Cuando decimos que las nuevas tecnologías nos rodean en nuestro día a día, realmente es así. Podemos llegar a ser el objetivo de los “malos”, ya sean hackers (con conocimientos informáticos) o estafadores (con técnicas personales de engaño), tanto en la vida profesional como en la personal.

Por ello, el consejo de hoy lo orientamos hacia las señales de alerta a tener en cuenta en el uso de cajeros automáticos. Especialmente si nos encontramos de viaje:

• Utilizar solo cajeros en los que haya alguna cámara de seguridad del banco: si vemos alguno desprotegido por cámaras, debemos sospechar que no está siendo vigilado y, por tanto, ha podido ser manipulado.
• Revisar físicamente el cajero, especialmente si se encuentra a pie de calle: los delincuentes pueden sustituir la parte donde metemos la tarjeta o, incluso, el teclado, para posteriormente duplicar esa tarjeta y utilizarla con nuestro PIN.
• Cancelar la operación si vemos que la pantalla no parece la de un cajero habitual o “hace cosas raras»: tanto los ciberdelincuentes pueden manipular el programa informático del cajero, como los estafadores sustituir la pantalla por una tablet similar que registre la información introducida.
• Tapar con la mano el teclado al introducir nuestro PIN: como actualmente las compras online también se confirman con el PIN de la tarjeta a través de un enlace SMS del banco, conocer estos cuatro números es muy importante para los delincuentes.
• Mantener una distancia de seguridad entre personas: así evitamos que las personas de alrededor puedan ver, por encima del hombro (shoulder surfing), la información que introducimos.

La entrada SECURE&TIP: CAJEROS AUTOMÁTICOS se publicó primero en Secure & Academy.

La entrada SECURE&TIP: RESPUESTA A CIBERATAQUES se publicó primero en Secure & Academy.

La entrada SECURE&TIP: VIDEOLLAMADAS se publicó primero en Secure & Academy.

La entrada SECURE&TIP: LIMPIEZA DE PRIMAVERA se publicó primero en Secure & Academy.

La entrada SECURE&TIP: CONTRASEÑAS SEGURAS se publicó primero en Secure & Academy.

Los datos personales, esa información que nos hace diferentes a las demás personas y que permite identificarnos, debe ser protegida tanto por nosotros mismos, como por terceros que puedan tener acceso a ella. 

No siempre es fácil saber cómo una empresa o entidad puede proteger correctamente los datos personales que tiene en sus sistemas. Porque esto dependerá de múltiples factores como, el tipo de empresa o entidad, si es pública o privada, el servicio o producto que presta, la información que recoge, las tecnologías que utiliza, el país en el que opera, etc. Esta complejidad implica que sea fundamental que las empresas y entidades cuenten con asesoramiento legal, experto en protección de datos.

De todas formas, a vosotros lectores y lectoras os queremos dar  a continuación unas pautas generales, para que sepáis cómo tratar datos personales, especialmente si no son vuestros y sino que es información de terceras personas.

