“La resiliencia de datos es la base para una adopción segura y exitosa de la inteligencia artificial, especialmente en el sector financiero en donde la mayoría de los datos son críticos”, explica Andrés de Beitia, Senior Director, Inside Sales para LATAM en Veeam. Su lectura apunta a un problema concreto: los modelos de IA no solo requieren grandes volúmenes de información, sino que dependen de su integridad y disponibilidad permanente.

El riesgo no es menor. Fallas en la gestión de datos pueden afectar tanto la continuidad de los servicios como la precisión de los algoritmos. “Sin una gestión sólida que garantice la integridad, disponibilidad y recuperación de la información, se pone en riesgo la continuidad del negocio”, advierte el vocero.

Errores que frenan la modernización financiera

Aunque el sector avanza hacia infraestructuras híbridas y entornos multicloud, muchas organizaciones siguen operando con esquemas fragmentados. La falta de una estrategia unificada de datos es uno de los problemas más frecuentes.

“Muchas instituciones mantienen silos de información, carecen de visibilidad de extremo a extremo y subestiman la automatización en la recuperación de datos”, señala de Beitia. Esto limita la capacidad de reacción frente a incidentes y ralentiza procesos que hoy requieren inmediatez.

La consecuencia es doble. Por un lado, aumenta la exposición a fallas operativas; por otro, se dificulta la adopción de tecnologías avanzadas como la inteligencia artificial, que exige entornos integrados y consistentes.

Te puede interesar: Revolut llega a Colombia: el neobanco ya contrata y estos son los perfiles que busca

A esto se suma un cambio de paradigma en seguridad. Durante años, la prioridad fue evitar ataques. Hoy, esa lógica resulta insuficiente. “Ninguna organización puede garantizar estar 100% libre de incidentes. Lo esencial es asegurar una restauración confiable, rápida y verificable de los datos críticos”, afirma.

Este giro redefine la manera en que fintech y bancos estructuran sus estrategias tecnológicas. La recuperación ya no es un plan de contingencia, sino un componente central del negocio.

Más digitalización, más puntos vulnerables

El crecimiento de los neobancos y las plataformas digitales ha acelerado la transformación del sistema financiero. Modelos como los de Nubank o Revolut han elevado las expectativas de los usuarios, que ahora demandan servicios disponibles en todo momento y sin fricciones.

“La irrupción de los neobancos ha acelerado la transformación digital y ha obligado a la banca tradicional a modernizar su infraestructura y priorizar la experiencia del usuario”, explica de Beitia.

Sin embargo, este avance trae nuevos riesgos. A medida que aumentan los canales digitales, también crece la superficie de ataque. La combinación de datos sensibles, múltiples plataformas y entornos distribuidos crea un terreno más complejo para la ciberseguridad.

“El aumento de los puntos de contacto digitales y la dependencia de entornos híbridos amplían la superficie de ataque potencial para los ciberdelincuentes”, advierte.

Frente a este escenario, la recomendación es adoptar una estrategia integral de resiliencia de datos. Esto implica no solo respaldar información, sino garantizar su recuperación inmediata y verificada ante cualquier incidente.

“Se trata de implementar protección automatizada, monitoreo constante y recuperación instantánea, sin importar dónde estén los datos”, concluye el vocero.

La discusión ya no gira únicamente en torno a la innovación. El verdadero desafío está en sostener esa innovación sin poner en riesgo la operación. En un sector donde cada segundo cuenta, la capacidad de recuperar datos puede marcar la diferencia entre una falla controlada y una crisis.

La propuesta es histórica por diversos motivos; el más relevante es que, hasta el momento, los derechos de autor se limitaban a proteger creaciones originales como canciones, libros o imágenes. Sin embargo, esta nueva normativa pretende establecer un marco en el que la apariencia personal esté protegida por las mismas leyes que impiden el uso no autorizado de marcas registradas o propiedades intelectuales como K-Pop Demon Hunters.

Aunque la ley fue presentada originalmente en junio de 2025, esta semana la propuesta se acercó a su aprobación final. Esto ha captado la atención internacional, ya que Dinamarca podría imponer la primera ley de identidad digital de este tipo en Europa. “Si no protegemos a los titulares de los derechos, y si cada ciudadano puede falsificar o copiar las artes y las obras de otras personas, le quitamos el sustento a la comunidad artística”, aseguró Jakob Engel-Schmidt, ministro de Cultura de Dinamarca.

Protección contra los deepfakes: ¿un paso obligatorio?

La norma propuesta por Dinamarca ofrecería mecanismos legales para que una persona pueda demandar si encuentra contenido que replique su apariencia o voz sin consentimiento. Además, prohibiría de forma tajante que los deepfakes creados sin autorización sean compartidos en plataformas digitales.

Existen puntos que generan dudas sobre la operatividad de la norma a largo plazo. La propuesta otorga libertad para exigir a plataformas como Instagram o TikTok la eliminación de contenido no autorizado, de forma similar a como Disney solicita retirar clips de sus películas. No obstante, queda pendiente resolver cómo interactúa este derecho con las aplicaciones de IA cuyos términos y condiciones solicitan acceso para usar dicha información. La normativa aclara que estos derechos no aplican en casos de parodia o sátira, protegiendo así la libertad de expresión al criticar a figuras públicas.

¿Necesitamos en Colombia una norma que nos proteja contra los deepfakes?

El principal problema legal que representan los deepfakes hoy radica en la vulneración de derechos fundamentales como el honor, la propia imagen y la intimidad. Esto es crítico en casos de contenido pornográfico no consentido y suplantación de identidad para fraudes financieros. Además, estas herramientas pueden manipular la opinión pública mediante desinformación política, poniendo en jaque la integridad de los procesos electorales.

Ante esta situación, diversos países han implementado medidas regulatorias con distintos enfoques. La Unión Europea, a través de su Reglamento de Inteligencia Artificial (en vigor pleno este 2026), exige que todo contenido generado por IA sea etiquetado claramente para garantizar la transparencia. Por su parte, Estados Unidos ha avanzado con leyes federales que otorgan herramientas para la eliminación rápida de imágenes no consentidas, protegiendo la voz y apariencia frente a réplicas digitales.

En otras regiones, el enfoque se centra en el control técnico y responsabilidad penal. China fue pionera al exigir marcas de agua digitales cifradas imposibles de eliminar, vinculando la identidad del usuario con el contenido. En países como España, se han reformado los códigos penales para tipificar la difusión de deepfakes sexuales como un delito contra la integridad moral. Este esfuerzo global refleja un cambio de paradigma: la ley busca proteger la identidad digital como un activo esencial del ser humano.

Las pruebas se realizaron entre julio y octubre de 2025 y representan el conjunto de datos más actualizado disponible para orientar decisiones durante 2026. El análisis combina resultados de laboratorio con escenarios de uso real, lo que permite una lectura práctica y aplicable a la experiencia cotidiana.

AV-TEST, con sede en Alemania, evalúa software de seguridad desde hace más de quince años. Su metodología se apoya en tres pilares fundamentales: protección frente a malware, impacto en el rendimiento del sistema y usabilidad. Cada área aporta hasta seis puntos, con un máximo total de dieciocho.

Para sus pruebas, AV-TEST utiliza una de las bases de datos de amenazas más grandes del mundo, con millones de archivos analizados a diario. Alcanzar la puntuación perfecta implica superar ataques recientes y activos, lo que garantiza que el producto responde ante amenazas actuales y no solo frente a malware antiguo.

Te puede interesar: ¿Hace falta otro antivirus si ya tienes Microsoft Defender en Windows 11?

AV-Comparatives, con base en Austria, adopta un enfoque distinto centrado en el uso real. Sus evaluaciones reproducen la navegación cotidiana de un usuario común, incluyendo visitas a sitios comprometidos y descargas activas de malware, lo que aporta una perspectiva más cercana a escenarios reales.

Un aspecto clave de AV-Comparatives es la penalización de falsos positivos. Bloquear archivos legítimos afecta directamente la productividad y la confianza del usuario. Por ello, no solo se mide la capacidad de bloqueo, sino también la precisión con la que el software distingue entre amenazas reales y archivos seguros.

Ambos organismos comparten criterios que refuerzan su credibilidad. Operan de forma independiente, no alteran resultados por acuerdos comerciales y siguen estándares internacionales que garantizan procesos consistentes, transparentes y comparables entre diferentes productos y ciclos de prueba.

El grupo de la perfección con 18 puntos

En el análisis de octubre de 2025, nueve productos alcanzaron la puntuación máxima en AV-TEST. Este resultado indica un equilibrio total entre protección, rendimiento y usabilidad, sin comprometer la experiencia del usuario ni el desempeño general del sistema.

Los antivirus que lograron este resultado fueron AhnLab V3 Internet Security, Avira Internet Security, ESET Security Ultimate, F-Secure Total, Kaspersky Premium, McAfee Total Protection, Norton 360, TotalAV y Microsoft Defender.

La presencia de Microsoft Defender confirma que la protección integrada en Windows ha alcanzado un nivel competitivo frente a soluciones de pago. Para muchos usuarios domésticos, esto elimina la necesidad de invertir en software adicional para obtener un nivel de seguridad adecuado.

Los cinco mejores antivirus de 2026

Al combinar los datos de protección en el mundo real y la precisión técnica, el ranking más consistente para 2026 queda claramente definido. Estas soluciones destacan no solo por su capacidad de bloqueo, sino también por su estabilidad y bajo impacto en el sistema.

Norton fue el único del grupo que bloqueó todas las amenazas reales analizadas, sin comprometer ningún sistema durante el período de prueba. Kaspersky destacó por su precisión, con un solo falso positivo y el menor impacto en el rendimiento general del equipo.

Rendimiento, precio y criterio del usuario

Fuera del grupo principal, varios productos conocidos mostraron limitaciones claras. Panda y Trend Micro registraron un número elevado de falsas alarmas, lo que puede resultar problemático en el uso diario. Malwarebytes quedó por debajo del promedio tanto en protección como en precisión.

Bitdefender, que durante años fue un referente del sector, no alcanzó la puntuación perfecta y perdió posiciones frente a competidores directos. Aunque sigue siendo una solución sólida, su rendimiento ya no marca la diferencia como en ciclos anteriores.

Otro punto relevante es el costo a largo plazo. Muchos fabricantes ofrecen precios bajos el primer año, pero las renovaciones suelen aumentar de forma considerable. Revisar las condiciones de suscripción antes de contratar sigue siendo una recomendación clave para evitar sorpresas.

Por último, ningún antivirus sustituye el criterio del usuario. Enlaces sospechosos, correos fraudulentos y falsas alertas siguen siendo el principal vector de ataque. En 2026, la seguridad digital continúa siendo el resultado de una buena herramienta combinada con decisiones responsables.

