Guía “Cómo gestionar una fuga de información en un despacho de abogados”

Esta Guía TIC, publicada por el Consejo General de la Abogacía Española en colaboración con el Instituto Nacional de Ciberseguridad y la Agencia Española de Protección de Datos, analiza de forma práctica cómo prevenir una fuga de información en un despacho de abogados y cómo gestionarla en caso de producirse.

Lo que es aplicable de esta guía a un despacho de abogados, es aplicable a la mayoría de empresas y profesionales.

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados. Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados o utilizada con fines comerciales. Es por ello que las fugas de información se están convirtiendo en una de las amenazas a la que se enfrenta en el nuevo mundo conectado una profesión como la abogacía, la cual se basa en gran medida en la confianza que los clientes depositan en estos profesionales.

La guía expone el origen, tanto externo como interno, de las amenazas que pueden provocar las fugas de información, para analizar a continuación cómo prevenirlas o mitigarlas. En el amplio apartado dedicado a cómo gestionar la fuga de información se expone un plan para la gestión de los incidentes que recoge los principales puntos y aspectos a tener en cuenta por parte de un despacho de abogados que quiera reforzar su capacidad de prevención y reacción.

En este link se puede descargar la guía:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/INCIBE_AEPD_Gestionar_fuga_de_informacion.pdf

Por lo que se refiere a protección de datos personales, la Guía indica que:

“La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre protección de datos. Sus funciones son garantizar y tutelar el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.

En este sentido, y para aquellos supuestos en los que una fuga de información conlleve una fuga de datos personales, el Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el responsable del tratamiento. En efecto, los Considerandos 85 a 87 y los artículos 33 y 34, recogen la obligación para el responsable del tratamiento de que, tan pronto como éste tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que haya tenido constancia de ella, notificar tal violación de seguridad a la autoridad de control competente, a menos que el responsable pueda demostrar la improbabilidad de que la citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (pe.,porque tales datos iban cifrados o porque se han adoptado medidas ulteriores eficaces que garanticen que ya no existe tal riesgo). Es lo que se conoce como Data Breach Notification.

Además de tal notificación, el responsable del tratamiento de los datos objeto de la fuga (en este caso, el despacho) deberá comunicar al interesado, sin dilación indebida, la violación de la seguridad de sus datos personales en caso de que ésta pueda entrañar un alto riesgo para sus derechos y libertades. Tal notificación deberá realizarse respetando el contenido mínimo establecido en el artículo 34 del citado Reglamento europeo.

Esta comunicación es importante al objeto de que las personas afectadas por la fuga de sus datos estén informados del incidente y de los datos que han sido sustraídos, a fin de que puedan tomar las acciones oportunas para su seguridad, tales como el cambio de contraseñas, la revocación de números de tarjetas, ser especialmente cautelosos con eventuales accesos a sus cuentas de correo, etc. Además, se debe proporcionar algún canal para que los afectados puedan mantenerse informados sobre la evolución del incidente y las distintas recomendaciones que pueda realizar la organización a los afectados, con el objetivo de minimizar las consecuencias”

(Fuente: Agencia Española de Protección de Datos y Guía “Cómo gestionar una fuga de información en un despacho de abogado”).

ATAQUE HACKER AL SINDICATO DE MOSSOS D’ESQUADRA

La madrugada del pasado 18 de mayo, unos piratas informáticos lanzaron un ataque contra el Sindicat de Mossos d’Esquadra (SME), accediendo a su base de datos y filtrando los datos personales de todos los Mossos d’Esquadra afiliados a este sindicato (casi 5.000) así como tomando el control de la cuenta oficial de Twitter del sindicato y de su sitio web. Y fue por medio de un tweet como se facilitó un archivo con los nombres, apellidos, nº de NIF y de miembro del cuerpo, cuenta bancaria, teléfono personal y dirección particular, entre otros datos personales.

Un día después, el grupo de hackers denominado GrammaGroupPR reivindicó el ataque y colgó un vídeo con todos los pasos que realizaron para infiltrarse en el servidor del sindicato. Por el vídeo que colgaron en YouTube, y en otras plataformas, los piratas informáticos tardaron 40 minutos exactos en infiltrarse en la red y capturar los datos personales de los 5.540 agentes.

Y lo que temían los Mossos d’Esquadra afectados se cumplió tan solo un día después: a una de las agentes le desaparecieron 5.000€ de su cuenta bancaria (dato filtrado y difundido después del ataque en la red). Ahora, la Unidad de Delitos Informáticos de los Mossos d’Esquadra investigará cómo se ha cometido la sustracción, y por quien: si por los mismos hackers que atacaron el sistema del sindicato o bien ha sido obra de alguna persona que aprovechó los datos gracias a la filtración.

