GCCVIEWS

Etiqueta: ciberseguridad

  • Explorando las posibilidades y desafíos de la IA de textos ChatGPT

    Abordo en este análisis reflexiones sobre las posibles implicaciones y retos del desarrollo y acceso generalizado a la inteligencia artificial de textos, en boca de tantos tras la activación a finales de noviembre de la herramienta ChatGPT, en acceso abierto.

    Incorporo nota metodológica al final.

    Transformación de negocios con la IA de textos

    El desarrollo de la IA de ChatGPT tiene el potencial de cambiar significativamente la forma en que la gente interactúa con la tecnología.

    Puede mejorar la eficiencia y precisión en tareas que requieren una interacción natural con el lenguaje humano. Por ejemplo, puede tener un impacto en la atención al cliente y la atención médica, ya que puede mejorar la eficiencia y precisión en la interacción con los clientes y pacientes.

    También puede tener un impacto en el sector financiero, ya que puede ayudar a realizar análisis y predicciones más precisos en el mercado financiero.

    Además, puede tener un impacto en el sector educativo, ya que puede utilizarse para crear programas de enseñanza personalizados y adaptativos.

    La IA también puede ser utilizada para crear herramientas y soluciones innovadoras en áreas como la logística, la energía y la producción.

    Mapa de riesgos

    Hay varios posibles riesgos y desafíos asociados con el desarrollo de la IA, como la privacidad y la seguridad de la información.

    Uno de los principales riesgos es la posibilidad de que la información personal sea recopilada, almacenada y utilizada de manera indebida por parte de terceros. Esto puede ocurrir a través de ataques cibernéticos, uso no autorizado de la información por parte de empleados de la empresa o incluso a través de vulnerabilidades en el propio software de la IA.

    Además, la IA también puede ser utilizada para fines malintencionados, como el spamming, el phishing o la difusión de noticias falsas. Por lo tanto, es importante desarrollar medidas de seguridad efectivas para proteger la privacidad y la seguridad de la información en el contexto del desarrollo de la IA.

    Medidas de seguridad

    Hay varias medidas de seguridad que pueden ser efectivas para proteger la privacidad y la seguridad de la información en el contexto del desarrollo de la IA.

    • Implementar medidas de cifrado efectivas para proteger la información contra el acceso no autorizado.
    • Establecer políticas de privacidad claras y transparentes para informar a los usuarios sobre cómo se recopila, almacena y utiliza su información personal.
    • Realizar regularmente auditorías y pruebas de seguridad para detectar y corregir vulnerabilidades en el software de la IA.
    • Capacitar y educar a los empleados sobre las buenas prácticas de seguridad informática y las políticas de privacidad de la empresa.
    • Colaborar con expertos en seguridad informática y privacidad para desarrollar medidas efectivas y estar al día con las últimas amenazas y tendencias en el campo de la seguridad de la IA.

    Es importante tener en cuenta la seguridad y la privacidad en todas las etapas del desarrollo de la IA, desde el diseño hasta la implementación y el mantenimiento, para garantizar la protección adecuada de la información personal.

    El papel del Estado

    Los gobiernos y la legislación tienen la responsabilidad de establecer marcos y normas para regular el desarrollo y el uso de la IA. Esto incluye la creación de leyes y regulaciones que protejan la privacidad y la seguridad de la información, así como la promoción de la ética y la transparencia en el desarrollo y uso de la IA. También pueden fomentar la investigación y el desarrollo en el campo de la IA, así como establecer estándares y mecanismos de evaluación para garantizar que la IA cumpla con ciertos requisitos de calidad y seguridad.

    Retos para la prensa

    El desarrollo de la IA en general, y de ChatGPT en particular, puede tener un impacto positivo en la generación de contenidos informativos y en la prensa.

    Por ejemplo, ChatGPT y otras tecnologías de IA pueden ayudar a los periodistas a crear contenido más rápido y preciso, lo que les permite enfocarse en otras tareas importantes, como la investigación y la verificación de hechos.

    Además, la IA también puede ayudar a la prensa a llegar a una audiencia más amplia y ofrecer contenido personalizado a sus lectores.

    Sin embargo, es importante tener en cuenta que la IA todavía tiene limitaciones y no puede reemplazar completamente el trabajo humano en la generación de contenidos informativos.

    Es posible que el desarrollo de la IA como ChatGPT pueda tener algún efecto negativo en la prensa. Si se utiliza en exceso o de manera inadecuada, la IA puede generar contenido que no sea preciso o que incluso sea engañoso. Además, si se utiliza para reemplazar completamente el trabajo humano en la generación de contenidos informativos, esto podría llevar a una reducción en la calidad del contenido y en la diversidad de opiniones en la prensa. Por lo tanto, es importante utilizar la IA de manera responsable y en combinación con el trabajo humano en la prensa.

    Nota metodológica:

    Este análisis ha sido redactado completamente con los textos generados por la herramienta de inteligencia artificial de textos ChatGPT, de acceso abierto en varios países, activada hace unos pocos días.

    La única intervención del firmante de este artículo es la entrada inicial, así como formular la serie de preguntas a ChatGPT para que produzca los textos.

    De los textos generados he seleccionado los que me han parecido más relevantes bajo mi criterio, haciendo puro “Copiar y pegar”, sin añadir ni una sola palabra mía.

    El título también es de la herramienta. He tenido que introducir únicamente una corrección, del número de un artículo determinado.The Conversation

    Francesc Pujol, Profesor en la Facultad de Económicas, Universidad de Navarra

    Este artículo fue publicado originalmente en The Conversation. Lea el original.

  • El Quijote o un gestor de contraseñas para crear claves complejas que podamos recordar

    La primera vez que se tenga constancia del uso o la invención de una contraseña es en el año 1961. Ese año, los científicos del MIT tuvieron que inventar un sistema para poder compartir un dispositivo al que se conectaban de manera compartida diferentes usuarios. Necesitaban poder diferenciar quién accedía en cada momento. Así surgieron los nombres de usuarios y las contraseñas.

    Su uso se fue popularizando con las diferentes aplicaciones que se iban desarrollando a medida que pasaban los años. El sistema permitía, y sigue siendo así, que las aplicaciones puedan saber quién es la persona con la que están interactuando y así guardar los datos personalizados para cada una.