Imagen: Generada con IA / ChatGPT

Según análisis citados por empresas del sector, entre enero y junio de 2025 se detectó un incremento de transacciones sospechosas, mientras que encuestas muestran que la mayoría de los colombianos considera que la suplantación es un problema frecuente. La firma AUCO, especializada en detección de fraude con modelos de inteligencia artificial, alerta en su último informe que durante la temporada navideña miles de operaciones aparentemente legítimas pueden encubrir documentación alterada que termina generando reclamaciones en enero y febrero.

Los delincuentes han aprovechado herramientas de edición y generación de imágenes y audio impulsadas por IA para elevar la calidad de las falsificaciones. “Los fraudes modernos entran poco a poco y muchas veces pasan por el ojo humano sin ser detectados; la revisión automática es clave”, señala Santiago Montoya, CEO de AUCO. La tecnología permite hoy mezclar datos reales con rostros modificados, crear plantillas que simulan formatos oficiales y producir audios o videos que aparentan haber sido generados en tiempo real.

¿Cómo operan las falsificaciones digitales y por qué diciembre es el mes más riesgoso?

El proceso típico de una suplantación digital consta de varias etapas. Primero, los atacantes recopilan documentos auténticos —fotos de cédulas, extractos o certificados— que circulan en chats y correos. Con esas imágenes como base, se aplican técnicas de edición para alterar rostros o insertar datos reales en plantillas institucionales. Finalmente, se simulan pruebas de “tiempo real” mediante deepfakes de voz o video, lo que facilita solicitudes de créditos, activaciones de servicios o compras a plazos con apariencia legítima.

Ante este panorama, especialistas recomiendan medidas concretas y rápidas para reducir riesgos al momento de recibir o enviar documentos digitales. Antes de todo, verificar el canal de comunicación: empresas formales no solicitan documentos sensibles por mensajes personales o correos genéricos. Asimismo, aconsejan evitar enviar anexos por correo y preferir plataformas seguras o flujos verificados para la carga de archivos.

Te puede interesar: ‘Cero Bullying’: la herramienta que quiere cambiar la forma en que Colombia enfrenta el acoso digital

Otros puntos esenciales incluyen desconfiar de mensajes que presionan por urgencia —frases como “última oportunidad” o “confirme en minutos” deben levantar sospechas— y corroborar la coherencia entre la edad, la fecha de nacimiento y el aspecto físico del titular en el documento. Además, es importante confirmar la existencia legal del proveedor consultando su razón social, NIT y datos de contacto oficiales.

Finalmente, los expertos insisten en exigir verificación en vivo cuando se requiera compartir información sensible: una fotografía tomada en tiempo real y con prueba de captura suele ser más fiable que un archivo enviado como anexo. En un contexto donde la inteligencia artificial facilita tanto la creación como la detección de fraudes, la recomendación es combinar escepticismo, herramientas técnicas y procesos verificados para evitar sorpresas en las cuentas de enero.

Por eso, Nequi decidió abordar el problema desde un ángulo poco usual: la música. La plataforma financiera se alió con Discos Fuentes para lanzar los “Papayazos bailables”, una campaña que convierte tres himnos decembrinos en tutoriales musicales sobre autocuidado digital. La idea es simple y contundente: enseñar a proteger la plata usando el mismo lenguaje que mueve las fiestas colombianas.

La iniciativa adapta Adonay, El hijo ausente y La plata, clásicos que ahora incluyen mensajes sobre cómo identificar estafas, evitar caer en trampas y reconocer señales de alerta en llamadas, correos y mensajes sospechosos. Las nuevas versiones están interpretadas por Los Cumbia Star, nominados al Grammy, y por el grupo vallenato Veba, lo que le da a la campaña un estilo festivo sin perder su trasfondo educativo.

Nequi explica que la estrategia busca ampliar la conversación alrededor del autocuidado financiero, especialmente en una época donde una llamada falsa o un enlace malicioso pueden volverse un dolor de cabeza. En las letras, cada canción aterriza un tipo de fraude habitual: el vishing en llamadas donde piden códigos o contraseñas; el smishing, con mensajes que prometen premios o trámites urgentes; y el phishing, correos que simulan ser de bancos o empresas para robar información.

Te puede interesar: ¿Qué es Black Friday Week de Amazon en Colombia y cómo aprovechar los 12 días de descuentos?

La empresa insiste en que jamás solicitará datos sensibles por teléfono, correo o enlaces externos. Si algo genera duda, el camino es siempre verificar por los canales oficiales. Incluso recomiendan reportar cualquier mensaje extraño al correo correosospechoso@nequi.com
.

La campaña también pone el foco en otros engaños frecuentes durante la temporada, como las transferencias “por error” que usan algunos estafadores para contactar a sus víctimas y solicitar devoluciones fuera de la App. Nequi recuerda que estos procesos solo deben gestionarse a través de la plataforma, que actúa como intermediaria.

Y frente a los comprobantes falsos, la recomendación es revisar siempre los Movimientos de la App o verificar el QR validador, disponible incluso para personas que no son usuarias.

Para Nequi, la seguridad es un trabajo conjunto: tecnología, pedagogía y hábitos de autocuidado. Por eso, mientras suena “La plata” o “Adonay” en cualquier fiesta de barrio, la plataforma espera que los colombianos también recuerden mantener la guardia en alto. Bailar sí, pero sin dar papaya.

Según la compañía, los hackers atacaron a un software utilizado para verificar la edad de los usuarios. En ese proceso, algunos enviaron fotos de pasaportes o licencias de conducción, junto con datos de contacto y parte de su historial de pagos.

La empresa, con sede en San Francisco y más de 200 millones de usuarios activos —en su mayoría gamers—, aseguró que revocó el acceso del proveedor afectado y que contactó directamente a los usuarios involucrados.

Señalamientos cruzados entre empresas

Aunque Discord no mencionó al proveedor en su comunicado, se conoció que la empresa neerlandesa 5CA Systems, dedicada a servicios de atención al cliente, estaría implicada. La compañía, sin embargo, negó haber sido hackeada y aseguró que sus sistemas siguen siendo seguros.

También aclaró que no gestiona documentos de identidad para Discord y sugirió que el incidente pudo originarse fuera de su infraestructura, posiblemente por un error humano.

Ambas partes se han responsabilizado mutuamente mientras intentan contener el impacto reputacional. Discord, por su parte, desmintió los rumores sobre una supuesta filtración de 2,1 millones de datos, asegurando que se trata de intentos de extorsión sin fundamento.

Qué información se expuso

De acuerdo con Discord, los datos comprometidos incluyen:

• Nombres completos y correos electrónicos.
• Fotografías de documentos de identidad.
• Últimos cuatro dígitos de tarjetas de crédito.
• Historial de compras y mensajes con soporte técnico.
• Direcciones IP y material interno de entrenamiento.

Hasta ahora, no hay evidencia de que estos datos se estén vendiendo o utilizando en otros ataques. Sin embargo, expertos advierten que podrían emplearse en fraudes de identidad o campañas de phishing.

Te puede interesar: IBM alerta: la inteligencia artificial ya está filtrando datos dentro de las empresas sin que nadie lo note

Consejos para evitar ser víctima de un ciberataque

Para reducir el riesgo, especialistas recomiendan combinar verificación visual, atención al detalle y buenas prácticas digitales. Justin Kozak, experto en ciberseguridad de Founder Shield, ofrece algunas recomendaciones fundamentales:

1. Verifica siempre la URL, ya que los atacantes suelen reemplazar letras por números. Por ejemplo, pueden cambiar una “O” por un “0” para engañar al usuario.
2. Presta atención a caracteres inusuales, como símbolos extraños o combinaciones poco comunes en direcciones web, ya que suelen indicar sitios falsos.
3. Asegúrate de que el enlace comience con “https://”, lo cual indica que se trata de una conexión segura y cifrada.

Las contraseñas continúan siendo una de las principales vulnerabilidades en la seguridad digital. Aunque parezcan un detalle menor, su debilidad facilita que los piratas informáticos accedan a cuentas internas.

Usar frases largas, autenticación en dos pasos y gestores de contraseñas son medidas clave que pueden reducir significativamente ese riesgo, según el experto en seguridad.

En un esfuerzo por cumplir con normativas internacionales que limitan el acceso de menores a contenido sensible, la plataforma Discord ha reforzado recientemente sus controles de verificación de edad.

Sin embargo, el incidente actual reaviva el debate sobre la protección de los datos personales en entornos digitales, donde los ciberataques son cada vez más sofisticados. Ante este panorama, la mejor defensa sigue siendo la educación, la prevención y el pensamiento crítico.

Imagen: Unsplash /  Ella Don

Un hallazgo reciente revela que la compañía consiguió evadir las protecciones de navegadores como Chrome y Firefox, lo que ha despertado nuevas preocupaciones sobre la privacidad en línea.

El hallazgo técnico detrás del rastreo

La investigación fue liderada por Günes Acar, profesor de la Universidad Radboud en Países Bajos, quien detectó conexiones locales inusuales durante una de sus clases. Junto con Narseo Vallina-Rodríguez, investigador de IMDEA Networks en España, confirmaron que las aplicaciones móviles de Meta accedían al puerto localhost (una conexión interna al propio dispositivo que permite la comunicación entre aplicaciones y servicios sin salir a Internet) de los dispositivos Android.

Este mecanismo permitía a las aplicaciones evadir la eliminación de cookies y el control de permisos que imponen los navegadores.

El rastreo se realizaba a través de Meta Pixel, un fragmento de código embebido en sitios web que registra páginas visitadas, búsquedas realizadas y compras efectuadas, enviando toda esta información a los servidores de Meta. De este modo, la empresa podía asociar la actividad web a cuentas personales, a pesar de las medidas de privacidad aplicadas por los usuarios.

La práctica, activa desde septiembre de 2024, fue pausada tras su revelación pública. Meta aseguró estar colaborando con Google para esclarecer lo que describieron como un posible “malentendido” en la interpretación de las políticas de privacidad. Por su parte, navegadores como Chrome y Firefox ya trabajan en el desarrollo de parches para bloquear este tipo de vulnerabilidades.

Te puede interesar: ¿Es hora de decir adiós a Google Chrome? Esto dicen los expertos

Consecuencias legales y sociales para Meta

El escándalo podría desencadenar nuevas investigaciones regulatorias y sanciones por parte de organismos como la Comisión Federal de Comercio de Estados Unidos (FTC) y el Comité Europeo de Protección de Datos (CEPD), entidades que en el pasado han impuesto multas millonarias por violaciones similares, según CaseGuard y Reuters.

Además, la reputación de Meta continúa deteriorándose en un contexto de desconfianza creciente hacia las grandes tecnológicas, como reflejan los últimos informes del Pew Research Center. La compañía podría verse obligada a revisar nuevamente sus políticas de gestión de datos, lo que limitaría su capacidad de personalizar publicidad y afectaría directamente a su modelo de negocio, advierte BBC News.

Para los usuarios, el rastreo implica una amenaza a su privacidad incluso cuando utilizan herramientas destinadas a protegerla. Esta recopilación masiva de datos facilita la creación de perfiles detallados, aumentando los riesgos de manipulación y discriminación, como señala la Electronic Frontier Foundation.

