La justicia europea frena el traspaso de datos entre la Unión Europea y Estados Unidos

Golpe a la economía digital. El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado este jueves ( PDF) el sistema de intercambio de datos del llamado «Privacy Shield» («Escudo de privacidad», en español) entre la Unión Europea (UE) y los EE.UU al entender que existe una «excesiva vigilancia» por las autoridades estadounidenses.

Es un acuerdo que permitía a las empresas digitales transferir legalmente los datos personales de los ciudadanos europeos a sus bases en Estados Unidos. Esta disposición se utiliza por las grandes multinacionales de internet como Google, Facebook o Twitter e incluyen detalles como la identidad y su geolocalización, así como sus preferencias en internet. A raíz de esta sentencia anticipa nuevos conflictos entre ambas potencias y pone en una situación difícil a las empresas en Europa.

El tribunal ha tomado esta decisión por el «posible riesgo» que representan los programas de vigilancia estadounidenses para la protección de los datos personales de ciudadanos europeos. Entiende que este acuerdo, firmado en 2016 en sustitución al anterior marco legal conocido como «Safe Harbour» («Puerto seguro»), permite hacer posible interferencias en los derechos fundamentales de las personas cuyos datos se transfieren a servidores alojados en Estados Unidos y que pueden tener acceso las autoridades públicas del país sin que se limite «a lo estrictamente necesario».

La legislación estadounidense es menos estricta

Dado que la legislación norteamericana es menos estricta que la europea, el «Escudo de privacidad» fue creado para permitir una excepción a las leyes comunitarias de protección de datos a cambio de que las compañías norteamericanas cumpliesen algunos requisitos específicos. Los jueces han determinado que esa excepcionalidad no puede saltar los propios límites de la legislación europea sobre protección de datos y que «las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión».

Los jueces afirman que ante un «posible acceso de las autoridades públicas de un país tercero a los datos personales transferidos de ese modo» también se deben tener en cuenta cuidadosamente «los elementos pertinentes del sistema jurídico de dicho país». «Safe Harbor» quedó también invalidado por el Tribunal de Justicia de la Unión Europea en 2015 obligando así Bruselas a negociar con Washington un nuevo marco para garantizar un mejor nivel de protección de los datos personales. Esta situación provocó que la información de los usuarios se encontrara en una situación de inseguridad jurídica.

«Hasta ahora, era muy sencillo transferir datos personales a Estados Unidos», señala en conversación telefónica Sergio Carrasco, experto en derecho digital de Fase Consulting. «Todos los prestadores de servicios, al final, tienen servicios allí [por Estados Unidos], sea en parte o totalmente. Y ahora existía Privacy Shield, que era un acuerdo que ponía de manifiesto que en Estados Unidos tenía un nivel de protección equiparable a Europa, permitiendo así esa transferencia sin contar con la autorización de los reguladores de protección de datos», explica.

«Lo que dice es que el nivel de protección no son equivalentes porque en EE.UU. existen otros asuntos como la Seguridad Nacional»

La resolución del TJUE implica que no existen las mismas garantías entre ambos territorios. El tratamiento de información sensible en la UE se rige por el Reglamento General de Protección de Datos (RGPD), que pone el acento en el consentimiento expreso de los ciudadanos. Es un marco legal más garantista en comparación con Estados Unidos. «Lo que dice es que el nivel de protección no son equivalentes porque en EE.UU. existen otros asuntos como la Seguridad Nacional. Como no se garantizan los derechos de las personas como en Europa, lo que hace es anular ese acuerdo y, por lo tanto, la transferencia internacional de protección de datos hacia EE.UU. estará sometida al control de las autoridades de protección de datos como cualquier otro país», apunta.