    A principio de siglo, los bancos empezaron a operar masivamente en internet, y comenzaron a surgir problemas más serios con las contraseñas. Con el tiempo, los ciberdelincuentes se dieron cuenta de que esas claves eran fáciles de descubrir.

    Del 123456 a las preguntas de seguridad

    La gente se acostumbra a utilizar claves fáciles de recordar, como las más típicas de 123456, nombres de personas y años, nombres de mascotas, lugares conocidos que hemos visitado o donde vivimos y equipos de fútbol. Todas estas contraseñas son muy fáciles de recordar y de usar, pero los ciberdelincuentes pueden descubrirlas muy rápidamente buscando un poco de información sobre las personas.

    Además, como había problemas también de contraseñas que se olvidaban, se inventaron inicialmente una serie de preguntas fijas a las que el usuario debía responder con la misma información que había introducido en el momento de darse de alta. La más típica: el nombre de la mascota.

    Recordemos el ataque que sufrió hace años Paris Hilton. Los ciberdelincuentes pudieron entrar en los archivos que tenía guardados en el móvil simplemente respondiendo a la pregunta del nombre de su mascota (un chihuahua del que no se separaba). Respondiendo acertadamente, pudieron recuperar la contraseña de Hilton.

    Los primeros consejos para crear contraseñas

    En el año 2003, Bill Burr, gerente del Instituto Nacional de Estándares y Tecnología de Estados Unidos, redactó un documento en el que recopiló un conjunto de trucos para crear las contraseñas más seguras.

    Burr introdujo la pauta de mezclar letras, números, mayúsculas, minúsculas y caracteres especiales y de una longitud mínima para crear así contraseñas más complejas que las que usaba mayoritariamente la gente por aquel entonces. Pensaba que había realizado una buena obra y ayudado a las personas, pero fue todo lo contrario.

    Burr acabó pidiendo perdón por crear este documento y estos trucos. Había concebido un sistema que obligaba al usuario a recordar contraseñas muy complejas imposibles de retener. Podríamos acordarnos de una o incluso alguna persona de dos, pero con la cantidad de servicios que actualmente tenemos en internet, este sistema es precisamente lo contrario a lo que pretendía ser. Las contraseñas que no tienen ningún sentido para las personas son olvidadas rápidamente.

    Programas que encuentran contraseñas

    Partir de una palabra conocida (que suele ser una palabra común), cambiar números y algún signo no es una buena solución. Además de ser mucho más complejo de recordar, nos da la sensación de protección, de usar un sistema completamente seguro de contraseña, pero es todo lo contrario.

    Existen programas informáticos que generan contraseñas a partir de listas de palabras de un diccionario. Van cambiando números por letras o les añaden números delante o detrás o incluso caracteres especiales.

    Estas herramientas permiten así generar combinaciones completamente aleatorias de estas letras, números y caracteres, o permutaciones de letras y números a partir de unas cuantas palabras conocidas que pueden ser más o menos afines a las personas que se quiere atacar. Por ejemplo, para una persona muy fanática de un determinado equipo de fútbol, podría crear combinaciones de nombres relacionados con ese equipo, con deportistas, años, etc.

    En segundos, estos programas son capaces de crear un listado con millones de combinaciones posibles de letras y números que son probados en las webs que piden un usuario y contraseña hasta dar con la correcta.

    ¿Contraseñas seguras y que podamos recordar?

    De momento, no podemos dejar de usar las contraseñas. Hoy en día todos los sistemas se basan en esta manera de identificarse. Por eso, lo mejor es tener alguna manera de utilizar contraseñas complejas que sea fácil de manejar. Hemos visto que no pueden ser palabras conocidas directamente, ni combinaciones de letras y números sin sentido que no recordamos.

    Podemos utilizar dos estrategias que nos van a permitir tener buenas contraseñas fácilmente recordables.

    • La primera es acordarnos de alguna frase de un libro o algún refrán y personalizarla para cada uno de los servicios donde queremos usar una contraseña. Por ejemplo, podemos considerar el libro El ingenioso hidalgo don Quijote de la Mancha de Miguel de Cervantes, que empieza con la frase: “En un lugar de la mancha, de cuyo nombre no quiero acordarme, no hace mucho tiempo que vivía un hidalgo…”. Si cogemos solo las primeras letras y los signos podemos tener una contraseña muy larga que no tenga ningún sentido: E1ldlM,dc2nqa.Pero además podemos modificar esta clave para adaptarla a la web que queremos usar. Por ejemplo, para el banco, que son cinco letras, a partir de la quinta posición insertamos un concepto relacionado con el banco, como una caja fuerte, empleando un signo de separación como +, -, ¿, :, etc. Quedaría algo así como E1ldl+FuerT+M,dc2nqa. Así solo hemos de repetir la frase e ir poniendo las letras iniciales y la web a la que hace referencia. Seguro que es más fácil acordarnos de esta contraseña que no de una combinación aleatoria de 19 caracteres.
    • Otra opción posible es el uso de un gestor de contraseñas, una aplicación que podemos instalar en el móvil o el navegador en la que podemos guardar las diferentes contraseñas que vayamos creando. De esta manera solo tendremos que acordarnos de una que desbloqueará la aplicación y podremos buscar la contraseña que necesitemos.El problema de estas herramientas es que necesitaremos siempre el móvil para mirar qué contraseña usar en cada caso y acordarnos de apuntarla, así como los cambios de estas contraseñas.Además, hay que ir con mucho cuidado a la hora de instalar una aplicación como estas porque los ciberdelincuentes lo saben y crean apps similares para que las utilicemos y les enviemos directamente todas nuestras contraseñas, entre ellas las del banco o el correo electrónico. Antes de instalar, deberemos mirar bien los comentarios que tiene la aplicación y cuándo se creó, y aún así siempre debemos desconfiar un poco. Estas herramientas son útiles, pero al final estamos confiando en una aplicación hecha por terceras personas que no conocemos, y no en la capacidad de nuestra mente de retener una frase, por ejemplo.

    Lo ideal: la autenticación en dos pasos

    Existen tres métodos para poder autenticar a una persona en un servicio, ya sea web o presencial: lo que sabemos, lo que somos y lo que tenemos. Sabemos las contraseñas (las tenemos en la memoria). Somos las huellas dactilares o el iris, en general la biometría. Y tenemos un dispositivo al que enviar un código único, el teléfono por ejemplo.