Aunque leyes como el Reglamento General de Protección de Datos (GDPR) en Europa y la Ley de Privacidad del Consumidor de California (CCPA) buscan proteger a los consumidores, su aplicación suele ser lenta, ofreciendo pocas alternativas inmediatas, según Forbes.

El caso reabre el debate sobre la privacidad digital y vuelve a colocar a Meta en el centro de la controversia. A medida que los reguladores analizan el alcance de la situación, queda en evidencia la necesidad de fortalecer las políticas de protección de datos personales frente a prácticas cada vez más sofisticadas de seguimiento en línea.

Imagen: Generada con IA / ChatGPT

Sin embargo, en los últimos tiempos han surgido preocupaciones importantes. Cada vez más voces advierten que el uso de Chrome implica un costo que va más allá de la comodidad, poniendo en riesgo la privacidad de quienes lo utilizan.

Un navegador eficiente que genera dudas

Aunque Chrome ofrece opciones para configurar la privacidad, especialistas en ciberseguridad aseguran que su diseño facilita la recolección de datos. El navegador no solo almacena historial o cookies. También registra características únicas de cada dispositivo, lo que permite crear perfiles detallados de los usuarios.

El llamado fingerprinting identifica a los dispositivos incluso cuando las cookies han sido bloqueadas. Esta técnica ha sido criticada porque expone a los usuarios a un rastreo más sofisticado y difícil de detectar.

Cambios recientes que preocupan

Google anunció que eliminará las cookies de terceros. En su lugar, implementará nuevas tecnologías de seguimiento que no dependen de archivos locales en el navegador. Aunque este cambio fue presentado como un avance en protección de datos, expertos advierten que podría aumentar la capacidad de rastreo de forma silenciosa y sin consentimiento explícito.

Además, el modo incógnito, que muchos asumen como un método seguro para navegar sin dejar rastro, ha sido cuestionado. Investigaciones recientes demuestran que incluso bajo este modo, se recopilan datos vinculados a la actividad de los usuarios.

Extensiones bajo la lupa

Otro aspecto que genera inquietud es el acceso a extensiones en la tienda de Chrome. Aunque existen procesos de revisión, estos controles no siempre logran frenar amenazas. En los últimos años se han detectado herramientas maliciosas que roban información o instalan software no deseado. Muchas logran pasar las auditorías iniciales y solo son eliminadas después de haber afectado a miles de usuarios.

Te puede interesar: El video viral de TikTok que revela lo que realmente sabe ChatGPT de ti y pone en duda tu privacidad

Comparativa con otros navegadores

En medio de las críticas a Chrome, otros navegadores han ganado relevancia por ofrecer un enfoque más estricto hacia la privacidad.

Firefox, desarrollado por Mozilla, es uno de los principales competidores. Opera bajo una organización sin fines de lucro y ha construido su reputación sobre políticas transparentes que limitan la recolección de datos. Además, permite un control más detallado sobre el rastreo en las páginas web.

Brave también se destaca en este terreno. Su configuración bloquea automáticamente rastreadores y anuncios, reduciendo la exposición a la publicidad basada en datos personales. Además, ofrece opciones de navegación privada a través de Tor, lo que añade una capa extra de anonimato.

Safari, exclusivo de los dispositivos Apple, ha reforzado sus mecanismos para bloquear rastreadores y minimizar la huella digital de sus usuarios. Aunque está limitado al ecosistema de Apple, su compromiso con la privacidad ha sido reconocido en múltiples estudios.

Por otro lado, opciones como LibreWolf y el navegador de DuckDuckGo están diseñadas específicamente para quienes buscan una navegación libre de telemetría y con bloqueos integrados contra rastreadores de terceros.

Comparado con estos navegadores, Chrome sigue ofreciendo velocidad y compatibilidad, pero sacrifica privacidad como parte de su modelo de negocio basado en datos.

Un cambio que muchos consideran necesario

Elegir un navegador ya no depende únicamente de su rapidez o de las funciones que ofrece. Cada vez más usuarios valoran la privacidad como un criterio esencial al momento de decidir qué herramienta utilizar. Aunque Chrome continúa siendo una opción potente y funcional, resulta necesario preguntarse si vale la pena el riesgo que representa en términos de privacidad.

Imagen: Generada con IA / ChatGPT

Con herramientas la compañía quiere hacer más difícil que los estafadores aprovechen errores humanos durante una llamada, un mensaje o el uso de apps delicadas. Y lo más importante, sin comprometer la privacidad.

Llamadas sospechosas, funciones bloqueadas

Una de las novedades más interesantes es que Android ahora puede detectar si estás en una llamada con un número desconocido y, en ese momento, impide que tomes decisiones que podrían ser peligrosas.

Por ejemplo, si durante una llamada se intenta instalar una aplicación de origen no verificado o conceder permisos sensibles, el sistema lo bloqueará. Esta medida responde a una táctica común en estafas telefónicas en la que los delincuentes buscan que la persona realice estos cambios mientras mantiene una conversación con un supuesto “técnico”.

Cuidado al usar apps bancarias durante una llamada

Google también está probando una herramienta que se activa cuando entras a tu app bancaria mientras hablas con un número no guardado. Si además estás compartiendo pantalla, Android te envía una notificación y te ofrece cortar la llamada o detener la visualización de tu pantalla con un solo toque.

La idea es poner barreras justo en el momento crítico, cuando los estafadores suelen aprovechar el descuido o la confianza. Esta función ya está en pruebas en Reino Unido y llegará a más países en los próximos meses.

Te puede interesar: ¡Adiós a los hackers!: ¿qué es el internet cuántico, cómo funciona y por qué es imposible de hackear?

Mensajes protegidos con ayuda de la inteligencia artificial

La aplicación de Mensajes de Google también recibió una mejora importante. Ahora, una IA entrenada especialmente puede leer las señales de un posible fraude mientras estás conversando.

Si alguien intenta engañarte por mensaje con falsas ofertas de empleo, criptomonedas o se hace pasar por tu banco, la app puede detectarlo a tiempo y darte una advertencia. Todo el análisis se realiza en el mismo teléfono, sin enviar tu conversación a ningún servidor. Privacidad ante todo.

Verificación entre contactos: así funciona Key Verifier

System Key Verifier, es una función integrada en dispositivos con Android 10 o superior que permite confirmar la identidad de la persona con la que se mantiene una conversación. Lo hace mediante la verificación automática de claves cifradas entre dispositivos, esto ayuda a prevenir ataques como el intercambio de SIM o la suplantación de identidad en apps de mensajería, como Mensajes de Google.

Esta función se activa de forma nativa, sin necesidad de instalar aplicaciones adicionales, y opera directamente en el dispositivo; por consiguiente no envía datos personales ni claves a servidores externos, preservando la privacidad del usuario. En caso de detectar algún cambio sospechoso en las claves de cifrado, el sistema mostrará una alerta indicando que podría tratarse de una suplantación.

¿Cuándo podrás usar estas funciones?

Google está liberando estas herramientas en distintos países y modelos. Algunas de ellas, como las advertencias durante llamadas sospechosas o el análisis de mensajes con IA, ya están activas en versiones recientes de Android. Otras, como Key Verifier o la protección en apps bancarias, llegarán en el transcurso del año.

Lo importante es que si tienes Android 10 en adelante y mantienes tu dispositivo actualizado, pronto podrás contar con esta capa extra de protección.

Con este nuevo enfoque, se deja claro que la seguridad ya no es solo cuestión de contraseñas o antivirus. Se trata de anticiparse, entender cómo operan los estafadores y proteger al usuario justo en el momento clave.

Imagen: Generada con IA / ChatGPT

¿Qué es y cómo funciona?

Según explicó WhatsApp en su blog oficial, esta herramienta permite blindar las conversaciones para que la información compartida no salga del entorno original. Al activarla, se bloquean acciones como reenviar mensajes, copiar texto, exportar archivos o utilizar herramientas automatizadas —como las de inteligencia artificial— que podrían procesar fragmentos del chat.

Además, los archivos enviados no se descargan automáticamente en los dispositivos de los demás participantes, lo que añade un nivel extra de protección. “Privacidad avanzada del chat” aplica tanto para conversaciones individuales como grupales.

Un refuerzo pensado para conversaciones sensibles… y también para el día a día

Pensada inicialmente para proteger conversaciones sensibles en ámbitos como grupos de apoyo a la salud o coordinaciones comunitarias, también está disponible para cualquier usuario que desee reforzar la privacidad en chats personales o laborales. Su incorporación responde a las crecientes preocupaciones sobre el uso indebido de datos, en un entorno digital cada vez más influenciado por la automatización y la inteligencia artificial.

Te puede interesar: WhatsApp se renueva, estas son las nuevas funciones que llegan en abril 2025

¿Cómo activar la función?

Para activarla en iOS o Android, abre el chat individual o grupal que deseas proteger, pulsa el nombre del contacto o grupo en la parte superior, selecciona la opción “Privacidad avanzada del chat” y activa la función deslizando el interruptor. Cada conversación debe configurarse de manera independiente, permitiéndote elegir en qué chats aplicar esta protección.

La disponibilidad depende tanto de la región como del tipo de cuenta, por lo que algunos usuarios deberán esperar algunos días hasta recibir la activación en sus chats.

Imagen: Cortesía de WhatsApp / Meta Platforms, Inc.

¿Cuáles son las limitaciones?

​Aunque la función impide que otros usuarios exporten chats, copien o reenvíen mensajes, y bloquea la descarga automática de archivos multimedia, aún es posible que los participantes realicen capturas de pantalla o graben la conversación desde otro dispositivo. WhatsApp ha indicado que esta es la primera versión de la función y que planea añadir más protecciones en futuras actualizaciones.

WhatsApp sigue ampliando sus medidas de seguridad con nuevas opciones que fortalecen la privacidad de las conversaciones, mientras también introduce funciones pensadas para enriquecer la experiencia de uso, como la posibilidad de añadir música a los estados o recibir información a través de canales oficiales.

Imagen: Generada con IA /ChatGPT

ExpressVPN revela que, aunque las páginas en la Dark Web pueden verse sospechosas, poco atractivas y hasta anticuadas, en algunos casos no ocurre lo mismo porque hay algunas que en la superficie de Internet se asemejan a webs de comercio electrónico y se encuentran bien diseñadas, contando con interfaces de usuario claras y diseños limpios. 

¿Qué es la web oscura?

La web oscura consiste en una parte de Internet en la que es imposible acceder mediante el uso de un navegador estándar. Si bien esta es legal, lo cierto es que se ha empleado para llevar a cabo negocios ilegales, tales como comprar información personal robada, contraseñas y datos de cuentas bancarias.

Te puede interesar: Microsoft lanza ‘Security Copilot’, la IA que reemplazaría a profesionales en ciberseguridad

Para poder acceder a esta, es necesario usar un navegador anónimo y una red privada virtual (VPN). Sin embargo, cuando un usuario está en una página web y no conoce  cómo ha llegado hasta una de estas páginas, simplemente, dicho sitio  forma parte de la web oscura. 