Para Rafael García del Poyo, jurista de Osborne Clarke, las empresas deberán hacer un mayor esfuerzo en el tratamiento de datos. «La historia se repite. Una vez más el TJUE ha establecido altos estándares de protección de datos personales y ni el «Safe Harbor» ni el «Privacy Shield» han sobrevivido a la evaluación de la justicia europea. Esta decisión es un recordatorio de que los esfuerzos por lograr el cumplimiento de la GDPR es un proceso continuo y que, ahora más que nunca, las empresas deben realizar un examen detallado de las circunstancias que rodean cada transferencia internacional de datos y de las partes que los procesan antes de utilizar las cláusulas modelo de la UE o cualquier otra alternativa», apunta.

Para solucionar este escollo, los expertos creen que EE.UU. puede verse obligado a cambiar toda su normativa en materia de Seguridad Nacional porque «no pueden utilizar las amplias competencias en investigación» en el caso de ciudadanos europeos. «Y no lo van a hacer», interpreta Carrasco. Esta decisión anticipa un torrente de reacciones por parte de empresas estadounidenses filiales que operan en Europa como Google, Facebook, Amazon o Microsoft, además de adelantar un nuevo obstáculo en las relaciones entre ambos territorios.

facebook1-knO--620x349@abc

 

Pegasus, el software espía israelí que utilizan los gobiernos

Fue el pasado año. Al calor de mayo. Uno de los objetivosRoger Torrent, presidente del parlamento catalán y una de las figuras claves en el desafío independentista. Durante un fallo de seguridad de WhatsApp se abrió la puerta a la instalación de un programa informático en su teléfono. La idea era, al igual que a otras 1.400 víctimas, espiarle. Ese software es Pegasus, que tiene ya una dilatada experiencia en estos fines de ciberespionaje. Este mismo año el software israelí se utilizó por Arabia Saudí para «hackear» al fundador de Amazon. Un informe forense sobre el acceso al teléfono de Jeff Bezos, la persona más rica del mundo, apuntaba a que el régimen saudí utilizó supuestamente este «spyware» para entrar en el dispositivo del multimillonario.

Desarrollado por NSO Group, la herramienta de piratería informática es una vieja conocida en el mundillo de las cibermilicias. Es un «spyware» -software espía- que, según los expertos, se vende a gobiernos y cuerpos de seguridad pero no existe una política garantista que lo acredite. En principio, para combatir el crimen y el terrorismo, pero en ocasiones salta a otra palestra. La manera de operar es sencilla pero compleja. No está al alcance de cualquiera.

Su objetivo es enviar código malicioso o «malware» a una víctima para engañarla y animarla a pulsar sobre un enlace. Entonces, explotaría un archivo ejecutable capaz de realizar algunas acciones. En este caso, Pegasus tiene varias funciones, pero está preparado para captarlo casi todo. Los expertos creen que es capaz de escuchar conversaciones, acceder a la memoria interna del equipo afectado, consultar los mensajes, revisar el historial de navegación, hacer capturas de pantalla. Incluso se cree que puede activar por control remoto la cámara y el micrófono de los dispositivos.

«Una cosa es el software que se ejecuta en el dispositivo, que permite el acceso a datos del mismo, interceptar comunicaciones, etc… Y otra cosa es la técnica para comprometer el dispositivo e instalar dicho software. Para comprometer un dispositivo necesitas tener acceso al mismo de alguna manera, que el usuario descargue y ejecute algo, o acceda a un sitio que controle el atacante, aunque hay mecanismos de explotación remota, que es lo que se ha publicado que se ha usado en este caso», explica a este diario Lorenzo Martínez, experto en seguridad informática de Securízame.

La gran ventaja de este tipo de software espía es aprovechar vulnerabilidades de día cero («Zero Day», en el argot del sector), es decir, fallos técnicos y agujeros si parchear porque aún no existe ninguna revisión para mitigar el aprovechamiento de la vulnerabilidad. Suele suceder en muchas ocasiones cuando se actualizan los servicios digitales.