    Desde hace ya un tiempo se sabe que utilizar únicamente un factor de autenticación es un problema grave de seguridad, por eso los bancos y otros servicios ya utilizan dos. Aparte de la contraseña, nos envían un código único para validar las acciones que hacemos. Además, los teléfonos de última generación ya disponen de la biometría para gestionar los accesos a las webs que queremos guardar.

    Con un buen uso de esos factores de autenticación, las contraseñas se van a quedar muchos años con nosotros. Es muy recomendable que en todos los sistemas que lo permitan activemos ese segundo factor de autenticación, sobre todo en las webs de compras o aquellas que tengan guardada la tarjeta de crédito para comprar, el correo electrónico, etc.

    Aunque los ciberdelicuentes consigan obtener la contraseña, no podrán tener el mismo dispositivo o la misma huella dactilar. Aunque haya problemas de ciberseguridad con estos últimos métodos, no son tan sencillos de manipular y, por lo tanto, podemos estar un poco más protegidos que únicamente con el nombre de nuestra mascota o de nuestro equipo de fútbol favorito.The Conversation

    Jordi Serra Ruiz, Profesor de Ciberseguridad, UOC – Universitat Oberta de Catalunya

    Este artículo fue publicado originalmente en The Conversation. Lea el original.

  • Advertencias del FBI revelan 10 prácticas a tener en cuenta para detener a los piratas informáticos

    El FBI, junto con la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA), así como las autoridades de seguridad cibernética de Canadá, Nueva Zelanda, los Países Bajos y el Reino Unido, han compilado una lista de los principales controles de seguridad, configuraciones y prácticas deficientes a tener en cuenta para evitar ciberataques. También contiene las mitigaciones colectivas recomendadas por las autoridades.

    «Los actores cibernéticos explotan de manera rutinaria las configuraciones de seguridad deficientes (ya sea que estén mal configuradas o no estén protegidas), los controles débiles y otras prácticas de higiene cibernética deficientes para obtener acceso inicial o como parte de otras tácticas para comprometer el sistema de una víctima», dice CISA.

    Ya sea que sea un usuario de Apple o Android o prefiera iniciar sesión en cuentas en una computadora portátil, estos grupos de seguridad en conjunto han revelado 10 consejos importantes que pueden mantenernos a salvo de los piratas informáticos a medida que el delito cibernético continúa aumentando:

    1. Configurar la autenticación
    El uso de autorizaciones de múltiples factores agrega más pasos al proceso de inicio de sesión, lo que dificulta que los piratas informáticos accedan a los registros de su teléfono. La mayoría de sus cuentas de redes sociales y banca en línea tendrán opciones de autenticación de múltiples factores en su sección de configuración.

    2. Evitar permisos incorrectos
    Este paso se aplica más a las empresas y es algo que puede señalar a su empleador. Los expertos en seguridad advierten contra tener largas listas de permisos de acceso a datos personales. Cuantas menos personas tengan acceso a datos privados e importantes, menos oportunidades tendrán los ciberdelincuentes para acceder al contenido.

    3. Actualizar su programa
    Esto puede parecer un punto obvio, pero muchas personas se olvidan de actualizar su software o posponen las actualizaciones del sistema. Las actualizaciones de software generalmente vienen con correcciones de errores, por lo que posponerlas puede permitir que un ciberdelincuente explote una falla en su dispositivo.

    4. No utilizar nombres de usuario y contraseñas predeterminados
    Cambiar las contraseñas con frecuencia y por algo que nadie pueda adivinar sobre usted, evitar los cumpleaños y los nombres de sus seres queridos. Nunca quedarse con un nombre de usuario o contraseña predeterminados porque son demasiado fáciles de adivinar para un hacker.

    5. Evitar las VPN innecesarias
    Las redes privadas virtuales pueden ser útiles para navegar por Internet como si estuviéramos en un país diferente, pero algunas pueden dejarnos expuestos a los estafadores. El FBI recomienda tener cuidado con la VPN que se elija usar, ya que algunas no tienen suficientes controles para evitar que los piratas informáticos accedan al contenido personal.

    6. Hacer que tu contraseña sea segura
    De manera similar a evitar una contraseña predeterminada, se recomienda asegurarse de que la que se elija sea segura. Los sitios generalmente recomiendan un nivel de seguridad medio a alto, lo que significa agregar números y símbolos adicionales.

    7. Ser precavidos con los servicios en la nube
    Cuando guardamos nuestros datos en servicios en la nube, asegurarse que están protegidos. Algunos servicios en la nube son más fuertes que otros, como iCloud de Apple, que es conocido por ser bastante seguro, pero hay algunas aplicaciones en la nube que podrían dejarlo vulnerable a los ataques, por lo que hay que tener cuidado con el contenido que se sube a la nube y a quién puede acceder a ella.

    8. Tener cuidado con los ‘servicios mal configurados’
    Este punto es más para los propios servicios, ya que tienen la responsabilidad de proteger sus datos. Investigaciones anteriores de IBM Security X-Force encontraron que dos tercios de los incidentes de seguridad en la nube podrían haberse evitado con las políticas de seguridad adecuadas.

    9. Estar alerta a las estafas de phishing
    Si se recibe un correo electrónico o mensaje de texto con un enlace sospechoso, debe evitarlo, incluso si el enlace es para algo aparentemente importante. Los estafadores confían en asustarlo o convencerlo de que obtendrá algo bueno.
    Las estafas de phishing pueden ser fáciles de detectar si se presta atención a por ejemplo errores de ortografía, uso incorrecto de nombres y direcciones de correo electrónico extrañas. Los estafadores intentarán comunicarse con usted a través de llamadas o mensajes de texto y tratarán de asustarlo para que proporcione información personal.

    10. Asegurarse de tener una protección adecuada
    El último consejo de seguridad se refiere a la detección de puntos finales. Este es un software que se supone que detecta una amenaza que ya ha superado algunas barreras para que pueda intentar bloquearla antes de que se propague. Asegurarse de tener un software de seguridad sólido o invertir en él.

  • Ciberataques: más de 91 mil millones de intentos en lo que va de año en una latinoamérica indefensa

    El aumento de los ciberataques de ransomware durante la primera mitad de 2021 aumentó 10,7 veces a nivel mundial, por encima de los niveles establecidos hace un año. Fortiguard Labs, la organización de investigación e inteligencia de amenazas del proveedor de ciberseguridad Fortinet, experimentó un aumento significativo en el volumen y la sofisticación de los ataques dirigidos a personas, organizaciones e infraestructura cada vez más crítica.