¿Qué tipo de datos personales hay en la Dark Web? 

En la Dark Web se compran y venden diferentes datos personales, entre los que puedan destacarse los siguientes:

• Datos personales que sean identificables, tales como nombre, fecha de nacimiento,  número de seguro social, así como número del carné de conducir, entre otros.
• Historiales médicos.
• Diplomas falsos.
• Números de teléfono.
• Contraseñas de cuentas de redes sociales y de servicios de suscripción.

¿Cómo acaba la información personal en la red oscura?

Cuando una información personal aparece en la red oscura, significa que alguien la ha tomado sin tener consentimiento de la persona.

En este sentido, los delincuentes roban información personal de diferentes maneras , con la posibilidad de  intentar piratear cuentas o usar programas maliciosos para capturar contraseñas. También hay quienes optan por recopilar información mediante estafas de phishing e intercambios de SIM.

Asimismo, no todas las estafas son de alta tecnología e incluso, hay ladrones que rebuscan en la basura para encontrar documentos con datos personales. 

Consejos para proteger la información de la Dark Web

Como lo dijimos anteriormente, la web oscura tiene una mala reputación, ya que se considera como el lugar en el que los ciberdelincuentes actúan a sus anchas y venden información y diversos tipos de productos de manera ilegal. 

Te puede interesar: Google lanza curso profesional y certificado en ciberseguridad, así te puedes inscribir

Por eso, hay que tener en cuenta que estos hackers maliciosos se encargan de recopilar información personal y crediticia por medio de tácticas de ingeniería social, tales como correos electrónicos de phishing o la aplicación de estafas de acceso remoto. No obstante, en la mayoría de casos, la exposición en la Dark Web es por causa de violaciones de datos a gran escala que pueden afectar de una forma simultánea a miles o millones de personas. ¿Qué debo hacer para no caer?

• Modificar las contraseñas: Cuando los datos de correo electrónico se encuentren en la dark web, hay que modificar de manera rápida las contraseñas para poder proteger la información, asegurándose de que estas sean largas y tengan al menos 12 caracteres, tratándose de una combinación segura de mayúsculas, minúsculas, números y caracteres especiales.
• Revisar las cuentas bancarias y otras cuentas de financiamiento en línea: Se debe tener en cuenta que los fraudes bancarios online pueden ser cometidos por hackers, de manera que es importante prestar  atención a los datos de cuentas bancarias y otras informaciones financieras.
• Examinar el ordenador para buscar malware: Cuando la información de un correo electrónico está en la dark web, una excelente alternativa para proteger estos datos consiste en examinar el ordenador para comprobar que no haya un  software malicioso de terceros y de ese modo, poder asegurarse de que no exista algún problema en este sentido. 

En definitiva, la web oscura proporciona un espacio oculto para quienes buscan participar en actividades delictivas, tales como el comercio ilegal de bienes y servicios; ataques cibernéticos; robo de identidad, entre otras actividades ilícitas. 

Los ciberdelincuentes suelen ser bastante listos y no es favorable subestimar lo que estos pueden hacer, de manera que hay que cuidar en la mayor medida de lo posible los datos personales y financieros. 

Imagen: Pixabay

Google anunció una nueva herramienta que agiliza el proceso de eliminación de estos datos. Esto es importante saberlo en especial cuando en una búsqueda consigues información tan personal como contacto o identificación personal. El proceso es bastante sencillo, si posees un teléfono Android puedes abrir la app Google e ir hasta tu foto de perfil.

Allí se desplegará en el menú una opción llamada “Resultados sobre usted”. En esta podrás conseguir una página en la que se explica cómo solicitar a Google que elimine estos resultados que tienen información personal tuya.

Te puede interesar: Google habilitó Alertas por Terremotos para Colombia

Si mientras navegas por casualidad consigues un resultado que contiene información como tu correo electrónico o dirección de tu casa o de tu identificación. Allí puedes tocar los tres puntos para desplegar un menú que contiene la opción “Acerca de este resultado” y allí se abre la opción “Eliminar resultado”, esta es la forma para pedirle a Google que borre tu información. Una vez que sigues este proceso tendrás la opción de hacer seguimiento el proceso de eliminación del resultado. También tienes acceso a un panel en el que podrás ver todas tus solicitudes.

En este mismo panel podrás filtrar por estados como “En curso” o “Aprobado”. En esta misma página conseguirás un tutorial con el que puedes realizar una nueva solicitud siguiendo un tutorial que te ayudará a determinar la razón por la cual deseas eliminar un resultado. Las opciones que consigues son:

• Muestra mi información personal de contacto.
• Muestra mi contacto con la intención de hacerme daño.
• Muestra otra información personal
• Contiene información ilegal
• Está desactualizado

Esta opción está en fase de implementación por parte de Google, así que se espera que esté disponible en todo el mundo para los próximos meses. Por ahora, se sabe que ha aparecido para algunos usuarios que están en Europa y Estados Unidos.

Imagen: Pixabay en Pexels.com

En Colombia existe la Ley 1581 de 2012 que protege los datos personales de los ciudadanos almacenados en bases de datos. En los artículos 5 y 6 del cuerpo normativo se contemplan disposiciones como la protección del individuo en caso de que sus datos sensibles aquellos que afectan la intimidad del titular. Sin embargo, según Según Camilo Sanclemente, director ejecutivo de la Fundación Defensa de Inocentes, denunciar una conducta tan específica como la publicación de un video privado es complicado, pues, actualmente, en el país no hay una ley que específicamente se refiera al ‘sexting’.

Lo anterior podría dificultar la ruta de atención penal para quienes son víctimas de filtraciones de material íntimo; no obstante, el abogado sostiene que sí se pueden tomar medidas legales: sobre todo en el caso de que la persona considere que hay injuria y que la divulgación de los videos, fotos, etc; estén afectado su buen nombre. “Tener relaciones no es algo deshonroso pero sí termina afectando la imagen de la persona”, apunta.

Te puede interesar: Privacy Sandbox, así almacenará Chrome tus datos personales (Android)

Como en el país no hay una ley que explícitamente trate con este fenómeno, es difícil que quien ve expuesta su privacidad de esa forma pueda realizar una demanda penal; a menos de que se estén presentando escenarios en donde hay extorsiones de por medio. En este caso lo que debe hacer la víctima es acudir a la Fiscalía, presentar su denuncia, contar con un abogado, presentar las pruebas y esperar una decisión que podría castigar con cárcel de ocho a 15 años a quien haya buscado sacar provecho económico de estas prácticas.

Si embargo, esa no es la única salida. Cuando hay perjuicios y daños morales por cuenta de un video íntimo, las denuncias civiles también son una buena opción; y si en el asunto están involucrados menores de edad, una denuncia por pornografía podría ser la ruta adecuada para activar los correctivos necesarios y hacer justicia.

Ojo con replicar un video íntimo ajeno

Además de esto, en Colombia también existe el Derecho al olvido, que es un concepto contemplado en la Ley de Habeas Data del que los usuarios pueden echar mano para controlar un poco más su huella digital. Sin embargo, Sanclemente recomienda primero establecer comunicación con los servicios en línea que puedan estar replicando el material íntimo para exigirles que bajen el contenido de su plataforma.

Esa acción podría servir en ciertos casos, pero podría quedare corta cuando un video íntimo se vuelve viral, está alojado en diferentes páginas y es replicado infinitas veces por usuarios de redes sociales: un fenómeno que, aunque involucra a un público externo, también puede denunciarse por cuenta de la figura de Injuria y calumnia indirecta estipulada en el artículo 222 del Código Penal.

Si ninguna de estas acciones da frutos, el abogado sugiere recurrir a interponer una tutela.

Imágenes: Instagram

La decisión anterior se tomó en el año 2020 cuando una sentencia del Tribunal de Justicia Europeo, determinó que el uso de los datos personales en Estados Unidos no está regulado conforme a las exigencias de la Unión Europea.

Pues bien, este 2022 no comenzó de la mejor manera para Google pues, de acuerdo a The Business Insider, el Supervisor Europeo de Protección de Datos (EDPS) habría alertado sobre un portal externo del mismo Parlamento Europeo, hacía uso de Google Analytics. El caso tomó más relevancia con los días, pues recientemente se conoció también que la Autoridad de Protección de Datos de Austria detectó cookies de Analytics en la página web de una compañía de ese país, la cual podría pagar una multa de hasta 20 millones de euros por este episodio.

Google defiende a Analytics

Google no guardó silencio, y, en cambio, publicó un comunicado en su blog oficial en donde, en cabeza de Kent Walker, responsable de Asuntos Globales y jefe legal de Alphabet, hizo un llamado a realizar “un nuevo acuerdo de transferencia de datos entre Europa y Estados Unidos”. En el comunicado, Walker defiende públicamente a Analytics al describirla como una herramienta que desde hace 15 años “aportar al análisis de datos que benefician a cualquier compañía”, y sugiere a las autoridades europeas confiar en las mismas medidas que desde la empresa tecnológica se han adoptado para proteger los datos de sus usuarios.

Por ahora, la herramienta de Analytics se enfrenta a una posible prohibición en Austria, luego de que, al parecer, se verificara que las direcciones IP de varios usuarios de ese país sí llegaron a EE. UU. mediante cookies. Mientras que Google sigue a la espera, bien sea de un nuevo acuerdo por parte de las autoridades protectoras de datos en Europa, o de una resolución que lo obligue a cambiar el funcionamiento de su software en Europa.

Imágenes: Unsplash

Según el portal ZDNet, a medida que muchas empresas pasaron al trabajo remoto durante la pandemia, aumentaron los incidentes cibernéticos. Adicionalmente, muchas empresas colombianas empezaron su transformación digital y empezaron a capturar datos de los clientes de forma virtual.

Por lo tanto, nunca ha habido tanto en juego para garantizar el cumplimiento de los datos, independientemente del tamaño de la empresa. Si los datos confidenciales (cualquier información que identifique a los clientes o empleados) caen en las manos equivocadas, pueden provocar fraude, robo de identidad o delitos similares. Dado el costo de una brecha de seguridad, garantizar el cumplimiento de todas las regulaciones relevantes probablemente ahorrará dinero a largo plazo.

Te puede interesar: Alemania prohíbe a WhatsApp procesar datos de los usuarios.

El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea, fue introducido en 2018, y es el marco normativo más relevante. Se diseñó para dar a los ciudadanos de la Unión Europea más control sobre sus datos personales. Y tenía como objetivo simplificar el entorno regulatorio para las empresas, de modo que tanto los ciudadanos como las entidades comerciales puedan beneficiarse plenamente de la economía digital.

El GDPR establece una ley y un conjunto único de reglas que se aplican a las empresas que hacen negocios dentro de la UE. Esto significa que el alcance de la legislación se extiende más allá de las fronteras europeas, ya que las organizaciones internacionales que realizan actividades en suelo europeo también deben cumplir la ley. Enviar correos electrónicos a una empresa o persona en la Unión Europea, o tomar cualquier dato personal, coloca al negocio bajo los auspicios del Reglamento General de Protección de Datos.

