Ley Federal de Protección al usuario digital

Se propone la creación de la Ley Federal de Protección al Usuario Digital; por parte del Grupo Parlamentario de Morena.

Para muchas personas, hoy en día, el hecho de permanecer en línea mediante una conexión a internet se ha convertido en una necesidad para poder desempeñar su trabajo, para estar en contacto con sus familiares e incluso como medio de entretenimiento y, un foro de comunicación mediante el cual expresan opiniones, proporcionan información de productos o servicios, y/o participan en debates, ya sean públicos o privados, sobre temas de interés general, por estas razones se concibió construir un marco regulatorio para un entorno digital y globalizado, surgiendo la propuesta de Ley denominada LEY FEDERAL DE PROTECCIÓN AL USUARIO DIGITAL, misma que propone, además, reformar y adicionar diversas disposiciones de las Leyes Federal de Telecomunicaciones y Radiodifusión, así como la protección de datos personales en posesión de los particulares y la Ley federal de protección al consumidor, que ya contempla la defensa de los derechos a los usuarios digitales.

Esta propuesta de Ley, busca ajustar las normas jurídicas a las situaciones que existen en la actualidad, lo cual es indispensable dado que todo ordenamiento legal nace por la obligación que tiene el estado de garantizar a todas las personas el respeto a sus derechos fundamentales y regular las relaciones entre los particulares, así como las relaciones entre éstos y las plataformas y servicios digitales; siendo el turno de los usuarios digitales como particulares que usan el internet.

Con esta propuesta de Ley, entre otras cuestiones se busca insistir en la no propagación de contenido ilegal como la intimidación, el acoso, la discriminación y otros delitos ya sancionados en otros ordenamientos legales; pero lo más relevante es que se propone sancionar la infodemia o propagación de noticias falsas.

En un cúmulo de 32 artículos la propuesta de Ley contempla promover y proteger los derechos de los usuarios digitales y las relaciones con los proveedores de servicios digitales.

Definiendo conceptos como: “Moderación del contenido”; “Servicio digital”; “Servicio digital de intermediación”; “De mero conducto”; “De almacenamiento en caché”; “De alojamiento”; así como “Términos y condiciones” y qué debe entenderse por “Usuario digital”.

Y planteando entre otros derechos, el que los usuarios digitales ejerzan la portabilidad de los datos personales e información que hayan generado a través de los servicios digitales; que puedan elegir libremente su proveedor de servicios digitales; y que al contratar servicios digitales les den a conocer las condiciones comerciales para exigir el cumplimiento forzoso del contrato cuando el proveedor del servicio digital modifique las condiciones originalmente contratadas; y puedan manifestar sus las ideas y tengan acceso a la información.

Será el Instituto Federal de Telecomunicaciones en conjunto con la Profeco quienes tendrán a su cargo el promover, proteger, asesorar, defender, conciliar, y representar a los usuarios digitales.

A la propuesta de Ley le falta tener en consideración regulación y tratamiento en temas como el comercio entre particulares usando la plataforma del creador de las redes sociales; la regulación y protección a los menores de edad mediante la autorización de los padres o tutores; la regulación del contenido en los medios digitales dirigido de acuerdo a la edad del usuario digital.

Esperemos que los legisladores aprueben la creación de este ordenamiento legal que resulta indispensable.

Mientras esto sucede y la ley es aprobada, las recomendaciones siguen siendo, mantener una conducta de civismo digital, tomado conciencia de qué sí debo y puedo hacer público a través de las diversas plataformas y herramientas que nos proporciona internet; leer los avisos de privacidad para gestionar nuestro consentimiento respecto a los usos que se le dará a la información personal; analizar los términos y condiciones de cada sitio en internet; y alertar a los creadores de los sitios web, plataformas digitales, redes sociales y autoridades competentes si somos víctimas o conocemos a alguien que lo sea, de algún delito cibernético.

Por: Viridiana Aguijosa

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

Recomendaciones para instituciones educativas

Parte 1

Hoy en día la educación continúa evolucionando gracias a los avances tecnológicos. Estos permiten que los alumnos interactúen con plataformas tecnológicas que proporcionan un aprendizaje interactivo y lúdico de conceptos, teorías y nuevas formas de solucionar problemas y entender el mundo.

Internet: su uso en instituciones educativas se ha vuelto fundamental. Las enciclopedias y bibliotecas físicas que se utilizaban en investigaciones para cumplir con una tarea o como método de estudio para un examen quedaron atrás. Internet se ha convertido en la biblioteca digital más completa (tanto de información cierta como falsa).