    El “Informe del panorama global de amenazas” de FortiGuard Labs de la primera mitad de 2021 también detalla las principales amenazas presentadas contra las organizaciones en el mismo período. Estos incluyen detecciones de IPS, malware y botnets. Sin embargo, la creciente superficie de ciberataques de los trabajadores híbridos y los estudiantes, dentro y fuera de la red tradicional, sigue siendo un objetivo, según el informe.

    Según los investigadores, se detectaron varias tendencias generales en las superficies de ciberataques que han sido desenfrenadas en años anteriores: servidores web, sistemas de administración de contenido (CMS) y dispositivos de Internet de las cosas (IoT).

    En la región de América Latina, hubo más 91 mil millones de intentos de ciberataques en la primera mitad del 2021. El estudio arroja que México es el país que sufrió mayor intentos de ataque en lo que va de año, con 60,8 mil millones, seguido por Brasil (16,2 mil millones), Perú (4,7 mil millones) y Colombia (3,7 mil millones).

    “La expansión de la superficie de ataque que brindan los modelos híbridos de trabajo y enseñanza sigue siendo una gran oportunidad para los delincuentes. Es por eso que vemos un número creciente de ataques a dispositivos IoT y a recursos vulnerables utilizados en reuniones y clases, como cámaras y micrófonos”, explica Arturo Torres, Estratega de FortiGuard para América Latina y el Caribe. “El incremento es preocupante no solo por el alto volumen de amenazas, sino también por las consecuencias que pueden tener, dando lugar a delitos sofisticados como el ransomware, que destacan tanto por la pérdida económica como por el daño a la imagen que causan a las empresas”.

    A nivel mundial, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por el gobierno y los sectores automotriz y manufacturero. Fortinet también señala que ha habido una evolución en el modelo utilizado por los hackers, con el crecimiento del denominado Ransomware-as-a-Service (RaaS), donde algunos piratas informáticos se enfocan en obtener y vender acceso inicial a redes corporativas, lo que alimenta aún más el crimen cibernético.

    Otro de los resultados destacados del estudio fue que una de cada cuatro organizaciones detectó intentos de malvertising durante el trimestre, es decir, el uso de publicidad online para la distribución de malware, siendo Cryxos el más relevante.

    También se experimentó un crecimiento de la actividad de las botnets, que aumentó del 35% a principios de año al 51% seis meses después. Los investigadores dijeron que el aumento es “bastante inusual» para la actividad agregada de las botnets.

    Por último, los dispositivos IOT  (Internet de las cosas, en español) también son un objetivo latente. Mirai, la botnet más frecuentemente detectada en la región, ha seguido agregando nuevas armas cibernéticas a su arsenal, pero es probable que su dominio se deba a que los delincuentes buscan explotar los dispositivos IoT que utilizan las personas que trabajan o estudian desde casa.

    “Para abordar este problema, las organizaciones deben adoptar un enfoque proactivo que incluya protección de endpoints, redes y nube en tiempo real, incluida la detección automatizada de amenazas y la respuesta con inteligencia artificial. Todo con un enfoque de Zero Trust Access (redes de confianza cero), especialmente para dispositivos IoT”, orienta Torres. “Además, la concientización continua sobre ciberseguridad para todos los empleados es fundamental para convertirlos en la primera barrera contra las estafas de ingeniería social, que pueden generar grandes problemas para las empresas”.

  • Facebook Messenger fue utilizado para robar datos de usuarios en más de 80 países

    Una nueva campaña de fraude a gran escala se ha centrado en la aplicación de mensajería Facebook Messenger y, haciéndose pasar por una versión actualizada, ha conseguido robar los datos de acceso de usuarios de más de 80 países de todo el mundo, incluidos europeos como Francia, Alemania e Italia.

    Así lo ha advertido la empresa de ciberseguridad Group-IB, que ha descubierto la campaña fraudulenta, que ha distribuido una red de unos 1.000 perfiles falsos de Facebook. La campaña de fraude, invitaba a través de publicaciones de Facebook a supuestamente instalar “la última actualización de Messenger” con más de 5.700 publicaciones fraudulentas. Para hacer la estafa más creíble, las cuentas falsas de Facebook replicaron la apariencia real de Messenger, usando su logotipo y nombre de perfil, aunque con ligeras variaciones, como ‘Messanger’, ‘Meseenger’ y ‘Masssengar’.

    Las ‘publicaciones’ de la campaña iban acompañadas de un enlace que redirigía a los usuarios a un sitio web -creado a través de blogspot.com, sites.google.com, github.io o godaddysites.com, que se hacía pasar por el inicio de sesión de Facebook Messenger y pedía a los usuarios que ingresaran sus credenciales de acceso. Para evitar la detección, los ciberdelincuentes utilizaron servicios para acortar la URL de los enlaces que incluía en sus publicaciones, como linktr.ee, bit.ly, cutt.us, cutt.ly y rb.gy.

    Además, en las publicaciones se trataba de atraer a los usuarios prometiéndoles características que no existen en la ‘aplicación’ de Messenger real, como descubrir qué personas han visto el perfil del usuario, mostrar mensajes eliminados o cambiar a una supuesta versión Gold de la aplicación’.

    También amenazaron con bloquear su cuenta si no se registraban en el sitio web falso, acción con la que los afectados podían ver efectivamente sus cuentas robadas o que los ‘hackers‘ exigían un rescate por ello.

    Ilia Rozhnov, jefe del departamento de protección de riesgos digitales de Group-IB en Asia-Pacífico, afirmó que los estafadores se han aprovechado del descuido de los usuarios en línea. «Vivir en la era de todo instantáneo, hacer clic en un anuncio, una propuesta o un titular atractivo se ha convertido en un reflejo humano natural», dijo. «Internet ha hecho que la gente abandone el pensamiento crítico». Añadió: «Depende de las marcas (como Facebook en este caso) aclarar las cosas en este enfrentamiento interminable asegurándose de que sus nombres no se utilicen para engañar a los clientes desprevenidos con una estafa».

    Facebook introdujo una actualización importante a fines del año pasado con nuevas funciones, incluida la comunicación entre aplicaciones entre Facebook e Instagram, y un modo de desaparición. En el lanzamiento de la actualización, dijo entonces que los usuarios de Messenger no necesitaban tomar medidas para obtener acceso a estas nuevas funciones, ya que estarían disponibles automáticamente.

