Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


FELICIDADES!!!



lunes, 4 de noviembre de 2019

Descontrol de datos personales

https://www.lapoliticaonline.com/nota/ciberseguridad/

El descontrol de ciberseguridad, protección de datos y tecnología en Cambiemos 
 Por Marcos Mansueti 
El Gobierno que termina el 10 de diciembre deja a Argentina en un descontrol en materia de datos personales, información de los ciudadanos, contratos con empresas multinacionales, sistemas de control, gestión y seguridad informática en el Estado. 02/11/2019 Con total impunidad. Así se manejaron desde que asumieron el 10 de diciembre de 2015 los funcionarios relacionados con modernización, sistemas, ciberseguridad y tecnología de la gestión macrista. Mostrando en sus cuentas personales de las redes sociales como con dinero de los contribuyentes comenzaban a viajar a Google, Facebook, Twitter y otras empresas por el mundo para cerrar acuerdos insólitos que son por lo menos cuestionables y no fueron nunca necesarios para los ciudadanos más que para ellos recorrer el mundo y sumar fotos para sus perfiles de redes sociales. Apenas fue el comienzo. Lo siguen haciendo hasta incluso luego de haber perdido las elecciones. Pensaron que serían eternos, que nadie los estaría observando, que ellos eran los únicos que sabían y entendían lo que estaban haciendo. El resto no podría objetar algo. Así actuaban. Desde entonces la Argentina pasó ser un descontrol en materia de datos personales, información de los ciudadanos, contratos con empresas multinacionales, sistemas de control, gestión y seguridad informática en el estado. También hubo casos peores donde la justicia deberá investigar aquellos que de empresas privadas saltaron del mostrador renunciando a ellas para luego asumir cargos clave y contratar las empresas donde pertenecían, como por ejemplo en el famoso Ministerio de Modernización. Si bien la cabeza visible de esta área es Andrés Ibarra, su segundo Daniel Abadie, subsecretario de gobierno digital ha sido uno de estos personajes, que dice que el ministerio es una startup estatal. Pero sirvió solamente para recolectar información de manera indiscriminada como aparato de inteligencia de big data dentro del estado y además para crear cientos de cargos para la nada misma porque aplicaciones importantes las terminaron concursando por licitación para realizaciones externas. Gobierno Digital AR @GobDigitalAR 📲La aplicación #MiArgentina centraliza los trámites del estado y permite a los ciudadanos tener en su celular documentos y credenciales en formato digital y con plena validez legal. Conocé sus orígenes y desarrollo en el segundo capítulo de esta serie con @Dan_Abadie Embedded video 24 7:07 AM - Oct 25, 2019 Twitter Ads info and privacy 16 people are talking about this Organismos como la Dirección Nacional de Datos personales, hoy Agencia de Acceso a la Información Pública, miraron durante todo el tiempo hacia otro lado, sus funcionarios estaban para tapar lo evidente. Su función, era ser algo similar a la oficina anticorrupción, pero resguardando la información de los ciudadanos y actuar en consecuencia ante incumplimientos de las leyes. No sucedió. A los meses de haber asumido me presenté personalmente ante su titular, Eduardo Bertoni y cuestioné: "¿Cómo es posible que para registrar un dominio de Internet en Argentina haya que registrarse e ingresar con los datos a la AFIP y que pasen por el Ministerio de Modernización?" la respuesta fue: "no estábamos enterados de esto". Y así fue. En ningún país del mundo se relaciona un registro de dominio con un organismo fiscal ni menos pasando la información por un ministerio. Ni hablar de cómo se comenzó a ceder la soberanía de datos de los ciudadanos, información de correos estatales y sistemas cloud (servicios de almacenamiento) extranjeros. Algo que es técnicamente irreversible porque por más que algún día se quite de las nubes y se vuelva a alojar esa información en nuestro país, nada ni nadie garantiza que las nubes fehacientemente eliminen esa información. A esto debemos sumarle el festival de intercambio de datos en tiempo real que hoy entre los organismos estatales. Según el titular de la AAIP dice que es legal porque la ley de Datos Personales lo contempla, pero no es así, dado que cuando un ciudadano entrega sus datos los hace con una finalidad, y si luego recibe por ejemplo propaganda política, no es la finalidad ni el consentimiento prestado al consentir ceder sus datos. Ni hablar de la autorización de esa cesión de datos al extranjero que jamás fue informada a los titulares de los datos o las ventas de esas bases de datos que luego serían para fines de propaganda política y análisis de big data. Por eso cuando aquellos representantes de las nubes en Argentina hablan de compliance, vendiendo que la ley es totalmente compatible con lo que ofrecen están faltando a la verdad. Datos de organismos pululando por agencias de big data sin control de nadie. No hay ni existe registro ni control de uso de webservices ni de traspaso de base de datos entre organismos estatales, por una simple razón: no hay interés en el control amparándose en la falta de conocimiento y la falta de respeto hacia las leyes en quienes están "arriba". Saben que los datos y la información hoy equivalen a una mina de oro. Es así que entonces nacen TAD (Trámites a Distancia) y GDE (Gestión Documental Electrónica). Los tanques de recolección de datos de Modernización con la excusa de eliminar el papel para agilizar los trámites intra y extramuros del estado. Alojado en servidores que se encuentran en situaciones precarias (como se pudo ver en denuncias de El Destape en una nota de Ari Lijalad) y que el día del blackout algunos se apagaron (cuando no debía ser así) y casi no arrancaban nuevamente. Ni hablar de que no hay estructuras de backup y resguardo de información para todo lo existente. Gran parte del código fuente se desarrolló por empresas externas al estado, lo cual sorprende habiendo sido el ministerio que más creció desde sus comienzos, con un presupuesto enorme teniendo en cuenta que el desarrollador tiene posibilidades de acceder a un sistema en producción. Pero lo peor aún del Ministerio de Modernización es que hay muchos webservices que sin explicación alguna, entre un organismo y otro pasan en el medio por