A VUELTAS CON “SNAPCHAT”

La aplicación Snapchat funciona de forma similar a una app de mensajería instantánea, permitiéndote añadir contactos y enviarles mensajes en forma de fotos o vídeos de forma individual o a grupos. La principal diferencia es que tú seleccionas el tiempo que el receptor podrá ver ese mensaje (de 1 a 10 segundos) antes de que se destruya.

Según la compañía de ciberseguridad Kaspersky, “…cuando hackean una cuenta de Snapchat, por lo general, el resultado es el envío de un mensaje de spam a todos los contactos de la lista de amigos del usuario. Si descubres que tu cuenta ha sido hackeada, restablece tu contraseña lo antes posible. Y si recibes un mensaje de spam que procede de la cuenta de un amigo, hazle saber lo antes posible que su cuenta ha sido hackeada, ya que, lo más probables es que no lo sepa”.

Kaspersky lleva años advirtiéndolo: las publicaciones de Snapchat no son realmente temporales: la aplicación recoge en sus términos y condiciones que tiene derecho a “almacenar y compartir cualquier foto que se publique en la app“, lo que trae consigo una serie de problemas de privacidad.

Es de vital importancia que se cambie la contraseña de vez en cuando y no reutilizarla. Los usuarios deben ser conscientes de los contenidos que comparten y preguntarse si esa publicación la subirían a otras redes sociales. Además, si a un usuario le gusta compartir cosas cotidianas que realiza a diario, es muy importante que cambie los ajustes de privacidad de la cuenta para que las publicaciones de “Mi historia” solo las puedan ver sus amigos (para no dar “pistas” a los ciberdelincuentes, ya que éstos recopilan información en las redes sociales para estafar y engañar a sus víctimas).

 Kaspersky también advierte de la peligrosidad de conectar a Snapchat aplicaciones de terceros (aplicaciones que no son creadas por la propia Snapchat), pues cabe la posibilidad de que algunas puedan ser aplicaciones espía que se dedican a recopilar fotos privadas.

 

AYER MARTES SE CELEBRÓ EL “DIA DE INTERNET SEGURA”.

Hoy, en el día después, toda la avalancha de consejos y recomendaciones que os llegaron desde todos lados para “navegar con seguridad” siguen siendo vigentes; y es que no debería haber sólo un Día de Internet segura: todos los días deberían serlo. Y está en nuestra mano.

Así, y entre otras medidas precautorias, destacamos:

  • Emplea contraseñas seguras y difícilmente asociadas a ti. Alfa-numéricas, combinando mayúsculas y minúsculas y, preferentemente, incluyendo algún símbolo. Y no utilices la misma contraseña “para todo”.
  • Lo que tú mismo cuentes, se sabrá… así que ten cuidado con lo que vuelcas en las redes sociales, sobre todo en lo referente a tu privacidad (números de cuenta corriente, de tarjetas de crédito, contraseñas, imágenes…).
  • “Vacúnate”: utiliza un anti-virus para minimizar el riesgo de programas maliciosos en tus equipos.
  • “No te comas todas las galletas”: siendo muchas veces útiles durante la navegación, las cookies pueden llegar a proporcionar información a terceros no deseados. Si quieres, puedes borrar las cookies desde tu navegador.
  • ¿Avisos legales?. Léelos, pierde unos minutos en hacerlo, antes de clicar alegremente en “Aceptar”. Porque en muchas ocasiones, lo que parece que es “gratis” no lo es: el precio son el acceso a tus datos.
  • No todo son “amigos” en la red: no descargues archivos de fuentes desconocidas.

EL “SPAM” POR WHATSAPP, SANCIONADO POR LA AEPD

Aunque en casos anteriores en los que la Agencia Española de Protección de Datos (AEPD) había iniciado procedimientos por el envío de publicidad no deseada (“spam”) a través de la aplicación “WhatsApp”

  • Uno fue archivado por haber prescrito (+ de 6 meses),
  • Otro se archivó por aplicación de la presunción de inocencia,
  • Y en el tercero tan solo se apercibió al denunciado,

el pasado mes de noviembre, la AEPD sancionó con 600 euros (infracción leve) a una empresa dedicada al ocio nocturno, siendo esta sanción la primera por lo que respecta al envío de spam a través de WhatsApp.

LOS FRAUDES MÁS COMUNES EN INTERNET

Miles y miles de personas en todo el mundo compraron algo por Internet en el último año.  Y los intentos de fraude van siguiendo la estela de estas transacciones en la red.

El objetivo común de todos ellos es hacerse con los datos bancarios o personales almacenados en cualquier dispositivo electrónico.

