Noticias

• En el marco de un tratamiento, a la hora de seleccionar un sistema de cifrado hay que tener en cuenta que las opciones disponibles tienen distintas características, por lo que es necesario analizar y elegir el sistema más adecuado para el producto o servicio en el que se va a integrar.

La Agencia Española de Protección de Datos (AEPD) ha publicado un artículo titulado ‘Criptografía y Privacidad II: El tiempo de vida del dato’, en el que se tratan los diferentes aspectos a tener en cuenta a la hora de elegir el sistema de cifrado que tendrá un producto o servicio.

Cada tratamiento de datos tendrá unos requerimientos particulares en relación con el sistema de cifrado. Por ejemplo, un sistema de pago por visión de eventos deportivos tendrá importantes restricciones de latencia, los procesos de venta en línea precisan un establecimiento ágil del canal seguro, el cifrado integrado en tarjetas inteligentes tendrá limitaciones de memoria, el de sistemas móviles tendrá restricciones de consumo, etc. En definitiva, el sistema de cifrado integrado en un tratamiento ha de cumplir con los requisitos derivados de los objetivos de negocio.

Más información:

Agencia Española de Protección de Datos

Microsoft ha publicado un boletín de seguridad avisando sobre una vulnerabilidad que afecta al navegador Internet Explorer. Un ciberdelincuente, utilizando un sitio web especialmente diseñado, podría explotar el fallo de seguridad para realizar acciones maliciosas que afecten a la privacidad y seguridad del usuario.

Tema

La aprobación del Real Decreto Ley 14/2019 por el que se adoptan medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público, y telecomunicaciones, ha supuesto una importante modificación del régimen jurídico aplicable a algunas de las tecnologías de la información más relevantes para gestionar la realidad digital.

Resumen

La regulación de la realidad digital por los Estados refleja el modelo político de cada uno. Mientras algunos tratan de preservar una Internet abierta y libre, otros como China o Rusia buscan fragmentarla del mismo modo que lo hacen con las fronteras físicas, en lo que se ha dado en llamar “balcanización” de la Red o incluso splinternet. La Unión Europea (UE) desarrolla una tercera vía de aproximación normativa que pretende proteger tanto la libertad de Internet como los derechos fundamentales y el uso de los datos personales de los ciudadanos.

Dentro de este proceso general para la regulación de la soberanía digital de los Estados y la gobernanza del ciberespacio, el Real Decreto Ley (RDL) 14/2019 responde a la necesidad de regular la realidad digital para evitar su uso ilegítimo y poner en riesgo la seguridad nacional. Aprobado por el Consejo de Ministros y convalidado por el Congreso de los Diputados, espera ahora su trámite como Proyecto de Ley.

Análisis

El RDL 14/2019 modifica el régimen jurídico de materias importantes tales como el documento nacional de identidad, la identificación electrónica ante las Administraciones Públicas, el almacenamiento de los datos que obran en poder de estas, la contratación pública o la regulación de las redes de comunicaciones.

Uno de los hechos novedosos que introduce esta norma en nuestro panorama jurídico es que por primera vez se justifica un RDL en el sustrato normativo de la Ley 36/2015 de Seguridad Nacional para que, según alega su exposición de motivos: “la administración digital se emplee para fines legítimos que no comprometan los derechos y libertades de los ciudadanos”. El desarrollo tecnológico, se señala, implica una mayor exposición a nuevas amenazas, y la hiperconectividad actual agudiza algunas de las vulnerabilidades de la seguridad pública, por lo que es necesaria una mejor protección de redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano. Protección también necesaria frente a las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje debido a las posibilidades que ofrece la sofisticación digital para acceder a ingentes volúmenes de información y datos sensibles.

Real Instituto elcano Royal Suite (16/01/2020)

Más información

Se ha detectado una campaña de envío de correos electrónicos falsos que suplantan la identidad de Correos. El objetivo es redirigir a la víctima a una página falsa (phishing) que simula ser la de Correos la cual solicita confirmar al usuario un pago de 1.17 euros para validar la recepción de un supuesto paquete.

Se ha detectado una campaña de envío de correos electrónicos en los que se adjunta un documento o enlace malicioso que redirige al usuario a una web que contiene dicho malware. Todos ellos tienen como objetivo que el usuario se lo descargue para así infectar el dispositivo y obtener información confidencial de la víctima.

El malware que se descarga, desde el adjunto o desde la web a la que enlaza el correo, es Emotet, un conocido troyano bancario activo desde 2014, que en los últimos meses ha sufrido un repunte afectando a un gran número de usuarios y empresas. Su principal objetivo es el robo de credenciales de usuarios de servicios online. No se descarta que actúe en combinación con otros tipos de malware como, por ejemplo, ransomware o troyanos bancarios.

Nueva Orleans declaró el estado de emergencia y apagó sus computadoras después de un evento de seguridad relacionado con ransomware, el último de una serie de estados atacados por delincuentes.

Se detectó actividad sospechosa alrededor de las 5 a.m.del viernes por la mañana. A las 8 a.m., hubo un aumento en esa actividad, que incluyó evidencia de intentos de phishing y ransomware, dijo Kim LaGrue, jefe de TI de la ciudad en una conferencia de prensa. Una vez que la ciudad confirmó que estaba bajo ataque, los servidores y las computadoras se apagaron.

Si bien se detectó ransomware, no hay solicitudes hechas a la ciudad de Nueva Orleans en este momento, pero eso es en gran parte parte de nuestra investigación, dijo el alcalde de Nueva Orleans.

Numerosos gobiernos locales y estatales han estado plagados de ransomware, un malware de cifrado de archivos que exige dinero para la clave de descifrado. Pensacola, Florida y Jackson County, Georgia, son solo algunos ejemplos del flujo casi constante de ataques de ransomware durante el año pasado. El gobierno del estado de Louisiana fue atacado en noviembre, lo que provocó que los funcionarios desactivaran los sitios web del gobierno y otros servicios digitales y provocó que el gobernador declarara un estado de emergencia. Fue la segunda declaración del estado relacionada con un ataque de ransomware en menos de seis meses.

Los gobiernos y las autoridades locales son particularmente vulnerables, ya que a menudo carecen de fondos y recursos suficientes, y no pueden proteger sus sistemas de algunas de las principales amenazas.

Parece que Nueva Orleans estaba algo preparada, lo que los funcionarios dijeron que fue el resultado de la capacitación y su capacidad para operar sin Internet. La investigación se encuentra en sus primeras etapas, pero por ahora parece que los empleados de la ciudad no interactuaron ni proporcionaron credenciales o información a posibles atacantes, según los funcionarios.

"Si hay algo positivo acerca de ser una ciudad que ha sido afectada por desastres y esencialmente se ha reducido a cero en el pasado, es que nuestros planes y actividades desde una perspectiva de seguridad pública reflejan el hecho de que podemos operar con internet, sin ciudad redes", dijo Collin Arnold, director de Seguridad Nacional, y agregó que por ahora han vuelto a la pluma y el papel.

La policía, los bomberos y el EMS están preparados para trabajar fuera de la red de Internet de la ciudad. Las comunicaciones de emergencia no se ven afectadas por el incidente de seguridad cibernética, según los funcionarios de la ciudad. Sin embargo, otros servicios, como programar inspecciones de edificios, se manejan manualmente.

El Centro de Delitos en Tiempo Real de Nueva Orleans funciona fuera de la red de la ciudad, sin embargo, las cámaras de toda la ciudad graban de forma independiente, por lo que en este momento todas esas cámaras todavía están grabando independientemente de la conectividad a la red de la ciudad, agregó Arnold.

TechCrunch (14/12/2019)

Más información

• La competición tendrá lugar en la Sala 17 ATENEA el 12 de diciembre a las 9:35 horas
• Cada participante tendrá que tratar de resolver, en directo y con su propio equipo portátil, cinco pruebas de diferente dificultad.
• Los dos primeros clasificados en este Hacker Arena recibirán un premio del CCN-CERT.

Este año las XIII Jornadas STIC CCN-CERT, que se celebran los próximos 11 y 12 de diciembre, volverán a contar con una competición de hackers en directo. Concretamente, y a diferencia de la pasada edición, en este Hacker Arena podrán participar hasta 100 personas, quienes deberán trata de resolver, en directo e individualmente, un total de cinco pruebas de diferente dificultad.

Para ello, cada participante deberá llevar consigo su propio equipo portátil. Todos aquellos interesados en formar parte de esta competición, que tendrá lugar el segundo día del evento, 12 de diciembre, a las 9:35 horas, deberá estar inscrito en las Jornadas y comunicar su interés en participar al correo electrónico atenea@ccn-cert.cni.es.

Con este Hacker Arena se pondrán a prueba las habilidades de seguridad informática de todo aquél que se anime a participar. Como recompensa, los dos primeros clasificados serán obsequiados con un premio por parte del CCN-CERT.

Dónde: Sala 17 ATENEA, en Kinépolis Ciudad de la Imagen (Madrid).
Cuándo: jueves 12 de diciembre, de 9:35 h. a 11:15 h.

Más información:

XIII Jornadas CCN-CERT

Se ha hecho pública una vulnerabilidad en la aplicación de mensajería instantánea, WhatsApp. Esta vulnerabilidad podría explotarse mediante un vídeo, en formato MP4, manipulado de forma maliciosa. Después de enviar dicho vídeo a la víctima en cuestión, el ciberdelincuente podría ejecutar código malicioso en el dispositivo de manera remota.