• Base legal o de legitimación: La base legal es lo que nos autoriza a nosotros o a nuestra empresa o entidad a gestionar y mantener en sus sistemas datos de terceras personas. A día de hoy siempre debe primar el consentimiento de la persona a la que pertenecen esos datos, que puede ser mediante una autorización expresa o un contrato. Solo en caso de que una Ley exija recoger datos de terceros o estemos prestando un servicio público de interés vital para esa persona o general para la ciudadanía, se puede exceptuar la recogida de consentimiento. Pero serán casos muy extremos, como por ejemplo, que la persona reciba atención sanitaria por una situación de emergencia y se deban tratar sus datos para poder identificarla. 
• Transparencia: Desde el momento en el cual tratamos datos personales de terceras personas, tanto si debemos solicitar el consentimiento, como si estamos autorizados legalmente a tratarlos sin el mismo, siempre siempre siempre, debemos informar a esa persona sobre el tratamiento de sus datos. Esto implica informar sobre:
  • • Qué datos trataremos.
    • Cómo los trataremos.
    • Cuándo empezaremos a tratarlos y hasta qué plazo.
    • Porqué vamos a utilizar esos datos.
    • Dónde los trataremos y guardaremos (tanto en qué tipo de sistema físico o digital, como en qué país).
• Seguridad: Se deberá tener en cuenta cómo proteger los datos aplicando medidas de seguridad técnicas (como puede ser una contraseña), pero también físicas (una cajonera con llave) y organizativas (limitar el uso a aquellas personas que realmente deban trabajar con esos datos). Para saber qué medidas de seguridad hay que seguir, lo ideal es estar al día de políticas, procedimientos, manuales y guías que ponga a disposición nuestra empresa o entidad, que nos ayuden a proteger de forma segura tanto datos personales, como también información confidencial, aunque no sea de personas. 
• Derecho del interesado: El interesado es la persona a la que pertenecen esos datos con los que estamos trabajando. La información, cuando se trata de datos personales, no pertenece a la empresa o entidad y tampoco al trabajador que la gestiona, pertenece a la tercera persona a la que identifica esa información. Por eso, si esa tercera persona nos pide ejercer uno de los siguientes derechos, debemos atenderla siempre de forma sencilla y gratuita, porque está en su derecho de elegir si quiere que se utilicen sus datos o no:
  • • Acceder (recibir información sobre todos los puntos indicados en transparencia y solicitar copias de la misma)
    • Rectificar (modificar la información porque de estar desactualizada puede llegar a afectarle)
    • Suprimir (eliminar los datos y dejar de utilizarlos)
    • Portar (llevarse los datos y dejar de utilizarlos)
    • Limitar (restringir el usos que se hagan de los datos, para que sea el mínimo necesario)
    • Oponerse (impedir que se sigan tratando los datos para determinadas finalidades que no consiente)

La entrada SECURE&TIP: PROTECCIÓN DE DATOS PERSONALES se publicó primero en Secure & Academy.

En este tipo de ciberataques los ciberdelincuentes se hacen pasar por una persona conocida o allegada a nosotros y nos intentan convencer ya sea por correo, teléfono, SMS, Whatsapp o redes sociales, de que se encuentran en una situación económica complicada o de emergencia y necesitan que les hagamos una transferencia de dinero urgente e inmediata. Las excusas que ponen van desde necesitar dinero para pagar un taxi, hasta necesitar un préstamo para pagar facturas a fin de mes.

¿Cómo podemos detectar este tipo de estafas?

• • Es habitual que en estos casos, para llegar al máximo posible de víctimas utilicen de nuevo programas de Inteligencia Artificial. Por lo que la persona que nos contacta no es real, se trata de un contestador automático y podemos detectarlo en la voz mecanizada. En caso de duda recomendamos hacerle a esa persona que nos contacta una pregunta muy personal que solo él o ella debería saber responder. En el caso de que se trate de un ciberdelincuente contestará incorrectamente, nos colgará el teléfono o dejará de contestar a los mensajes.
  • Aunque el número de teléfono sea de ese mismo contacto, también es importante estar alerta y verificar quién nos está contactando realmente. En la mayor parte de ocasiones los ciberdelincuentes no intentan ocultar el número o correo de contacto desde el que nos escriben, indicando que son nuestro compañero/a de trabajo, amigo/a, hijo/a, familiar, pero que se han quedado sin batería en el móvil y por tanto nos están escribiendo desde el teléfono de otra persona. Aquí la sospecha puede ser más evidente. Pero también existe la posibilidad de que se hayan hecho con un duplicado de la tarjeta SIM de nuestro conocido y que estén utilizando el mismo número de móvil. En cualquiera de los casos, recomendamos llamar directamente al número para comprobar la voz de quién descuelga la llamada y verificar que realmente se trata de nuestro conocido.

La entrada SECURE&TIP: LOS CONOCIDOS EN APUROS se publicó primero en Secure & Academy.

