Archivos por Etiqueta: privacidad

¿Cuáles han sido las mayores fugas de datos de la historia?

Google forma parte ya de la historia de los fracasos tecnológicos de 2018. Y todo gracias a su red social Google+, que nunca despegó a pesar de que nació con la intención de ser un digno rival de Faacebook. Pero los de Mountain View ya han desistido. De hecho, la multinacional estadounidense ha decidido adelantar el cierre definitivo de Google+ a abril de 2019, tras haber detectado un nuevo fallo de seguridad que expuso información privada de 52,5 millones de usuarios.

«Con el hallazgo de este nuevo error de software, hemos decidido acelerar la clausura de Google+ de agosto de 2019 (fecha inicialmente prevista) a abril de 2019», ha explicado en el blog de la compañía el vicepresidente de gestión de producto de Google, David Thacker. «Pese a que reconocemos que hay implicaciones para los desarrolladores, queremos garantizar la protección de nuestros usuarios. Hemos empezado el proceso de notificar a los afectados por el fallo», añade.

Los datos personales de los 52,5 millones de internautas que quedaron expuestos a desarrolladores por error (incluso en caso de que el usuario tuviese configurada la cuenta como privada) fueron sus nombres, direcciones de correo electrónico, empleo y edad.

La compañía aseguró no tener constancia de que durante ese tiempo se hubiesen producido robos de información por parte de terceras partes, pero en cualquier caso los datos estuvieron expuestos a lo largo de esas seis jornadas.

Sin embargo, Google no lidera el ranking de las mayores fugas de datos de la historia. Pero sí cierra la clasificación. Y es que los 52,5 millones de usuarios afectados por la brecha de seguridad son «peccata minuta» en comparación con los 3.000 millones de cuentas que fueron hackeadas a Yahoo. Aunque en un principio, el hackeo se situó en 500 millones, la compañía mintió y confirmó después que el robo de datos que sufrió en 2013 afectó a todas sus cuentas.

MySpace, con 427 millones de cuentas afectadas, ocupa el segundo puesto. La red social fue víctima de los ciberdelincuentes en febrero de 2016. Direcciones de emails, nombres de usuario y claves de acceso de cuentas que se crearon antes del 11 de junio de 2013 fueron sustraídas para después ponerlas a la venta.

eBay y LinkedIn ocupan el cuarto y quinto puesto, respectivamente. El primero fue hackeado en mayo de 2014. Los ciberdelincuenten copiaron 145 millones de registros (contraseñas, direcciones de correo electrónico, fechas de nacimiento y otra información personal).LinkedIn, dos años después, vió cómo le robaron los datos de 117 millones de cuentas.

Sony, con el hackeo de la Playstation 3 en 2011; Dropbox, Tumblr y Uber cierran el ranking.

hack-1-kFLB--620x349@abc

El software sanitario de Amazon para recopilar datos de los pacientes, no tendría cabida en Europa

La multinacional estadounidense Amazon anunció este miércoles que ha desarrollado Amazon Comprehend Medicalun software basado en inteligencia artificial que bucea en el historial médico de los pacientespara extraer de forma rápida y organizada la información relevante que necesiten usar los médicos. Su objetivo es permitir a los profesionales de la salud disponer de información de una forma más rápida y con mayor precisión que con el tradicional proceso manual.

El gigante tecnológico asegura que su nuevo servicio procesa «textos médicos desestructurados» e identifica información como «diagnósticos, tratamientos, dosis y síntomas». La herramienta está pensada para que hospitales, aseguradoras, investigadores y empresas farmacéuticas ahorren parte del tiempo y dinero que actualmente se destina a hallar datos puntuales de cada paciente entre los documentos que conforman su historial médico. Los datos se almacenarán en Amazon Web Services.

Aunque de momento se desconoce con exactitud cómo piensa gestionar Amazon todos los datos privados de los pacientes que se almacenarán en la nube, el servicio, en principio, no tiene cabida en Europa porque choca frontalmente con el Reglamento General de Protección de Datos (RGPD), aprobado a principios de este año. Y es que todo apunta a que la intención del gigante de internet es almacenar los datos identificados de los pacientes.

La normativa, en este caso, exige el consentimiento del paciente. De hecho, ya existen condenas a médicos por ver los historiales de pacientes ajenos. «El reglamento actual de protección de datos, con respecto a la salud, prohíbe cualquier tratamiento de datos», recuerda el experto.

El negocio de los datos sanitarios

En esta misma línea opina Frederic Llordachs, médico y confundador de Doctoralia: «Evidentemente, con el RGPD va a ser complicado que lo cumplan al menos de entrada, y como dice un amigo mío, el hecho de que el mayor vendedor de lavadoras del mundo tenga tu historial médico da que pensar. Empaquetar servicios medicos y venderlos por internet es sencillo, de hehco lo haemos ya con ClinicPoint, pero la tentacion de publicitárnoslos puede ser tan grande como para intentar burlar la ley».