Modernización, pudiendo este guardar una copia de esos datos sin control alguno. Modernización habrá tenido en estos cuatro años una bola de información incalculable hasta incluso muy superior a la de la AFI. ¿Quién controló a Modernización? Recién en septiembre de 2019 un extenso e importante informe de la Auditoría General de la Nación alerta sobre el desastre técnico que es GDE y los riesgos del caos que podría llegar a generar cualquier falla. Otro divague de este ministerio fue algo que nos costó caro es Chat Crecer un (ro)bot sobre Facebook (https://www.argentina.gob.ar/chat-crecer) que no lo utiliza nadie y además nos costó otros miles en un viaje para recibir un premio intrascendente en plena crisis por la utilización y austeridad de los recursos estatales. Pero no, la jugaron a cyber rockstars con dinero del pueblo. The Webby Awards ✔ @TheWebbyAwards Today Webby Winners from around the world gather at @PublicHotels to record their #5WordSpeech! #Webbys View image on Twitter 16 5:49 PM - May 12, 2019 Twitter Ads info and privacy See The Webby Awards's other Tweets Modernización en teoría se creó para reducir gastos y optimizar recursos estatales. Por ello en el 2016 nombran a un tuitstar macrista llamado "supersifón" como Director Nacional de Políticas y Desarrollo de Internet. Cobrando más de $ 80 mil mensuales. Al día de hoy no se conoce al menos una política de desarrollo de Internet realizada por esta persona. Lo último en presentar este organismo fue la aplicación Mi Argentina que promete reemplazar el documento nacional de identidad y la licencia de conducir con algunas reservas. Ha tenido diferentes fallas desde su lanzamiento. Todo bajo el lema de Gobierno Abierto, Transformación Digital, etc. Cuestión que se desarrolló también por afuera del organismo, y una vez más nos preguntamos ¿para que contrataron tantas personas si los desarrollos son externos? En diversos organismos estatales, quienes están a cargo de los mismos no han logrado ponerse de acuerdo con los directivos de las áreas de sistemas y tecnologías. Resultado de esto, se terminan contratando conexiones residenciales personales para dentro de sus despachos. En muchos de estos han realizado pedidos de auditoría de ciberseguridad (a Modernización, por ejemplo) sin tener respuesta satisfactoria, pero con la reiteración de la imposibilidad de contratar auditorías externas. Funcionarios estatales han estado y/o están en peligro en materia de ciberseguridad sin responsables visibles y si alguna vez estuvo comprometida su privacidad seguramente nunca nos enteraremos. Tampoco en organismos estatales ha existido capacitación de prevención y concientización en el uso de herramientas tecnológicas de manera masiva. ¿Qué ha hecho estos años el comité de ciberseguridad creado y liderado por Marcos Peña con Andrés Ibarra? No hay respuesta a eso. Cuando se intenta consultar la respuesta es que "en realidad la seguridad dependía en la práctica de la ENACOM". Las principales problemáticas que podemos encontrar hoy en cualquier organismo son: a) falta de control del tráfico de datos, b) redes inseguras, c) utilización de emails personales y/o gratuitos, d) cero controles en credenciales y accesos para personas que ya no trabajan más o usuarios duplicados y falta de control de registro de accesos. d) códigos inseguros y servidores desactualizados, e) falta de documentación de desarrollos e infraestructura, f) falta de backups y políticas de disaster recovery, g) comunicación de funcionarios a través de Whatsapp como lo hace cualquier hijo de vecino h) no hay nada ni nadie que ante un evento de ciberdelito actúe brindando una solución en tiempo y forma, tanto para un civil, organismo o una fuerza de seguridad. La ENACOM tiene que controlar entre otras cosas a los operadores de cable e Internet. No lo ha hecho, uno de los ISP residenciales mas grandes del país ha repartido recientemente módems con un virus dentro (hijack), y nunca movió un dedo para investigar la situación. La competencia directa de este ISP no se quedó atrás, habilitó que los módems residenciales entregados a clientes sean además fuente de acceso a la red de Wi-Fi público, y tampoco hizo nada al respecto. Ni hablar de que algunas señales de la TDA por las noches emiten películas descargadas de Internet sin poseer los derechos que están en ese momento en el cine en calidad HD con total impunidad y sin control, violando la ley 11.723. También ENACOM hizo fanfarrias de anunciar y relanzar varias veces la campaña contra el robo de celulares y el bloqueo a través del IMEI (como si siempre fuera un logro, una novedad). Los robos no cesaron, al contrario, están en aumento. O acaso el registro no llame, ¿se cumplió alguna vez? No, solo se recolectaron datos que matcheaban nombres de líneas de teléfono con números de teléfono. En el Ministerio del Interior en el año 2018 se encontró una vulnerabilidad grave que permitió a través del sitio de Procrear realizar consultas sin control en tiempo real a la base de datos de RENAPER. Es importante destacar que varios organismos realizan consultas este último organismo, pero no se lleva control de quién, cuánto y para qué se consultan estos datos. Sólo en esta web de Procrear el servidor presentaba más de 50 fallas de seguridad. Nunca entenderé porque no se utilizó ARSAT para el alojamiento de toda la información estatal y porque este organismo creado para tal no fue el responsable de alojar todos los sistemas de todo el ámbito estatal como también sus correos. El Sistema Federal de Medios y Contenidos Públicos descartó lo realizado por la gestión anterior ODEON y lo reemplazó vendiéndolo como un Netflix Argentino a la plataforma Cont.ar gastando millones por una plataforma de VOD (Video on Demand) que ni por casualidad se asemeja a Netflix en su desarrollo y calidad. Además dejó de impulsar el BACUA (Banco de Contenidos Audiovisuales Argentino) fuente de contenido indispensable para la TDA como el desarrollo y crecimiento de la misma, a favor de los cableoperadoras para que la gente vuelva a contratar el cable. Cuando mínimamente al respecto podrían haber impulsado en épocas de crisis la instalación obligatorias de estas antenas receptoras y cableado en los edificios. En ANSES también hubo descontrol: se implementó el registro biométrico de huella dactilar para los