Marco Europeo de Ciberseguridad

En los últimos tiempos, la Unión Europea está reforzando el marco regulatorio sobre ciberseguridad para hacer frente a la creciente amenaza que nos plantean los ciberataques. Para ello está dotando a los Estados miembros de un marco común especialmente focalizado en la ciberseguridad dirigido a garantizar la ciberresiliencia de los procesos que dan soporte a diferentes servicios esenciales para la sociedad.

La Directiva NIS o Directiva (UE) 2016/1148 fue la primera ley de ciberseguridad de la Unión Europea y ofrecía un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión frente a los riesgos de ciberseguridad. Ha demostrado ser una Directiva útil, pero que con el paso de los años también ha evidenciado sus limitaciones ante el incremento de las ciberamenazas y la cada vez mayor dependencia de las soluciones digitales.

Es por ello que, a final del año pasado, la Comisión Europea presentó la nueva estrategia de ciberseguridad de la UE basada en tres aspectos principales: [Read more…]

Orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de COVID-19

Vivimos una situación excepcional en el mundo. Esta crisis sanitaria nos ha cogido a todos de improviso. No solo las empresas han visto que su plan de continuidad no contemplaba escenarios de siniestro como el que vivimos, sino que la inmensa mayoría de gobiernos, que deberían tener todo preparado para estas situaciones, han demostrado que no estaban preparados para una crisis de este calibre.

En el caso de España, hace más de un mes que se decretó el estado de alarma en todo el país, y desde ese momento, las decisiones del gobierno han venido reguladas a través de decretos y órdenes que han ido permitiendo la aplicación de las medidas de actuación establecidas por el ejecutivo.

En este sentido, son muchos los artículos de opinión publicados en relación al ya citado estado de alarma y el impacto que este puede suponer en lo que respecta a los derechos y libertades de los ciudadanos. Nosotros, fieles a nuestra condición de blog de ciberseguridad, vamos a dejar de lado los aspectos políticos e ideológicos y a centrarnos en aquellos aspectos que pueden tener un impacto en la seguridad de los ciudadanos y la privacidad de sus datos.

[Read more…]

Pasito a pasito: Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Seguimos avanzado en el trámite parlamentario para que el ordenamiento jurídico español tenga su nueva ley en materia de protección de datos. El pasado día 9 de octubre se presentaba el Informe emitido por la Ponencia sobre el proyecto de ley de protección de datos en la Comisión de Justicia del Congreso de los Diputados. Hoy, 17 de octubre, se publica el Dictamen de la Comisión que eleva a la Presidencia de las Cortes el recién rebautizado Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Tras este dictamen de la Comisión de Justicia, el proyecto de ley está muy encarrilado para ser aprobado definitivamente, si todo va bien, en los próximos meses. Poniendo el énfasis en los cambios respecto al texto inicial del proyecto de ley presentado a finales del año pasado, cabe destacar la inclusión del Título X relativo a distintos derechos digitales, que más allá de la controversia suscitada, puede llegar a ser una garantía para la protección de los datos en Internet, la educación respecto a la seguridad de la información en colegios y universidades, y la garantía del cumplimiento del derecho al honor y a la intimidad personal y familiar, tal como se establece en el artículo 18.4 de la Constitución. [Read more…]

Aprobación de medidas urgentes en materia de protección de datos

Todos estábamos pendientes del Proyecto de Ley Orgánica de Protección de Datos (podéis ver el seguimiento de la iniciativa parlamentaria pinchando aquí), que este Real Decreto-ley que vamos a comentar nos ha pillado casi por sorpresa.

El pasado martes saltaba la noticia [1] [2] de que el gobierno modificaría con urgencia el régimen sancionador de la Ley de protección de datos. El pasado viernes día 27, el Consejo de Ministros aprobaba el Real Decreto Ley que finalmente ha sido hoy publicado en el Boletín Oficial del Estado (BOE). El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos adapta aquellos preceptos en los que el Reglamento General de Protección de Datos (en adelante, RGPD) remitía su desarrollo a los Estados miembros, y que no requieren rango de ley orgánica. Este Real Decreto Ley entra en vigor el 31 de julio de 2018. La vigencia de esta norma queda supeditada a la aprobación de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al RGPD, y completar sus disposiciones.