En Colombia, la Ley de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.

Te puede interesar: Europa presenta regulación para empresas tecnológicas.

Por consiguiente, estos principios pueden ayudar a mantener los datos seguros y a cumplir en términos generales con las leyes que regulan el tema:

1. Identificar: Las organizaciones deben saber qué información personal tienen en sus archivos y en sus computadoras.
2. Reducir: Los datos que se deben conservar son solo los que necesita el negocio.
3. Bloquear: Las empresas deben proteger la información que conserva y asegúrarse de que solo el personal necesario para fines específicos pueda acceder a ella.
4. Eliminar: Es necesario asegurarse que todos los datos que ya no son necesarios se eliminen correctamente.
5. Planificar: Es importante planear con anticipación cómo responder a los incidentes de seguridad.

No obstante, es importante que todas las organizaciones busquen asesoramiento experto para garantizar que están cumpliendo con todos los requisitos que exigen las leyes en los países en donde operan. No hacerlo puede salir muy costoso, tanto a nivel reputacional como a nivel financiero si se reciben demandas.

Imagen: vishnu vijayan en Pixabay.

En una llamada con los inversionistas Mark Zuckerberg, CEO de Facebook, aseguró que Apple es su principal rival en este momento y cuestionó los cambios que la empresa ha tomado en sus dispositivos para permitirle a los usuarios tener mayor control sobre su privacidad y datos. De hecho, aseguró que estos buscan beneficiar iMessage y, por ende, afectar de manera negativa los pequeños negocios.

Después de estas declaraciones, rumores de que Facebook estaría usando consultores externos para demandar a Apple por monopolio y específicamente con los cambios en favor de la privacidad de los usuarios en iOS 14, que permitiría escoger si la aplicación puede o no hacer seguimiento de la actividad y compartirla con terceros, salieron a la luz con un informe de The Information. El principal argumento sería que “la compañía obliga a los desarrolladores de aplicaciones a aceptar las reglas de la App Store; sin embargo, las apps de la compañía no lo hacen”.

También te puede interesar: Facebook no está feliz con la App Store.

Así mismo, The Information asegura que probablemente la demanda no llegaría a los juzgados; Facebook tiene debates internos entre ejecutivos y empleados sobre si la empresa realmente podría ser víctima. Además esta resaltaría el problema que ha tenido la red social al usar de manera equivocada datos de los usuarios.

Por su parte, Apple no ha contestado a la solicitud de comentarios al respecto por varios medios; sin embargo, llama la atención que hoy es el día de la protección de datos y Tim Cook aprovecho para decir que “[la compañía] seguirá creando métodos para proteger la privacidad de los usuarios, no solo desde sus propios productos sino a través de lo que está sucediendo en la industria. Estamos listos para poner en marcha estos mecanismos desde la App Store. Esto nos dará mayor control sobre las formas en que se recogen nuestros datos y cómo se comparten”.

Imagen: Montaje ENTER.CO.

La entidad aseguró que, aunque Zoom ha tomado medidas para mejorar la protección de los datos de los usuarios, aún no es suficiente. Por este motivo, tendrá un plazo de cuatro meses para mejorarla y presentar un documento certificando dicho proceso.

También te puede interesar: SIC sanciona a DirecTV por obstaculizar derecho a PQR

Zoom es una de las principales herramientas del teletrabajo hoy en día. Recientemente, la plataforma activo el cifrado punto a punto para todos los usuarios. Esto después de meses de estar en el ojo del huracán por no ofrecer mejor protección.  Inicialmente, el cifrado sería solo para llamadas organizadas o iniciadas por clientes que pagan por los servicios.

Para leer otras noticias sobre Zoom, visita este enlace.

La SIC asegura que tan solo en abril en Colombia se llevaron a cabo 17 millones de reuniones a través de esta herramienta por lo que considera que la orden preventiva  para proteger los datos de los usuarios, teniendo en cuenta que la plataforma sigue siendo una de las más importantes para la nueva realidad.

Imagen: jagritparajuli99 (Vía Pixabay). 

La ‘Iniciativa global de seguridad de datos’ contiene ocho puntos claves; entre ellos, no usar la tecnología para perjudicar la infraestructura o robas datos de otros países, asegurarse que sus servicios no proveen puertas traseras o formas de robar datos de manera ilegal. Por ahora, el documento es solo una forma de aconsejar a las empresas sobre su actuar y protocolos en el exterior. Pero esto no es significa que el Estado esté preparado para imponer sanciones o castigar legalmente en caso de no acogerse a la iniciativa.

También te puede interesar: China propone un protocolo de Internet, todavía más restrictivo.

Wang Yi aseguró que con esto se espera poner un alto a las actividades que infringen el uso de información personal de los usuarios y ponerle un alto al espionaje a otros países. “Las empresas con actividades internacionales necesitan adherirse a las leyes de los países donde operan. Tenemos que detener la coerción a firmas domésticas para que guarden información extranjera en nuestro territorio”, agrega el documento.

Por ahora, no es claro qué empresas y qué otros países firmaran la iniciativa china. Lo que sí queda claro es que China ha empezado a sentir los efectos de los diferentes golpes en las medidas tomadas por Estados Unidos contras sus empresas y busca mejorar su reputación generando mayor confianza con este tipo de iniciativas.   “No les hemos pedido y no les pediremos a las compañías que nos pasen datos generados en el exterior, rompiendo leyes internacionales”, finalizó el ministro de relaciones internacionales.

Imagen: Montaje ENTER.CO.

La información de estos usuarios se consiguió utilizando un método llamado ‘Web scraping’. Esta es una técnica que recolecta información de usuarios de manera automatizada. De hecho, muchas de las compañías de análisis recolectan información utilizando esta estrategia, a través de web scrappers localizados en páginas populares. Aunque es una práctica que ha sido prohibida en la mayoría de redes sociales, otros sitios siguen permitiéndola y las compañías que compran estos datos la utilizan para crear informes de consumo o tendencias para sus clientes.

Te puede interesar: ¿Cuánto ganan los que más ganan en TikTok?

El problema, por supuesto, está cuando estas bases de datos se dejan sin protección alguna. Bob Diachenko, lider de la investigación que descubrió tres bases de datos idénticas, aseguró que la información pertenecía a una firma llamada Deep Social, que ya no existe. Esto no elimina la gravedad del descubrimiento de su equipo. En primer lugar, porque el método utilizado para recolectar información se encuentra prohibido por todas las plataformas antes mencionadas. Por desgracia, el año pasado también una corte de los Estados Unidos decidió que no era ilegal que otros sitios utilizaran ‘Web scraping’ para sus bases de datos, incluso cuando no solicitan el permiso de las páginas de las que lo recolectan.

Pero también porque los datos que contenía son usualmente aquellos que son utilizados para estafas de tipo phising. Más grave que la recolección de esta información es el hecho de que se encontrara completamente desprotegida, con acceso a estafadores que pudieron utilizarla.

Al respecto, Social Data, la compañía que poseía las bases de datos antes mencionadas, en un comunicado respondió que la información recolectada era de acceso público y que podía ser obtenida por cualquier persona con acceso a Internet. Una desviación de los peligros que representa tener más de 200 millones de cuentas con información sensible al alcance de los cyber delincuentes.

Imágenes: Pexels

Uno de los antivirus más populares del mundo está vendiendo los datos de sus usuarios. En una contradicción a lo que se espera de una compañía centrada en protección informática, Avast ha sido señalada de vender esta información a compañías como Google, Home Depot, Microsoft y Pepsi, entre otras empresas. El reporte fue entregado por una investigación de Motherboard y PCMag.

El modelo empleado por la compañía es el siguiente. Avast recopilaba información de sus antivirus. Luego se la entregaba a una subsidiaría llamada Jumpshot. Era allí dónde los datos de los usuarios eran vendidos a las compañías antes mencionados, según la investigación, por millones de dólares.

La investigación además indica que la información que Avast vendía era amplia y completa. De hecho, Jumpshot ofrecía ‘paquetes’ a las compañías que les permitían enfocarse en su necesidad ¿Querían saber qué estaban buscando los usuarios? Los datos recolectados incluían qué se estaba buscando, además de palabras y los resultados a los estaban ingresando. Productos similares ofrecían acceso a qué videos se veían en YouTube, Facebook o Instagram.

Te puede interesar: Las empresas tienen datos monetizables pero no saben usarlos

Una de las compras más preocupantes fue a través de un acuerdo con Omnicom, una compañía enfocada en marketing. Jumpshot le ofreció un paquete ‘All Clicks’ (traducido como ‘todos los clics’ en español), que contenía datos de cada clic de los usuarios de Avast, pero más importante, que incluía el ID de los dispositivos que fueron utilizados para ingresar a estos portales, así como la URL de los sitios visitados, edad y género del visitante (que era información inferida). Toda esta información era solicitada como parte de los contratos firmados.

De nuevo, la investigación afirma que esta información fue vendida o estaba siendo ofrecida a clientes potenciales, pasados y presentes como Expedia, Intuit, Keurig, Condé Nast, Sephora, Loreal Google, Home Depot, Microsoft y Pepsi. Por el momento, Microsoft ha sido una de las pocas compañías en comentar su relación con Jumpshot, afirmando que actualmente no tiene una relación con esta empresa.

La pregunta entonces es ¿Sabían los usuarios que estos datos estaban siendo recolectados? Sí. El servicio les pedía a los usuarios que aceptaran esta recolección. El problema está en que la investigación descubrió que muchos no conocían que sus datos estaban siendo vendidos a través de la subsidiaria.

Te puede interesar: datos de influencers y famosos de Instagram se filtraron en internet

No es la primera vez que Avast se ha visto en problema por recolectar y vender esta información. Meses atrás el servicio tuvo que retirar su extensión de Mozilla (así como otros productos de Avast) cuando se descubrió que estaban recolectando mucha más información de la que necesitaban. Un momento que le costó a la empresa el escrutinio público. “Descontinuamos por completo la práctica de usar cualquier dato de las extensiones del navegador para cualquier otro propósito que no sea el motor de seguridad central, incluido el intercambio con Jumpshot”, dijo la compañía en un comunicado, aunque parece ahora que esta declaración omitía el agujero legar de que todavía lo estaban haciendo a través de su subsidiaria Jumpshot.

Imágenes: Montaje ENTER.CO

El pasado 24 de mayo, la Unión Europea puso en práctica el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés). Este documento tiene como objetivo proporcionar a los consumidores un control adicional sobre sus datos personales recopilados de forma digital.

Para Pedro Paixao, gerente general para América Latina y el Caribe de Fortinet, compañía de ciberseguridad, las reformas de Europa pueden intensificar las medidas de protección de datos en América Latina. El siguiente es un balance que hace la empresa de las medidas que se han tomado en algunas países de la región.