jubilados, rara solución si se tiene contacto constante con los abuelos, basta con agarrarle la mano a cualquiera para saber que las huellas digitales en los adultos se deforman y no sirve siempre en la tercera edad como elemento de identificación biométrica. El organismo informa que si la huella no sirve, no hay que preocuparse, se emite un certificado. Entonces ¿quién?, ¿cómo y por qué se sugirió esta solución que no es tal gastando millones? Sin perjuicio de otros millones que se gastaron para la contratación de un Web Application Firewall por casi tres millones de dólares, un precio superior al del mercado. Pero los datos con ANSES también tuvieron situaciones por lo menos raras: En el año 2016 el organismo hace un "Convenio Marco de Cooperación" en conjunto con la Jefatura de Gabinete de Ministros, basta leer ese convenio para darse cuenta que: el convenio se hace posteriormente a la implementación del intercambio de información. Es decir, primero implementaron el webservice y luego un día se acordaron de documentarlo e informarlo. Espiar y sacar conclusiones de lo que se espía fue algo que comenzó a suceder desde el comienzo de esta gestión, en el 2016 el primer papelón nace del asesor digital de comunicación de Presidencia de la Nación que publicó fotos privadas de una periodista de Telefé en el powerpoint que utilizó en su conferencia en el Digital Media Latam, haciendo público algo privado de su vida en Instagram y opinando sobre ella con comentarios que lejos estaban de la realidad. Sin importar justamente eso: la privacidad, abusando de la impunidad de sus cargos. Con esta misma obsesión, Jefatura de Gabinete este año licita y contrata una empresa de Social Media Listening (control de publicaciones en redes sociales) con la particularidad de que la empresa contratada debía ser partner de Twitter. Cuando se revisa quién gana esa licitación: no es partner de Twitter. Nación Servicios es el área de sistemas e informática del Banco de la Nación Argentina desarrolló gastando más de $ 700 millones: PIM. Una billetera virtual que serviría para el cobro de la Asignación Universal por Hijo. La aplicación resultó inviable con fallas por todas partes a tal punto que tuvo que el gobierno tuvo que contratar la solución de dinero virtual de MercadoPago de la privada MercadoLibre. Esto fue informado en su momento por La Politica Online pero lo más curioso de todo, es que el pueblo se entera de esta situación por una denuncia de Juan Grabois en medio de una pelea con Marcos Galerín. Como frutilla de la torta, Nación Servicios también es quien desarrolla la tarjeta SUBE. En el último encuentro de hackers en Argentina llamado EkoParty, un ingeniero de software mostró como se puede vulnerar la carga de esta tarjeta. Nación Servicios no emitió opinión al respecto. La Administración Federal de Ingresos Públicos ha tenido varios temas cuestionables que nadie ha prestado atención: sus sistemas no tienen una disponibilidad del 100%, ejemplo de esto cada primero de cada mes donde muchos tienen como única herramienta de facturación el facturador web no funciona. Todavía muchos sistemas como el SIAP jamás se reemplazaron y si bien algunos módulos migraron a web, esos módulos son sólo compatibles con navegadores viejos y obsoletos. Luego la recolección masiva de datos biométricos como por ejemplo nuestro rostro como elemento de identificaciones me preocupa. Una contraseña se puede cambiar. Pero nuestra cara no. El acceso por parte del estado a un elemento de identificación biométrica por mi seguirá siendo por lo menos cuestionable. No nos olvidemos que detrás de los organismos hay empleados que muchas veces son infieles y no tienen control. Como por ejemplo quienes durante más de seis años vendieron información privada de la AFIP sobre sus contribuyentes a través de empresas de consulta financiera externas. Esos ex empleados hoy están presos por ese delito. Pero nadie informó ni pudo tomar real dimensión de cuanta información se filtró ni quienes fueron los perjudicados. En la justicia crecieron las unidades especializadas en cibercrimen y delitos informáticos. Los fiscales "especializados" son reactivos a investigaciones que provienen del exterior, pero no han demostrado proactividad. Proactividad debe ser generar un verdadero ciberpatrullaje de investigaciones con objetivos y logros locales reales. Lo que el Ministerio de Seguridad llamó reiteradas veces "ciberpatrullaje", solo sirvió para perseguir personas que piensen distinto al gobierno. Ni hablar de la cantidad de denuncias que quedan en la nada de los ciberdelitos que piden que se denuncien y se denuncian. Se quejan de que las principales empresas como Google, Facebook, Twitter y similares no responden los pedidos de la justicia o tardan bastante en hacerlo. Pero también estas empresas no tributan muchas veces impuestos en nuestro país, y nadie les dice nada. Muchos en el ámbito judicial han tenido primero el cargo de algo relacionado con la tecnología y luego la capacitación. Cuando deberían llegar con conocimientos, capacitados y luego tener el cargo que corresponda. Parece un juego de palabras, pero esta situación es parte del problema porque las capacitaciones no siempre llegan a ser lo necesariamente suficientes para los cargos y responsabilidades que se tienen. Peritos terminan haciendo desastres en causas por falta de capacitación o conocimiento sin importar el fuero, dado que hoy las pericias informáticas en muchos casos son la evidencia que define el resultado de una causa judicial. En el mundo de la tecnología y seguridad informática la capacitación debe ser constante. Si hoy se hiciere una evaluación sobre el personal estatal en cargos importantes donde combinemos trucos de ingeniería social, o bien analicemos las fuentes de datos de OSINT, pocos pasarían la prueba. Si revisamos los tachos de basura o impresoras del estado, encontraremos información que también nunca debió haber quedado disponible al acceso de cualquiera que pase. En muchas áreas de los estratos judiciales no hay dinero para comprar toners, menos hay aún para comprar discos rígidos para resguardar evidencias digitales. En educación se eliminaron las políticas de educación tecnológica como entrega de notebooks a alumnos y desarrollo de software educativo desde el estado. Han intentado volver a hacerles creer a