    Se recomienda a los usuarios de redes sociales que sean cautelosos al hacer clic en enlaces que conducen a sitios externos, y nunca deben ingresar datos personales en sitios de terceros, incluso si tienen logotipos de marcas conocidas, dijo Group-IB.

    Hay que tener en cuenta también que las actualizaciones en todo caso siempre se descargan desde las tiendas oficiales para iOS y Android que son Apple Store y Google Play respectivamente. Nunca desde links que llegan por SMS, chats o cualquier otra vía. Siempre se debe recurrir a los sitios oficiales.

  • Seguridad informática, una de las acciones más importantes a tomar ya mismo, por su bien y el de su organización

    La actual pandemia ha impulsado a las empresas a repensar sus necesidades de transformación digital, implementación tecnológica y la adaptación de sus procesos de negocios. Ante este nuevo panorama, la protección de los datos se ha vuelto cada vez más esencial para las organizaciones de todos los tamaños y segmentos.

    Sin duda la actual situación que ha generado la pandemia dio como resultado que, ante la urgente necesidad de implementar el trabajo remoto, la prioridad de todas las empresas fue permitir el acceso a los colaboradores a sus sistemas, y en oportunidades sin considerar aspectos fundamentales de seguridad informática.

    Así fue como algunos accesos remotos no tenían la encriptación y tampoco la autenticación segura, por lo que resultaba fácil descubrir las credenciales de los funcionarios y así, acceder a los sistemas de las compañías. De hecho, muchas empresas poco se preocuparon por esos riesgos para no perder la continuidad operativa. Y en un hecho absolutamente fuera de control, en muchos hogares, con muchos niños en escolaridad virtual y pocos dispositivos, se han compartido laptops, pcs, etc, entre padres trabajando también en forma remota e hijos, con datos “regalados” por los niños en el hogar que han podido comprometer la seguridad de empresas sin que se hayan podido percatar de ello..

    Respecto a la banca, hay un incremento en los fraudes a usuarios de la banca y empresas en general, se han incrementado más intentos de fraude o robo de información, a través de medios electrónicos, principalmente correos o llamadas telefónicas.

    Las instituciones han intensificado el envío de mensajes preventivos a sus clientes. Sin embargo, no ha sido suficiente; es imperativo y urgente que se establezcan acciones adicionales y específicas para el resguardo  y el fomento de cultura de seguridad informática para la protección de los clientes; se requiere que el personal responsable de la ciberseguridad en las instituciones, corporaciones y autoridades financieras cuente con habilidades técnicas, estratégicas y gerenciales para identificar y responder a las amenazas que se presentan hoy en día.

    A nivel bancario, dichas medidas son de vital importancia para las instituciones del país debido a que es indispensable que los sistemas de pago operen a cualquier hora y en cualquier lugar bajo cualquier circunstancia, sobre todo en un estado de incertidumbre como el actual.

    Dada la funcionalidad de las empresas que proveen servicios tecnológicos, como los de cómputo en la nube, así como la escala operativa que algunas llegan a tener, una disrupción o suspensión en la prestación de sus servicios puede tener implicaciones relevantes para la continuidad operativa de las entidades financieras que recurren a estas empresas para prestar sus servicios financieros básicos, e incluso para la estabilidad del sistema financiero.

    La observancia de medidas básicas de ciberseguridad y una mejor preparación de los bancos para operar con esquemas de contingencia cuando un ataque los obligue a eso es fundamental y aún cuando parezca redundante decirlo, este año han habido bancos importantísimos en Latinoamérica (en Chile y Costa Rica, por ejemplo) cuya seguridad ha sido seriamente comprometida.

    Si los sistemas financieros deben extremar la seguridad, en las corporaciones en general, se debe destacar una mayor exposición aún a riesgos en la operación de las mismas por el incremento en las conexiones remotas que se requieren en el uso de esquemas de trabajo a distancia durante y post pandemia.

    Sin embargo, tras casi 7 meses de cuarentena, se siguen observando las vulnerabilidades dejadas en el camino y los accesos remotos seguros de extremo a extremo son escasos de comprobar a estos momentos.

    Pero más allá de ello, no solo se trata de implementar soluciones o programas específicos, es más que una sola solución para un caso puntual descubierto en un simple test de penetración. Se trata de contar con una política y plan de seguridad que le permita a la empresa no tener vulnerabilidades ni brechas en la continuidad del tiempo. Esta nueva modalidad de trabajo no tiene retorno y se quedará para siempre. Tener esa visión es esencial para la evolución de los negocios y para la salud de las organizaciones es crítica. Se trata de mantener y proteger la data, cuando especialmente es data sensible que le pertenece a terceros. Las preocupaciones sobre el rastreo de contactos y otras invasiones gubernamentales de la privacidad personal conducirán a un nuevo deseo por parte del público de formas de identificar a las organizaciones con las que se conectan en línea, y de mejores garantías de la seguridad de los dispositivos conectados en su vida cotidiana, incluidos los automóviles conectados, hogares, edificios, sitios web, correos electrónicos, etc. Hay que recordar que en Panama, desde Marzo del 2021, entrará en vigencia la ley de protección de datos que hará responsables a todas las compañías por su preservación y custodia.

    También es imperativo para las empresas contar con profesionales preparados para afrontar los desafíos que se plantean ante el nuevo panorama de seguridad. Deben estar capacitados en nuevas tecnologías, orientados a la arquitectura, aplicaciones seguras y también a servicios de seguridad.

    Con toda la incertidumbre que se presentó en el 2020, nadie sabe con certeza qué pasará. Sin embargo, los usuarios pueden estar razonablemente seguros acerca de nuevas predicciones basadas en los cambios en la seguridad de la información que probablemente influirán en el año 2021.