Un arma sofisticada y en constante evolución

El sofisticado Pegasus ha estado presente en anteriores escándalos. En 2017, el Grupo Interdisciplinario de Expertos Independientes (GIEI), en México, fue atacado por medio de este «malware», según publicó en un informe la organización de defensas de derechos civiles Citizen Lab. Decenas de periodistas y activistas denunciaron sendos ataques.

Se descubrió en 2016 por Ahmed Mansoor, activista por los derechos humanos de Emiratos Árabes Unidos, quien se considera una de las primeras víctimas. Según los requerimientos técnicos recogidos por medios especializado, la factura para acceder a una decena de terminales puede ascender a 650.000 dólares. Se da por hecho que se ha evolucionado hasta tal punto que puede entrar incluso en servicios en la «nube» de Google o Amazon. Según las declaraciones de un exempleado de NSO Grupo a la revista especializada «Motherboard», el Gobierno español ha sido un cliente de la empresa israelí, aunque el Ministerio del Interior y el de Defensa han negado la implicación de los cuerpos y fuerzas de seguridad en tareas de ciberespionaje a políticos independentistas.

Fue diseñado para atacar tanto a los sistemas Android como a los iOS. Sin embargo, no se ha podido investigar ninguna muestra para iOS, según Alexey Firsh, investigador de seguridad de Kaspersky, las únicas que se han hecho públicas han sido para Android. «Sabemos que Pegasus es una pieza de software espía muy sofisticada, mucho más que sus homólogos más populares, como FinFisher. Detectar su actividad maliciosa es extremadamente difícil, dado el alto nivel de ofuscación en su código», apunta Firsh en un comunicado.

La herramienta se actualiza constantemente, incorporando nuevas características y técnicas de invasión. «Una vez instalado en el dispositivo, es capaz de extraer cantidades masivas de información, incluyendo sus mensajes de texto, contraseñas o la ubicación. Debido a su sofisticación y a su naturaleza altamente selectiva, es muy probable que continúen apareciendo ataques como estos», valora este experto.

«Pegasus permite manipular cualquier dispositivo y poder acceder a todos los datos del terminal. Es un troyano que te da acceso a todo lo que hay en el dispositivo, tanto aplicaciones, como fotos o contactos. No está al alcance de cualquier usuario, solo de estados y servicios de inteligencia», explicaba recientemente a ABC el experto en ciberseguridad Deepak Daswani.

 

1405853439-k0GE--620x349@abc

Hackean cuentas de Twitter de personajes famosos para realizar estafas con criptomonedas

Las cuentas verificadas de la red social Twitter de personalidades reconocidas como Bill Gates, Barack Obama, Kanye West, Joe Biden o Elon Musk, entre otros, han sido hackeadas este miércoles para llevar a cabo estafas con criptomonedas.

Las cuentas hackeadas, entre las que también están la de Kim Kardashian, Warren Buffet, Jeff Bezos o Mike Bloomberg, han publicado ‘tuits’ similares solicitando donaciones vía bitcoin. «Todos me están pidiendo que devuelva y ahora es el momento», indicaba el mensaje de Gates, recogido por la cadena de televisión CNN. El ‘tuit’ prometía doblar pagos en una dirección de bitcoin. «Me envías 1.000 dólares, te devuelvo 2.000», rezaba el mensaje.

Por su parte, la cuenta de soporte técnico de Twitter ha trasladado en un mensaje en la red social que la compañía es «consciente» de «un incidente de seguridad que afecta a las cuentas de Twitter». «Estamos investigando y tomando medidas para solucionarlo. Actualizaremos dentro de poco», ha agregado.

Así, algo después de que el ataque comenzara, la compañía ha restringido la capacidad de compartir mensajes en Twitter de las cuentas verificadas. «Es posible que no pueda tuitear o restablecer su contraseña mientras revisamos y abordamos este incidente», ha informado Twitter en otro mensaje.