la comunidad educativa que las computadoras son útiles solamente con sistemas operativos propietarios dejando de lado el software libre. Estoy convencido de que tiene que existir contenido educativo de tecnología y ciberseguridad desde primer grado cuando hoy los niños menores de seis años utilizan e ingresan contraseñas a dispositivos antes que aprender a leer y escribir. Modernización se encargó de mostrar constantemente la conectividad en escuelas de todo el país. ¿Pero qué hacemos si no hay computadoras para conectar que funcionen bien? ¿Qué hacemos si no hay capacitación a los docentes para poder enseñarles a los alumnos? y sobre todo ¿qué hacemos si no hay contenido didáctico estatal en Internet?. Eso que aún no llegué al punto de la seguridad y control de esas conexiones. Las fuerzas de seguridad han sufrido diferentes ataques en estos cuatro años: desde el deface (cambio en las portadas de sus sitios web) a organismos como Gendarmería, Ejército Argentino y Policía Federal hasta filtración de datos de agentes poniendo en riesgo la vida de ellos con la causa denominada GorraLeaks. Y es muy importante diferenciar las palabras filtración de hackeo. No es lo mismo. Pasando hasta por diversos casos de phishing que permitió el acceso a cuentas de correo del Ministerio de Seguridad o bien la cuenta de Twitter de la Ministra. Recientemente más del 50% de los equipos de las fiscalías de estado bonaerense han quedado bloqueados por un ataque de ransomware. Pero según las fuerzas están listos para operar con software de reconocimiento facial con cámaras de seguridad, muchas de ellas conectadas a DVR chinos (que no garantizan para nada la privacidad de las imágenes). Software que falló reiteradas veces con falsos positivos haciendo pasar pésimos momentos a quienes fueron víctimas de estas fallas. En el ámbito miltar, justo un día antes de las elecciones presidenciales se publica en el Boletín Oficial la creación de un CyberLab, un CSIRT y iSOC para CIBERDEFENSA https://www.boletinoficial.gob.ar/detalleAviso/primera/219968/20191029). Firmado por Aguad. Es un buen comienzo, pero tiene pocas definiciones y llega muy tarde. Posiblemente no sea ejecutado. Esta gestión de migraciones se despedirá con una polémica causa de espionaje a jueces también a través de la recolección de datos y descontrol en el uso de los mismos. No sorprende si recordamos que el mismo presidente llegó procesado por espionaje, aunque fue sobreseído automáticamente apenas asumió sin mayores explicaciones. Aunque el espionaje siguió también siendo durante el gobierno en lo que respecta a los propios. En junio de 2019 Juntos por el Cambio lanza la aplicación Defensores del Cambio que pide permisos para utilizar la cámara de fotos, micrófono, acceder a la lista de contactos, ver conexiones de red, e evitar que el equipo entre en un estado de inactividad para quienes la instalen. Peligroso, si estamos hablando de que se trata de una aplicación para informar sobre cuestiones de un partido político. La Ciudad Autónoma de Buenos Aires, en el área de ciberseguridad denominada BA-CSIRT tiene denuncias de que quienes están a cargo han almorzado de manera constante sushi pasando las facturas como gastos durante su gestión. También han cedido información de los ciudadanos a CRM extranjeros fácil de corroborar cuando llegan las encuestas o avisos de que tal funcionario dará una charla en una comuna. O de diversas contrataciones de monitoreo de redes sociales, sin ningún tipo de utilidad para los contribuyentes. Lo peor fue el "Tinder de Mascotas" por el que se pagó millones y hoy ya no existe. Durante los Juegos Olímpicos de la Juventud en 2018 han surgido denuncias en la contratación de un software de seguridad. En las provincias también existe el mismo descontrol. A comienzos de octubre de este año una investigación del diario La Voz del Interior en la provincia de Córdoba dejó al descubierto como la APP Movypark desarrollada para manejar los espacios de estacionamiento público a través de una falla dejó publicados los números de tarjeta de crédito, débito y datos personales de sus usuarios. Si se busca en repositorios de GitHub (código fuente de aplicaciones) hay decenas de usuarios y contraseñas de servicios del estado publicados a merced de cualquier hacker que tenga tiempo libre, sólo por descuido y falta de control. Si alguna vez eso se utiliza para robar información, posiblemente nos enteremos, porque son credenciales válidas, que fueron expuestas por inexpertos. ¿Nadie va a hablar de la responsabilidad de éstos y de quienes deben controlarlo? Google Street View es otra gran pregunta. ¿Quién, cómo y por qué habilita a una empresa extranjera a hacer un relevamiento fotográfico de imágenes fotográficas y satelitales por las calles del país al detalle publicándolo al mundo entero? Aunque muchos no lo vean como tal, esta aplicación es una herramienta de inteligencia. Y si nadie lo autorizó: ¿cómo puede ser que nadie diga nada? Nobleza obliga, el mundo bancario ha sido siempre otra historia -positiva- y las normativas de seguridad informática las cuales se implementan desde hace décadas en algunos casos son de avanzadas y se controla su cumplimiento efectivo por parte del BCRA. Aunque hay un gris. La cesión de datos de clientes del banco a empresas de marketing no es controlada. Por ejemplo hay bancos que envían un email a clientes segundos después de que extraen dinero de un cajero "consultándole por la experiencia de uso". No han tenido observaciones de nadie por este tipo de situaciones. Al cierre de este artículo hubo un incendio en el área de sistemas del Banco de la Nación Argentina, que si bien fue controlado no se informaron los daños causados ni mucho menos cómo fue posible que se haya originado. Para los recientes procesos electorales el descontrol no podía ser ajeno e incongruente. Se contrató a Smartmatic para el escrutinio provisorio, empresa que fue cuestionada por sus fallas en otros países y que jamás acató una orden de la justicia local en tiempo y forma. Teniendo fallas de seguridad por todas partes a lo largo del proceso y sin presentar nunca la totalidad del código fuente. También tuvo fallas en las transmisiones de datos. El gobierno avaló todo el tiempo esta contratación escandalosa. A días de las elecciones allanaron con una acusación a uno de los