Se ha detectado una campaña de correos electrónicos que intentan suplantar al Ministerio de Economía y Empresa. El correo, bajo el pretexto de informar al usuario sobre cómo validar los certificados electrónicos, los requisitos técnicos necesarios para realizar trámites en la Sede Electrónica así como indicar cuáles son los sistemas de firma y certificados admitidos, invita al usuario a hacer clic sobre un botón que, al pulsarlo, descarga un fichero malicioso en el equipo de la víctima.

En los últimos días la famosa aplicación de compraventa de segunda mano, Wallapop, ha informado a sus usuarios a través de correo electrónico, de un acceso indebido a su plataforma y recomienda cambiar a todos sus usuarios las credenciales de acceso a la cuenta.

• El Consejo de Ministros, celebrado el jueves 31 de octubre, aprobó el Real Decreto-ley por el que se adoptan medidas urgentes por razones de seguridad en materia de administración digital, contratación del sector público y telecomunicaciones.

El presente Real Decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad; a la identificación electrónica ante las Administraciones públicas; a los datos que obran en poder de las mismas; a la contratación pública; y al sector de las telecomunicaciones.

El texto incluye iniciativas sobre la documentación nacional de identidad, la identificación electrónica ante las administraciones, los datos que obran en poder de las mismas, la contratación pública y el sector de las telecomunicaciones. La norma, que refuerza la Ley de Seguridad Nacional, entrará en vigor el próximo martes, 5 de noviembre, tras su publicación en el Boletín Oficial del Estado.

La vicepresidenta del Gobierno, ministra de la Presidencia, Relaciones con las Cortes e Igualdad en funciones, Carmen Calvo, en la rueda de prensa posterior al Consejo de Ministros, defendió que la urgencia del procedimiento responde a la necesidad de reforzar la protección de los derechos y libertades de los ciudadanos y el "interés general del país en su totalidad demográfica y territorial".

Calvo argumentó que las medidas reguladas en el Real Decreto-ley afectan a siete ministerios, son proporcionadas y se han tomado de forma responsable: "En el ámbito digital ocurren cosas que, a veces, son irreparables. Por lo tanto, hay que reaccionar de manera inteligente, razonable y proporcional" ante las denominadas ciberamenazas.

Principales iniciativas

El Documento Nacional de Identidad, con carácter exclusivo y excluyente, será el único documento con valor suficiente para acreditar la identidad y los datos personales de su titular. Además, la vicepresidenta subrayó que los servidores con los que operan las administraciones públicas tendrán que estar en territorio de la Unión Europea y no en paraísos digitales. "Tenemos que conocer de dónde sale la información en este país, quiénes la manejan y con qué fines", dijo.

La vicepresidenta también explicó que se refuerza el acceso de los ciudadanos a la administración pública y la protección de sus datos personales. La norma, añadió, incluye medidas en materia de contratación pública para garantizar que los contratistas cumplan la normativa en materia de protección de datos y seguridad pública.

En el ámbito de las telecomunicaciones, Calvo resaltó que hay que identificar más y mejor las ciberamenazas y reaccionar ante el espionaje y la utilización incorrecta de datos en casos esenciales para el funcionamiento de una democracia, como los procesos electorales. Asimismo, recalcó que el Real Decreto-ley afecta a todas las administraciones públicas y a todas las comunidades autónomas.

Contenido

El Real Decreto-ley consta de un preámbulo y un texto artículo estructurado del modo siguiente: capítulo I (artículos 1 y 2), un capítulo II (artículos 3 a 4), un capítulo III (artículo 5), un capítulo IV (artículo 6), un capítulo V (artículo 7), una disposición adicional, tres disposiciones transitorias y tres disposiciones finales.

El capítulo I contempla medidas en materia de documentación nacional de identidad, dirigidas a configurar al Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.

El capítulo II establece varias medidas en materia de identificación electrónica ante las Administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras Administraciones públicas. La finalidad de estas medidas es garantizar la seguridad pública a nivel tanto vertical en las relaciones entre las distintas Administraciones públicas cuando traten datos personales, así como a nivel horizontal entre ciudadanos y Administraciones públicas cuando las últimas proceden a la recopilación, tratamiento y almacenamiento de datos personales en el ejercicio de una función pública.

El capítulo III regula varias medidas en materia de contratación pública, todas ellas dirigidas a reforzar el cumplimiento de la normativa sobre protección de datos personales y la protección de la seguridad pública en este ámbito.

Los contratistas del sector público manejan en ocasiones, para la ejecución de los respectivos contratos, un ingente volumen de datos personales, cuyo uso inadecuado puede, a su vez, plantear riesgos para la seguridad pública. Por ello, resulta necesario y urgente asegurar normativamente su sometimiento a ciertas obligaciones específicas que garanticen tanto el cumplimiento de la normativa en materia de protección de datos personales como la protección de la seguridad pública.