No obstante, la mayoría de las cuentas verificadas que han visto su actividad congelada ya están operativas de nuevo. «La mayoría de las cuentas deberían ser capaces de tuitear de nuevo», ha señalado Twitter en un mensaje.

«Mientras continuamos trabajando en una solución, esta funcionalidad puede ir y venir», ha avisado, al tiempo que ha asegurado que la compañía trabaja «para que las cosas vuelvan a la normalidad lo más rápido posible».

La gran cantidad de cuentas importantes que han sido hackeadas convierte a este episodio en el mayor incidente de seguridad de la historia de Twitter, una red social ampliamente extendida entre la población, los medios de comunicación e, incluso, líderes mundiales, como el presidente de Estados Unidos, Donald Trump. El año pasado, la cuenta del director ejecutivo de Twitter, Jack Dorsey, también fue hackeada.

El incidente ha llamado la atención del FBI y su oficina de campo de San Francisco ha especificado que es «consciente» de lo ocurrido. En un comunicado recogido por el citado medio, ha agregado que «las cuentas parecen haber sido comprometidas para perpetuar el fraude en criptomonedas». Así, han aconsejado al público que no se exponga a ser «víctima de esta estafa» enviando ninguna cantidad de dinero.

 

montaje1-U30835232952OcH--620x349@abc

Lista negra en Europa con las plataformas digitales que utilicen prácticas desleales

Poner límites a algunas prácticas de las grandes empresas tecnológicas. La Comisión Europea (CE) estudia incluir una lista negra de plataformas no comunitarias y nuevas herramientas de competencia para abordar los problemas del mercado digital en la nueva Ley de Servicios Digitales, que actualizará la normativa aprobada en el año 2000. El paquete de medidas, que se encuentra en consulta pública hasta septiembre, entrará en tramitación a final de año.

El objetivo es adaptar la directiva de comercio electrónico al actual contexto digital, que ha experimentado una rápida expansión en los últimos años, aunque promete ser garantista con el respeto de los derechos fundamentales de los consumidores. Entre las medidas propuestas se contempla introducir mecanismos para «atajar las deficiencias» competitivas del mercado «antes de que produzcan», evitando así el enquistamiento de prácticas monopolísticas por parte de los gigantes tecnológicos. Fuentes de la CE han señalado a ABC que uno de los grandes desafíos a los que se enfrentan es «acabar con la opacidad» de estas compañías que dificultan el trabajo de los reguladores.

La ley, que deberá debatirse en el Parlamento Europeo a final de año, exigirá que los países europeos que cuenten con una una fiscalidad más atractiva como Irlanda, sede fiscal de multinacionales como Facebook, «asuman su responsabilidad de controlar a las plataformas para proteger a los ciudadanos» de los países miembros de la Unión Europea. Desde el pasado 2 de junio hasta el próximo 8 de septiembre está programado un periodo de consulta pública para expresar distintos puntos de vista sobre aspectos de la normativa antes de la admisión en trámite parlamentario.

Aunque todavía se encuentra en fase de elaboración, Bruselas pretende crear una lista negra de prácticas desleales que no se consideran permisibles y serie de remedios para aplicarlos en el momento en el que se considere que una plataforma puede crear una deficiencia en el mercado. El marco legal para los servicios digitales no se ha modificado desde la adopción de la directiva de comercio electrónico en el año 2000, que permitió armonizar los principios básicos que permiten la prestación transfronteriza de servicios. Pese a que ha permitido crear un ecosistema digital fuerte, la CE también reconoce que se han producido abusos.

Fuentes de la CE reconocen que la nueva ley no va a poner un coto a las actividades de las compañías digitales pero sí desarrollar unas nuevas reglas del juego que se rijan por el principio de «proporcionalidad». De momento, y pese a las presiones de organismos internacionales, no se contempla medidas como «trocear» negocios de multinacionales como Amazon, que en los últimos años ha entrado de lleno en la producción audiovisual.

