Seguridad Informática para Empresas – Servicios de Ciberseguridad

USUARIOS: DERECHOS DE POLÍTICA DE PRIVACIDAD Y SEGURIDAD

Jordi Bonete // 11 de Octubre de 2018

Políticas de privacidad y seguridad han sido un tema muy sonado en los últimos meses. Por ello,  la alarma de muchos de nuestros clientes ha saltado. Esto debe a las noticias relacionadas con el tratamiento de la información y el robo de datos.

En este artículo vamos a explicar por qué el cuidado de la información cobra más importancia que nunca.  Asimismo,  mencionaremos algunos de ejemplos de las polémicas más sonadas en lo que va de año.

“La información es poder”, es una frase muy manida, pero no por ello menos cierta. Cuanta más información posea una organización sobre sus clientes mayor será la capacidad de entenderlos. Y es en plena era de la digitalización cuando este acceso a los datos se multiplica exponencialmente. Todo lo que hacemos resulta trazable y de dicha trazabilidad se puede adquirir más información. Las empresas lo saben y consideran estos datos como uno de sus activos fundamentales. Sin información no hay conocimiento y sin conocimiento no hay éxito.

¿Qué medios usan las empresas para obtener este bien tan deseado?

Para conseguir dicha información existen dos formas: la legal y transparente hacia el usuario. Siempre y cuando se solicite su consentimiento expreso (e informándole previamente del trato que se dará a sus datos); y la oscura e invasiva, que aprovecha fallos de seguridad o viola la normativa para hacerse con tan preciada materia prima.

Por desgracia, la segunda modalidad, la más habitual del o que los usuarios desearíamos.

Empresas como Facebook, Instagram y WhatsApp han adoptado posiciones de “o lo tomas o lo dejas” para esquivar la regulación.

Es así como algunas empresas vulneran  el GDPR, que permite cualquier procesamiento de datos siempre que este sea necesario para la prestación del servicio, pero no cuando se use adicionalmente para publicidad o su venta. En cuyo caso, los usuarios deben poder elegir libremente (sin riesgo de que su cuenta sea eliminada o bloqueada).

CASO: British Airways

Los datos de 380.000 tarjetas de crédito de los usuarios de British Airways quedaron expuestos tras ser hackeada la página web y aplicación de móvil de la compañía aérea.

El estudio elaborado por la firma de seguridad IriskIQ explicó como el robo tuvo origen en la modificación de veintidós líneas de comando de texto en una librería Java. La cual estaba ubicada en los servidores de la aerolínea.

La aerolínea se enfrenta así  a una multa de hasta 897 millones de libras , o el 4 por ciento de la facturación de su empresa matriz, si los reguladores demuestran que no hizo lo suficiente para mantener seguros los datos de sus clientes. 

Para el sindicato GMB, el fallo fue una consecuencia más de los recortes aplicados en la compañía en los últimos tiempos. La cual implicó entre otros la eliminación de 700 empleados y la externalización del departamento de informática.

Lo retorcido, en el caso de BA, es que previamente se vieron envueltos en una polémica en las redes sociales. Por la cual, el community manager instaba a los usuarios que quisieran poner quejas sobre la compañía a proporcionar datos como su nombre completo número de pasaporte fecha de caducidad y otra información de identificación, supuestamente para cumplir con el GDPR

british-airways-1533242_960_720

CASO: Uber

Dara Khosrowshahi, CEO de UBER, notificó que la base de datos de la empresa fue hackeada por unos ciberatacantes en el 2016.  Exponiendo y afectando a más de 57 millones de usuarios.

La empresa mantuvo la confidencialidad del caso durante un año, sin notificar lo sucedido; quebrantando así las políticas de privacidad y seguridad del cliente, ya que por ley tenía la obligación legal de informar. 

No obstante; cabe mencionar que durante ese periodo de tiempo, la empresa para erradicar su error contactó con la compañía HackerOne.  HackerOne ayudó a evitar que los hackers publicasen la información en la deepweb.

Los datos comprometidos en el robo incluían; nombres, direcciones de email, y los números telefónicos de los clientes a nivel mundial.

CASO: Cambridge Analytica

¿Cómo consiguieron millones de datos privados?

Aleksandr Kogandesarrollador y creador de “This is your digital life”,  un test de personalidad en formato de aplicación que fue usado por Cambridge Analytica para conseguir datos a través de Facebook. Más de 265.000 usuarios aceptaron las políticas de privacidad y rellenaron el test.  El cual consentía el permiso para acceder a la información personal y de la red de amigos, sin el consentimiento de estos últimos.  La aplicación llegó así a 80 millones de usuarios y Cambridge Analytica se hizo con una BBDD enorme.

Con ese volumen de datos, y violando las políticas de privacidad y uso de la red social, se generaron anuncios políticos.  En su mayoría, dirigidos a favorecer la campaña presidencial de Donald Trump y el Brexit del Reino Unido.  Además, según las políticas de Facebook, los datos recopilados en su plataforma solo pueden ser usados para propósitos de la misma aplicación.  Es decir que no pueden ser transferidos o vendidos y son solo de uso académico. 

CASO: TicketMaster

Atención al cliente, uno de los productos de Ticketmaster, gestionado por Inbenta Technologies. El proveedor fue acusado por el fallo de seguridad del JavaScript. La cual expuso la información de casi el 5% de la base de datos globales de los clientes de Ticketmaster.  Para analizar y explicar lo sucedido, se realizó una investigación acordada por ambas partes. En la cual, Inbenta asegura que la violación de las políticas de privacidad fue error del JavaScript. JavaScript que estaba personalizado bajo los requerimientos que Ticketmaster exigía.

“(…) Este código no forma parte de ninguno de los productos de Inbenta. Ni está presente en ninguna de nuestras otras implementaciones. TicketMaster aplica directamente el script a su página de pagos, sin notificar a nuestro equipo. Si hubiéramos sabido que el script personalizado se estaba utilizando de esta manera, lo habríamos desaconsejado, ya que conlleva un mayor riesgo de vulnerabilidad. (Jordi Torras, Director General e Inbenta, 2018)

Sin embargo, debido a este fallo del JavaScript, muchos clientes se vieron expuestos ante las manos de hackers.  Información cómo; nombres, apellidos y datos bancarios podrían haber sido captados y utilizados de forma inapropiada.

Una vez localizado el origen de error, TicketMaster decidió notificar a nivel internacional a aquellos clientes que podrían verse afectados por el fallo. Ante cualquier contraproducente, en el e-mail se indicó las medidas de seguridad que deberían de seguir las posibles personas afectadas.

¿Qué puedo hacer cómo usuario?

Las políticas de privacidad están en nuestro derecho como usuario y se deben de respetar. Hasta ahora solo hemos visto al señor Zuckerberg pedir disculpas y explicarnos los cambios que realizó a posteriori, al tener conocimiento de lo que estaba pasando en su red social.  Esto no ha convencido ni a los profesionales del sector ni a los usuarios, ya que pese a saber de las prácticas de Cambridge Analytica, permitió que la misma siguiera operando y publicitándose en su red social y no puso ninguna sanción a la empresa.

Como usuario lo único que podemos hacer es  unirnos  a la campaña emprendida por la OCU (www.misdatossonmios.org) la cual insta a los usuarios de Facebook España a denunciar de manera colectiva y reclamar una indemnización por uso indebido de nuestros datos.

Comparte el post con tus amigos

Desde R3 Cybersecurity consideramos que solo nosotros somos dueños de nuestros datos y tenemos la potestad de decidir qué hacer con ellos o a quien comercializarlos.

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity