Las fases principales de un ataque de ingeniería social

La mayoría de los ataques de ingeniería social que pude sufrir una empresa tiene la misma operativa. Conocer sus fases nos ayuda a prevenirlo puesto que lo vamos a poder identificar a tiempo para actuar con diligencia.

El ciclo de vida de este tipo de ataque consiste en tres fases:

1ª Fase de reconocimiento: Esta fase conocida también como footprinting consiste en recabar toda la información posible de las potenciales victimas del fraude, por ejemplo, números de teléfono, nombres de dominio, correo electrónico, etc…

2ª Fase de manipulación: La manipulación psicológica es clave en este tipo de fraudes. Así por ejemplo hacer creer que existe una determinada urgencia en una operación muy importante que ha costado mucho conseguir, actuar rápidamente para no perder un servicio. Lo que trata el ciberdelincuente es establecer una relación de confianza utilizando nombres de dominios falsos o suplantando la identidad de una persona u organización conocidas.

3ª Fase final del ata  que: Una vez obtenido el objetivo el ciberdelincuente tratará que el fraude no sea descubierto, puesto que así la extorsión puede continuar durante más tiempo y el impacto será mayor para la empresa.

¿Cuándo es posible la grabación de imágenes en el ámbito educativo?

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías sectoriales.https://www.tudecideseninternet.es/aepd/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf

En este caso, se trata de dar respuesta a la legitimación del tratamiento de la grabación de imágenes de alumnos/as y profesores/as en los centros educativos.

Habría que distinguir entre la toma de imágenes como parte de la función educativa, en estos casos, estaría legitimado en el cumplimiento de la normativa propia y no precisaría de consentimiento.

Así, por ejemplo, tal y como indica la guía, los profesores en el desarrollo de la programación y enseñanza de las áreas, materias y módulos, puede precisar la realización de ejercicios que impliquen la grabación de imágenes, las cuáles solamente han de estar disponibles para las partes interesadas, es decir, alumnos/as, padres o tutores y el personal docente correspondiente. En ningún caso, se podría difundir de forma de forma abierta en internet, sin el consentimiento de los interesados.

Por otro lado, también es posible la toma de imágenes del alumnado en determinados eventos desarrollados en el entorno escolar con la única finalidad de que los padres puedan acceder a ella. Este acceso debería llevarse a cabo en un entorno seguro, que exigiera la previa identificación y autenticación de los interesados involucrados.

Comunidad de propietarios sancionada por notificar deudas en el tablón de anuncios.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00143-2020.pdf  una comunidad de propietarios recibe una sanción de  apercibimiento por notificar indebidamente las deudas a un propietario.

El reclamante manifiesta que sus datos de carácter personal y económicos han sido expuesto ante terceros, puesto que la notificación se realizó en el tablón de anuncios.

Ante la AEPD llegan las alegaciones de la comunidad de propietarios, la cual manifiesta, qué además de la publicación en el tablón correspondiente se realizó mediante burofax no siendo recogido por el deudor.

La AEPD estima que la comunidad no actuó correctamente, por un motivo de falta de cumplimiento de plazos, ya que el cartel anunciando la convocatoria que contenían la deuda y los datos personales se hizo antes de que transcurriera el plazo para recoger la notificación.

La sanción que se le pide a la comunidad es de apercibimiento, lo que implica, que en el plazo de un mes tiene que acreditar ante la AEPD el cumplimiento de que procede con todas las medidas necesarias para que el reclamado actúe de conformidad con los principios del art.5.1. f del RGPD; principio de integridad y confidencialidad.

Este tipo de sanciones hacen ver de la necesidad que tiene los responsables de tener un protocolo adecuado en protección de datos.

La notificación y el registro de las brechas de seguridad

En el caso de que una empresa haya sufrido alguna de las diferentes tipologías de brechas de seguridad que indicábamos en el boletín pasado, tales como; brechas de confidencialidad, brechas de integridad y/o brechas de disponibilidad, ha de cumplir con las siguientes obligaciones recogidas en el RGPD. Es el responsable el que tiene que llevarlas a cabo, salvo que, en el contrato de acceso a datos se haya dispuesto que lo gestione el encargado de tratamiento.

