Quan diem que les noves tecnologies ens envolten al nostre dia a dia, realment és així. Podem arribar a ser l’objectiu dels “dolents”, ja siguin hackers (amb coneixements informàtics) o estafadors (amb tècniques personals d’engany), tant a la vida professional com a la personal.

Per això, el consell d’avui l’orientem cap als senyals d’alerta que cal tenir en compte en l’ús de caixers automàtics. Especialment si ens trobem de viatge:

• Utilitzar només caixers on hi hagi alguna càmera de seguretat del banc: si veiem algun desprotegit per càmeres, hem de sospitar que no està sent vigilat i, per tant, ha pogut ser manipulat.
• Revisar físicament el caixer, especialment si és a peu de carrer: els delinqüents poden substituir la part on fiquem la targeta o, fins i tot, el teclat, per posteriorment duplicar aquesta targeta i utilitzar-la amb el nostre PIN.
• Cancel·lar l’operació si veiem que la pantalla no sembla un caixer habitual o “fa coses rares”: tant els ciberdelinqüents poden manipular el programa informàtic del caixer, com els estafadors substituir la pantalla per una tauleta similar que registri la informació introduïda.
• Tapar amb la mà el teclat en introduir el nostre PIN: com que actualment les compres en línia també es confirmen amb el PIN de la targeta a través d’un enllaç SMS del banc, conèixer aquests quatre números és molt important per als delinqüents.
• Mantenir una distància de seguretat entre persones: així evitem que les persones del voltant puguin veure, per sobre de l’espatlla (shoulder surfing), la informació que introduïm.

La entrada SECURE&TIP: CAIXERS AUTOMÀTICS se publicó primero en Secure & Academy.

La entrada SECURE&TIP: RESPOSTA A CIBERATACS se publicó primero en Secure & Academy.

La entrada SECURE&TIP: VIDEOTRUCADES se publicó primero en Secure & Academy.

La entrada SECURE&TIP: NETEJA DE PRIMAVERA se publicó primero en Secure & Academy.

La entrada SECURE&TIP: CONTRASENYES SEGURES se publicó primero en Secure & Academy.

Les dades personals, aquesta informació que ens fa diferents de les altres persones i que permet identificar-nos, ha de ser protegida tant per nosaltres mateixos, com per tercers que hi puguin tenir accés.

No sempre és fàcil saber com una empresa o entitat pot protegir correctament les dades personals que té als seus sistemes. Perquè això dependrà de múltiples factors com el tipus d’empresa o entitat, si és pública o privada, el servei o producte que presta, la informació que recull, les tecnologies que utilitza, el país on opera, etc. Aquesta complexitat implica que sigui fonamental que les empreses i entitats tinguin assessorament legal, expert en protecció de dades.

De tota manera, a vosaltres lectors i lectores us volem donar a continuació unes pautes generals, perquè sapigueu com tractar dades personals, especialment si no són vostres i sinó que és informació de terceres persones.

