info@ecija.com

Mes: abril 2016

Ciberchantajes y bitcoins

Posted on by soporte

«Ciberchantajes y bitcoins», post de Javier López, socio de Dispute Resolution de ECIJA.

Los llamados ciberchantajes se han convertido en la nueva técnica de las mafias para enriquecerse ilícitamente mediante la extorsión. Fue sonado el caso de la fuga de información que se produjo en 2015 en la página de contactos de Ashley Madison, cuyo slogan es “La vida es corta. Ten una aventura”, y que tuvo como consecuencia que los datos de más de 30 millones de usuarios cayeran en manos de hackers, cuyo objetivo era conseguir dinero a cambio de no hacer públicos sus devaneos extramatrimoniales.

Y es que los tiempos en los que se ofrecía protección a los negocios a cambio de una “compensación” económica al estilo de “El Padrino”, manteniendo la esencia, ha evolucionado mucho. En efecto, ya no se amenaza con romper lunas o asustar a la clientela, sino que los hackers acceden a los sistemas informáticos de las empresas, copiando sus datos y bloqueando sus sistemas, con la advertencia de que si la víctima no accede a sus peticiones, borraran los archivos e inutilizaran su sistema informático, lo que podría generar un caos, como en el caso del hackeo de la potabilizadora en la que consiguieron cambiar la composición química del agua.

Y esto parece estar al alcance de cualquiera. Según el informe de Dell Secureworks “Underground Hacker Markets”, el precio en el mercado negro por hackear una cuenta de Facebook, Gmail o Hotmail sería de 129 euros, ascendiendo a 500 € en el caso de que se trate de la cuenta corporativa de una empresa. Lógicamente, la prevención de la delincuencia informática ha pasado a ser una prioridad para las empresas y una cuestión de seguridad nacional para los Gobiernos, hecho al que no somos ajenos, pues, con sus más 4.000 cyberataques al día, España es uno de los países más castigados por los ciberdelincuentes.

Pero ¿cómo lo hacen? Los métodos son variados: spam, virus, troyanos, gusanos, ataques DDos (con los que se consigue que un ordenador o una red quede inaccesible, habitualmente privándole de conexión a internet mediante el consumo del ancho de banda de la ADSL o por sobrecarga de sus recursos a través de un suministro excesivo de información que sature los sistemas informáticos), redes botnets o “zombies” (redes formadas por multitud de ordenadores infectados por un malware que permite que sean controlados de forma remota para cometer fraudes como, por ejemplo, descifrar contraseñas a base de ofrecer aleatoriamente soluciones hasta averiguar la correcta), etc.

Emulando el proceder del chantajista tradicional, una vez que disponen de la información crítica con la que extorsionar a la víctima, se dirigen a ella para exigir el rescate. Teniendo en cuenta el carácter virtual de todo el proceso, se les planteaba el problema de cómo recibirlo, pues la designación de una cuenta bancaria deja un rastro que podría permitir deshacer la operación y localizar a quien se encuentre detrás de dicha cuenta.

Esa es la razón por la que muchos de ellos piden que se les pague en bitcoins, que es una cybermoneda, cuyo protocolo se atribuye a Satoshi Nakamoto, que funciona al modo de anotaciones en cuenta, con la peculiaridad de que no está controlada por autoridades gubernamentales, como ocurre con la moneda tradicional, sino a través de una contabilidad pública denominada «block chain», que es la que verifica la validez de las transacciones, de forma que los monederos están encriptados y no se relacionan con ninguna persona física, con lo que se conseguiría el anonimato apetecido.