 

1425837059-k3tE--620x349@abc

Yiming, el hombre que está detrás de TikTok

TikTok ha pasado de ser el fenómeno mundial entre los adolescentes a ser un peligro público en menos de lo que canta un gallo. La plataforma de microvídeos ha causado tanta adicción en las nuevas generaciones que ya pasan casi tanto tiempo que viendo vídeos por YouTube. Las marcas se pirran por meter la cabeza en este servicio porque, entre esos divertidos y alocados vídeos, están sus futuros consumidores. Su dueño, sin embargo, es un hombre que ha hecho de la discreción un hábito, pero las últimas controversias con la aplicación ha florecido sus actividades. Y a Donald Trump no le gustan: le ha señalado de ser un instrumento al servicio del régimen chino.

La «app», que cuenta con más de 1.500 millones de usuarios en todo el mundo (en solo un año ha multiplicado por tres su audiencia), ha estado en el centro de la polémica en las últimas semanas. Estados Unidos le acusa de ceder datos de usuarios a servidores con un acceso privilegiado por el Partido Comunista ChinoEn junio el gobierno de India anunció el bloqueo de TikTok y otras 59 aplicaciones chinas al considerarlas «perjudiciales para la soberanía y la integridad del país». Este veto puede costarle 6.000 millones de dólares a Bytedance, el conglomerado chino propietario de varios servicios como TikTok.

El asunto ha ido a mayores: Estados Unidos ha dejado caer que haría lo mismo. El secretario de Estado Mike Pompeo ha señalado directamente a empresas originarias en el país asiático de estar «cediendo información a los comunistas chinos». Acusaciones que no han sentado nada bien al régimen chino y que amenaza su popularidad en los países occidentales. En medio del debate, TikTok ha confirmado al que retiraba su plataforma de las aplicaciones de Google y Apple en Hong Kong después de que las autoridades de Pekín aprobaran la nueva Ley de Seguridad Nacional.

STATISTA
STATISTA

En medio del huracán, un nombre, Zhang Yiming (Longyan, Fujian, 1983). Un Mark Zuckerberg chino. Hijo de una enfermera y un funcionario. En 2001 se matriculó en la Universidad de Nankai en Tianjin, donde se especializó en microelectrónica antes de su paso por ingeniería de software. Terminó sus estudios en 2005. En 2006, Yiming trabajó en la web de viajes Kuxun.

Dos años después entró en Microsoft, pero según medios especializados, se sintió demasiado presionado por las reglas corporativas de la compañía. Después quiso probar suerte en la creación de una «startup», 99fang, en 2009. Un servicio en el que fue observando cómo el consumo de contenidos a través de teléfonos móviles crecía rápidamente. Conocimientos que le llevaron a poner en marcha, en 2012, Bytedance.

Una empresa que ha llegado a tener una valoración bursátil de entre 90 mil millones de dólares y 100.000 millones de dólares. Yiming es un líder nato, según «Times».Tranquilo, de voz suave pero carismático. Un joven pero sabio, dicen sus empleados, quienes han asegurado que nunca pone límites. Sus ambiciones, según informa «The Telegraph», han generado preocupaciones en los niveles más altos del gobierno de EE.UU. A sus 37 años, ya saborea una fortuna. Es, según el índice elaborado por la revista «Forbes», la novena persona más rica del país.

También está detrás del agregador de noticias Toutiao, una de las aplicaciones más populares de China. La empresa, que no cotiza, tiene sede en Pekín. Facturó unos 40.000 millones de yuanes (5.640 millones de dólares) en el trimestre de enero a marzo, según Reuters. En aras de crecer y monetizar TikTok, fichó al exejecutivo de Walt Disney y responsable de la plataforma de «streaming» Disney Plus, Kevin Mayer, como nuevo consejero delegado de la plataforma.

 

ZhangYiming-ksCH--620x349@abc