    Según el Verizon’s Data Breach Investigations Report for 2020, la ingeniería social es uno de los principales vectores de ataque para los piratas informáticos y se espera que sean cada vez más complejos y se aprovechen los eventos actuales a niveles sin precedentes: con el desempleo en su nivel más alto, se verá un aumento de la actividad maliciosa aún mayor en 2021, ya que los programas de subsidios y desempleo de los gobiernos centrados en la pandemia, han ampliado el alcance para recibir beneficios y los métodos de seguridad no han podido mantenerse al día debido a la celeridad con que han debido implementarlo. Esto solo hará que este sea un canal muy interesante para los estafadores. Los atacantes aprovecharán en gran medida las pruebas de COVID-19. Los estafadores utilizarán la ingeniería social para engañar a los usuarios y gobiernos o autoridades para producir pruebas engañosas o para apoderarse de la data almacenada en laboratorios y repositorios gubernamentales. Quizás también se produzcan aplicaciones que engañarán a los usuarios para que descarguen virus maliciosos en dispositivos inteligentes que los hackers pueden aprovechar para actividades criminales, desde robos a cuentas bancarias o extorsiones con data privada.

    Por último, existirán muchas noticias sobre filtraciones de datos debido a vulnerabilidades de  empresas que no han hecho un buen trabajo para proteger su fuerza de trabajo remota y sus sistemas. No espere que su organización esté dentro de estas malas noticias.

    Si si aún no la ha hecho, solicite su revisión de vulnerabilidad y riesgo cibernético a Goethals Consulting, probablemente le sorprenderá su nivel de indefensión.

  • ¿Está Apple usando prácticas anticompetitivas y atentando contra los Derechos Humanos?

    La semana pasada  comentábamos cómo Apple, así como otras compañías tecnológicas, enfrentaban investigaciones antimonopolio tanto en Estados Unidos como en la UE.

    El día 16 del mes pasado, la Comisión Europea abrió dos causas antimonopolio para investigar Apple Pay y la App Store. En el caso de Apple Pay, los reguladores están estudiando si Apple bloquea injustamente a los competidores del uso de la tecnología de transmisión inalámbrica NFC que alimenta a Apple Pay en sus dispositivos . Con respecto a la App Store, se está indagando si las restricciones que Apple impone a los desarrolladores perjudica a la competencia. El servicio de música Spotify desencadenó la investigación cuando presentó una queja ante la UE hace más de un año.

    El iOS de Apple controla el 25% del mercado mundial de smartphones (el otro 75% está controlado en gran medida por Android de Google). Esto significa que para más de 1000 millones de personas (particularmente en los EE. UU., donde su cuota de mercado es casi del 50%), la única forma de instalar aplicaciones es a través de la App Store. Esto le da a Apple una enorme influencia sobre la forma en que el software se crea y se consume en todo el mundo.

    Pero quizás la mayor expresión de este poder, afirman, sea el cobro del 30% que Apple aplica a los desarrolladores por todas sus ganancias de ventas a través de su App Store, que ahora es objeto de investigaciones antimonopolio, y que hace difícil mantenerse competitivos si se ven obligados a pagarle a su competidor el 30% de todas sus ganancias. Pero Apple, contrarrestó esto contratando a economistas de la firma Analysis Group, quienes dijeron que los honorarios del gigante tecnológico eran similares a los de la competencia.

    Apple argumentó además, que la App Store no es diferente de un centro comercial, donde las empresas que buscan ofrecer sus productos deben pagar el alquiler al propietario del centro comercial (en este caso, Apple). Este argumento ignora según los afectados, el hecho de que solo hay un único centro comercial cuando se trata de iOS y no hay posibilidad de que un centro comercial de la competencia alquile un espacio. Además, alegan que es una tarifa que finalmente perjudica a los consumidores porque se transfiere indirectamente a través de precios más altos o a través de menos productos de la competencia en el mercado.

    Apple, afirman, incluso ha llegado al extremo de prohibir las aplicaciones de la App Store si se niegan a ofrecer compras en la aplicación para funciones pagas que están disponibles para su compra en otros lugares. En otras palabras, Apple quiere un recorte de casi un tercio de sus ventas, independientemente de si desea vender en su plataforma o no. Esto fue precisamente lo que denuncia ProtonVPN, un proveedor de servicios de red privada virtual operado por la compañía suiza Proton Technologies AG, el primer servicio VPN gratuito e ilimitado del mundo que no rastrea ni registra la actividad de los usuarios.

    En enero de 2020, la compañía afirma que presentó una actualización de la descripción de su aplicación iOS en la App Store. La nueva descripción destacó las características del servicio, incluida la capacidad de «desbloquear sitios web censurados» con la aplicación.

    A pesar de que ProtonVPN había estado en la App Store desde 2018 y la funcionalidad básica VPN no ha cambiado, Apple rechazó la nueva versión de la aplicación y amenazó con eliminarlo. Exigieron que eliminaran este lenguaje en torno a la lucha contra la censura, con el argumento de que la libertad de expresión está severamente limitada en algunos países, cumpliendo órdenes de gobiernos autoritarios en países donde se protege la libertad de expresión.

    La compañía declaró que, el flujo libre de ideas, junto con el derecho a mantenerlas privadas, es un principio en el que, aparentemente Apple ya no cree. Por ejemplo, Apple cumple voluntariamente con las leyes chinas que restringen el acceso de los usuarios a miles de aplicaciones y que requieren que las compañías extranjeras almacenen los datos de sus ciudadanos dentro del país y los pongan a disposición de autoridades.

    En concreto, en China, Apple ha censurado plataformas de noticias como The New York Times y Bloomberg News, mientras que en Hong Kong bloqueó el acceso a la aplicación HKMaps que apoyaba las protestas por la democracia local. También acordó eliminar docenas de aplicaciones, incluidos podcasts, que según China violan las leyes de censura locales.

    El número de accionistas que exigen que la empresa defienda los derechos humanos básicos ha aumentado. El año pasado, Apple reportó ganancias récord de $55 mil millones, lo que la convierte en la compañía tecnológica más rentable del mundo.

    Según Proton, hubo un tiempo en que Apple se presentaba como una alternativa rebelde a gigantes como Microsoft. Pero hoy día para esta compañía entre otras, Apple se ha convertido en un monopolio, reprimiendo la disidencia y la competencia, y perpetuando su dominio del mercado a través de tarifas punitivas y censura, que afirman sofoca el progreso tecnológico, la libertad creativa y los derechos humanos.

  • La relevancia del Responsable de la  Seguridad de la Información

    La relevancia del Responsable de la  Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer).

    El Foro Económico Mundial en su Informe Global de Riesgos del 2018, identifica que dentro de los riesgos más preocupantes a nivel mundial por su probabilidad de ocurrencia e impacto, son los ciberataques y al robo o uso fraudulento de los DATOS. Siendo por ello, una de las grandes preocupaciones a nivel global tanto en el entorno público como privado. La dependencia de las redes y de los sistemas de información para el bienestar, la estabilidad y el crecimiento naciones es un hecho. Como también lo es la interdependencia de tecnologías e infraestructuras.

