Este martes 28 de enero se celebra el Día Europeo de la Protección de Datos, que conmemora la fecha en la que se firmó la primera regulación europea en este aspecto, en el año 1981, casi 40 años en los que la legislación persigue proteger nuestra información personal. No obstante, el avance continuo de la tecnología hace que cada año haya nuevos retos en este sentido.
En 2020 se han detectado nuevas líneas que utilizaran los ciberdelicuentes. De la mano de la empresa Acronis, una empresa especializada en la protección de datos, sabemos cuáles son los principales pronósticos para este año.
En primer lugar, el grueso de los ciberataques se centrará en las ciudades inteligentes y en las grandes empresas. Estos son focos de datos que pueden ser vulnerables a un secuestro con el que los ciberdelicuentes pretenden conseguir un rescate monetario. No están libres de este riesgo las organizaciones gubernamentales o instituciones sanitarias. Desde Veritas Technologies recuerdan que pagar el rescate nunca es la forma más sencilla de atajar este tipo de ataques, ya que menos que la mitad de los que pagan consiguen recuperar los datos que han sido secuestrados.
Este año vamos a ver una mayor especialización de los ataques. Aunque el phising va a seguir existiendo y entrañando riesgo, ahora los atacantes que distribuían ransomware a través de campañas masivas de spam pueden comenzar a cambiar su estrategia y, en lugar de buscar la mayor cantidad de víctimas posible, se concentrarán más en objetivos de alto perfil donde pueden exigir una cantidad de rescate en cientos de miles o incluso millones de euros.
Los datos bancarios siguen estando entre los más señalados. Las compras en línea están en aumento, lo que abre las puertas para que el hacker explote la actividad al robar datos de tarjetas de crédito con el uso de formjacking. Formjacking es un término utilizado por muchas empresas en la industria de la seguridad para describir el uso de código JavaScript malicioso para robar datos de tarjetas de crédito y otra información confidencial de los formularios de pago en las páginas web de pago de los sitios de comercio electrónico.
Los ciberdelicuentes se centrarán, además, en los ataques a la Nube y el Internet de las cosas. Los atacantes optarán por servicios mal protegidos que se ejecutan en la Nube para comprometer la estrategia empresarial de la organización, robando propiedades intelectuales, datos financieros y datos de los empleados. A medida que se brinden más y más servicios en la Nube, cada vez más atención de los cibercriminales se centrará en esta área. Se deben esperar más ataques contra los ecosistemas IoT, con una cantidad de dispositivos inteligentes que crecen exponencialmente. Aún sin seguridad, son un blanco fácil para los atacantes, según apuntan desde Acronis.
Evitar el fraude telefónico
Para conmemorar el Día de la Protección de Datos, la empresa masvoz ha hecho una lista de tres sencillos consejos para permanecer seguros durante nuestras conversaciones telefónicas. Estas son muy útiles y necesarias para cuestiones como contratar un nuevo servicio o pedir ayuda en un caso de emergencia, pero los ciberdelicuentes las usan cada vez más para intentar obtener datos.
En 2019 compañías como Microsoft o Amazon han sido afectadas por delitos de suplantación de identidad mediante lo que se conoce como vishing, una combinación de "voz" y "phishing", en la que delincuentes utilizaban el teléfono e información extraída de Internet para inducir a los usuarios a proporcionar información sensible.
Las claves que propone la compañía son muy sencillas: evitar las llamadas de números desconocidos y desconfiar de los prefijos internacionales desconocidos. En muchas ocasiones los delincuentes puede dejar una llamada perdida para que llamamos de vuelta e incurramos en gastos. Comprobar la autenticidad del origen de la llamada, si nos llama una empresa de la que somos clientes deberíamos comprobar que saben ciertos datos que ya conocían para comprobar que son quien dicen ser. Si es una llamada comercial recomiendan apuntar el teléfono y nombre de la persona con la que hablamos. Nunca dar datos sensibles, nuestra compañía telefónica o nuestra entidad bancaria no nos va a pedir nuestras contraseñas o códigos. En caso de hacer una compra por teléfono debemos comprobar que se cumplen los estándares de seguridad y se recomiendan utilizar pasarelas de pago.
Las empresas siguen fallando
La gran irrupción de los smartphones, la aparición del Internet de las cosas, de la inteligencia artificial o el machine learning ha facilitado a empresas y ciberdelincuentes el acceso a una cantidad importante de información personal. Para frenar algunas prácticas abusivas de las compañías y, el uso que hacían de esta información, se aprobó el Reglamento General de Protección de Datos (RGPD) a nivel europeo. En el caso de España entró en vigor la Ley de Protección de Datos y garantía de los derechos digitales. Pero a pesar de estos avances en la legislación las empresas siguen fallando, en especial en cuatro áreas que han sido señaladas por Entelgy.
Por una parte están las famosas cookies: la primera cookie se creó en 1994 por lo que desde entonces las empresas han recopilado ciertos datos para identificar al usuario almacenando su historial de actividad en un sitio web. Según un estudio de la Universidad de Cornell en Estados Unidos sólo el 11,8 % de las páginas web que analizaron utilizaban técnicas que cumplen con los requisitos de la ley. En el caso de España y un año después de la entrada en vigor de la normativa europea, sólo el 14% habían adaptado el uso de cookies en sus sitios webs, según PrivacyCloud.
La aparición de nuevas ciberamenazas que obligan a las empresas a tener actualizados todos los sistemas de defensa y estar al día de las novedades que se producen en este campo por propia seguridad.
Dificultades de los usuarios o clientes de ejercer sus derechos. La ley recoge unos plazos mínimos en los que los datos deben ser eliminados en caso de requerimiento. Sin embargo, desde Entelgy aseguran que tan solo el 42% de las empresas encuestadas cumplía correctamente con los plazos del derecho ejercido por los interesados. Según una investigación de Talend el 70% de las empresas de todo el mundo no contestaban a los interesados en un mes.
La falta de una política de privacidad interna. Las empresas deben de tener muy claro cuáles son las utilidades de los datos recopilados. En el supuesto de que se utilizasen para un fin que el usuario no ha consentido, las empresas pueden incurrir en una ilegalidad.
Como dice el nuevo anuncio de Apple ahora mismo hay más información privada en nuestro teléfono móvil que en nuestra casa y es nuestra responsabilidad hacer todo lo posible por protegerla y que se cumpla la ley. Muchos expertos aseguran que el primer paso en la concienciación. Después tenemos que ser precavidos: copias de seguridad y programas de encriptación pueden ayudarnos a sentir esos datos más seguros.