principales informáticos e impulsores de la boleta única de papel que denunció esta contratación (acusándolo de la filtración de GorraLeaks). Similar a lo que sucedió con las elecciones de 2015 donde sucedió lo mismo con otro informático que también denunció fallas en MSA (la empresa contratada en aquel momento). Seguramente quede sin explicación alguna ni responsables la demora de 100 minutos en la entrega de resultados la noche de las PASO, donde primero el oficialismo tuvo acceso a los datos antes que el resto de los ciudadanos. En otra investigación de Ari Lijalad junto con otros investigadores de seguridad informática encontraron que en los sitios de Jefatura de Gabinete y los ministerios de Defensa, Seguridad, Relaciones Exteriores y Justicia hay 258 vulnerabilidades muy conocidas. Es decir como mínimo 258 formas conocidas de hackear esos organismos. Si existiesen personas capacitadas trabajando ese número podría reducirse hasta un 90%. En la misma investigación uno de los sitios más desprotegidos es el de Presidencia de la Nación en casarosada.gob.ar. Le siguen el Centro de Información Judicial y el Poder Judicial. En el sitio web de la Agencia Federal de Información (AFI) falta lo más básico: un certificado de seguridad SSL cuando su lema es "Inteligencia al servicio de la Nación". El nuevo gobierno si desea hacer las cosas bien tiene el desafío de seleccionar personas que estén comprometidas con el mundo de la seguridad de la información, ciberseguridad, análisis de riesgos e impacto en organismos gubernamentales, normativas e infraestructuras críticas, con amplios conocimientos en telecomunicaciones evitando todo tipo de cargo por amistad. Es difícil pero no imposible. Argentina posee excelentes profesionales de primer nivel mundial, pero el estado deberá convencerlas para gestionar la herencia de estos temas que se encuentran en una situación bastante comprometida con salarios y presupuestos que ni por casualidad se asoman a los que existen en otros países y/o en el ámbito privado, quizá no por una cuestión de dinero, si no porque muchas veces quienes están arriba tomando decisiones piensan que todo esto solo sucede en las películas o que a la Argentina nada malo le puede suceder. Recién el 18 de septiembre de 2019 salió publicado en el Boletín Oficial el detalle y desglose de lo que son Infraestructuras Críticas para Argentina. Entonces me pregunto ¿qué hicieron hasta entonces los responsables que cobraron sueldos durante estos cuatro años? ¿Cuatro años para escribir un documento de dos páginas? No contentos con esto, el día siguiente se realizó en Buenos Aires, un evento privado llamado "ISACA 50 Buenos Aires Chapter" en donde un titular de la ciberseguridad del Ministerio de Defensa en un powerpoint muestra delante de un auditorio lleno "El esquema de composición, defensa, conectividad y ciberseguridad de ARSAT". Dejó expuesta la manera de como atacar al gobierno. Nadie dijo nada. No tiene remate. Mientras tanto durante los 4 años algo que funcionó perfectamente fue el troll center generando fake news, contenidos falsos, ataques a quienes pensaran distinto y generaciones de informes reservados para luego distribuir en grupos de whtasapp privados donde también se orquestaban los ataques. El último ejemplo desopilante luego de las últimas elecciones fue una especie de supuesta "lista negra de adherentes macristas en Twitter" creada por el mundo K. Lástima que fueron tan obvios de hacerla en Excel. Aplicación preferida de los que #sevan. Los temas más urgentes que a mi parecer se deberían abordar desde el comienzo: control de accesos de personas que ya no están en funciones, revocar accesos duplicados y revisión de absolutamente todo lo hecho por el Ministerio de Modernización (incluso revisar códigos fuente, conexiones remotas, acceso a servidores, webservices en uso y acceso a la información de quienes se van), crear un verdadero centro de ciberseguridad (que además incluya blue y red teams) independiente de toda agrupación política, periodística, financiera y/o empresarial en Argentina que implemente y verifique en el ámbito del estado normas cercanas a las ISO y/o IRAM en materias de seguridad de la información y ciberseguridad tanto civil como militar (separados). Controlando que cualquier tipo de información con datos de los ciudadanos no esté más en nubes extranjeras ni vendiéndose por parte de empleados infieles (como también denunció Alconada Mon en una nota de La Nación). Teniendo control unificado y total de la información estatal. En el ámbito judicial crear un protocolo y normativas de cómo generar, custodiar, preservar y presentar evidencia digital (principalmente para que estas no puedan ser impugnadas, que hoy por hoy es el gran flagelo de las causas judiciales) y descartar por completo la idea del allanamiento remoto digital. De igual manera que la justicia debería invitar por voluntad propia a quienes hayan estado en el gobierno ejecutando estas acciones no santas y denunciarlas. En el ámbito legislativo ayudar a las comisiones pertinentes a destrabar las modificaciones a la Ley de Datos Personales, para tratar de que Argentina pueda tener su propia GPDR, y de esa manera no solo regular el descontrol que tenemos sino también ante los ojos extranjeros ser un país más creíble y competitivos en el uso de información de las personas y empresas. Regular el mercado de seguros en materia de ciberseguridad. Fortalecer los organismos de control para quienes manejen datos de los ciudadanos en organismos estatales y empresas privadas, haciendo cumplir la ley existente. Tener un control urgente de cuales son las infraestructuras críticas de nuestro país y en qué situación se encuentran, no nos olvidemos del papelón del corte de luz masivo del pasado día del padre. Blackout por el cual seguimos esperando las explicaciones y sanciones. Parece mucho por hacer, pero ahora es el momento de empezar. Ya es tarde y en ciberseguridad cada segundo que pasa sin prestar atención es peor. Considero importante destacar que lo más importante de este artículo es que es en su totalidad información pública. Nadie ha tomado en serio esta temática, como dije al principio todo sucedió con total impunidad y descontrol. Enumerando sobre lo que se conoce hasta el momento. Seguramente habrá otros temas que aún ni nos enteramos.

