| NOTICIAS DE SEGURIDAD | ||
| Publicado el: jueves, 22 noviembre 2018 El Pleno del Senado ha aprobado este miércoles definitivamente el Proyecto de Ley Orgánica de protección de datos personales y garantía de los derechos digitales, con el voto en contra de Unidos Podemos, Compromís, Nueva Canarias y Bildu, en medio de la polémica por el artículo ’58 bis’ sobre utilización de medios tecnológicos y datos personales en las actividades electorales de los partidos políticos. El texto del Proyecto de ley ha salido adelante en la Cámara Alta tal y como se aprobó en el Congreso de los Diputados ya que PSOE y PP han rechazado todas las enmiendas que habían sido presentadas por Compromís, Ciudadanos, PDeCAT y Unidos Podemos – En Comú Podem – En Marea. La iniciativa legislativa comenzó su tramitación con el PP en el Gobierno. De este modo, sale directamente para su publicación en el Boletín Oficial del Estado (BOE) y su aplicación. La polémica de esta ley ha surgido a raíz del citado artículo ’58 bis’ que establece que «la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas». Además, el nuevo artículo indica que «los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral». Europa Press (22/11/2018) CCN-CERT |
Detectada campaña de phishing suplantando a Openbank, no caigas en la trampa
El INCIBE informa de una campaña de correos falsos que estan intentando suplantar a Openbank, para ver mas detalle acceder a este enlace. En la solución a dicho phising nos dan los siguientes consejos:
«Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:
- No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad bancaria legítima nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en Whatsapp o redes sociales, aunque sean de contactos conocidos.
- Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de Administrador.»
Singapur sufre la peor brecha de datos privados de su historia
| Publicado el: lunes, 23 julio 2018 por CCNEl “peor ciberataque de la historia de Singapur, [algo] sin precedentes”, así lo han calificado las autoridades de esta ciudad-estado del Sudeste Asiático, tras haber confirmado el pasado 10 de julio que los datos de una cuarta parte de su población (1,5 millones de un total de 5,6 millones) han sido sustraídos unos días antes como parte de una intrusión “deliberada, dirigida y bien planeada. (…) No se trata de la obra de un hacker aficionado o de una banda de criminales”.¿Las víctimas? Los pacientes de SingHealth, el mayor grupo de centros sanitarios singapurenses, propietarios de 4 hospitales, 5 clínicas especializadas y 8 policlínicas. ¿Datos sustraídos? Nombres, domicilios, fechas de nacimiento y datos demográficos (como género y grupo racial) de todos los pacientes que acudieron a instalaciones de SingHealth entre el 1 de mayo de 2015 y el 4 de julio de este año; además de las prescripciones médicas de 160.000 pacientes. Los ministros de Salud y Comunicaciones de la ciudad-Estado han pedido perdón a los pacientes por lo ocurrido, pero les han tranquilizado afirmando que no se ha detectado alteraciones de los historiales médicos, ni nuevas intrusiones posteriores al 4 de julio. “Tampoco ha habido ninguna perturbación de los servicios sanitarios durante el ciberataque, y la atención de los pacientes nunca se ha visto comprometida”. Resulta llamativo que, según han reconocido las autoridades, los cibercriminales atacaron “de manera específica y reiterada” los datos del primer ministro Lee Hsien Loong con el objetivo (exitoso) de acceder a su historial médico y prescripciones: “Me he visto personalmente afectado, y no se trata de ningún incidente. Desconozco qué esperaban encontrar los atacantes; quizás querían encontrar algún secreto oculto, o algo que me avergonzara. Si esa era su intención, estarán decepcionados: la medicación que tomo no es algo de lo que hable con cualquiera, pero tampoco muestra nada alarmante”. TICbeat (22/07/2018) |
Brechas de seguridad en datos personales
Hoy vamos a hablar de las brechas de seguridad. Como ya indiqué en una entrada anterior tenemos que notificar las brechas a la Agencia Española de Protección de Datos en un plazo de 72 horas por parte del encargado del tratamiento de los datos. En la UGR podemos dirigirnos a la Oficina de Protección de Datos, a la Delegada de Protección de Datos o al Servicio de Seguridad Informática del CSIRC, para conseguir asesoramiento o para tramitar la comunicación de la Brecha.
El RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
La Agencia de Protección de Datos ha editado una Guía sobre brechas de seguridad, podemos verla aquí, o si deseamos comunicar una Brecha podemos hacerlo sede electrónica de la Agencia de Protección de Datos. Siempre antes de comunicarlo debemos notificarlo dentro de UGR a los actores que aparecen en negrita en el párrafo primero.
Veamos algunos ejemplo en tono de humor en este enlace.
Como comunicar datos sensibles entre áreas o fuera de UGR
Con el RGPD nos obligan que los datos sensibles ,cuando los comuniquemos entre servicios/áreas de la UGR, lo hagamos de forma cifrada. Esto lo podemos conseguir de diferentes formas mediante correo electrónico:
- 1.- Comprimir los ficheros con el compresor 7zip ( compresor homologado por el Centro Criptológico Nacional ) y ponerle un clave antes de enviarlo adjunto en un correo electrónico. Por supuesto la clave debe ir en otro mensaje, o por otro medio, por ejemplo teléfono, al del fichero comprimido. Este es el método mas sencillo ya que no necesita grandes configuraciones. ¿ Como poner clave en 7zip ?
- 2.- Utilizar el programa basado en certificados, para esto necesitaremos un certificado personal y el cliente de correo Thunderbird. Por supuesto el receptor necesitará Thunderbird y la parte pública del certificado del que lo envía para poder descifrarlo.
- 3.- O podemos utilizar OpenPGP con el cliente de correo Thuderbird. Aquí podéis ver como hacerlo. Generamos el certificado de correo nosotros mismos, no hay que pedirlo a entidades externas. Otro ejemplo de como hacerlo y gráficos de que significa cifrar, aquí.
- 4.- Por último podemos enviar los ficheros en formato Office pero con clave , este sistema no es tan seguro como el anterior, pero aquí os lo dejo, Excel o Word
Por último os dejo otro enlace donde se resume el uso de thunderbird con cifrado de mensaje. Pincha aquí.