Los más frecuentes son:

  1. Las felicitaciones electrónicas que enmascaran un virus.
  2. Las falsas solicitudes de donativos.
  3. La recepción de correos en los que notifican que se ha ganado un premio.
  4. La venta de productos que no existen. Compras algo que nunca te va a llegar…
  5. Recibir en tu correo una certificación falsa de paquetería que no ha podido ser entregada.

Pero estos 5 fraudes no son los únicos. Lo más recomendable es una protección efectiva del equipo, tenerlo actualizado y disponer de herramientas de seguridad para proteger el ordenador.

WHATSAPP: Con el “pantallazo” ya no basta…

El Tribunal Supremo aclara que admitirá los mensajes, pero solo si van acompañados de un informe pericial.

Hasta ahora era habitual aportar “pantallazos” de whatsapps para acreditar determinadas circunstancias o incumplimientos en los litigios por divorcio y en los procedimientos de guarda y custodia de los hijos. Ahora, quien pretenda aportar este tipo de pruebas deberá acompañarlas de un informe pericial que acredite que los mensajes que aporta son ciertos y reales (sentencia del Tribunal Supremo 300/2015 de la Sala de lo Penal).

La mayoría de jueces ha estado admitiendo la aportación de “pantallazos” de redes sociales o sistemas de mensajería, para luego analizar su valor probatorio al dictar sentencia; la sentencia del Tribunal Supremo indica que si una de las partes impugna la autenticidad de los “pantallazos“, porque le perjudican, quien pretenda aprovecharlos como prueba tiene que acreditar que son válidos y reales y que no se han manipulado añadiendo o quitando frases mediante un informe pericial. Entra en escena la figura del perito informático o de telecomunicaciones, que deberá identificar el verdadero origen de la comunicación, la identidad de los interlocutores y la integridad del contenido, y aportar este dictamen técnico al juez (dos hackers españoles lograron cambiar el remitente de los mensajes enviados a través de esta aplicación, poniendo con ello en entredicho la credibilidad de estos mensajes; es por ello que diversos jueces habían expresado dudas sobre la validez probatoria de los whatsapps).

A partir de ahora, todos los tribunales han de aplicar el criterio del Supremo y, aunque la sentencia habla sólo de los whatsapps, se hace extensiva a los sistemas de mensajería de otras redes como Facebook y también a e-mails y SMS.

Los mensajes que se aporten como prueba han de formar parte siempre de una conversación en la que esa persona ha participado, no de conversaciones de terceros que se hayan interceptado espiando sus móviles, puesto que las comunicaciones son siempre privadas, incluidas las del cónyuge (los jueces castigan con prisión la apropiación de archivos informáticos entre cónyuges, incluso si se han cogido para demostrar una infidelidad).

QUE EL “BLACK FRIDAY” NO SE CONVIERTA EN UN AUTÉNTICO “VIERNES NEGRO” PARA TI: 7 Consejos para comprar online de forma segura.

Siempre es bueno, en días como hoy, recordar algunas precauciones a tener en cuenta a la hora de efectuar tus compras por Internet.

No hay porqué instalarse en una injustificada desconfianza en las compras on line, pero sí el tener en cuenta algunos aspectos básicos para poder comprar por Internet de forma segura:

1. Utiliza una WI- FI o conexión a Internet segura

Aunque sea cómodo y fácil navegar y comprar conectado a redes de bares, centros comerciales o tiendas, lo cierto es que estas redes suelen ser poco seguras. Los paquetes de información transmitidos a través de las conexiones públicas pueden ser capturados fácilmente por hackers o ciberdelincuentes.  Por este motivo, para realizar compras u operaciones en los que vayas a transferir información personal importante, te recomendamos que lo hagas a través de una red segura.

2. Mantén tu equipo actualizado y protegido

Realizar compras online es uno de los procesos en los que más información personal transferimos. Por ese motivo, antes de empezar a comprar asegúrate de tener tu equipo seguro, actualizado y de tener instalado un buen producto antivirus.

3. Compra en sitios web conocidos y con buena reputación

Buscando en la red la mejor oferta podemos llegar a sitios webs desconocidos y poco fiables. Aléjate de ellos.  Comprueba que la url del sitio coincide con la web donde crees estar y que su dirección empieza por https. Comprando en web fiables y de reconocida reputación online evitarás ser víctima del robo de datos o identidad.

4. Busca y revisa la política de privacidad y de devoluciones

Antes de comprar en una tienda online revisa que tienen su política de privacidad en un lugar visible y está actualizada. ¿Sabes qué tienes que hacer si tu regalo no es el adecuado? ¿Cómo puedes devolverlo? Estos también son aspectos a tener en cuenta (las condiciones generales de contratación) a la hora de elegir dónde comprar.

