admin

Categorías

Coobis

Seguridad

Facebook multado con 1.2 millones de euros por la Agencia Española de Protección de Datos

Facebook multado con 1.2 millones de euros por la Agencia Española de Protección de Datos

La Agencia de Protección de datos informó  que ha impuesto a Facebook una multa de 1.2 millones de euros (1.44 millones de dólares) por no impedir que los anunciantes accedan a los datos de sus usuarios.
Facebook ha recabado datos personales de sus usuarios en España sin obtener su «consentimiento inequívoco» y sin informarles de la forma en que se va a utilizar, según ha manifestado la Agencia Española de Protección de Datos en un comunicado.

«Facebook recopila datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar claramente sobre el uso y propósito que les dará», dice la declaración. El organismo de control dijo que la política de privacidad de Facebook «contiene términos genéricos y confusos» y «no recoge adecuadamente el consentimiento de sus usuarios o no usuarios, lo que constituye una infracción grave» de las normas de protección de datos.

La agencia dijo que Facebook no ha eliminado los datos personales que recopila de su base de datos, incluso cuando un usuario lo solicita. Afirmó que multó a la empresa con 600000 euros por una violación muy grave de las normas de protección de datos del país y con 300000 euros cada una por dos violaciones graves.

La multa de 1.2 millones de euros es pequeña en el contexto de la empresa, que obtuvo unos ingresos publicitarios de 9200 millones de dólares en el segundo trimestre, principalmente por la venta de publicidad en vídeo móvil.

Es el último de una serie de problemas legales que han acosado al gigante de las redes sociales en los últimos años. La agencia de protección de datos francesa impuso en mayo una multa de 150000 euros a Facebook por no haber evitado que los anunciantes accedieran a los datos de sus usuarios tras una investigación de dos años. Decía entonces que Facebook había creado «una recopilación masiva de datos personales de usuarios de Internet para mostrar publicidad dirigida». El año pasado, el organismo de control francés concedió a Facebook un plazo límite  para dejar de seguir la actividad web de los no usuarios sin su consentimiento y ordenó a la red social que dejara de transferir algunos datos personales a los Estados Unidos.

Los gobiernos de Bélgica, Alemania y Holanda también están estudiando cómo Facebook mantiene y utiliza los datos de sus ciudadanos, según la agencia española de protección de datos.

A nivel europeo se ha formado un «grupo de contacto» para proteger los datos personales de los usuarios de Facebook, compuesto por la Agencia Española de Protección de Datos y sus homólogos de Francia, Bélgica, Alemania y Holanda.

La red social de Facebook, que ahora cuenta con 2010 millones de usuarios activos mensuales, está impulsando constantemente las ventas a un ritmo más rápido que otros gigantes de la tecnología.

CWI y Google anuncian la primera colisión para el estándar de seguridad industrial SHA-1

Investigadores del instituto de investigación holandés CWI y Google anunciaron conjuntamente que han roto en la práctica el estándar de seguridad de Internet SHA-1. Este estándar industrial se utiliza para firmas digitales y verificación de integridad de archivos, que protegen transacciones de tarjetas de crédito, documentos electrónicos, repositorios de software de código abierto GIT y distribución de software. El cryptanalista de CWI Marc Stevens dice: «Muchas aplicaciones todavía utilizan SHA-1, aunque fue oficialmente desaprobado por NIST en 2011 después de debilidades expuestas desde 2005. Nuestro resultado demuestra que su abandono por una gran parte de la industria ha sido demasiado lento y que la migración a normas más seguras debería darse lo antes posible «.

El esfuerzo conjunto dirigido por Marc Stevens (CWI) y Elie Bursztein (Google) comenzó hace más de dos años para realizar la investigación avanzada de criptoanalítica de Stevens en la práctica con la infraestructura de computación de Google. Ahora lograron romper con éxito el estándar de la industria SHA-1 usando un llamado ataque de colisión. SHA-1, es un algoritmo criptográfico diseñado por la NSA y que fue estandarizado por NIST en 1995 para computar de forma segura las huellas dactilares de los mensajes. Estas huellas dactilares se utilizan en el cómputo de firmas digitales, que son fundamentales para la seguridad en internet, como la seguridad HTTPS (TLS, SSL), banca electrónica, firma de documentos y software. Las colisiones – diferentes mensajes con la misma huella digital – pueden conducir a falsificaciones de firmas digitales. Por ejemplo, una firma SHA-1 obtenida para un archivo también puede ser mal utilizada como una firma válida para cualquier otro archivo colisionado.

La colisión SHA-1 anunciada  es la culminación de una línea de investigación iniciada en el CWI hace más de siete años para desarrollar un ataque práctico óptimo de colisión contra SHA-1. Esto dio lugar previamente al ataque teórico actualmente mejor conocido de Stevens en 2012 en el cual el resultado anunciado se ha construido más adelante. Elie Bursztein dice: «Encontrar la colisión en la práctica llevó un gran esfuerzo tanto en la construcción del ataque criptoanalítico y en su ejecución a gran escala.Requería más de 9.223.372.036.854.775.808 cálculos SHA1 que lgastaría 6500 años de cálculo de la CPU y 100 años de computación GPU. Es más de 100000 veces más rápido que un ataque de fuerza bruta.Usamos la misma infraestructura que potencian muchos proyectos de Google AI, incluyendo Alpha Go y Google Photo, así como Google Cloud «.