Según la compañía, Amazon Web Services no podrá ver los datos que procesan sus algoritmos en la búsqueda de información porque estos están encriptados y su desbloqueo está solo permitido a aquellos clientes que dispongan de una clave. Sin embargo, cabe recordar que todo lo que se comparte en internet en susceptible de ser hackeado. De hecho, los datos sanitarios son más caros en el mercado negro que los bancarios.

«Al final se trata de dar una información muy valiosa a una tercera compañía (empresa farmaceútica, hospital) que seguro que tiene por detrás a una aseguradora muy potente que puede llegar a usar todos esos datos para después vender pólizas de seguros a los pacientes», ejemplifica Parra, quien también alerta de otro problema. «Sería muy peligroso que una máquina decida qué pastilla se tiene que tomar un paciente», añade. Y es que si el software va a ofrecer al doctor un informe médico del estado de salud del paciente, una vez recopilados y analizados todos los datos, es de vital importancia que se informe a la persona afectada. «El reglamento dice que si se va a tomar una decisión en base a un procedimiento realizado de forma automatizada por algoritmos matemáticos, se tiene que informar a la persona afectada. El paciente, incluso, puede impugnar esa decisión que ha tomado una máquina y no un humano, es decir, el profesional de la salud», recuerda el jurista.

No es la primera iniciativa con la que Amazon se mete en el negocio de la salud. «Este servicio de explotar los datos relevantes de las historias clínicas mediante ‘machine learning’ se une a lacompra de Pillpack (servicio de prescripción online) y a la ‘joint venture’ con Berkshire Hathaway y JP Morgan para mejorar la salud de sus empleados. Todas las grandes tecnológicas quieren meterse en salud, pero Amazon parece meterse en terrenos mas realistas y menos “moonshots”», dice Llordachs.

 

hospital-1-kINH--620x349@abc

Posible fuga de datos de más de 130 millones de clientes en cadena hotelera en China

El gigante hotelero chino Huazhu, que posee diez cadenas en el sector turístico, anunció en un comunicado que está investigando la posible filtración de datos de más de 130 millones de sus clientes. La empresa cuenta con más de 3.800 hoteles en 382 ciudades.

Según informó el diario económico local «Caixin», los supuestos datos, con un tamaño de 142 gigabytes, se han colocado a la venta en la «internet profunda» (contenidos de la red no indexados por los buscadores, en muchos casos dedicados a negocios ilegales) por un usuario anónimo llamado Darknet, al precio de ocho bitcóins (54.400 dólares). La información filtrada incluye 240 millones de líneas de datos que contienen desde números de teléfono, direcciones de correo electrónico, números de cuenta bancaria y detalles de reserva.

De confirmarse la filtración, podría tratarse de uno de los mayores casos de robo de datos en la historia de China, aunque un comunicado de Huazhu subraya que aún están tratando de confirmar junto a la Policía si se trata realmente de información sobre sus clientes. Según advierten desde la firma de seguridad china Threat Hunter en un comunicado, los resultados de las primeras pruebas de verificación de datos indican que la autenticidad de los datos filtrados «es muy alta». La compañía señaló que esta a supuesta fuga de datos «puede ser la filtración de información personal más grave en el país en cinco años».

Huazhu posee marcas de hoteles populares en China como Hanting, Manzin o Starway, y a su vez es parte de la cadena francesa Accor. Los rumores de filtración provocaron que en la sesión matinal del Nasdaq, donde cotiza Huazhu, sus acciones cayeran un 3,5%.

 

1202900181-krnD--620x349@abc

“Este mensaje se autodestruirá”…la nueva función de Gmail

Lo incógnito y lo privado. Las comunicaciones que se autodestruyen. Mientras las conversaciones de los seres humanos cada vez más se desarrollan en foros de internet de toda índole, las empresas de tecnología empiezan a incorporar a sus servicios funciones que prometen ciertas garantías de que sus mensajes vana circular por cauces más protegidos.

Una de las medidas que se está extendiendo con más fuerza en las aplicaciones de mensajería y servicios de correo electrónico es la posibilidad de compartir información con fecha de caducidad (desde un día hasta cinco años). Gmail, uno de los principales gestores de correo electrónico, ha añadido el modo confidencial, una intersante función que permite, además, impedir que se reenvíen o se puedan descargar los archivos sin una contraseña. Esas credenciales se pueden enviar al destinatario por SMS o por correo electrónico.

Esta nueva función posibilitará proteger los datos incluso cuando la cuenta de correo del receptor haya sido secuestrada y el mensaje se encuentre aún activo. Esto es posible mediante una función que permite solicitar autenticación adicional a través de un mensaje de texto para ver un email, lo que, además, reduce el riesgo de compartir información confidencial accidentalmente con las personas incorrectas.

1.- Pulsar en «Redactar» para abril una nueva ventana desde donde rellenar el contenido

2.- Luego, hay que pulsar en el botón «Activar o desactivar modo confidencial» que se encuentra ubicado en la parte inferior derecha de la ventana de mensajes.

3.- Si ya has activado el modo confidencial en un correo, ve a la parte inferior de este y haz clic en «Editar».

4.- Configura una fecha de vencimiento y una contraseña. Estos ajustes afectan al texto del mensaje y a los archivos adjuntos.