5. Da solo los datos personales necesarios y hazlo de forma segura

Si te extraña que te pidan algún dato personal (móvil, nombre de familiares, lugar de nacimiento…) para efectuar la compra, no lo hagas y revisa que estás en el sitio correcto.

6. Evita los enlaces de correos y anuncios

La oferta que acabas de recibir al correo ¿es demasiado buena para ser verdad? Entonces, posiblemente no lo sea. En estas fechas, las campañas de anuncios y mails con ofertas y grandes descuentos son una herramienta muy utilizada por los ciberdelincuentes. Evita el phishing.

7. Revisa periódicamente los movimientos de tu tarjeta de crédito

Después de hacer varias compras online, revisa que todos los cargos de tu cuenta son conocidos y los tienes controlados. Si alguno te resulta sospechoso, ponte en contacto con tu banco, quizás hayas sido víctima de un robo de identidad.

(Fuente e imagen: pandasecurity.com)

¿QUÉ PROTEGER?

Los virus cada vez son más sofisticados y el coste de los ataques sobrepasa los 350.000 millones de euros. Ante la ausencia de fronteras digitales, los expertos recomiendan la creación de un organismo internacional y más colaboración entre países para reforzar la ciberseguridad y hacer frente a estas amenazas.

Las empresas cada vez son mayores, y ninguna puede protegerse completamente ante todos los ataques (los costes serían demasiado altos). ¿Qué pueden hacer? Pues, sin descuidar la protección de la otra, seleccionar la información más sensible, la más valiosa, y blindarla               

  • “…seleccionar qué es lo que más les interesa proteger y centrar sus esfuerzos en ello” (Dominik Bark, director de líneas financieras de Zurich Global Corporate).
  • “…los costes para una empresa serían tan elevados que no podría asumirlos. Su única opción es seleccionar aquella información que es vital proteger y ocultarla” (Martin Borrett, ingeniero de IBM).

En Internet no hay fronteras. Eso supone una gran oportunidad para la gente que quiere lucrarse. Es necesario crear un organismo supranacional porque en el ciberespacio los límites son más difusos que en los mapas políticos. La fragmentación del mundo físico dificulta que los Gobiernos colaboren y compartan información sobre sus amenazas y los ataques que sufren.

Los hackers ya no solo atacan dispositivos. A principios de año, Alemania reconoció que un virus paralizó y dañó gravemente unos altos hornos en la región del Ruhr. Así pues, la creciente digitalización también afecta a la vida industrial. Es el deterioro de algo material causado por un virus. La ciberseguridad empieza a ser tenida en cuenta para calcular el nivel de riesgo financiero de las empresas; la ciberseguridad no es un fenómeno aislado. Los drones, o la impresión 3D, están ampliando el riesgo en Internet y las normativas vigentes resultan insuficientes para garantizar la seguridad de la estructura cibernética del mundo.

Se recomienda la creación de un consejo de ciberestabilidad para fortalecer las instituciones globales y la creación de un sistema de alerta cibernética basado en el sistema de trabajo de la Organización Mundial de la Salud (OMS) para mejorar la gestión de la crisis y se alienta al sector privado a participar en el intercambio de información.

(Foro “Los retos de la gobernanza de la ciberseguridad”, organizado por el Center for Global Economy and Geopolitics (EsadeGeo), de la escuela de negocios ESADE, en colaboración con EL PAÍS).

LOS DELITOS INFORMÁTICOS, EN AUMENTO

Los delitos informáticos aumentaron un 71% en 2014 (un incremento de más de 10.000 actos ilícitos en la red en solo un ejercicio, manteniendo la tendencia de incremento cuatrienal, que ya es de un 210 % desde 2011.

Según la Memoria de la Fiscalía, el 84% de procedimientos abiertos respondieron a estafas (17.328 de los 20.534 del total).

Debido a este aumento significativo, la Fiscalía refleja la necesidad de proveer a los investigadores, y a los operadores jurídicos, de las herramientas necesarias para esclarecer los delitos que se perpetran mediante las nuevas tecnologías. Para ello, está ya en marcha la elaboración de un proyecto de ley para la reforma de aspectos parciales de la Ley de Enjuiciamiento Criminal, en el que se abordan muchos puntos relacionados con la investigación tecnológica.

Los delitos por descubrimiento y revelación de secretos (4% del total) aumentaron hasta un 52% en lo que se refiere a las conductas de acceso ilegal a sistemas. En muchos casos se trata, según la Fiscalía, de utilización no autorizada de cuentas de correo ajenas o de acceso irregular a perfiles de redes sociales para suplantar la identidad de los verdaderos titulares con diferentes fines.