Sin embargo esto no es así, pues los criptogramas pueden ser descifrados, lo que permite a las fuerzas policiales localizar a los cibercriminales y ponerlos a disposición de los Tribunales. En efecto, en Estados Unidos, donde la Securities and Exchange Commission (SEC) considera que la bitcoin es un instrumento financiero legítimo, el propio Charlie Shrem, uno de los promotores de la bitcoin, fue condenado a dos años de prisión por blanqueo de capitales con bitcoins a través de la página web “Silk Road”. Y aquí en Europa, un joven alemán de 20 años fue condenado por vender droga de forma online desde su habitación, que cobraba en bitcoins.

Future is now… Aprobado el Reglamento Europeo de Protección de Datos

Posted on by soporte

«Future is now… Aprobado el Reglamento Europeo de Protección de Datos», post de Daniel López, asociado senior de IT y Privacidad de ECIJA.

Tras varios años de debates interminables, informaciones e incertidumbres, el pasado 14 de abril se aprobaba el nuevo Reglamento Europeo de Protección de Datos. Una norma que regulará el tratamiento de datos personales en la Unión Europea durante los próximos años, acorde al momento actual, a las exigencias del imparable avance tecnológico y la proliferación de nuevos modelos de negocio en el ámbito digital.

Así los próximos dos años son claves para la adaptación de las empresas a la nueva norma, un tiempo en que la innovación tecnológica deberá ir de la mano de la innovación jurídica y una mayor especialización del sector.

Derechos de nueva generación, como la consolidación del derecho al olvido y el derecho a la portabilidad de los datos, que se unirán a los ya conocidos derechos de acceso, rectificación, cancelación y oposición. Términos como privacidad desde el diseño, evaluaciones de impacto, o la inclusión del Data Protection Officer (Delegado de Protección de Datos), se incorporarán a nuestro vocabulario en esta rama del Derecho.

La nueva normativa pretende avanzar en la protección de los datos de las personas, devolviéndoles el control sobre sus datos, aportando seguridad jurídica y transparencia a los sistemas de tratamiento de datos personales en el entorno digital.

Para ello, entre otras cuestiones, la nueva norma apuesta por:

  • Consolidación del consentimiento para el tratamiento de los datos personales.
  • Limitaciones en el uso del tratamiento automatizado de los datos personales para tomar decisiones (elaboración de perfiles).
  • Derecho de las personas a ser notificadas cuando sus datos se encuentren comprometidos.

Por otro lado, las empresas se beneficiarán de  un sistema más ágil y claro que posibilite la generación de nuevos modelos de negocio de forma respetuosa con los derechos de las personas. Una norma común para toda la Unión Europea, que establece la igualdad de trato para todas las empresas, que facilitará el conocimiento y aplicación de la misma.

Así, el Reglamento Europeo:

  • Elimina la actual obligación de inscribir los ficheros en la Agencias y Autoridades de Protección de Datos.
  • Se consolida el principio de transparencia en el tratamiento de los datos personales y el principio de accountability,
  • Se avanza en un enfoque en función del riesgo, ajustando las obligaciones de los responsables de ficheros y tratamiento al nivel de riesgo del tratamiento.
  • Apuesta por la simplificación de los avisos legales y clausulados facilitando su comprensión por las personas cuyos datos van a ser tratados.

Entre otras cuestiones que aborda el nuevo Reglamento, se encuentra la inclusión de los datos genéticos y biométricos como especialmente protegidos y el establecimiento de garantías más estrictas para las transferencias internacionales de datos fuera de la Unión Europea (una exigencia tras la eliminación del Safe Harbor el pasado año),

Otro de los aspectos que resalta la nueva norma son las cuantías de las sanciones asociadas al incumplimiento de la norma, pudiendo llegar a los 20 millones de euros o el 4% de la facturación general anual.

A lo largo de los próximos meses iremos analizando en nuestro blog  temas de actualidad relacionados con la innovación tecnológica, propiedad intelectual e industrial, nuevos modelos de negocio, economía colaborativa, aspectos relacionados con las telecomunicaciones, y aquellas cuestiones y novedades que puedan ser de interés para todos aquellos que nos visitáis.

¡Os esperamos!