• Base legal o de legitimació: La base legal és allò que ens autoritza a nosaltres oa la nostra empresa o entitat a gestionar i mantenir en els seus sistemes dades de terceres persones. A hores d’ara sempre ha de primar el consentiment de la persona a què pertanyen aquestes dades, que pot ser mitjançant una autorització expressa o un contracte. Només en cas que una llei exigeixi recollir dades de tercers o estiguem prestant un servei públic d’interès vital per a aquesta persona o general per a la ciutadania, es pot exceptuar la recollida de consentiment. Però seran casos molt extrems, com per exemple, que la persona rebi atenció sanitària per una situació d’emergència i s’hagin de tractar les dades per poder identificar-la.
• Transparència: Des del moment en què tractem dades personals de terceres persones, tant si hem de sol·licitar el consentiment, com si estem autoritzats legalment a tractar-les sense, sempre sempre, hem d’informar aquesta persona sobre el tractament de les seves dades. Això implica informar sobre:
  • • Quines dades tractarem.
    • Com els tractarem.
    • Quan els començarem a tractar i fins a quin termini.
    • Perquè utilitzarem aquestes dades.
    • On els tractarem i guardarem (tant a quin tipus de sistema físic o digital, com a quin país).
• Seguretat: Cal tenir en compte com protegir les dades aplicant mesures de seguretat tècniques (com pot ser una contrasenya), però també físiques (una calaixera amb clau) i organitzatives (limitar l’ús a aquelles persones que realment hagin de treballar amb aquestes dades). Per saber quines mesures de seguretat cal seguir, l’ideal és estar al dia de polítiques, procediments, manuals i guies que posi a disposició la nostra empresa o entitat, que ens ajudin a protegir de manera segura tant dades personals, com també informació confidencial, encara que no sigui de persones.
• Dret de l’interessat: L’interessat és la persona a qui pertanyen aquestes dades amb què estem treballant. La informació, quan es tracta de dades personals, no pertany a l’empresa o entitat i tampoc al treballador que la gestiona, pertany a la tercera persona a qui identifica aquesta informació. Per això, si aquesta tercera persona ens demana exercir un dels drets següents, l’hem d’atendre sempre de forma senzilla i gratuïta, perquè està en el seu dret d’escollir si voleu que s’utilitzin les vostres dades o no:
  • • Accedir (rebre informació sobre tots els punts indicats en transparència i sol·licitar-ne còpies)
    • Rectificar (modificar la informació perquè d’estar desactualitzada pot arribar a afectar-lo)
    • Suprimir (eliminar les dades i deixar d’utilitzar-les)
    • Portar (emportar-se les dades i deixar de fer-les servir)
    • Limitar (restringir els usos que es facin de les dades, perquè sigui el mínim necessari)
    • Oposar-se (impedir que se segueixin tractant les dades per a determinades finalitats que no consenteix)

La entrada SECURE&TIP: PROTECCIÓ DE DADES PERSONALS se publicó primero en Secure & Academy.

En aquest tipus de ciberatacs els ciberdelinqüents es fan passar per una persona coneguda o propera a nosaltres i ens intenten convèncer ja sigui per correu, telèfon, SMS, Whatsapp o xarxes socials, que es troben en una situació econòmica complicada o d’emergència i necessiten que els fem una transferència de diners urgents i immediates. Les excuses que posen van des de necessitar diners per pagar un taxi fins a necessitar un préstec per pagar factures a final de mes.

Com podem detectar aquesta mena d’estafes?

• • És habitual que en aquests casos, per arribar al màxim possible de víctimes, utilitzin novament programes d’Intel·ligència Artificial. Per això la persona que ens contacta no és real, es tracta d’un contestador automàtic i podem detectar-ho a la veu mecanitzada. En cas de dubte recomanem fer-li a aquesta persona que ens contacta una pregunta molt personal que només ell o ella hauria de saber respondre. En cas que es tracti d’un ciberdelinqüent contestarà incorrectament, ens penjarà el telèfon o deixarà de contestar els missatges.
  • Encara que el número de telèfon sigui del mateix contacte, també és important estar alerta i verificar qui ens està contactant realment. En la major part d’ocasions els ciberdelinqüents no intenten amagar el número o correu de contacte des d’on ens escriuen, indicant que són el nostre company/a de treball, amic/ga, fill/a, familiar, però que s’han quedat sense bateria al mòbil i per tant ens estan escrivint des del telèfon d’una altra persona. Aquí la sospita pot ser més evident. Però també hi ha la possibilitat que s’hagin fet amb un duplicat de la targeta SIM del nostre conegut i que estiguin utilitzant el mateix número de mòbil. En qualsevol dels casos, recomanem trucar directament al número per comprovar la veu de qui despenja la trucada i verificar que realment es tracta del nostre conegut.

La entrada SECURE&TIP: ELS CONEGUTS EN APURS se publicó primero en Secure & Academy.

