativa el funcionamiento de los sistemas sociales en los que se adopte.

Más allá de las consecuencias económicas que el hecho indudablemente supone, hay que tener en cuenta que en los sistemas sociales de nuestro entorno, el ejercicio del poder, entendido como el  mecanismo que condiciona los comportamientos sociales, se logra a través de la regulación. Esta regulación no presenta un carácter monolítico sino que en realidad es la conjunción de cuatro factores que constitucionalistas como LESSIG identifican como las normas jurídicas, las normas sociales, el mercado y la arquitectura, entendida esta última, como aquellos elementos físicos que condicionan las acciones humanas (una cerradura, una contraseña, etc.).

Pues bien, una sociedad dependiente de sistemas de inteligencia artificial supone primar el factor arquitectura, es decir el código software que da funcionamiento a los sistemas de inteligencia artificial, condicionando fuertemente el funcionamiento de los demás factores.

Esto supone que las normas sociales y el mercado se ponen a disposición del código informático, y que una nueva función que las normas jurídicas han de asumir es la protección de esta realidad que tenderá así a perpetuarse. (más…)

LA PRIVACIDAD COMO RIESGO LABORAL

Los aspectos tecnológicos requieren cada vez más atención a la hora de proteger los derechos de los trabajadores entre los que se encuentra sin ninguna duda el de su privacidad. Esto supone desde el punto de vista de la prevención de riesgos laborales la ampliación de factores de riesgo que pueden generar daños en la vida personal y familiar de los trabajadores con motivo de la prestación laboral.

Ciertamente las amenazas a la privacidad no se asocian fácilmente con la salud laboral, pero como veremos éstas, aunque son un riesgo autónomo e independiente, guardan una cierta conexión con otro tipo de amenazas a la libertad personal como son los casos de acoso laboral y otras prácticas nada deseables en el entorno laboral.

El artículo 4,2 de la Ley de Prevención de Riesgos Laborales define «riesgo laboral» como “la posibilidad de que un trabajador sufra un determinado daño derivado del trabajo.”

Este riesgo no necesariamente tiene que resultar físico, sino que puede ser psicológico o atentar contra un derecho fundamental del trabajador que menoscabe su integridad moral.

Aunque no toda invasión de la privacidad de los trabajadores podrá considerarse un riesgo laboral en el sentido de esta disciplina jurídica, no podemos olvidar que ese factor de riesgo evoluciona a la par que evoluciona nuestra sociedad y su entorno tecnológico. Situaciones que hace 10 o 15 años difícilmente podían generar riesgos, hoy suponen posibles amenazas que no hay que descartar.

Ya  es  sabido que los reconocimientos médicos requieren una especial atención si se desea respetar al máximo los datos de salud de los trabajadores, pero todavía hoy se mantienen en cierta forma ocultos algunos otros riesgos para la privacidad que surgen del  desempeño del trabajo en régimen de dependencia.

Una muestra de ello sería la sobreexposición de la identidad de un trabajador cuyo nombre, unas veces aparece en tarjetas de empresa, en rótulos informativos, o cuya imagen etiquetada y asociada a su trabajo aparece en sitios web corporativos,  o cuando otras veces acaba en poder de terceras empresas en virtud de los cada vez más frecuentes procesos de descentralización productiva. (más…)

BLOCKCHAIN, SMART CONTRACTS Y EL NUEVO PAPEL DE LOS OPERADORES JURÍDICOS

Los contratos inteligentes son documentos electrónicos susceptibles de ser programados y firmados electrónicamente de forma tal que son capaces,  no solamente de identificar de forma segura y fehaciente a los firmantes del mismo,  sino de ejecutar los términos económicos allí fijados automáticamente,  especialmente cuando se vinculan a transacciones dentro de plataformas descentralizadas  como las que se utilizan por Bitcoin -Blockchain-,  es decir bases de datos distribuidas que mantienen unos registros crecientes securizados contra la falsificación mediante criptografía.

Las bases de datos distribuidas se caracterizan por almacenar sus datos  en múltiples dispositivos que pueden estar situados en diferentes lugares lo que hace que sean difíciles de controlar por una sola persona al estar la información replicada y duplicada en un gran número de nodos, lo que dificulta la manipulación. (más…)