Protección de datos en Colombia

En Colombia, la autoridad que regula la materia exige todas las bases de datos estén en el Registro Nacional de Bases de Datos. La legislación colombiana actual incluye salvaguardar los derechos de los usuarios y crear obligaciones para quienes recopilan y manejan datos. También exige regular la protección de datos personales para información crediticia y financiera.

Protección de datos en América Latina

El primer lugar en materia de protección de datos en la región lo ocupan Argentina y Uruguay, que tiene leyes de protección de datos personales vigentes desde los años 90. Estos son los únicos dos países latinoamericanos que la Comisión Europea considera con los niveles adecuados de protección de los datos personales. Sin embargo, debido a la implementación de GDPR, incluso sus regulaciones actuales pueden estar sujetas a revisión.

México sigue a estos dos países de cerca, ya que en 2010 promulgó la Ley Federal de Protección de Datos. En ella, se habla de la transparencia, la protección y el acceso de los datos de los usuarios. Además, la ley promueve los derechos de privacidad de las personas.

Por su parte, Perú desarrolló una legislación de protección de datos en 2011. Esta ley otorga autoridad y acceso transparente a la información pública. Así, fortalece la protección de los datos personales.

A diferencia de los demás países, Brasil no tiene leyes generales relacionadas con la protección de datos. Sin embargo, hay tres proyectos de ley que están en el Congreso y la Cámara de Representantes de ese país.

Por el momento, las leyes de cada país serán revisadas por el GDPR y lo más seguro es que se intensifiquen. Por tal motivo, las empresas deben estar al tanto del uso que le dan a los datos de sus clientes. De esta forma evitarán incurrir en multas y sanciones.

Imagen: CC0 Creative Commons (vía Pixabay)

También te puede interesar: Ciberseguridad: ¿qué profesionales necesita el país?

Es por eso que un buen paso para empezar en la seguridad informática es entender el estándar internacional dado por la norma ISO 27001-2013, la cual describe como implementar procesos de seguridad de la información en las empresas. Pensando en generar un valor en el mercado de la seguridad Cloud Seguro, SGS, y ENTER.CO desarrollarán los días 22 y 29 de noviembre el Curso Auditor Interno ISO 27001, OSINT y Protección de Datos. Allí, el participante no solo se podrá certificar como Auditor en la ISO 27001, sino que aprenderá de OSINT (Búsqueda de información en fuentes públicas) y de Protección de Datos Personales.

Así es nuestro curso de auditor interno ISO 27001

El curso es en modalidad virtual con 45 horas teórico practicas. Al finalizar el 2017, contarás con tu certificación internacional de ISO 27001 dada por SGS, y entenderás las ultimas tendencias en OSINT y Protección de datos. Estas dos ultimas temáticas de Open Source Intelligence y Protección de datos son un complemento necesario para las personas que quieren empezar en el campo de la seguridad informática.

En el curso aprenderás la estructura de la norma ISO 27001, técnicas de auditoria, controles y estructura de la norma ISO 27001, Conceptos de un Sistema de Gestión de Seguridad de la Información, Planificación, Programa de Auditoria, entre otros. En el tema de OSINT y Protección de datos aprenderás sobre definiciones y concepto de OSINT, la información pública como fuente de inteligencia, técnicas de búsqueda de información pública y Google Hacking, entre otros temas.

En el módulo de protección de datos en el curso se mostrará la diferencia de protección de datos personales y seguridad de la información, aprenderás sobre el marco normativo y la creación de un sistema integral de protección de datos, como las obligaciones actuales para las empresas en privacidad.

El curso tiene un costo de $1.300.000 IVA incluido, y lo puedes pagar con tarjeta de crédito en el siguiente link. Para aprovechar el descuento de ENTER.CO del 5% lo puedes hacer en consignación en la cuenta de ENTER.CO. Para mayor información puedes escribir al correo contacto@cloudseguro.co.

Reserva tu cupo ahora y  mejora tu proyección profesional.

Imagen:

Aunque el GDPR aplicará para las organizaciones que operan en países de la Unión Europea (UE), su cumplimiento ya está generando el debate respecto a cómo las empresas, sin importar el sector al que pertenezcan, están haciendo uso de los datos personales de los usuarios.

Resultados del estudio

Según el ‘Informe GDPR de Veritas 2017’, casi un tercio de los encuestados (31%) afirmó que su empresa ya cumple con los requisitos de la legislación. Sin embargo, cuando a los mismos encuestados se les preguntó sobre las disposiciones específicas del GDPR, las respuestas de la mayoría demostraron que es poco probable que estén asumiendo correctamente estas normas. Tras una inspección más detallada, solo el 2% parece cumplir con las disposiciones, lo que revela un claro malentendido respecto al cumplimiento.

Los resultados del informe también demuestran que casi la mitad de las organizaciones (48%) que declararon que cumplían no tienen visibilidad total de los incidentes de pérdidas de datos personales. Además, el 61% del mismo grupo admitió que para la organización resulta difícil identificar y denunciar una filtración de datos personales en un plazo de 72 horas a partir de que se descubre. Este es un requisito obligatorio del GDPR cuando hay riesgo para las personas interesadas.

De hecho, una organización que no puede informar la pérdida o el robo de datos personales (como registros médicos, direcciones de correo electrónico y contraseñas) al órgano de supervisión en el plazo citado, no estaría cumpliendo con este requisito fundamental.

La amenaza del exempleado

La restricción del acceso del exempleado a los datos corporativos y la eliminación de sus credenciales del sistema ayudan a prevenir la actividad maliciosa y a evitar pérdidas financieras y daños de reputación.

Sin embargo, un 50% de las organizaciones que consideran que cumplen las disposiciones afirmaron que los exempleados aún tienen acceso a los datos internos. Estos hallazgos destacan que incluso las organizaciones más seguras tienen problemas para controlar el acceso de los ex-empleados, y son potencialmente susceptibles a los ataques.

Desafíos al ejercer ‘el derecho al olvido’

Según el GDPR, en regiones como UE, los residentes tienen derecho a solicitar la eliminación de sus datos personales de las bases de datos de una organización. Sin embargo, la investigación de Veritas demuestra que muchas organizaciones que consideraban que cumplían con las disposiciones no saben cómo buscar, encontrar y eliminar datos personales si un usuario ejerce el principio del ‘derecho al olvido’.

De las organizaciones que consideran que están preparadas para el cumplimiento del GDPR, una quinta parte (18%) admitió que los datos personales no se pueden depurar ni modificar. Otro 13% reconoció que no tiene la capacidad de buscar y analizar datos personales con el fin de revelar referencias explícitas e implícitas de un individuo. Tampoco pueden visualizar con precisión dónde se almacenan sus datos, porque sus fuentes de datos y depósitos no están claramente definidos.

Estas deficiencias harían que una empresa no cumpla con las disposiciones del GDPR, por lo que las organizaciones deben garantizar que los datos personales solo se utilicen para las razones por las que se recopilaron y que se eliminen cuando ya no sean necesarios.

El caso Colombia

En una nota previa de ENTER.CO explicábamos que en Colombia se han generado varios debates con interesantes puntos a favor y en contra. Varias decisiones judiciales en distintos países han hecho que muchas naciones se quieran adherir al derecho al olvido. Sin embargo, en países como Colombia, el tema no parece entenderse del todo.

Muchos mencionan que el derecho al olvido puede limitar el derecho a la libertad de la información y como un bloqueo de contenidos mal manejado puede perjudicar la neutralidad de la red. No obstante, expertos como Germán Realpe, CEO de Cloud Seguro y columnista de ENTER.CO, consideran que es necesario que el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) tome una posición sobre el cumplimiento de las normas de privacidad de las grandes compañías internacionales en Colombia. Así mismo, se deben actualizar las normas de protección de datos como la competencia de las autoridades judiciales.

“El derecho a la desindexación es un derecho fundamental. Es necesario empezar a entender que muchas personas tienen el derecho de no aparecer en internet. En la actualidad, todo pasa por Google, desde un candidato para un puesto laboral, un nombre, un teléfono, un correo electrónico y una posible novia. La información que ves en dos segundos en el buscador te puede marcar de por vida”, comentó Realpe.

También te puede interesar ¿Quién debe responder por la neutralidad en la red?

Desmitificación de la responsabilidad del GDPR

La investigación de Veritas también evidenció que existe un malentendido común entre las organizaciones con respecto a la responsabilidad de los datos en entornos de nube. Casi la mitad de las empresas (49%) que consideran que cumplen con el GDPR creen que es responsabilidad exclusiva del proveedor del servicio de la nube garantizar el cumplimiento de los datos en la nube.

No obstante, el GDRP explica que la responsabilidad recae en el controlador de datos (la organización). “Este falso sentido de protección que se percibe podría tener serias repercusiones una vez que se promulgue el GDPR”, afirmó Veritas.

Imagen: Pexels

Todas las industrias y sectores fueron analizados. Por ejemplo, por séptimo año consecutivo, el sector salud es al que más le cuesta una violación de datos, aproximadamente 380 dólares por cada récord. Esto desencadena una afectación anual de 9,8 millones de dólares para ese sector, uno de los menos protegidos en los países de América Latina.

El costo es alto

Los incidentes de seguridad generan un costo promedio de 3,62 millones de dólares a nivel mundial (un 10% menos que en 2016). Según el informe, estos incidentes de seguridad han supuesto para las empresas un costo promedio de 141 dólares por registro robado.

En el análisis, IBM Security ha identificado que en los países europeos el gasto total descendió un 26% en el último año. Las empresas europeas operan en un entorno regulatorio más centralizado, lo que facilita el cumplimiento de la norma y requieren menos recursos para ello. Sin embargo, en Estados Unidos, 48 de los 50 estados tienen sus propias leyes que regulan pérdidas de datos, lo cual implica que tengan que responder a una variedad de requerimientos regulatorios. En el informe ‘Cost of Data Breach’ de 2017, los incumplimientos y el tiempo de notificación se encuentran entre las cinco principales causas del aumento del costo de pérdida de datos en Estados Unidos.

En América Latina, la mayoría de los países cuenta con regulaciones (como la Ley de Habeas Data) que obligan a las empresas a proteger la información de sus clientes y el no hacerlo los hace incurrir en penalidades. Cumplir las regulaciones y continuar trabajando en pro de ellas es clave ante la alta probabilidad (de 1 a 4) de que se fuguen los datos personales.

El tiempo es oro a la hora de mitigar incidentes de seguridad

Por tercer año consecutivo, el estudio demuestra que tener un equipo de respuesta a incidentes reduce significativamente el costo de pérdida de datos, lo que supone un ahorro de más de 19 dólares por registro robado o perdido. “La rapidez en identificar y frenar un incidente se debe en gran medida a los miembros de estos equipos de respuesta a Incidentes y su plan de acción, que permiten a las empresas controlar los incidentes de seguridad y mitigar pérdidas posteriores”, comentaron expertos de IBM Security.