    Para las empresas, los nuevos paradigmas como son la Transformación Digital, el uso de soluciones basadas en la Nube o Cloud Computing, la incorporación de dispositivos IoT, el Big Data, suponen un cambio en la forma de entender cómo la tecnología facilita el negocio.

    Por otro lado, la tendencia Fast, Cheap & Easy en la gestión de Sistemas de Información para reducir el tiempo y los costos  de la provisión de nuevas soluciones y que se apoya en metodologías ágiles (Lean, DevOps, Agile) supone tanto un reto en la elaboración de los Análisis de Riesgos, como en el control del desarrollo y hace más importante la necesidad de tener en cuenta la Seguridad de la Información desde el diseño y durante todo el ciclo de vida de cualquier Producto o Servicio.

    Todos los actores están preparándose a este nuevo escenario. La Administración pública y la privada a nivel global están centrando sus esfuerzos en la definición de distintos marcos regulatorios: La Estrategia de Ciberseguridad, el Reglamento General de Protección de Datos Personales, la Seguridad de las Redes y los Sistemas de información, la normativa sobre protección de infraestructuras críticas y la normativa de seguridad privada. Todas ellas con un factor común, establecer un conjunto de criterios o medidas de seguridad a aplicar. No debería sorprendernos que Panamá inicie este camino también.

    Es por todo ello, por lo que el papel del Responsable de Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer) cobra un papel trascendental en las organizaciones del siglo XXI. La seguridad por defecto, desde el diseño y la debida gestión de los riesgos de seguridad son elementos clave para garantizar la supervivencia de las organizaciones del futuro, y en general de la sociedad. Debe ser capaz de poder cohesionar la estrategia en materia de Seguridad de la Información de las organizaciones.

    No obstante, dependiendo de cada entidad estas funciones del CISO pueden ser asignadas a otros roles (o junto con otros roles) dentro de la estructura organizativa.

    Algunos de estos roles son: el del CRO (Chief Risk Officer), el COO (Chief Operating Officer), CIO (Chief Information Officer) DPO (Data Protection Officer), CDO (Chief Data Officer), CTSO (Chief Technology Security Officer) o CSO (Chief Security Officer). En todo caso, será cada entidad quien deba definir el modelo organizativo y de relación en materia de seguridad dentro de su organización prevaleciendo el principio de segregación de funciones. En función de la madurez de las entidades y su sensibilidad ante la seguridad de la información el rol del CISO se encontrará jerárquicamente enmarcado: en la alta dirección (formando parte de los comités de dirección), en la Dirección de IT – Tecnologías de la Información, en la Dirección de Riesgos o en Seguridad Corporativa.

    Esté donde esté, sin lugar a dudas el CISO es una figura clave dentro de las organizaciones debiendo definirse claramente sus atribuciones y su perfil. Desde Goethals Consulting lo asesoramos cómo hacerlo.

  • CIOs Vs Hackers, la futura batalla por el Registro Único de Beneficiarios

    ¿Quién ganará esta batalla? ¿el que lucha día a día en la Protección o el que estará al acecho intentando  día a día tratando de Violar la seguridad para tener acceso al futuro Registro Único de Beneficiarios (RUB)?.

    ¿Cómo escribir un artículo que pueda alejar la pasión de la profesión, pero que cumpla con el objetivo de no sólo llamar la atención, sino también a la acción de todas aquellas empresas que deberán contribuir con su data a crear un  Registro Único de Beneficiarios finales, como prevee sacar la legislación panameña?

    Permítanme algo de Pasión:

    Soy panameño y fui el CIO de Mossack Fonseca & CO. Lo que hasta ahora se conoce de los Panamá Papers, es la historia que los medios han contado, NO necesariamente es la verdad; falta que Uds conozcan la otra cara de la moneda y  estoy seguro que a su debido tiempo será contada.

    Mossack Fonseca, estaba siguiendo las normas establecidas por las autoridades de Conocer a tu Cliente; por esta razón, en los últimos años, antes de su  extinción,  se creó el Departamento de Cumplimiento. Éste departamento, desde su creación, emprendió una carrera contra el tiempo, revisar cientos de miles de documentos confeccionados por muchos años anteriores a la norma. NO fue una tarea fácil y más cuando existía le presión de “Conoce  a tu Cliente Final”. NO solo fue el Departamento que más creció en recurso humano, sino también en recurso informático, porque tuvimos que ser más eficientes con esta labor y nuestra alternativa fue apoyarnos en la mejor tecnología disponible a ese entonces,  para poder cumplir con las regulaciones impuestas, en poco tiempo.

    Apoyarse en la tecnología y la seguridad de la información debe ser una tarea que se haga por lo menos en paralelo, no después. Nuestros sistemas de seguridad detuvieron cientos de ataques, pero hubo uno que no pudimos detener, el cual dio origen a los mal llamados Panamá Papers, pese a todos los recursos de seguridad que había adquirido la firma. Finalmente el  Hacker venció al CIO y con esto acabó no sólo con el sustento de más de 600 colaboradores, sino también con la reputación de todo un País. Conocer al cliente final no era responsabilidad de la Firma, sino hasta poco antes de su extinción.

    Como panameño me preocupa el hecho que nuestras autoridades han cedido a la presión de Organismos Internacionales  creando un Registro Único de Beneficiarios finales. Mi padre  me decía, la única manera de que se trepen sobre tus hombros es si tú te arrodillas  y cuando cedas la primera vez, lo seguirán haciendo siempre. Y no lo digo por el hecho de que se crea más burocracia a la existente para cumplir con necesidades externas a nuestras propias necesidades, sino por el serio peligro que representa, ahora sí, tener un sólo punto de acceso que se pueda hackear. Al menos ahora mismo, la data de millones de personas están esparcidas por diferentes alojamientos, lo cual no impide el hackeo, pero al menos lo dificulta.

    Conocer el tiempo y la ocasión que uno está viviendo es tener un paso adelante en el camino para alcanzar el éxito, porque es la única manera, más precisa,  de tener ventaja sobre tu competencia.