1º Se notificará a la autoridad competente, en el plazo de 72 horas desde su conocimiento, siempre y cuando suponga un riesgo para los derechos y libertades de los afectados.

2º Si no se notifica en el plazo de 72 horas, habría que indicar los motivos de la dilación. En el caso de que no pueda facilitar la información simultáneamente, ésta se entregará de forma gradual sin dilación indebida.

3º La notificación ha de tener un contenido mínimo, tal y como indica el art. 33.3 del RGPD;

Además de todas esas acciones, el RGPD hace referencia a la obligación que tiene el responsable de documentar cualquier brecha ocurrida en su empresa aunque no sea preciso notificarla a la autoridad competente.

¿Cuáles son los principales amenazas en ciberseguridad a los que se enfrenta la empresa?

Durante este insólito 2020, los ataques más frecuentes han sido los siguientes:

1º Ransomware; A través del cual se pretende cifrar la información para pedir luego un rescate. El medio más frecuente ha sido el phishing, suplantando la identidad de diferentes instituciones como; OMS, Ministerio de trabajo, Servicio Público de Empleo(..)

La última versión es que primero exfiltran la información antes de cifrarla pidiendo un rescate a la empresa amenazando con publicarla sino lo realizan.

2º Robo de credenciales; El modo de proceder también ha sido el phishing, así obtienen las credenciales de los usuarios y acceden a sus cuentas bancarias y servicios en la nube. Por ejemplo, el robo de credenciales de Microsoft 365 les permite configurar palabras clave que se reenvían a una cuenta de correo con la finalidad de preparar un fraude al CEO.

3º Ataques a escritorios remotos; Debido a la situación actual de pandemia y la necesidad del teletrabajo, muchas empresas publicaron los escritorios remotos de los empleados en Internet, sin una seguridad adicional como puede ser una VPN.

4º Fraudes al CEO; la situación de teletrabajo ha hecho que exista un mayor aislamiento del personal, con lo cual han aumentado los casos de suplantación del Director General.

La videovigilancia en comunidades de propietarios regidas por la Ley de Propiedad Horizontal

La AEPD en su guía sectorial “Protección de datos y administración de fincas” recoge con carácter general conceptos y cuestiones básicas de la normativa de protección de datos. Por otro lado, contempla también tratamientos específicos que frecuentemente llevan a cabo las comunidades de propietarios.

Uno de estos supuestos específicos es el de la videovigilancia en la comunidades de propietarios. Cuando una comunidad pretenda llevar a cabo la instalación de videocámaras ha de tener en cuenta el siguiente requisito que se recoge en el art. 17.3 de la Ley de Propiedad Horizontal;

Se necesita un voto favorable de las tres quintas partes del total de propietarios que, a su vez, representen las tres quintas partes de las cuotas de participación.

Además, se recomienda que en el acuerdo alcanzado en la Junta se reflejen las características del sistema de videovigilancia, el número de cámaras y el espacio captado. En cuanto al espacio captado este no podrá captar imágenes de las zonas que no sean consideras comunes, ni imágenes de terrenos y viviendas colindantes.

El acceso a las imágenes solamente podrá realizarse por las personas que hayan sido designadas por la comunidad de propietarios y el sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. En ningún caso será accesible a los vecinos mediante canal de televisión comunitaria.

Tienda online sancionada por no aplicar medidas de seguridad para garantizar la confidencialidad de los datos

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00185-2020.pdf se sanciona a un comercio online al no garantizar la confidencialidad de los datos personales de los clientes.

Los hechos reclamados tienen lugar cuando una usuaria del comercio reclamado accede a su cuenta y los datos personales que le aparecen no son los suyos sino los de otros clientes. Al ponerse en contacto con el comercio no obtiene respuesta, por lo que presentó una reclamación ante la AEPD.

En el proceso de investigación, la AEPD solicita a la reclamada que le envíe en el plazo de un mes la siguiente información:

  1. La decisión adoptada.
  2. Acreditación de la respuesta al ejercicio de derechos.
  3. Informe sobre las causas que han motivado la incidencia.
  4. Informe sobre las medidas adoptadas para evitar situaciones similares.

No se recibió contestación alguna por parte del comercio online, por lo que fue sancionado con 1.000 euros por vulnerar el art.5 de la LOPDGDD del deber de confidencialidad, ya que, expuso a la vista de terceros datos personales de otros usuarios y con una sanción de 2.000 euros por la infracción del el art. 32 del RGPD por no aplicar debidamente las medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento.

Seguridad en el tratamiento y las brechas de seguridad

El responsable y encargado del tratamiento están obligados por la norma, así lo dice el art. 32 del RGPD, a garantizar un nivel de seguridad adecuados para evitar en la medida de lo posible las brechas de seguridad que supongan un riesgo para los datos personales tratados por ellos.

En este sentido, es importante que se lleve a cabo un análisis de riesgos que permita analizar el nivel de seguridad y la determinación de cuáles son las medidas técnicas y organizativas adecuadas, para que, en el caso de que se produzca una brecha de seguridad, el responsable y/o encargado del tratamiento sean capaces de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

¿A qué tipo de brechas de seguridad de datos personales tenemos que hacer frente?

  • Brecha de confidencialidad: en aquellos casos en que no se tiene autorización para acceder a la información. La gravedad depende del alcance de la divulgación.
  • Brecha de integridad: se modifica la información original y se sustituye por otra causando un perjuicio al afectado.
  • Brecha de disponibilidad: no se puede acceder los datos originales cuando sea necesario.

¿Cómo debe ser la participación del delegado de protección de datos en una entidad?

La figura del delegado de protección de datos (DPD) se está convirtiendo en relevante para muchas entidades, ya que les aporta seguridad y garantía del cumplimento de la normativa.

Para que el DPD pueda realizar sus funciones con éxito, el responsable y encargado del tratamiento tienen que garantizar los siguientes aspectos recogidos en el art.38 del RGPD;

1º Participar de forma adecuada y oportuna en las cuestiones relativas a la protección de datos personales. En este sentido, el Comité Europeo de protección de datos aconseja que, se invite al DPD a participar con regularidad en las reuniones con los cuadros directivos altos y medios.

2º Respaldar al DPD en todas sus funciones facilitando los recursos necesarios para su desempeño. Así como el acceso a los datos personales y operaciones de tratamiento.

3º Garantizar la independencia del DPD. No podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones. Siguiendo con las recomendaciones del Comité Europeo, la opinión del DPD deberá tenerse siempre debidamente en cuenta, para ello, en caso de desacuerdo, sería conveniente documentar los motivos por los que no se sigue el consejo del DPD.

4º Evitar el conflicto de intereses con otras funciones desempeñadas por el DPD.

Instalación de un sistema de videovigilancia que capta la imagen y voz de las personas que acceden al edificio

El Gabinete Jurídico de la APED https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-grabacion-de-imagenes-y-voz-proporcionalidad.pdf responde con este informe a la duda planteada por un Ayuntamiento sobre la licitud de incorporar un sistema de videovigilancia con fines de “Seguridad y control de acceso a edificios” “y control de presencia de empleados” que grabase las imágenes y la voz.

En este sentido hay que considerar que tanto la imagen como la voz de la persona es un dato personal y por lo tanto supone un tratamiento que debe protegerse conforme a la normativa de protección de datos.

En relación con la instalación de sistemas de videocámaras deberá respetar el principio de proporcionalidad, valorando así, adoptar medios menos intrusivos, y que sea ponderada derivándose más beneficios que perjuicios para el interés general. Aplicando, además, el principio de minimización de datos de forma que estos sean adecuados pertinentes y limitados en relación con los fines para los que son tratados.

El Gabinete Jurídico indica en el informe que la legitimación de la videovigilancia por razones de seguridad no implica necesariamente la legitimación de la grabación de la voz, puesto que las grabaciones indiscriminadas de voz y conversaciones de los empleados y público en general que accede al edificio resultarían incompatibles con el principio de proporcionalidad.