Cuando una institución educativa decide introducir plataformas digitales como habilitadores de métodos educativos, es importante que tomen en cuenta las siguientes recomendaciones:

  • Establecer su política de uso de internet
  • Establecer responsabilidades, compromisos y sanciones
  • Implementar controles que permitan filtrar y bloquear contenido no apto o autorizado para la comunidad educativa
  • Implementar sesiones de educación (Civismo digital) y concienciación sobre las amenazas y peligros del internet

Es importante que la institución educativa se asegure de tener las respuestas a las siguientes preguntas:

Si se comete un crimen como los siguientes a través de alguna de sus plataformas digitales, ¿la institución educativa sabe cómo reaccionar?

  • Una extorsión
  • Un fraude
  • Ataques cibernéticos a otras entidades
  • Conspiraciones
  • Robo de información
  • Aprovechamiento de recursos tecnológicos de otra entidad
  • Etc.

Si un miembro de su comunidad realiza alguna de las siguientes acciones, ¿la institución educativa sabe cuáles son sus obligaciones legales?

  • Suplantar la identidad de un compañero
  • Traficar con información del colegio
  • Conspirar con otros miembros para cometer un acto ilícito

Si la comunidad educativa fuera víctima de alguna de las siguientes situaciones, ¿sabe cómo responder?

  • Robo de datos personales de miembros de su comunidad
  • Extorsión a través del secuestro de su información y de la imposibilidad de continuar con sus actividades en sus plataformas digitales
  • Uso de la plataforma tecnológica para la minería de datos, ya sea a través de miembros de su comunidad o personas ajenas a esta

¿Cuenta con políticas de uso de las Plataformas de colaboración?

Estas plataformas ampliamente manejadas en el ámbito profesional son también utilizadas para que los estudiantes trabajen de manera colaborativa, sin embargo, estas a su vez podrían prestarse para:

  • Agredir
  • Humillar
  • Compartir información ofensiva
  • Compartir información no relacionada con el ambiente y objetivos escolares
  • Suplantación de identidad

Al seleccionar las plataformas de colaboración, es importante que la institución educativa revise no sólo las funcionalidades tecnológicas, sino también temas de seguridad como:

  • Los controles y el compromiso del proveedor y fabricante con respecto a la protección de información que se almacenará, procesará y/o transmitirá desde su plataforma.
  • Líneas de acción y sanciones en caso de que el proveedor de la plataforma sea víctima de un robo de información que comprometa a la institución educativa.

Redes sociales: hoy en día uno de los medios de comunicación más utilizado son las diversas plataformas de redes sociales, ya sean propias de la institución o las redes privadas de cada integrante de la comunidad educativa. Por este motivo es importante establecer reglas sobre su uso, publicación, actuación, etc. Por ejemplo, se debe normar qué información SI y qué información NO puede publicarse:

  • Resguardar la información personal de los miembros de la comunidad
  • Evitar comentarios relacionados con temas controversiales como religión, política, etc.  utilizando el nombre de la institución educativa
  • Evitar mensajes inapropiados entre miembros de la misma comunidad
  • Evitar publicar posturas sobre temas públicos en nombre de la comunidad

En nuestra siguiente publicación encontrarás las recomendaciones que Escuelas Ciberseguras brinda a tu institución educativa...

Por Ana Cecilia Pérez

Cómo proteger la privacidad de nuestros datos

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos recomiendan cómo proteger la privacidad de nuestros datos.

Los casos de robo de identidad y violaciones de datos nos han hecho más cautelosos al proporcionar información personal. ¿Cómo se almacena mi información personal? ¿Cómo se va a usar? ¿Por qué necesitan mi información personal? Todas estas son preguntas que debemos hacernos al hacer una compra, completar un formulario o registrarse para un evento.

El 28 de enero, Día de la Privacidad de Datos, es un buen momento para recordar las mejores prácticas de privacidad de datos y explorar oportunidades para difundir acerca de mantener privada nuestra información personal. Como «Campeones del Día de Privacidad de Datos», el Centro ofrece las siguientes ideas:

En tu comunidad:

  • Comparte tu conocimiento de privacidad como voluntario en una escuela local, centro de atención para personas mayores u organización basada en la fe. Usa los recursos gratuitos del Centro para correr la voz.
  • Se parte del Día de la Seguridad Cibernética de Tampa Bay al patrocinar a 30 o 1,000 niños para recibir las Aventuras de Seguridad Cibernética de Garfield de forma gratuita.
  • Use el código de promoción Privacy2020 al finalizar la compra para obtener Garfield’s Cyber ​​Safety Adventures – Lección de privacidad por solo $ 40 USD. ¡Viene con todo lo que necesitas para 30 niños! Si requieres más información para tener las lecciones en México, por favor contáctanos (en la parte superior de la página hay varios canales de comunicación).