Censo 2020 y DNI

https://www.eldestapeweb.com/nota/censo-2020-se-viralizo-un-pedido-para-que-el-gobierno-no-pida-el-documento-nacional-de-identidad-2019111201117

 Censo 2020: se viralizó un pedido para que el gobierno no pida el Documento Nacional de Identidad Después de que el INDEC propusiera pedir el documento y pusiera en riesgo el derecho a la intimidad, en redes pidieron que se anule la medida. 01 DE NOVIEMBRE DE 2019 - 20:11 Miles de usuarios pidieron que se elimine una medida del Instituto Nacional de Estadísticas y Censos para el Censo Nacional de Población, Hogares y Viviendas de 2020, por la que pedirán Documento Nacional de Identidad. Ésto rompería con el anonimato de la encuesta. El reclamo se viralizó en redes y se convirtió en tendencia masiva. En agosto se conoció el Proyecto presentado por el INDEC, que incluye la solicitud de nuevos datos que deberán entregar los argentinos, como el Documento Nacional de Identidad. MÁS INFO Censo 2020: el Gobierno planea eliminar el anonimato y pedir el DNI Pese a asegurar que estos ítem serán "de carácter estrictamente confidencial y reservado", el DNI no se pidió en los anteriores sondeos de la población y el cambio pone en riesgo el anonimato de las respuestas. 
 Por eso, en Twitter volvieron a exigir que se modifique para evitar la manipulación de información privada de los ciudadanos. "Necesitamos estadísticas, necesitamos buenas estadísticas. No necesitamos una base de datos tan invasiva sobre nuestra intimidad, a todas luces violatoria de la ley de protección de datos personales vigente", escribieron acompañando el pedido con el hashtag #SaquenElDNIDelCenso. Beatriz Busaniche @beabusaniche En el año 2020 Argentina va a realizar un nuevo censo de población, abro hilo!! El censo se realiza ininterrumpidamente desde 1869 y desde hace 6 décadas de forma sistemática cada 10 años. Como ya saben, en 2020 nos toca realizar un nuevo censo a cargo del INDEC. 660 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 547 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 En respuesta a @beabusaniche 1) El censo de población es un instrumento clave para conocer el tejido social argentino y diseñar políticas públicas acordes. Está a su vez amparado por el secreto estadístico. Cuando el/la censista llegue a nuestro domicilio el 28 de Octubre de 2020 hará diversas preguntas: Beatriz Busaniche @beabusaniche Entre ellas, tipo y condiciones de la vivienda, cantidad de baños, composición familiar, nivel educativo de cada miembro, entre otras diversas. 95 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 24 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 En respuesta a @beabusaniche 2) se incluyen preguntas tales como identidad de género percibida y pertenencia a grupos étnicos diversos. Ambos datos son considerados datos sensibles por la ley de protección de datos personales. Beatriz Busaniche @beabusaniche 3) La novedad es que este año el censo deja de ser anónimo y viene nominado. Es decir, el censo 2020 incluye nombre, apellido y DNI de cada uno de los integrantes de nuestro núcleo de convivencia. 161 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 112 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 En respuesta a @beabusaniche 5) Nominar el Censo tiene múltiples problemas ya que constituye un avance injustificado y arbitrario sobre la intimidad de cada una de las personas que habitamos el país. Instamos al INDEC a revisar esta decisión absolutamente desproporcionada para los fines del censo. Beatriz Busaniche @beabusaniche 6) Necesitamos estadísticas, necesitamos buenas estadísticas. No necesitamos una base de datos tan invasiva sobre nuestra intimidad, a todas luces violatoria de la ley de protección de datos personales vigente. #SaquenElDNIDelCenso 590 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 290 personas están hablando de esto Fundación Vía Libre @FViaLibre Desde Fundación Vía Libre queremos pedirle a @INDECArgentina que #SaquenElDNIDelCenso - Hay una colisión clara de derechos y una evidente vulneración de la Ley de Protección de Datos Personales. El Censo es importante, hay que hacerlo bien y cuidando los derechos ciudadanos. 88 14:29 - 1 nov. 2019 Información y privacidad de Twitter Ads 75 personas están hablando de esto Vilma @VilmaMedinaOk #SaquenElDNIDelCenso el censo debe ser anónimo 18 17:51 - 1 nov. 2019 Información y privacidad de Twitter Ads 15 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 Si quieren arrancar con algo, podemos iniciar la campaña #SaquenElDNIDelCenso arrobando a @INDECArgentina Horacio Bilbao @cordobe La buena información estadística, fuente innegable de conocimiento útil, es desarrollada cada vez más con fines de control social y violando derechos básicos. Llamado para @INDECArgentina , #SaquenElDNIDelCenso 12 17:37 - 1 nov. 2019 Información y privacidad de Twitter Ads Ver los otros Tweets de Horacio Bilbao Pablo Figueroa @pablofigueroaOK Hay que sumar adhesiones a la campaña para que #SaquenElDNIDelCenso La actividad estadistica es relevante para el país a los fines de determinar la composición, características de su población, etc pero debería serlo de manera anónima Ver imagen en Twitter

domingo, 18 de agosto de 2019

Ofertas de empleo falsas


EMPRESAS & MANAGEMENT
Fecha de publicación: 2019-08-17

Claves para detectar ofertas de empleo falsas

Los cibercriminales están utilizando herramientas de búsqueda de empleo tan populares como LinkedIn para conseguir datos personales de miles de usuarios. Por eso es fundamental saber cómo detectar y cómo protegerse ante esta amenaza.

Cada día los más de 500 millones de usuarios de LinkedIn comparten contenidos, siguen a empresas y solicitan empleo. También es muy frecuente que acepten invitaciones de contactos completamente desconocidos, lo que a veces conlleva riesgos.