La norma recientemente aprobada regula los siguientes aspectos: [Read more…]

El RGPD no es cosa de un día

Por fin ha llegado el día 25 de mayo. El día D donde todos los datos personales pasan a estar protegidos. Donde ya no se van a producir incidentes de seguridad. Donde todos los tratamientos de datos personales pasan a ser legítimos. Donde los datos ya no van a ser conservados sine díe. Donde los usuarios tenemos todo el control de nuestros datos. Donde el derecho al olvido es una realidad. Donde todo el mundo ha sido informado de que todas las políticas de privacidad del planeta han sido actualizadas (sí, la nuestra también). El día más esperado ha llegado. Y una vez llegado a este grado de regocijo, ¿y ahora qué?

Pues siento deciros que el RGPD no es cosa de un día. Hoy, 25 de mayo de 2018, entra en aplicación el Reglamento General de Protección de Datos, conocido por RGPD o GDPR por sus siglas en inglés. Pero que entre hoy en aplicación (lleva en vigor desde 2016) no quiere decir que todo lo que no hayamos hecho no hace falta hacerlo, o que si ya hemos hecho una adecuación no tengamos que hacer nada más. ¿Por qué?
[Read more…]

Timbres inteligentes que nos “vigilan”

Queridos lectores, ¿os suena haber visto un timbre que permite ver quién te llama? Estaréis pensando que de dónde he salido, que acabo de descubrir los videoporteros (versión moderna de los telefonillos), ¿verdad? Pues no, no me estoy volviendo loco. Vengo a hablaros de un geek algo novedoso que todos desearíamos tener en nuestra casa, pero que no nos gustaría que tuviese nuestro vecino.

Hace algunas semanas leía un artículo donde se hablaba de un timbre conectado a Internet; y cuando digo timbre me refiero específicamente al que hay al lado de nuestra puerta, no al de la puerta del edificio (que es el videoportero clásico). Sí, otro dispositivo más que se engloba dentro del término IoT (Internet de las Cosas). Lo interesante de este gadget está en su cámara, que permite al usuario visualizar quién llama a su puerta desde el smartphone, y lo que es aún mejor, dispone de un detector de movimiento. Es decir, que más que un timbre, es una cámara de videovigilancia con un telefonillo unifamiliar incorporado.

[Read more…]

Transferencia de datos a Estados Unidos. ¿Y ahora qué?

Ayer, martes 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea declaró nula la Decisión 2000/520 de la Comisión Europea sobre “la adecuación conferida por los principios de puerto seguro para la protección de la vida privada”. El nivel adecuado de protección para la transferencia de datos desde la Unión Europea a Estados Unidos se alcanza si las empresas americanas cumplen con los principios de puerto seguro, respaldados por la Decisión de la CE mencionada anteriormente.

Un ciudadano austríaco denunció en 2013 ante la autoridad irlandesa competente en materia de protección de datos (Data Protection Comissioner) la transferencia de datos que hace la red social Facebook desde su filial en Irlanda a los servidores de la compañía situados en EEUU. Según este ciudadano, esa comunicación no garantizaba una protección suficiente de datos ya que toda información está sometida a la supervisión estatal. Esto se podía demostrar con las revelaciones que Edward Snowden iba filtrando. El Tribunal Superior de Irlanda (High Court), según se puede leer en las conclusiones del Abogado General, planteó esta denuncia al Tribunal de Justicia Europeo entendiendo que la resolución se debe a una normativa europea y por tanto es competencia de la Unión y no de un Estado miembro.

[Read more…]

Los wearable como testigo

Subir escaleras, caminar, correr, dormir,… son algunas de las actividades que hoy en día monitorizamos. O “nos monitorizan”. Gran parte de los smartphones registran, por defecto, una parte de la actividad física que realiza el usuario, donde se registra –además- el día y la hora en que se realiza y en algunos casos incluso la ubicación donde se ha realizado. Pero hoy en día hay otro tipo de dispositivos que también registran este tipo de actividad y son más cómodos “de llevar”. Estos son los wearable, que como sabemos son pequeños dispositivos que “llevamos puestos” como pueden ser relojes, pulseras, gafas inteligentes, sensores en zapatillas, etc.

Desde luego, en muchos casos la información que registran estos dispositivos es muy útil. Más ahora que existe el síndrome “runner” y tantísimas personas practican este deporte. Los más avanzados utilizan relojes GPS que registran la velocidad, el ritmo, el recorrido y otras variables. Otros utilizan los smartphones con aplicaciones que también registran la actividad del corredor y además la mayoría permiten publicar en tiempo real esta información, así como la situación en el mapa de nuestro “atleta”. Es de sobra sabido que quien publica esta información se expone a que cualquier persona esté viendo lo que está haciendo, dónde está e incluso si mantiene una rutina, se la está dando a conocer para que la utilice a discreción.