    Hay momentos que un país requiere ser dirigido por hombres y mujeres  inteligentes, pero hay momentos que un país requiere ser dirigido por hombres y mujeres valientes. Saber discernir ésto, es la clave del éxito de una Sociedad que elige a sus gobernantes. En mi opinión, ahora necesitamos hombres y mujeres no sólo inteligentes, sino valientes también.

    Si los Panama Papers trajeron como consecuencia la extinción de una Firma,  no me imagino el Impacto que puede traer la exposición global del Banco de Datos del Registro Único de los Beneficiarios ante un eventual ataque informático.

    Sabía que en algún momento escribiría sobre esto. Ese momento ha llegado. No pude evitar la filtración de más de 11 millones de documentos de la firma, pero sí puedo ahora ayudar, con mi experiencia,  a minimizar el riesgo de que esto le ocurra a cualquiera de ustedes y que estén un paso adelante.

     ¿Cuál debe ser la estrategia del CIO para hacerle frente a los continuos ataques de los hackers?

     La respuesta es sencilla. En algunas ocasiones el fuego se combate con fuego, en otras palabras, el CIO se debe apoyar con los expertos en ciberseguridad, los mismos ethical hackers, que son los únicos que conocen el lado oscuro de la red y saben perfectamente qué hacer; son los profesionales de la seguridad de la información que están un paso adelante en nuevas vulnerabilidades.  Con este aliado, el CIO puede equilibrar la balanza a su favor y anotarse la victoria de proteger la data que contribuirá al Registro Único del Beneficiario Final.

    El riesgo de tener un Registro Único de Beneficiarios, aumenta más el interés de los Hackers.

    Sólo hay dos caminos a seguir para reducir este riesgo:

    • Utilizar el método tradicional de llevar todo en Papel y no conectar nada a la Red. Con la gran desventaja que su empresa pueda desaparecer por la ineficiencia ante sus competidores. Esta alternativa aún no elimina el riesgo de tener un empleado insatisfecho que pueda exponer por cualquier motivo, data sensible de la organización.
    • Minimizar el riesgo al máximo, tanto interno como externo,  contratando los servicios de los expertos en Seguridad integral, que incluye desde los procesos, aunada a la seguridad física hasta la ciberseguridad.
    • Ambos caminos indican la necesidad de dispersar y no concentrar la información en un registro y que peor aún, es público o estatal.

    En Goethals Consulting podemos ayudar al CIO a estar un paso adelante, contamos con toda la experiencia vivida de cómo ocurrió una de las filtraciones de documentos confidenciales más grande de la historia y podemos compartirlas con ustedes.

  • No proteger los datos personales será violación a las leyes panameñas a partir de marzo 2021

    Panamá entra en la lista de los países que han entendido la importancia de proteger los datos personales.

    Por esta razón en la Gaceta Oficial del viernes 29 de marzo de 2019 fue publicada la Ley 81 de Protección de Datos Personales del 26 de marzo de 2019 que será efectiva a partir de dos años.

    Esta ley, como lo menciona su artículo 1,  tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando su interrelación como la vida privada y demás derechos y libertades fundamentales de los ciudadanos, por parte de las naturales o jurídicas, de derecho público o privado, lucrativos o no, que traten datos personales en los términos previstos en esta ley.

    En mis escritos anteriores he tratado de llamar la atención de las empresas de la importancia de tomar en serio la protección de los DATOS, ya que en el mundo digital los DATOS son la vida de las empresas, así como la sangre le da vida a nuestro cuerpo y por eso tenemos que protegerla y cuidarla.

    Proteger bien sus datos está directamente relacionado a la Ciberseguridad, también conocida como Seguridad de la Tecnología de la Información.

    La ciberseguridad  se ha convertido en una profesión y comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

    La Ley 81, le ha trasladado esta responsabilidad de protección de los datos a las Empresas, así como lo expresa en su artículo 2.5:

    Principio de seguridad de los datos: los responsables del tratamiento de los datos personales deberán adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos bajo su custodia, principalmente cuando se trate de datos considerados sensibles,  e informar al titular, lo más pronto posible, cuando los datos hayan sido sustraídos sin autorización o haya indicios suficientes de que su seguridad haya sido vulnerada.

    En un mundo que cada vez se hace más complejo, sabemos que la única manera de hacerle frente a la complejidad es por medio de la especialización. Esto lo hemos aprendido del cuerpo humano, donde un médico general no es suficiente para entender y resolver la complejidad del cuerpo.

    Por esta razón sabemos que los especialistas en seguridad de la información son los únicos que nos pueden ayudar a reducir el riesgo de la pérdida de nuestros datos, ya que ellos como especialistas están siempre actualizados en cómo proteger, cerrar y disminuir las vulnerabilidades ante un posible ataque informático.

    Cada empresa es experta en su nicho de negocio y por lo general en la MISION/VISION de cada una es ser líder en lo que hacen,  por eso les recomendamos que permitan a los especialistas en Ciberseguirdad encargarse de la protección de sus datos, mientras ellos se encargan de ser los líderes en lo que hacen.

    En cuanto al Principio de confidencialidad, la ley dice: Todas las  personas que intervengan en el tratamiento de datos personales  están obligados a guardar secretos o confidencialidad respecto de estos, incluso cuando hayan finalizado su relación con el titular o responsable del tratamiento de los datos, impidiendo el tratamiento o uso no autorizado.

     Sanciones

    El organismo competente para el cumplimiento de las obligaciones de esta Ley es la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) salvo en el caso de sujetos regulados por leyes especiales que deberán ir a la autoridad reguladora competente, en primera instancia.

    Este organismo está facultado para imponer sanciones, las cuales podrán oscilar entre los $1,000.00 y los $10,000.00 dependiendo de la gravedad y recurrencia. Así mismo, podrá imponerse igualmente advertencia escrita, citación ante la ANTAI, clausura del registro de la base de datos o suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales.

    El responsable del tratamiento de los datos personales deberá indemnizar el daño patrimonial y/o moral que causara por el tratamiento indebido de estos. Imagine ahora cómo le exigirá el debido cuidado y certificaciones su compañía aseguradora al momento de evaluar este nuevo riesgo.

    Con esta ley, se establece claramente la  obligación de fijar Procedimientos, Protocolos y Procesos para la gestión y transferencia de datos que incluyan los métodos de seguridad necesarios. En Goethals Consulting le podemos asesorar para que esta ley no lo tome por sorpresa.