El capítulo IV regula varias medidas para reforzar la seguridad en materia de telecomunicaciones.

Finalmente, el capítulo V refuerza los deberes de cooperación de las administraciones en el ámbito de la ciberseguridad.

Presidencia del Gobierno (31-10-2019)

Consejo de Ministros

Real Decreto-Ley

La Comisión Europea ha publicado la primera autoevaluación anual de las compañías que firmaron el Código de Buenas Prácticas en Materia de Desinformación, con el fin de llevar a cabo una evaluación completa de la eficacia del Código, que se presentará a principios de 2020.

La Comisión ha recibido informes anuales de autoevaluación de las plataformas online y de las empresas tecnológicas Google, Facebook, Twitter, Microsoft y Mozilla, así como de asociaciones profesionales todas ellas firmantes del Código de buenas prácticas contra la desinformación, en los que se detallan las políticas, los procesos y las acciones emprendidas para cumplir sus respectivos compromisos durante su primer año de funcionamiento.

Según lo previsto en el Plan de Acción de diciembre de 2018, la Comisión está llevando a cabo su evaluación global de la eficacia del Código de Buenas Prácticas.

Además de las autoevaluaciones de los signatarios, la Comisión tendrá en cuenta:

• Aportaciones del Grupo de Reguladores Europeos para los Servicios de Comunicación Audiovisual (ERGA)
• Una evaluación de una organización externa seleccionada por los signatarios del Código.
• Una evaluación de un consultor independiente contratado por la Comisión.
• Un informe sobre las elecciones al Parlamento Europeo de 2019.

A partir de ahí, la Comisión presentará su evaluación global a principios de 2020. En caso de que los resultados del Código resulten insatisfactorios, la Comisión podrá proponer otras medidas, incluso de carácter reglamentario.

Comisión Europea (29/10/2019)

Más información

En los últimos días se está viralizando, principalmente a través de la aplicación de mensajería instantánea WhatsApp, un mensaje con un enlace a un vídeo en el que se invita al usuario que lo recibe a participar en un intercambio de dinero colectivo. En el mensaje se afirma que si se entregan 33€ y se invita a dos personas, el usuario recibe 1.848€ transcurridos 8 días.

Se ha detectado una campaña de envío de mensajes de texto a móviles que suplantan la identidad de Correos. El objetivo es redirigir a la víctima a una página falsa (phishing) que simula ser la de Correos, donde le solicitan realizar un pago mínimo de 1€, introduciendo sus datos personales y de tu tarjeta de crédito en un formulario.

• El documento aporta fórmulas para facilitar la incorporación de la privacidad y los principios de protección de datos desde el momento en el que comienzan a diseñarse sistemas, productos, servicios o procesos.
• La Guía está dirigida a responsables, así como a proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

La Agencia Española de Protección de Datos (AEPD) ha publicado la ‘Guía de Privacidad desde el diseño’ con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse. El documento está dirigido a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

La guía se divide en nueve apartados. Los dos primeros están dedicados a definir el concepto y los principios fundacionales de la privacidad desde el diseño, así como los requisitos que debe reunir el producto o servicio para garantizar dicha privacidad. El tercero analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo.

Por otra parte, se abordan las distintas estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Asimismo, en el documento se dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETS, entre otros aspectos.

Por último, la Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto.

Más información:

Agencia Española de Protección de Datos

CCN-CERT (17/10/2019)

• Este documento se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros.
• En el informe se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.

Los Estados miembros, con el apoyo de la Comisión y de la Agencia de la Unión Europea para la Ciberseguridad, han publicado un informe sobre la evaluación coordinada de riesgos realizada por la UE acerca de la ciberseguridad de las redes de quinta generación (5G). Esta importante medida forma parte de la aplicación de la Recomendación de la Comisión Europea adoptada en marzo de 2019 para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE.

Las redes 5G constituirán la futura espina dorsal de nuestras economías y sociedades cada vez más digitalizadas. Estas redes afectan a miles de millones de objetos y sistemas, entre los que se encuentran sectores fundamentales como la energía, el transporte, la banca y la sanidad, así como sistemas de control industrial que contienen información delicada y sirven de respaldo a los sistemas de seguridad. Por lo tanto, es esencial garantizar la seguridad y resistencia de las redes 5G.

El informe se basa en los resultados de las evaluaciones nacionales de riesgos en materia de ciberseguridad realizadas por todos los Estados miembros de la UE. En dicho documento se determinan los principales riesgos y amenazas, los activos más delicados, los principales puntos vulnerables, tanto técnicos como de otro tipo, y una serie de riesgos estratégicos.

Esta evaluación sirve de base para determinar las medidas paliativas que pueden aplicarse a escala nacional y europea.

Más información:

Comisión Europea