En casa:

  • La información personal es como el dinero. Valórala. Protégela. Considera detenidamente cómo se recopila su información personal a través de aplicaciones y sitios web.
  • Comparte con cuidado. Piensa antes de publicar sobre ti y otros en línea. Considera lo que revela una publicación, quién podría verla y cómo podría percibirse ahora y en el futuro.
  • ¿Deseas ver o cambiar tu configuración de privacidad / seguridad, pero no sabes dónde hacerlo? Usa estos enlaces directos para actualizar tu configuración de privacidad en dispositivos populares y servicios en línea.

En el trabajo:

  • Mantén una computadora limpia. Tener el último software de seguridad, navegador web, sistema operativo y dispositivo es la mejor defensa contra virus, malware y otras amenazas en línea.
  • La privacidad es buena para los negocios. Involucra a los empleados con iniciativas como almuerzo y aprendizaje, videos divertidos y concursos.

Recursos proporcionados en asociación con Stay Safe Online.

Universidad inglesa aconseja a sus estudiantes y colaboradores que verifiquen sus datos financieros después de ser víctima de un ciberataque

Se ha revelado que la universidad Swindon College declaró que un ciberataque dirigido derivó en el acceso no autorizado a los datos personales tanto del personal que labora en la institución como de alumnos actuales y anteriores. Una declaración de la universidad señala que la violación de datos ocurrió la semana pasada.

La universidad reportó que aquellos usuarios que puedan verse afectados deben verificar sus cuentas bancarias para identificar cualquier actividad sospechosa.

La Oficina del Comisionado de Información y la Agencia Nacional del Crimen de Reino Unido han sido informadas, en tanto que la institución educativa señaló que ya se estaba realizando una investigación criminal, y que se pondría en contacto con todas las personas afectadas con más detalles tan pronto tengan más información.

Este tipo de ciberataques a instituciones educativas es cada vez más frecuente.

¿Leíste las «letras chiquitas» de la política de privacidad de tu aplicación de fitness?

El sitio de noticias The Verge ha publicado un artículo muy interesante y relevante para proteger nuestra privacidad al utilizar aplicaciones de fitness.

Para nadie es un secreto que el gran éxito que tienen estas aplicaciones es brindarle a los usuarios la capacidad de compartir sus entrenamientos con sus amigos y alentarse mutuamente, sin embargo, cuando se trata de compartir esta información con el desarrollador de la aplicación o de algún tercero anónimo, la situación sin duda cambia. Por ello hay que leer las «letras chiquitas».

La cantidad de datos que son compartidos, y las personas y organizaciones a las que se les hace llegar, es información que generalmente se establece en la política de privacidad de las aplicaciones, y que la mayoría de las personas aceptan (y no se molestan en leer) cuando las instalan. Para saber exactamente lo que se está aceptando, es muy importante echar un vistazo a las políticas de privacidad de algunas aplicaciones populares de fitness. Algunos son buenos. Algunos son alarmantes. Para muchos de ellos, puedes existir aspectos de las que desearías optar seleccionar manualmente si deseas proteger tu privacidad.

El portal destaca que si un usuario vincula su cuenta de estado físico con su cuenta de Google o Facebook para iniciar sesión, le está dando a la empresa acceso a su lista de contactos y actividad social. Es posible que no quieras hacer eso.

Por otro lado, la mayoría de las aplicaciones buscarán usar las funciones de seguimiento de anuncios nativas de tu plataforma. Puedes desactivarlos de la siguiente manera:

  • En un iPhone, vaya a «Configuración»> «General»> «Privacidad»> «Publicidad»> «Limitar seguimiento de anuncios»
  • En Android 9, vaya a «Configuración»> «Google»> «Anuncios»> «Desactivar la personalización de anuncios»

Para validar cómo controlar en mayor medida tu información y la manera en que la compartes a través de las aplicaciones de fitness más populares, accede al artículo aquí.

WhatsApp no permitirá su uso en menores de 16 años

La Unión Europea estableció 16 años como la edad mínima permitida en esa región para poder utilizar WhatsApp, sin embargo, en el resto del mundo, los términos de servicio la ajustan a 13 años.

Si resides en un país del Espacio Económico Europeo o en cualquier otro país o territorio que forme parte de él (denominados en conjunto Región europea), debes tener al menos 16 años de edad (o más, si así lo requiere la legislación de tu país) para registrarte y utilizar WhatsApp”.

Según el portal Wabetainfo, la actualización de WhatsApp para Android hará efectiva esta política. En la versión beta 2.19.222 se ha encontrado entre el código esta función, lo cual quiere decir que de alguna manera WhatsApp va a ser capaz de detectar o verificar que el usuario es mayor de 16 años. 