[Read more…]

Adaptando a la ISO 27001:2013 – Declaración de aplicabilidad

En octubre de 2013, hace poco más de un año y medio, se publicaba la nueva versión de la ISO/IEC 27001:2013.

Mucha era la expectación que se había creado en torno a esta nueva versión y los análisis empezaban a inundar las páginas web del sector y los grupos de LinkedIn. A los pocos días de la publicación en inglés de la norma, publicamos un exhaustivo análisis sobre los cambios que a priori se esbozaban del estándar.

La traducción al castellano, UNE-ISO/IEC 27001:2014, llegó más de un año más tarde, dejando poco margen a las organizaciones que habían estado esperando a la norma en castellano para su adaptación. Recordemos que el plazo que daban desde ISO (International Organization for Standardization) era de dos años desde su publicación en octubre de 2013. Esta situación habrá supuesto un reto para muchas organizaciones.

[Read more…]

ThreatExchange: Facebook busca aliados para compartir información sobre amenazas

La necesidad de colaboración para atajar las amenazas de seguridad de la información es una obviedad de la cual tanto organismos públicos como empresas privadas se están dando cuenta y están tomando cartas en el asunto. Esta semana ha saltado la noticia sobre una red colaborativa nacida de las manos de Facebook cuyo objetivo es el de compartir fácilmente información de amenazas informáticas entre organizaciones, y aprender de los descubrimientos de otros con el fin de hacer los sistemas más seguros. Así lo define Mark Hammel, Responsable de ThreatExchange.

“Our goal is that organizations anywhere will be able to use ThreatExchange to share threat information more easily, learn from each other’s discoveries, and make their own systems safer. That’s the beauty of working together on security. When one company gets stronger, so do the rest of us.” [1]

A esta iniciativa de Facebook se unieron en primer lugar Pinterest, Tumblr (cuyo propietario es Yahoo!), Twitter y Yahoo!. Posteriormente se han sumado empresas como Bitly y Dropbox. Los promotores de esta iniciativa pretenden que se unan más empresas y expertos en seguridad para compartir de forma ágil la información sobre las amenazas a las que todos estamos expuestos en la red.

En primer lugar lo que solicitan para el registro es el nombre y una dirección de correo corporativa, imagino para posteriormente establecer un acuerdo con cada uno de las organizaciones adheridas. Resulta importante saber qué se puede hacer con esa información y qué medidas de seguridad hay implantadas para garantizar que el uso que se haga de esa información sea legítimo. Por lo que he podido comprobar, no aparecen las condiciones de la plataforma aunque aseguran que hay implantados controles de privacidad para que cada participante pueda compartir la información solo con el grupo o grupos que desee. Pero no puedo evitar preguntarme… ¿quién será el responsable de la información compartida? ¿Qué uso se podrá hacer de la misma? ¿Realmente van a compartir estas grandes empresas las amenazas que pueden vulnerar o han podido vulnerar sus sistemas?

Desde luego considero que es un avance esta conciencia de seguridad y que las grandes empresas colaboren por la seguridad de las organizaciones y de los propios ciudadanos pero, sin querer ser desconfiado, me llama la atención que esta iniciativa salga de Facebook. Sin lugar a dudas, es una empresa con unos números impresionantes, más de 1.350 millones de usuarios activos, pero la cual también ha sido noticia en otras ocasiones por su política de privacidad y el uso que hace de los datos personales de sus usuarios. No seré yo el que reniegue de este paso que han dado con el ThreatExchange pero estoy expectante para ver si organismos públicos o CERTs respaldan y colaboran con esta iniciativa.

Esta última semana también se ha publicado una noticia de que el gobierno de Estados Unidos ha dado un paso más en la lucha antiterrorista en la red. Ha creado una agencia cuyo objetivo es conectar las acciones de las diferentes agencias federales que actualmente se ocupan de la ciberseguridad. La agencia se llama Cyber Threat Intelligence Integration Center (CTIIC) [2]. Un movimiento más de los que vienen dando los estados en este sentido, que desde luego demuestran la importancia de la seguridad en Internet y van dando pasos en esta dirección.

Veremos cómo evoluciona la iniciativa ThreatExchange y los efectos que ésta tiene. Sinceramente ojalá tenga éxito y el verdadero objetivo sea mejorar entre todos la seguridad.