¿Qué se entiende por «información en tránsito»?

La información en tránsito es toda aquella que se desplaza de un punto A a un punto B. Ese desplazamiento puede ser a través de medios técnicos (de un ordenador a otro), o por medios físicos.

Cuando se realiza por medios técnicos, ya sea porque enviamos un correo electrónico que viaja por internet o introducimos datos en una página web, se requieren unas medidas de protección que son responsabilidad del Dpto. de IT y se llaman «cifrado de las comunicaciones». Esas medidas pueden pasar por utilizar contraseñas, certificados digitales, dobles factores de autenticación y sistemas de VPN, tanto para consultar, como extraer y transferir información.

Pero hoy no hablaremos de esta parte más técnica, solo nos centraremos en la parte física, responsabilidad del Usuari@, es decir, de la persona que está accediendo en remoto (desde su domicilio o cualquier otro lugar) a información corporativa, o que la transporta por motivos de un viaje, visita de trabajo o porque necesita seguir trabajándola en su domicilio.

Además, cuando hablamos de datos en tránsito, no debemos pensar solo en la información como tal, o lo que es lo mismo, en un documento digital o físico, sino que tenemos también la responsabilidad de protegerla aunque viaje dentro de dispositivos aparentemente seguro. Y esto implica, aplicar un principio que siempre se recuerda en lugares públicos como estaciones de tren, aeropuertos, etc. no dejar desatendidas las pertenencias u objetos personales, entre los cuales se entienden incluidos los portafolios físicos, los ordenadores, los USB, los teléfonos móviles y/o tablets y cualesquiera otros «contenedores de información».

¿Qué incidentes de seguridad podemos sufrir y cómo prevenirlos?

• ROBO: Podemos ser víctimas de robo de datos, tanto en lugares y transportes públicos donde nos puedan sustraer, por ejemplo, un ordenador, como también si fuerzan la puerta de nuestro vehículo para robar su contenido.
• PÉRDIDA: A diferencia del punto anterior, en el que hay un tercero que fuerza esa situación, la pérdida de datos suele ser por error humano o despiste en su cuidado. Por lo que es nuestra responsabilidad ser cuidadosos con la información, especialmente si nos encontramos fuera del entorno laboral.
• CONEXIÓN INSEGURA: No es poco habitual, especialmente cuando nos encontramos de viaje o en desplazamiento, que nos intentemos conectar a redes WIFI disponibles en trenes, hoteles, aeropuertos, restaurantes, etc. para que la conexión a internet sea más rápida y funcione mejor. En este sentido debemos ser cuidadosos y conectarnos solamente a aquellas WIFI que sean oficialmente del establecimiento, y para ello es preferible confirmarlo con el personal de un punto de información, recepción o atención al cliente, antes de realizar la conexión.
• ACCESO NO AUTORIZADO: Tanto si consultamos información en un avión, en un tren o en una cafetería, debemos ser conscientes de un tipo de técnica que se llama «mirar por encima del hombro», que implica que las personas a nuestro alrededor puedan tener dentro de su campo de visión nuestra pantalla de móvil y de ordenador o la documentación física que estamos leyendo. No siempre tienen por qué tener un interés delictivo en conocer esa información, pero a veces podríamos caer en el error de estar facilitando datos, sin que nos demos cuenta de ello, a un tercero no autorizado. Y se podría dar el caso de que ese tercero posteriormente los utilice en su interés. Por lo que nuestra recomendación a este respecto, es tratar y trabajar la información que sea estrictamente confidencial (incluida la respuesta a e-mails), preferiblemente en un ámbito privado, alejados de miradas indiscretas. Es preferible posponer esa lectura para cuando ya estemos en nuestro domicilio o en una habitación de hotel.

NOTA IMPORTANTE: Si tienes la mínima sospecha de haber sufrido una situación similar o has sido víctima de un incidente de seguridad, no dudes en comunicárselo a tu responsable directo, al Responsable de Seguridad CISO y al departamento de IT, para que puedan aconsejarte adecuadamente. Y a nivel personal denuncia el ciberataque ante la autoridad policial.

La entrada SECURE&TIP: INFORMACIÓN EN TRÁNSITO se publicó primero en Secure & Academy.

Los ciberdelincuentes pueden llegar a infectar y acceder a nuestros dispositivos (especialmente móviles y tablets), profesionales o personales, por medio de aplicaciones falsas que hayamos podido descargar o programas maliciosos que se han instalado al pinchar en un enlace fraudulento.

De esta forma los pueden utilizar a su antojo, sin nuestro conocimiento ni consentimiento e incluso llegar a lanzar ciberataques desde los mismos.

El perjuicio para nosotros, por tanto, no es solo que se haga un mal uso de nuestra información contenida en el dispositivo o en aplicaciones (ejemplo, app bancaria, Whatsapp, correo electrónico, redes sociales y demás), sino que seamos utilizados para cometer un delito y que, en caso de investigación policial, salga implicado nuestro dispositivo como medio a través del cual se ha cometido.

• La batería se agota de forma rápida, a pesar de las horas de carga.
• El dispositivo se sobrecalienta, sin haber estado expuesto a altas temperaturas.
• Tenemos un programa o aplicación nueva instalada, que no hemos descargado conscientemente.
• Recibimos notificaciones inusuales de nuestros programas y aplicaciones.
• Detectamos cambios en nuestra ubicación, al utilizar programas o apps de mapas o GPS.
• Perdemos capacidad de procesamiento, lo que hace que funcione muy lento el sistema.
• Hay un aumento notable en las estadísticas de consumo de datos, que incluso puede perjudicarnos a nivel de factura si excedemos la tarifa contratada (comprobar en “Ajustes – Datos móviles” o en el ordenador en «Configuración – Red e Internet – Uso de datos»).
• Si todo encaja, debemos informar cuanto antes al Dpto. de IT, a nivel laboral, y a la Policía, a nivel particular. 

La entrada SECURE&TIP: MÓVILES INFECTADOS se publicó primero en Secure & Academy.

Los ciberdelincuentes se ponen en contacto con nosotros ya sea por e-mail, llamada telefónica, SMS o aplicaciones del tipo Whatsapp, Line, Telegram y similares, para informarnos de que hemos sido seleccionados para un puesto de trabajo. Seguido a ello y en la misma conversación, nos pedirán que confirmemos que estamos de acuerdo en seguir en el proceso de selección y que para poder formalizar la contratación necesitan que facilitemos algunos datos personales (incluidos datos bancarios).

De momento, ¿cómo se están detectando estas estafas por parte de los Usuarios?

• Es habitual que en estos casos, para llegar al máximo posible de víctimas utilicen programas de Inteligencia Artificial. Por lo que la persona que nos contacta no es real, se trata de un contestar y podemos detectarlo en la voz mecanizada.
• En estas conversaciones no suelen indicar ni de la empresa que llaman, ni para qué empresa sería el proceso de selección.
• Las condiciones laborales no suelen ser solo buenas, sino «espectaculares», para atraer nuestra atención. Es decir, nos ofrecen un sueldo muy elevado, 100% de teletrabajo, horario laboral flexible, etc.
• Si no hemos formado parte activamente de un proceso de selección, es muy raro que sea una empresa la que contacte con nosotros para ofrecernos directamente una contratación laboral.

En estos casos es preferible pedir que podamos llamarles de vuelta en otro momento o que ellos nos vuelvan a contactar, para así colgar y poder comprobar en internet (en páginas web oficiales o redes sociales profesionales) que la oferta realmente existe. Si aún así nos queda la duda de que pueda ser real o no, también podemos contactar con la empresa desde la cual dicen que nos están llamando (marcando el número de teléfono que encontremos en la página web oficial), para preguntar por esa misma oferta.

La entrada SECURE&TIP: OFERTA LABORAL FALSA se publicó primero en Secure & Academy.