WhatsApp ha sufrido varios cambios desde su adquisición por Facebook, integrándose a la plataforma de una manera más estrecha. La gigante plataforma social ha estado involucrada en grandes escándalos debido a la violación a la privacidad de sus usuarios, así como prácticas poco éticas respecto a la confidencialidad de su información, por lo tanto este tipo de acciones buscan sacudirse un poco de presión, además de alinearse a las regulaciones de privacidad, particularmente a la europea GDPR.

No se tiene de momento identificado cómo es que Facebook eliminaría las cuentas de menores de 13 y 16 años según su país de origen.

Usuarios de Facebook podrán controlar datos personales tomados de otros sitios web

Después de que se hicieran públicos los señalamientos sobre Facebook respecto a la práctica de transcripción de conversaciones de algunos usuarios, la red social presentó una nueva funcionalidad orientada a proteger la confidencialidad brindándoles a sus usuarios la posibilidad de controlar sus datos que fueron obtenidos por aplicaciones o sitios de terceros. Sin duda, un intento por minimizar el impacto a su reputación ya minado desde hace años por atentar contra la privacidad.

Con esta funcionalidad, los usuarios podrán decidir si los datos que Facebook consigue a través de aplicaciones o páginas web de terceros pueden vincularse a sus cuentas en la red social.

Stephanie Max, responsable de productos de Facebook, señaló que en general se utilizan esos datos para proponer publicidad relacionada con los dispositivos o la información que ha sido buscada en Internet, pero que Facebook sabe que es muy importante aportar más transparencia y control a sus usuarios sobre este tipo de datos.

Inicialmente se liberaron estas funciones en Irlanda, España y Corea del Sur, y posteriormente se habilitarán en el resto del mundo en los próximos meses.

¿Qué hace Facebook con estos datos?

Los datos que pueden ser recopilados van desde el tipo de dispositivo usado por los usuarios para conectarse hasta la ubicación geográfica, y de esta manera Facebook puede proponer publicidad personalizada, la cual comercializa a empresas que le permiten obtener una «jugosa» fuente de ingresos.

Estos datos son recopilados por Facebook desde sitios de comercio electrónico hasta diarios en línea, a través de herramientas que la misma plataforma provee a otras empresas para fines publicitarios, conteo de tráfico o búsquedas de productos.

Es importante señalar que Facebook no se plantea prescindir completamente de esos preciados datos.

Si el usuario lo decide, «vamos a desligar los datos, pero los continuaremos recibiendo, aunque de forma anónima. Eso nos permite elaborar estadísticas sobre las interacciones publicitarias, aunque sin saber» la identidad de los que visitan esos sitios señaló Stephanie Max.

Facebook de nuevo “a las andadas” con la privacidad de sus usuarios

La Comisión Federal de Comercio de los Estados Unidos señaló que Facebook violó la privacidad de sus usuarios al no clarificar el uso de sus números de teléfono cuando activaron la verificación de dos pasos.

Los usuarios registraron su número telefónico con fines de seguridad y algunas empresas de publicidad se aprovecharon de ello, señaló el diario Washington Post.

No es la primera ocasión que se detectan problemas de privacidad con el medio social durante este año, ya que en marzo el portal TechCrunch informó que Facebook estaba usando los números de los usuarios sin su consentimiento y para fines publicitarios.

Reuters reveló que Facebook atendería la denuncia pagando aproximadamente $ 5 mil millones de dólares.

Menores chatean con extraños con Messenger Kids, y sus padres no lo sabían

La aplicación fue diseñada por Facebook específicamente para niños de 6 a 12 años de edad, donde solo podían interactuar con personas que hayan sido aprobadas por sus padres.

Sin embargo, según el portal The Verge, una falla de diseño permitió a los usuarios eludir esa protección a través del sistema de chat grupal, permitiendo a los niños ingresar a chats con extraños no aprobados.

Durante la semana pasada, Facebook ha estado cerrando silenciosamente esos chats grupales y ha alertado a los usuarios, pero no ha hecho declaraciones públicas que revelen el problema. 

La aplicación permitió que alguien extraño se involucrara en un grupo sin ser alguien aprobado por los usuarios y así se crearán chats grupales donde prácticamente interactúan con desconocidos 

Como resultado, miles de niños se quedaron en chats con usuarios no autorizados, una violación de la promesa central de Messenger Kids.

No se sabe realmente cuanto tiempo ha estado presente el error en la aplicación, que se lanzó con características de grupo en diciembre de 2017.

La falla de privacidad es particularmente sensible a la ley porque Messenger Kids está diseñado para niños menores de 13 años y, por lo tanto, está sujeto a la Ley de Protección de la Privacidad en Línea de los Niños (COPPA). Algunos grupos de privacidad ya han acusado a Messenger Kids de violar la COPPA mediante la recopilación de datos de los usuarios, y ésta última falla de privacidad solo aumentará esas preocupaciones.