Què s’entén per “informació en trànsit”?

La informació en trànsit és tota aquella que es desplaça dun punt A a un punt B. Aquest desplaçament pot ser a través de mitjans tècnics (dun ordinador a un altre), o per mitjans físics.

Quan es realitza per mitjans tècnics, ja sigui perquè enviem un correu electrònic que viatja per internet o introduïm dades en una pàgina web, es requereixen unes mesures de protecció que són responsabilitat del Dept. d’IT i s’anomenen “xifrat de les comunicacions”. Aquestes mesures poden passar per utilitzar contrasenyes, certificats digitals, dobles factors d’autenticació i sistemes de VPN, tant per consultar com extreure i transferir informació.

Però avui no parlarem d’aquesta part més tècnica, només ens centrarem en la part física, responsabilitat de l’Usuari@ , és a dir, de la persona que està accedint en remot (des del domicili o qualsevol altre lloc) a informació corporativa, o que la transporta per motius d’un viatge, visita de feina o perquè necessita continuar treballant-la al domicili.

A més, quan parlem de dades en trànsit, no hem de pensar només en la informació com a tal, o el que és el mateix, en un document digital o físic, sinó que tenim també la responsabilitat de protegir-la encara que viatgi dins de dispositius aparentment segur. I això implica aplicar un principi que sempre es recorda en llocs públics com estacions de tren, aeroports, etc. no deixar desateses les pertinences o objectes personals , entre els quals s’entenen inclosos els portafolis físics, els ordinadors, els USB, els telèfons mòbils i/o tauletes i qualssevol altres “contenidors d’informació”.

Quins incidents de seguretat podem patir i com prevenir-los?

• ROBATORI: Podem ser víctimes de robatori de dades, tant en llocs i transports públics on ens puguin sostreure, per exemple, un ordinador, com també si forcen la porta del nostre vehicle per robar-ne el contingut.
• PÈRDUA: A diferència del punt anterior, en què hi ha un tercer que força aquesta situació, la pèrdua de dades sol ser per error humà o despiste en la seva cura. Per això és la nostra responsabilitat ser curosos amb la informació, especialment si ens trobem fora de l’entorn laboral.
• CONNEXIÓ INSEGURA: No és poc habitual, especialment quan ens trobem de viatge o en desplaçament, que ens intentem connectar a xarxes WIFI disponibles a trens, hotels, aeroports, restaurants, etc. perquè la connexió a internet sigui més ràpida i funcioni millor. En aquest sentit hem de ser curosos i connectar-nos només a aquelles WIFI que siguin oficialment de l’establiment, i per això és preferible confirmar-ho amb el personal d’un punt d’informació, recepció o atenció al client, abans de fer la connexió.
• ACCÉS NO AUTORITZAT: Tant si consultem informació en un avió, tren o cafeteria, hem de ser conscients d’un tipus de tècnica que s’anomena “mirar per sobre de l’espatlla”, que implica que les persones al nostre voltant puguin tenir dins del seu camp de visió la nostra pantalla de mòbil i d’ordinador o la documentació física que estem llegint. No sempre han de tenir un interès delictiu a conèixer aquesta informació, però de vegades podríem caure en l’error d’estar facilitant dades, sense que ens n’adonem, a un tercer no autoritzat. I es podria donar el cas que aquest tercer posteriorment els utilitzi en interès. Pel que fa a la nostra recomanació, és tractar i treballar la informació que sigui estrictament confidencial (inclosa la resposta a e-mails), preferiblement en un àmbit privat, allunyats de mirades indiscretes. És preferible posposar aquesta lectura per quan ja estiguem al nostre domicili oa una habitació d’hotel.

NOTA IMPORTANT: Si tens la mínima sospita d’haver patit una situació similar o has estat víctima d’un incident de seguretat, no dubtis a comunicar-ho al teu responsable directe, al Responsable de Seguretat CISO i al departament d’IT, perquè et puguin aconsellar adequadament. I a nivell personal denuncia el ciberatac davant de l’ autoritat policial.

La entrada SECURE&TIP: INFORMACIÓ EN TRÀNSIT se publicó primero en Secure & Academy.

Els ciberdelinqüents poden arribar a infectar i accedir als nostres dispositius (especialment mòbils i tauletes), professionals o personals, mitjançant aplicacions falses que haguem pogut descarregar o programes maliciosos que s’han instal·lat en punxar en un enllaç fraudulent.

D’aquesta manera els poden utilitzar al seu gust, sense el nostre coneixement ni consentiment i fins i tot arribar a llançar ciberatacs des dels mateixos.

El perjudici per a nosaltres, per tant, no és només que es faci un mal ús de la nostra informació continguda al dispositiu o en aplicacions (exemple, app bancària, Whatsapp, correu electrònic, xarxes socials i altres), sinó que siguem utilitzats per cometre un delicte i que, en cas de recerca policial, surti implicat el nostre dispositiu com a mitjà a través del qual s’ha comès.

• La bateria s’esgota de forma ràpida , malgrat les hores de càrrega.
• El dispositiu se sobreescalfa , sense haver estat exposat a altes temperatures.
• Tenim un programa o aplicació nova instal·lada , que no hem descarregat conscientment.
• Rebem notificacions inusuals dels nostres programes i aplicacions.
• Detectem canvis a la nostra ubicació , en utilitzar programes o apps de mapes o GPS.
• Perdem capacitat de processament , cosa que fa que funcioni molt lent el sistema.
• Hi ha un augment notable en les estadístiques de consum de dades , que fins i tot pot perjudicar-nos a nivell de factura si excedim la tarifa contractada (comprovar a “Ajustos – Dades mòbils” oa l’ordinador a “Configuració – Xarxa i Internet – Ús de dades” ).
• Si tot encaixa, hem d’informar com més aviat millor al Dept. d’IT, a nivell laboral, ia la Policia, a nivell particular.

La entrada SECURE&TIP: MÒBILS INFECTATS se publicó primero en Secure & Academy.

Els ciberdelinqüents es posen en contacte amb nosaltres ja sigui per correu electrònic, trucada telefònica, SMS o aplicacions del tipus Whatsapp, Line, Telegram i similars, per informar-nos que hem estat seleccionats per a un lloc de treball. Seguit a això i en la mateixa conversa, ens demanaran que confirmem que estem d’acord a seguir en el procés de selecció i que per poder formalitzar la contractació necessiten que facilitem algunes dades personals (incloses dades bancàries).

De moment, com s’estan detectant aquestes estafes per part dels usuaris?

• És habitual que en aquests casos, per arribar al màxim possible de víctimes, utilitzin programes d’intel·ligència artificial. Per això la persona que ens contacta no és real, es tracta d’un contestar i podem detectar-ho a la veu mecanitzada.
• En aquestes converses no solen indicar ni de l’empresa que truquen, ni per a quina empresa seria el procés de selecció.
• Les condicions laborals no solen ser només bones, sinó “espectaculars”, per atraure la nostra atenció. És a dir, ens ofereixen un sou molt elevat, 100% de teletreball, horari laboral flexible, etc.
• Si no hem format part activament d’un procés de selecció , és molt estrany que sigui una empresa la que contacteu amb nosaltres per oferir-nos directament una contractació laboral.

En aquests casos és preferible demanar que els puguem trucar de tornada en un altre moment o que ells ens tornin a contactar, per així penjar i poder comprovar a internet (en pàgines web oficials o xarxes socials professionals) que l’oferta realment existeix. Si tot i així ens queda el dubte que pugui ser real o no, també podem contactar amb l’empresa des de la qual diuen que ens estan trucant (marcant el número de telèfon que trobem a la pàgina web oficial) per preguntar per aquesta mateixa oferta.

La entrada SECURE&TIP: OFERTA LABORAL FALSA se publicó primero en Secure & Academy.