El estudio revela también que la velocidad con que una empresa puede contener incidentes relacionados con pérdida de datos tiene un impacto directo en sus consecuencias económicas. El costo de una pérdida de datos ha sido de casi un millón de dólares menos en aquellas empresas que han sido capaces de frenar el incidente en menos de 30 días, en comparación con aquellas organizaciones que tardaron más tiempo.

La rapidez de respuesta será cada vez más importante a medida que se implementan nuevas regulaciones como la nueva norma europea de protección de datos (GDPR por sus siglas en inglés) en mayo de 2018, momento en el cual las empresas que hagan negocios en Europa deberán informar de pérdidas de datos en 72 horas o se enfrentarán a multas de más del 4% de su facturación anual.

Otras conclusiones del estudio

– Salud es el sector con mayor costo por pérdida de datos. Por séptimo año consecutivo, el sector de la salud encabeza la lista de industrias en las que este tipo de incidentes son más costosos. La pérdida de datos médicos supone a las organizaciones 380 dólares por registro, 2,5 veces más que la media global de otros sectores (141 dólares por registro).

– Los ataques por código malicioso y ataques cibercriminales son los más costosos: 47% de las brechas de seguridad son causadas por estos y generan un costo de 156 dólares por registro.

– Principales elementos que reducen el costo de pérdida de datos: la respuesta ante incidentes; el cifrado y la formación son claves a la hora de disminuir los efectos de las pérdidas de datos. Contar con un equipo de respuesta a incidentes supone una rebaja de 19 dólares por registro perdido o robado, seguido de un uso extendido del cifrado de datos (16 dólares menos por registro), así como de medidas formativas para empleados (12,5 dólares menos por registro).

En este enlace encuentras el estudio completo.

Imagen: Pexels

Telefónica viene cumpliendo un excelente papel en temas de ciberseguridad desde hace unos años, con la incorporación del hacker Chema Alonso a su equipo, hoy un alto ejecutivo de la compañía. Así mismo, con la formación de compañías como Eleven Paths, que se está convirtiendo en referente en temas de seguridad de la información y la generación de herramientas personales y empresariales como Latch, Metalshied y Smart Id, entre otras. 

Pero uno de los temas más interesantes y que promete revolucionar el mundo de la privacidad es lo que se llama la Cuarta Plataforma o Aura. El servicio, que todavía se encuentra en construcción, se basa en una premisa: “El control del usuario de los datos personales y su vida digital”. El usuario, por medio de la plataforma Aura, tendrá un control y decisión sobre el uso de la información personal.

El servicio contará con características de inteligencia artificial; se convierte así en una especie de Siri para decidir sobre el uso de sus dispositivos, servicios y datos en el mundo digital.

El control de los datos es posible

Una de las preguntas que generó la presentación de este servicio en el pasado Mobile World Congress es hasta qué punto es posible el control de los datos por parte del usuario; por ejemplo, para que un proveedor de internet no utilice los datos para otras cosas.

En primer lugar, se debe partir de los operadores de telecomunicaciones; por disposiciones legales no deberían ver qué pasa entre los servicios y el usuario. En pocas palabras, el proveedor de internet debería ser un túnel que garantice la confidencialidad de los datos entre el usuario y los servicios de internet.

Esto tiene un sustento legal en normativas como el Digital Millennium Copyright Act (Dmca) y en conceptos como Safe Harbor. Pero empieza a tener unos cambios profundos por cuestiones de derechos de autor y porque en algunos países –como Estados Unidos– no es un secreto que prima la seguridad estatal y la vigilancia masiva.

De otro lado, en días pasados, la Comisión Federal de Comunicaciones y el Congreso de Estados Unidos aprobaron una norma que permite que los operadores de servicios de internet puedan vender datos personales e historiales de navegación a otras empresas. Esto hace que el usuario pierda cada vez más el control sobre su información personal, y se rompe el principio de neutralidad tecnológica.

La norma aprobada va a ser demandada por grupos de privacidad, entre ellos el Centro para la Democracia Digital, los cuales opinan que esta norma abre las puertas para que los operadores de servicios de internet puedan vender información sin ningún tipo de control.

Se conoce la vida del usuario

El uso de la inteligencia artificial y de big data empieza a modificar la trasmisión, control y gestión de la información personal. Los operadores de Internet no necesitan saber el nombre de un usuario: con el simple hecho de conocer su dirección IP pueden tener mucha información para establecer estadísticas, modelos predictivos, gustos, perfiles, facturas, etc. Es lo que algunos llaman inteligencia predictiva; el simple hecho de conectarse permite que ellos sepan todo sobre su vida digital.

Con lo que quiere hacer Telefónica el usuario tendrá más conciencia de lo que se hace con su información.

Un control total de los datos es difícil hoy porque en redes sociales y servicios de cloud computing y correo electrónico ya estamos completamente identificados con gustos y preferencias. Y técnicamente los datos están distribuidos por varios servidores, por lo que borrarlos es prácticamente imposible.

Pero con lo que quiere hacer Telefónica el usuario podrá tener más conciencia de lo que se hace con su información y ceder su autorización para nuevos servicios. Telefónica ha realizado un excelente trabajo con herramientas de privacidad como Latch, un interruptor que permite desactivar temporalmente los servicios digitales. Si eso se aplicara a la cuarta plataforma de forma legal y técnica, sería valioso para los usuarios.

El modelo no es fácil. Depende de integraciones, desarrollos, inteligencia artificial, aspectos legales, Facebook, los operadores y de la aceptación de los usuarios. Pero da tranquilidad que el hacker Chema Alonso esté detrás del proyecto, pues es una persona que entiende el verdadero sentido del control de los datos.

El tiempo nos dirá si apuestas como la de Telefónica, de ofrecer un control de los datos a los usuarios, se vuelven atractivas en una sociedad en la que a muchos ya no les importa la privacidad.

Imágenes: Intel Free Press (vía Flickr)

Blue Coat reveló una encuesta aplicada a 3.130 empleados entre 18 y 54 años de edad, pertenecientes a áreas como finanzas, salud, informática y recursos humanos, en Alemania, Francia y el Reino Unido.

El estudio sugirió que las organizaciones están siendo expuestas a ciberamenazas cada vez más sofisticadas a través de las redes sociales, que toman la información personal y profesional de los usuarios. Esto se debe principalmente a los malos hábitos que tienen los empleados respecto al uso de redes sociales, los cuales han empeorado de acuerdo con la investigación realizada por YouGov, a petición de Blue Coat.

Además de que todas las generaciones actúan imprudentemente en las redes sociales, otras de las conclusiones de la encuesta fueron:

-En 2016, el 42% de los encuestados dijeron que aceptan las solicitudes de amistad de las personas previamente conocidas en las redes sociales. En la encuesta del 2015, el 43% manifestó que adoptaba este comportamiento.

-El acceso y la configuración de privacidad siguen siendo un problema, ya que sólo el 40 por ciento de los encuestados tienen la configuración de privacidad que permite a un número reducido de personas ver sus perfiles. Este resultado no cambió respecto al año 2015.

-Cuando se conectan con otras personas, el 41% de los encuestados en 2016 fueron más precavidos a la hora de verificar la identidad de los contactos que solicitan el acceso. Esta es una pequeña mejora en relación con el 2015 (38%).

-Las personas entre 18 y 24 años de edad en 2016 están menos dispuestas a proteger su privacidad (49%), que en 2015 (60%). Así mismo, este es el grupo que menos interviene en demostrar la identidad de aquellos que quieren conectarse con ellos (53%), comparado con el 57% en 2015. Pero -a pesar de esta caída- ‘los millennials’ suelen ser más precavidos que otros grupos de edad.

-Para los empleados mayores de 55 años, las estadísticas fueron un 40% para aquellos que comprueban la identidad de las personas antes de aceptar la conexión, comparado con el 30% en 2015.

–En cuanto a seguridad de las contraseñas, en 2016, el 14% de la generación del milenio (edades 18 y 24) tuvieron el peor comportamiento, ya que usan la misma contraseña para todas las aplicaciones.

-Solo un poco más de un tercio de todos los encuestados utiliza una contraseña diferente para cada uno de los medios sociales y aplicaciones de mensajería (36%).

-Los empleados que trabajan en bancos y compañías de seguros parecen estar más dispuestos a aceptar conexiones con extraños (67%), puesto que solo el 37% acepta solicitudes de personas que se identifiquen. Posteriormente, los sectores que más repiten este comportamiento son recursos humanos (40%) y salud (41%).

-Al utilizar diferentes contraseñas para todas las aplicaciones, los profesionales de TI (39%) no están lejos de las actitudes de los usuarios finales en las áreas de salud (36%), ventas (35%) y finanzas (32%). Por encima de todos estos están los profesionales de recursos humanos (43%), que afirman utilizar distintas contraseñas para diferentes aplicaciones.

-El 16% de los profesionales de TI prefieren trabajar siempre con aplicaciones cifradas, seguido por los profesionales de la salud con un 10%.

-Los profesionales de TI son también los que se preocupan más por comprobar la identidad de los solicitantes de contacto a través de las redes sociales (51%), comparado con el 45% en recursos humanos, el 43% en salud y el 34% de los profesionales en la industria financiera.

-Solo el 33% de los profesionales de recursos humanos configura reglas de privacidad en sus perfiles, comparado con un 47%  del sector TI y el 45% del sector de la salud.

Imagen: Pexels.

Por German Realpe Delgado

El 28 de enero se celebra el día de la privacidad o día internacional de la protección de datos personales. Este día se comenzó a conmemorar desde 2006, debido a la iniciativa del comité de ministros del Consejo de Europa y la Comisión Europea.

Es un espacio para reflexionar acerca de la importancia de la protección de datos personales, así como de la forma en la que ha sido su evolución y cómo es una realidad a la que cada día estamos más expuestos.

Se acabaron los días en los que se podía estar apartado del mundo digital. Hoy prácticamente es imposible estar desconectado de internet, de redes sociales o de los distintos servicios digitales. Pero esto no significa el fin de la privacidad: es una evolución, un cambio de paradigma en las estrategias para buscar espacios donde se proteja la información personal.

La protección de datos es una cultura, es un modo de vida. Cada vez son más las personas que utilizan soluciones de cifrado de datos, anonimato digital, correo seguro, navegadores seguros, redes privadas o teléfonos que cifran las comunicaciones como es el caso del GranitePhone, o el Blackphone.

Existen en el mercado todo tipo de soluciones enfocadas en la privacidad, desde buscadores como Duck Duck Go –el cual ya viene predeterminado en teléfonos como el iPhone–, bloqueadores de publicidad como Adblock Plus o el famoso Ghostery, el cual evita el ‘tracking’ de información y le permite al usuario administrar en qué sitios desea enviar información a través de su navegador y en cuáles no.

La protección de datos es un modo de vida

Pero más que soluciones, servicios, software, la privacidad y la protección de datos son un derecho fundamental que es consagrado a nivel constitucional. Por lo tanto, toda persona tiene derecho a que le protejan la información sin importar en donde se encuentre.