Stevens dice: «Las lecciones deberían haberse aprendido de las advertencias sobre ataques similares contra el predecesor MD5 de SHA-1, como la creación de una Autoridad de Certificación deshonesta en 2009 por un equipo internacional del que formé parte y un ataque de los estados nacionales en 2012 para elaborar actualizaciones maliciosas de Windows para infectar las máquinas de destino en el Oriente Medio para el espionaje, que demostré ser una variante de ataque criptográfico desconocido». En el otoño de 2015, Stevens, junto con dos coautores, advirtió que encontrar una colisión SHA-1 podría costar alrededor de $ 75K- $ 120K mediante la explotación de recursos de bajo costo GPU en Amazon EC2, que era significativamente más barato de lo esperado anteriormente.

La colisión del equipo se utiliza para crear dos archivos PDF diferentes con la misma huella daigital SHA-1, pero eligió contenidos visibles distintos, por ejemplo dos contratos con honorarios financieros sustancialmente diferentes. Después del proceso de divulgación responsable, el equipo esperará 90 días antes de lanzar un generador de PDF que permitirá a cualquier persona crear pares de documentos PDF parecidos a su elección usando la colisión del equipo.

Para ayudar a prevenir el uso indebido de dichos documentos PDF falsos, el equipo ofrece una herramienta gratuita en línea  para buscar colisiones SHA-1 en documentos, que se basa en la técnica de contra-criptoanálisis de Stevens 2013 para detectar si se ha creado un solo archivo con un Ataque de colisión cryptanalítica. Se puede encontrar en: shatterered.io . La misma protección para los documentos PDF es ahora automática para los usuarios de Gmail y Google Drive. Para defenderse contra ataques de colisión SHA-1 los sistemas deben migrar a SHA-2 o SHA-3. En el caso de HTTPS, el esfuerzo para pasar de certificados SHA-1 a certificados SHA-2 comenzó en 2015. Y a partir de este año los navegadores marcarán los certificados basados ??en SHA-1 como inseguros. De forma similar, los sistemas de respaldo y los sistemas de firmas de documentos deben pasar a SHA-2.

Este resultado es fruto de una colaboración a largo plazo entre el Grupo de Criptología de Centrum Wiskunde & Informatica, el instituto nacional de investigación para las matemáticas y la informática en los Países Bajos, y el Grupo de Seguridad de Investigación, Privacidad y Anti-abuso de Google. Hace dos años Marc Stevens y Elie Bursztein, líder del equipo de investigación anti-abuso de Google, comenzaron a colaborar en hacer criptoanalíticas de Marc contra SHA-1 práctica usando la infraestructura de Google. Desde entonces, muchos investigadores de CWI y Googlers han ayudado a hacer posible este proyecto, incluyendo a Pierre Karpman (CWI) que trabajó en el cryptanalísis y la implementación de prototipos de GPU, y de Google Ange Albertini que desarrolló el ataque PDF, Yarik Markov que se encargó de la GPU distribuida Código y Clement Blaisse que supervisaron la confiabilidad de los cálculos.

Más detalles sobre el ataque SHA1, cómo detectarla y el trabajo de investigación que detalla el ataque está disponible en https://shattered.io .

 

Ministro del Interior y su foto oficial con la contraseña ‘123456’ en un ‘post-it’

Actualidad Informática. Ministro del Interior y su foto oficial con la contraseña '123456' en un 'post-it'. Rafael Barzanallana

 

Al parecer el Ministro del Interior griego posó para la típica foto oficial en su despacho delante del ordenador… en el que podía verse un post-it con su usuario y contraseña apuntados. Una costumbre tan arraigada como inocente y nociva para la seguridad, más propia de descuidados y novatos que de alguien que dirige los Servicios de Inteligencia de un país.

Aunque la historia podría parecer de esas demasiado buenas para ser ciertas todo parece indicar que es bastante real: al poco tiempo los responsables de la web griega retiraban la foto para subir otra versión «recortada» en la que ya no podía verse el post-it. Pero con un poco de paciencia y ampliando el original era fácil leer la contraseña, que para colmo resultó ser una de las más triviales del mundo: 123456

Ampliar en: microsiervos

Si un ciberataque provoca una colisión, ¿quién es responsable?

Actualidad Informática. Si un ciberataque provoca una colisión, ¿quién es responsable?. Rafael Barzanallana

Los ciberatacantes tendrían la carga principal, pero los fabricantes y propietarios podrían también enfrentarse a cierta responsabilidad.