5.- Si eliges «Sin contraseña por SMS», los destinatarios que usen la aplicación Gmail podrán abrir el mensaje directamente. A los destinatarios que no usen Gmail se les enviará una contraseña por correo electrónico.

6.- Si eliges «Contraseña por SMS», los destinatarios recibirán una contraseña en un mensaje de texto. Asegúrate de introducir el número de teléfono del destinatario, no el tuyo.

7.- Entonces, hay que hacer clic en «Guardar».

gmail-kv6G--620x349@abc

Polémica con la app de La Liga….puede acceder al micrófono de nuestro dispositivo

Desde el pasado 25 de mayo el Reglamento Europeo de Protección de Datos (RGPD o GDPR por sus siglas en inglés) es de obligado cumplimiento para los países miembros de la Unión Europea. Un marco legal garantista para los ciudadanos y que ha permitido conocer más de cerca la forma en la que las empresas tratan los datos de los usuarios. Además de la avalancha, a veces innecesaria, de correos electrónicos informativos, la ley ha servido para destapar algunas prácticas al respecto como en el caso de la aplicación oficial de La Liga de fútbol profesional.

Según consta en sus términos de uso, la aplicación, disponible para los principales sistemas operativos iOS y Android, cuenta con una función opcional que, en caso de activarla, los usuarios dan permiso para acceder al micrófono y al sistema de geoposicionamiento del teléfono móvil, así como el nombre de la red de internet a la que está conectado. Una medida encaminada, según destaca el organismo del principal torneo de fútbol español, a «obtener información desde qué lugares se ven partidos de equipos que integran LaLiga y detectar posibles utilizaciones que infrinjan los derechos de propiedad intelectual de LaLiga por parte de establecimientos públicos».

Es decir, es posible «escuchar» de manera remota a través del sistema de audio de los terminales y dirimir si la retransmisión se está realizando a través de un domicilio privado o un establecimiento público, un bar o local de ocio. Estos últimos están contempladas otras tarifas especiales. «LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de fútbol de equipos. Esta información se utilizará para detectar fraudes», recogen las políticas de privacidad del campeonato.

«Cuando te descargues o actualices la aplicación, el sistema operativo de tu dispositivo móvil te solicitará a través de una ventana emergente que facilites tu consentimiento para que LaLiga pueda activar el micrófono de tu dispositivo móvil», añade el texto. Sólo si decides aceptarlo, el micrófono captará fragmentos de audio con el único objeto de poder conocer si estás viendo partidos de fútbol, defiende el organismo, que constata que el objetivo de esta recopilación de datos personales es «elaborar patrones estadísticos sobre consumo de fútbol» y «detectar explotaciones fraudulentas de las retransmisiones de los partidos».

LaLiga promete que sólo activará el micrófono del dispositivo móvil «en momentos en los que se estén disputando» partidos de competiciones de fútbol y «no accede a los fragmentos de audio captados», ya que estos se convierten de forma automática en un código binario en el propio dispositivo. La única información accesible, aseguran desde el organismo.

«Si este código coincide con un código previo de control, LaLiga podrá saber que estás viendo un partido determinado. Si no coincide, el código se elimina», añade el texto elaborado por el organismo. Aún así, los usuarios pueden revocar este consentimiento en cualquier momento desde su móvil a través de «Ajustes/Micrófono». «Si aceptas, la app de LaLiga hace uso de tu micro y geolocalización para detectar bares y cafeterías que emiten fútbol sin pagar la licencia correspondiente. Tratamientos de datos que convierten a tu móvil en chivato», denuncia a través de su perfil de Twitter Jorge Morell, jurista experto en derecho en internet y uno de los primeros en percatarse de esta situación.

Los derechos de terceros pueden ser afectados

La clave también se encuentra en que esta función es opcional, recuerda Sergio Carrasco, jurista experto en derecho digital de Fase Consulting, pero se «vende como una opción de colaborar» con La Liga. «Al final hay un tratamiento que difícilmente pasaría un análisis de proporcionalidad. Está bien que informen de la finalidad, pero ello no lo convierte de manera automática en un uso legítimo, por más que un usuario consienta a ello», explica. A su juicio, cree necesario ver las medidas de seguridad aplicadas a los archivos obtenidos, «por los derechos de terceros que pueden ser afectados». «Que el proceso sea automatizado (de manera similar a cómo trabaja Audible Magic en Youtube) no elimina los riesgos existentes, además de potenciales usos en la práctica más allá de los permitidos», valora.

A Esther Botella, abogada especializada en protección de datos y miembro, le preocupa que «nos estamos dándonos cuenta de esto» ahora gracias a la entrada en vigor del RGPD. «Antes no teníamos tan claro quién hacía este tipo de tratamientos». Esta opción le despierta, a su vez, cierta preocupación: «¿Qué ocurre con las voces de terceros? ¿Las recoge? ¿Las guarda? ¿Durante cuánto tiempo? Ahí me surgen sobre ese tratamiento. No sé si es del todo transparente».

laliga1-kdMD--620x349@abc