Desde una perspectiva legal, las normas de protección de datos cada vez más comunes en todos los países. Hacen que el usuario, por medio de las autoridades de protección de datos –como es el caso la Superintendencia de Industria y Comercio en Colombia, la Agencia Española de Protección de Datos en España, el Ifai en México, entre otras– tenga los mecanismos legales y sancionatorios para proteger su información personal.

Lo mismo pasa con las normas de delitos informáticos. En Latinoamérica, por ejemplo, existe el delito de violación de datos personales, el cual castiga de forma penal el mal uso de información personal.

El día de la protección de datos no debe ser un solo día al año. Debe ser todos los días, en donde las personas tengan la opción de celebrar y vivir protegiendo su información personal.

Imagen: La1n (vía Shutterstock).

Germán Realpe (@germannube) es un abogado experto en protección de privacidad y datos personales. Es CEO de Cloud Seguro y columnista de ENTER.CO.

Las cinco principales proveedoras de acceso a internet en Colombia están en pañales en lo que se refiere a la protección de datos de sus usuarios. Un estudio de la Electronic Frontier Foundation (EFF) y la Fundación Karisma, llamado ‘¿Dónde están mis datos?’, revela que estas empresas tienen malas prácticas –si tienen alguna en absoluto– a la hora de proteger la privacidad y los datos personales de sus usuarios.

El informe califica a Claro, Movistar, Tigo, ETB, Une y Directv –que tienen al 91% de los usuarios, según el Ministerio TIC– de acuerdo con cinco variables:

1- Si publican informes de transparencia. Estos informes revelan cuántas solicitudes de información sobre sus usuarios reciben del Gobierno.
2- Si notifican a los usuarios cuando el Gobierno pide sus datos.
3- Si sus políticas de protección de datos son claras y los usuarios pueden acceder fácilmente a ellas.
4- Si dejan claro cómo cumplen sus obligaciones legales, cuando estas obligaciones involucran la entrega de información de sus usuarios. “Es decir, si tienen manuales que indiquen cómo cumplen con la obligación […], por cuánto tiempo retienen esos datos y cómo los eliminan, si es el caso”, dice un documento de la EFF.
5. Si sus políticas y procedimientos para filtrar, retirar o bloquear contenidos son claros, y si los usuarios pueden recurrir las decisiones que tomen las ISP en ese sentido.

Los resultados son los siguientes:

El informe fue realizado con la colaboración de los operadores, y más que castigarlos por sus malas políticas, busca iniciar una conversación sobre la importancia de proteger a los usuarios en un entorno digital en el que su privacidad está en riesgo.

“Esto no implica que los operadores no estén cumpliendo la ley”

“Esto no implica que los operadores no estén cumpliendo la ley”, señaló Carolina Botero, de la Fundación Karisma. “Solo que nos gustaría que hicieran algo más que eso”.

Un estudio similar será realizado por la EFF y fundaciones similares de México, Brasil, Paraguay y Perú. Puedes consultar todo el informe en dondeestanmisdatos.info.

¿Por qué importa esto?

El principal diagnóstico que se puede hacer es que a las ISP colombianas les falta transparencia. A pesar de que tienen diversas obligaciones legales, ninguna les informa a sus usuarios de que eso es así, y mucho menos de cómo cumple con esas obligaciones y de qué manera sus datos están expuestos gracias a esas regulaciones.

Esas obligaciones van desde entregar datos a la Policía cuando se les requiera, hasta abrir una ‘puerta trasera’ que permita acceder a las autoridades al tráfico de datos –un proceso que es la columna vertebral del sistema Puma–.

Por eso, casi ninguna informa a sus usuarios si alguna autoridad pide sus datos. En muchos casos las ISP no pueden hacer eso, pero en los que sí lo pueden hacer, esos usuarios están doblemente desprotegidos: por una parte, no pueden recurrir la entrega de la información por parte de la empresa, y por otra parte, las empresas no se los comunican.

Las ISP tienen responsabilidad en que no sepamos el alcance de la vigilancia masiva en Colombia

En el mundo análogo, sería necesario que un policía mostrara una orden de un juez para realizar un allanamiento e investigar información en los espacios privados de las personas, como sus hogares u oficinas. Que las autoridades no tengan un procedimiento análogo en el mundo digital pone en riesgo serio los derechos de los ciudadanos.

Además, el hecho de que ninguna de las ISP publique informes de transparencia contribuye al secretismo sobre la escala y el alcance de los procesos de vigilancia masiva que llevan a cabo las autoridades colombianas.

Otro aspecto que debe mejorar son los procedimientos de bloqueo de contenidos. Muchos usuarios conocen historias de que, por una demanda de pornografía infantil, se bloquean servicios completos como Twitter y Facebook, o páginas de empresas o particulares. Los mecanismos para apelar estas restricciones no son conocidos, ni los procedimientos para hacerlos son suficientemente claros.

El único avance que se ve es que las empresas ya comenzaron a abordar el tema de la protección de datos personales. Desde 2008, la legislación colombiana obliga a las empresas y negocios que usan datos personales a contar con una política de protección de datos y a cumplir con unos requisitos mínimos para utilizarlos.

Hay esperanza

A pesar de todo esto, algunas prácticas de las empresas muestran que puede haber un punto de partida hacia la construcción de mejores políticas. Une, por ejemplo, revisa las peticiones del gobierno antes de acceder a ellas, o Directv tiene un procedimiento para informar a sus usuarios en el caso de que el gobierno pida sus datos.

“El objetivo no es castigar a las empresas”

Como dice Katitza Rodríguez, directora internacional de derechos humanos de EFF, “el objetivo no es castigar a las empresas” sino iniciar una conversación sobre estos temas, ”hacer presión para que mejoren sus políticas” y lograr que que “los usuarios puedan tomar decisiones informadas” a la hora de escoger sus proveedores de telecomunicaciones.

En Estados Unidos, la EFF hace informes similares desde 2011, y las empresas han comenzado a mejoras sus políticas desde entonces. Por eso, no sorprende que el resultado del primer informe en Colombia sea este. Si no es por otra razón, es importante que las empresas comiencen a atender estos temas porque “su credibilidad es importante para su negocio”.

Imágenes: EFF, asharkyu (vía Shutterstock).

Hay una forma rápida y eficiente de proteger los archivos más importantes que guarda en su PC de ataques informáticos o robos físicos: cifrarlos.

El cifrado es una técnica que impide que los archivos y documentos puedan ser leídos por cualquiera que tenga acceso a ellos. Básicamente funciona por medio de una operación matemática que, por medio de una ‘clave’ aleatoria, convierte los archivos en texto indistinguible para cualquier máquina o lector. Cuando su dueño necesita tener acceso a ellos, debe proporcionar la clave, tras lo cual el programa de cifrado hará más operaciones para convertirlos nuevamente en contenidos legibles.

Desde que estalló el escándalo del espionaje de la NSA, las herramientas de cifrado privado han adquirido popularidad, pero la realidad es que muchas de ellas existen hace bastantes años. No solo sirven para evitar los ojos fisgones, sino también para proteger la integridad de la información e impedir el acceso no autorizado a ella.

TrueCrypt es una de las aplicaciones más populares para ofrecer esta clase de protección. Es de código abierto y tiene versiones para Windows, Mac y Linux. Permite crear discos virtuales cifrados –unidades que se comportan como si fueran discos externos pero no lo son–, o proteger totalmente un disco duro o una memoria USB externa.

Ambas modalidades impiden que sea posible leer los contenidos desde fuera, pero para el usuario prácticamente no se notará: para su sistema operativo la unidad cifrada funcionará exactamente igual a una unidad no cifrada. La diferencia es que, en caso de un robo físico, existe la posibilidad de que la primera opción no proteja la información, pues ésta puede quedar expuesta. Además, los archivos encriptados quedan almacenados en su disco duro, lo que no impide que alguien con acceso al programa y la información necesaria pueda descifrarlos y utilizarlos.

Por eso, nuestra recomendación es que los archivos realmente importantes sean guardados en una unidad externa cifrada: Cuando se inserta la memoria USB en otro computador, es imposible ver sus contenidos. De hecho, el sistema operativo no la reconoce. Para ver y usar los archivos, es necesario tener una copia de TrueCrypt instalada y proporcionar la contraseña.

Cuando instale el programa, le recomendamos que siga el tutorial (en inglés) para aprender a utilizarlo). Varios usuarios han subido videos en español, aquí puede ver uno de ellos.

La perdida de datos es una realidad. Hoy en día, los atacantes buscan la información en cualquier lado; desde una empresa pequeña hasta la multinacional más grande. Por eso, Symantec publicó algunas de las formas más fáciles para perder los datos. Hay algunas curiosas, así como otras medio obvias.

No obstante, en el tema de seguridad, nunca sobra más información. Hay que recordar que no todos los empleados tienen la seguridad como prioridad. El departamento de TI tiene la obligación de comunicar y educar a los trabajadores para que tengan en cuenta que este es una activo de la empresa que hay que cuidar.

Sin más preámbulo, acá vamos:

Las memorias USB

Una de las mejores innovaciones de los últimos 20 años, también se ha convertido en una herramienta primordial de los hackers. Según un estudio realizado por Departamento de Seguridad Nacional en EE. UU. publicado por Business Insider, el 60% de las personas que encontraron una memoria USB en el parqueadero de la oficina la conectaron a su PC. El experimento se llevó a cabo en las oficinas de contratistas del gobierno y de entidades oficiales.

Symantec recomienda pasar una USB por el antivirus antes de ejecutarla. Sin embargo, es posible que tenga código nuevo que no reconozca el programa. Con las opciones de almacenamiento en la nube, es casi una irresponsabilidad conectar una USB sin saber su procedencia.

Redes sociales

Los criminales informáticos usan las redes sociales para recaudar inteligencia. Además, ya se han registrado casos en los cuales los hackers usan las redes para distribuir sus ataques. Según Ulisses Albuquerque, investigador de la firma Trustware, los piratas informáticos usan los posts públicos en redes sociales para determinar el estilo de escritura de una persona. De esta manera, un ataque enfocado será mucho más exitoso. “No creo que la gente sepa la cantidad de inteligencia que eso [las entradas en redes sociales] le da a un atacante”, dijo el investigador en Raw Story.

Las Pymes deberían implementar políticas de redes sociales para disminuir el riesgo. Seguramente es probable que una organización pequeña no tenga política de navegación, pero sí puede crear un documento coherente para que aumente la seguridad.

Las copias de seguridad

Hacer ‘backups’ es tedioso. Los sistemas se apagan y hay un tiempo medio muerto. Sin embargo, es importante tener un cronograma para realizar las copias de seguridad. Los datos son muy preocupantes. Después de perder información, el 49% de las empresas pequeñas perdió clientes y el 37% tuvo menos ingresos.

Además de hacer copias de seguridad, también es prudente hacer simulacros de recuperación. Symantec recomienda que por lo menos dos veces al año se trate de recuperar la información de la más reciente copia de seguridad.

Los invitamos a compartir algunas de las formas que su empresa ha perdido información.