El mes pasado, Wired publicó un informe en el que describían cómo los investigadores en seguridad Charlie Miller y Chris Valasek fueron capaces de hackear de forma inalámbrica un Jeep Cherokee. Tras controlar inicialmente el sistema de entretenimiento y los limpiaparabrisas, luego desactivaron el acelerador. Incluso más grave, Miller y Valasek también desactivaron sin necesidad de cables los frenos del Jeep, dejando a Andy Greenberg, el escritor de Wired que estaba al volante, “pisando frenéticamente el pedal dado que el monovolumen de 2 toneladas se dirigía incontrolablemente hacia una zanja”. Unos días más tarde, Fiat Chrysler Automobiles anunció una retirada que afectaba a 1,4 millones de vehículos.

Esta vulnerabilidad concreta, presumiblemente, se corregirá con rapidez, pero dada la imprudente carrera entre los fabricantes de automóviles por tener a sus vehículos “conectados”, es probable que se descubran otros agujeros de ciberseguridad, algunos de los cuales podrían permitir a los ciberatacantes tomar el control del vehículo desde Internet y provocar un accidente. Y, si esto sucede, ¿quién tiene la responsabilidad?

Existen tres grandes grupos que potencialmente podrían ser responsables: los ciberatacantes, las compañías implicadas en la fabricación y venta del vehículo y, bajo ciertas circunstancias, el propietario del automóvil.

Por supuesto, la culpa directa recae sobre los ciberatacantes. Si actúan intencionadamente para impedir el normal funcionamiento de un vehículo y terminan causando, involuntariamente o no, un accidente, se enfrentarían tanto a un procedimiento criminal como a una responsabilidad civil. Pero hallar a los ciberatacantes en tal situación podría ser difícil, especialmente si han ocultado cuidadosamente sus huellas. Además, incluso si se pudiese hallar a los atacantes, podrían estar en otro país, lo cual complicaría aún más los esfuerzos por buscar compensación o acusación.

Artículo completo en: Ciencia Kanija 2.0

Humor con los crédulos frente al ‘spam’ por internet

SCAV, el mejor antivirus del mundo

Actualidad Informática. SCAV, el mejor antivirus del mundo. Rafael Barzanallana

Voy a presentarte el mejor antivirus del mundo y voy a explicarte cómo usarlo.

Este antivirus, llamado SCav, no es un producto nuevo, de hecho existe desde antes de cualquier otro antivirus, pero es muy poco conocido, y tiene pocos usuarios. Al ser gratuito y un poco difícil para el usuario novato, no tuvo la misma repercusión de otros productos.

SCav, al contrario de lo que se piensa, es muy sencillo de usar, tanto que ni siquiera hace falta instalarlo, ya viene en todos los sistemas, preinstalado. No hace falta tampoco descargarlo de internet, ni configurarlo, está listo para usarse. Es tan automático que ni siquiera tiene interfaz visual, ni ventanitas, ni siquiera un icono en la barra de tareas. Nada. Además, ocupa muy poca memoria.

¿Y cómo funciona este fantástico antivirus del que nos hablás, N3RI? ¡Contanos más!

Muy sencillo. SCav se activa cada vez que estamos en la computadora y vamos a hacer algo“peligroso” que pueda infectarnos. Sí, leyeron bien, es tan avanzado este programa que no funciona durante, ni después, sino ANTES de que un virus intente atacar nuestro sistema. Y funciona automáticamente, evitando la infección o la pérdida de datos valiosos.

Algunos ejemplos de la eficiente forma de funcionar de SCav, en:  Tecnovortex

Llega el DNIe 3.0, con NFC

Desvelando la esencia del cifrado de datos

Infografía sobre Ciberacoso

Actualidad Informática. Infografía sobre Ciberacoso. Rafael Barzanallana

 

Día Internacional del Internet Seguro

Actualidad Informática. Día Internacional del Internet Seguro. Rafael Barzanallana   El segundo día de la segunda semana del segundo mes del año se celebra el Día Internacional del Internet Seguro, evento que promueve el uso seguro y responsable de las nuevas tecnologías principalmente entre niños y jóvenes. nsafe —Red de la Comisión Europea por un Internet Seguro— promueve iniciativas como la del Día Internacional de Internet Seguro. El SID (Safer Internet Day), por sus siglas en inglés, es un evento que se celebra cada año en el mes de febrero para promover un uso más seguro y responsable de las nuevas tecnologías, principalmente entre niños y jóvenes. El SID de este año se celebra hoy 10 de febrero, el segundo día de la segunda semana del segundo mes, en más de 70 países alrededor del mundo bajo el lema «Vamos a crear juntos un mejor Internet». Pero un mejor Internet sólo se logra con mejores prácticas de navegación, por eso hoy te traemos algunos consejos que puedes seguir y poner en práctica a propósito de este día.

Related Posts with Thumbnails

Calendario

octubre 2024
L M X J V S D
« Nov    
 123456
78910111213
14151617181920
21222324252627
28293031  

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


  • Paperblog

    autobus las palmas aeropuerto cetona de frambuesa