Los cibercriminales están aprovechando este hábito para hacerse pasar por reclutadores de recursos humanos (o ‘recruiters’) y así conseguir gran cantidad de datos personales, como direcciones de correo, números de teléfono o direcciones postales que después podrán utilizar para vender en el mercado negro o para realizar usurpaciones de identidad.

Ingeniería social, clave para engañar a víctimas

Los atacantes suelen recurrir a la ingeniería social (técnicas de manipulación y engaño) para aprovecharse de la necesidad de trabajo o de la situación de desempleo de las víctimas. 

El método que utilizan consiste en publicar ofertas fraudulentas de trabajo en LinkedIn o enviar mensajes de correo con enlaces maliciosos que redirigen a webs falsas donde, una vez que el usuario está dentro, se le solicita rellenar formularios con sus datos personales. 

Estos portales fraudulentos suelen ser visualmente muy similares a los que suplantan, por lo que son difíciles de identificar para un usuario que no está alerta.

¿Cómo detectar este tipo de fraude?

-Desconfía de perfiles sin foto. Tampoco es aconsejable creer ciegamente en los perfiles que sí tengan fotografía, ya que muchas veces están sacadas de bancos de imágenes o de perfiles de redes sociales de otros usuarios.

-Observa qué tipo de contactos tiene esa persona o entidad.

-Si se recibe una oferta por un mensaje de LinkedIn, por correo electrónico o por WhatsApp, es recomendable teclear el nombre del contacto en un buscador y comprobar si los datos o fotos coinciden con los de su perfil.

-Si no hay referencias de la existencia de esa persona o empresa en internet, lo más probable es que sea un fraude.

-Si se trata de una persona o entidad conocida pero hay algo que hace sospechar, contacta por teléfono u otro medio oficial para comprobar si realmente han enviado esa oferta. 

-Seguir este paso evitará posibles sustos. Un ejemplo es el caso de Arantxa, usuaria de Twitter, quien, tras sospechar de una oferta de empleo en la que previamente le pedían 20 euros por asistir a la entrevista, decidió contactar con las oficinas y tiendas de la empresa oficial por otro canal y descubrió que se trataba de un fraude.

-Desconfía especialmente de mensajes que califican la oferta de trabajo como “una oportunidad única que no puede dejar pasar y que debe aceptar”. 

-Las ofertas falsas suelen ofrecer sueldos desorbitados o que no son acordes al perfil solicitado.

-Sospecha también cuando haya faltas de ortografía o un mensaje escrito en con un nivel de español muy bajo. Una empresa real contará con traductores profesionales o trabajadores que dominen los idiomas necesarios.

-Comprueba si el texto de la oferta de trabajo es robado. Copia y pégalo en un buscador. Al hacerlo, es posible encontrar usuarios que hayan sido víctimas del mismo fraude.

-Desconfía especialmente de ofertas de trabajo en el extranjero.

-Desconfía también si piden que se haga una llamada a algún número de teléfono con tarificación especial.

-Sospecha si aseguran el puesto sin pedir ni siquiera acudir a una entrevista.
Ten en cuenta que ninguna empresa pediría dinero por asistir a una entrevista o ser candidato a un puesto. Si alguien pide un ingreso o transferencia con cualquier excusa, es muy probable que se trate de un fraude.

Por supuesto, desconfía de mensajes de correo o de redes sociales en los que se ofrece ganar dinero fácil sin hacer absolutamente nada y sin moverse de casa. En la red, al igual que en el mundo físico, cuando algo suena demasiado bueno para ser cierto… es que no lo es.

¿Qué hacer si ha detectado una oferta de empleo fraudulenta?

No contestar a este tipo de mensajes o correos, no abrir ficheros o documentos adjuntos y no hacer clic en los enlaces que contenga el mensaje.

-En ningún caso proporciones información personal como datos bancarios.

-No realices ingresos económicos a cuentas que le hayan facilitado bajo ningún concepto. Un claro ejemplo es el de esta usuaria que recibió una oferta de lo que sería su trabajo soñado. Sin embargo, le pedían pagar los gastos de tramitación del visado a nombre de un abogado de la supuesta empresa. 

Prometían que este dinero se le devolvería después. Se trata de un caso especialmente elaborado ya que los ciberatacantes llegaron a copiar el logo corporativo de la empresa por la que se hacían pasar y el dominio era casi idéntico al oficial: en vez de “petroleum” utilizaron “petoleum” (info@adaxpetoleum.com).

-Revisa la configuración de privacidad en tu perfil de LinkedIn. Si lo deseas, puedes limitar con quién compartes información personal y quién puede enviarte mensajes. Haga clic en “Yo”, elige la opción “Ajustes y Privacidad” y, una vez dentro, ve al apartado “Privacidad”.

-Denunciar en la web o en la red social correspondiente. En el caso de haber recibido una oferta fraudulenta por LinkedIn haz clic en los puntos suspensivos “Más” y selecciona “Denunciar/Bloquear” – ”Denunciar este perfil” y “Enviar”.

-Informa a tus conocidos sobre lo que ha ocurrido para que no caigan en la misma trampa.

-Practicar ‘egosurfing’ (buscarse a uno mismo en internet) para saber si se está haciendo un uso ilegal de tus datos en la red.

-Si encuentras información que no te agrada, puedes solicitar que se elimine aludiendo a tus derechos, siguiendo las pautas que se dan desde las agencias de protección de datos de cada país.

-Si ya has caído en la trampa puedes interponer una denuncia ante las Fuerzas y Cuerpo de Seguridad del país.

-En definitiva, al igual que en el mundo físico, es aconsejable ser precavidos a la hora de aceptar contacto con desconocidos y de creer en todo lo que nos ofrecen. Tener presentes estos consejos mejorará la capacidad para detectar fraudes en la red. Además, ayudará a mantener tu información personal a salvo.

viernes, 9 de agosto de 2019

Datos para fines electorales



A días de las PASO, revive la polémica por el uso de los datos de la Anses con fines electorales
Las ONG especializadas en el derecho a la intimidad cuestionan que la Corte aún no haya limitado el uso de esa información. El gobierno sostiene que no se utiliza

4 de Agosto de 2019



Aunque un fallo de segunda instancia le impidió al Estado Nacional ceder datos personales sin el consentimiento de sus titulares, una llamativa demora de la Corte Suprema de Justicia de la Nación le permite al gobierno mantener vigente un convenio firmado en 2016 para que la Secretaría de Comunicación Pública de la Jefatura de Gabinete, en manos de Marcos Peña, pueda acceder y utilizar la base de datos de la Administración Nacional de Seguridad Social (Anses), considerada uno de los cúmulos de información personal más importantes que tiene el Estado en la actualidad. Su utilización, cuestionada por una jubilada ante la Justicia desde hace tres años, alimenta sospechas sobre la uso de esa información en tiempos de campaña electoral, especialmente en manos del oficialismo, reconocido por su capacidad para la explotación e interpretación de bases de datos públicas y privadas para optimizar el alcance de su comunicación electoral.
Desde que el caso tuvo repercusión pública ha sido seguido por distintos especialistas en protección de datos personales y resguardo de la intimidad. Uno de ellos es la docente e investigadora Beatriz Busaniche, presidenta de la Fundación Vía Libre, una ONG dedicada a “la defensa de derechos fundamentales en entornos mediados por tecnologías de información y comunicación”. Para ella, la demora en el fallo de la Corte ”beneficia a la alianza Cambiemos porque no tiene una limitación clara de lo que hace con los datos de la ciudadanía”. Para la especialista, el convenio es una muestra de “la negligencia con la que se tratan los datos personales en el Estado, porque la actual administración y las anteriores no hicieron nada para profundizar ese cuidado”.
El manejo de los datos de los ciudadanos en manos del Estado es custodiado por la Agencia de Acceso a la Información Pública, en manos del especialista Eduardo Bertoni. Su cargo está dentro del organigrama que controla Peña, al igual que el secretario de Comunicación Pública , Jorge Grecco. Consultado sobre el litigio, Bertoni eludió las preguntas de este diario, aunque firmó un dictamen clave para avalar el pacto, aprobado por la Resolución Nº 166-E/2016 de la Jefatura de Gabinete. Otra fuente cercana a Peña sostuvo que “la base de datos no se utiliza porque es vieja. No está actualizada y no sirve para las funciones de comunicación que estaban previstas”. Sin embargo, ese argumento no está dentro del expediente, donde tres abogadas recurrieron a la Corte para mantener en funcionamiento el convenio. Las fuentes oficiales consultadas tampoco pudieron explicar por qué no dieron de baja el convenio si es cierto que la base de datos de la Anses no es utilizada por la secretaría de Comunicación Pública.
El desenlace de la polémica sigue en manos de la Corte. Para Busaniche no hay garantías de la preservación de los datos en Argentina. Sin la sentencia confirmada hay riesgos. “De ahí a que los datos se usen en la campaña, en microtargeting, en microsegmentacion, en comunicación personalizada, o en mandarte cartas a tu casa para que votes a la gobernadora o al Presidente, hay un solo paso”, advirtió la experta, sobre un interrogante que crece como una sombra ante el silencio de los cortesanos. “Si los datos están ahí disponibles y el Estado no tiene ninguna consecuencia de usarlos de manera ilegítima, ¿por qué no habría de hacerlo?”, se preguntó Busaniche para dimensionar la profundidad del problema en Argentina, ya que “no está estandarizada la protección de datos porque no es considerada por el Estado como una cuestión de cuidado, aunque está consagrado por el artículo 43 de la Constitución”.
El acuerdo N° 37 de 2016 lleva la firma Grecco y del subdirector Ejecutivo de la Anses, Federico Braun. El texto dice que buscó establecer “un marco técnico y jurídico para el intercambio electrónico de información”. En la segunda cláusula, la Anses se compromete a remitir “periódicamente” el nombre, apellido, DNI, CUIT, teléfonos, correos electrónicos, fecha de nacimiento, estado civil y estudios de los integrantes de su base de datos.
Tenía una vigencia inicial de dos años, con opción de extenderse a otros dos, pero fue cuestionado por la jubilada Carmen Torres Abad, que presentó un amparo ante en el fuero Contencioso, Administrativo y Federal. En su escrito le solicitó a la Justicia que suspenda el convenio porque violaba su intimidad. También porque la Anses “no puede cederlos ni darlos a conocer ya que se encuentran protegidos bajo la cobertura de la Ley 25.326 de Protección de Datos Personales”.
El planteo fue rechazado en primera instancia y Torres Abad apeló la sentencia ante la Sala V de la Cámara Nacional de Apelaciones en lo Contencioso Administrativo y Tributario Federal. El 3 de julio de 2018, los jueces Guillermo F. Treacy, Pablo Gallegos Fedriani y Jorge Federico Alemany, sostuvieron que los datos del convenio requerían la autorización expresa de sus titulares y que la secretaría dependiente de Peña, no podía utilizar esa base. El 3 de agosto, hace un año, el Estado presentó un recurso extraordinario para que la Corte se expida al respecto y de acuerdo al expediente al que tuvo acceso Tiempo, el máximo tribunal lleva 8 meses sin moverlo, un período ventana que, a diferencia de las respuestas oficiales, desata intrigas sobre la manipulación de los datos de la ciudadanía en manos del Estado.
“No puedo afirmar que esta práctica sea ilegal hasta que tengamos un fallo firme, pero el dictamen que firmó Bertoni, y que permitió aprobar el acuerdo, está mal, porque tiene una mirada laxa sobre un tema que requiere un cuidado estricto”, opinó Busaniche. Según ella el funcionario “no debería haber dejado pasar una cosa como esa”. «
https://www.tiempoar.com.ar/nota/a-dias-de-las-paso-revive-la-polemica-por-el-uso-de-los-datos-de-la-anses-con-fines-electorales