Internet Security Auditors Boletín de Noticias
Enero-Febrero 2019

Twitter facebook linkedin Youtube RSS
 

Novedades

Vicente Aguilera participó, un año más como ponente y miembro del jurado en el hackathon de #CyberCamp

Un año más se celebró una nueva edición del CyberCamp el gran evento de ciberseguridad anual organizado por el Instituto Nacional de Ciberseguridad de España (INCIBE), y este año también han contado con Vicente Aguilera como ponente y miembro del jurado en el hackathon.


Vicente Aguilera participa en la cuarta Open Class organizada por el Campus Ciberseguridad

El jueves 31/01/2019 Vicente Aguilera participó como invitado especial en la OpenClass organizada por Campus Internacional de Seguridad.

En dicha OpenClass, bajo el título "Todo lo que quisiste saber sobre Ciberinteligencia y no sabías a quién consultar", Vicente fue entrevistado por Juanjo Salvador (coordinador académico de Campus Internacional de Seguridad) con el que mantuvo una conversación en la que se aclararon conceptos sobre ciberinteligencia y se abordó la necesidad de contar con especialistas que permitan llevar a cabo procesos de investigación en el ciberespacio debido a la creciente demanda de estos servicios en sectores muy diversos.

 

Destacamos

Requisitos de seguridad en PSD2

Cuando hablamos de PSD2 (Directiva (UE) 2015/2366) todos pensamos en el requerimiento de los bancos de disponer de APIs para que las fintech puedan acceder a los datos de sus clientes sin necesidad de realizar técnicas de screen scraping (técnica que queda expresamente prohibida), pero la Directiva va más allá.

En esta entrada nos vamos a centrar en los artículos que incluyen exigencias de seguridad para los proveedores de servicios de pago (PSP), que, aunque son pocos artículos, hacen referencias a reglamentos delegados y directrices marcadas por la Autoridad Bancaria Europea (EBA, por sus siglas en inglés).


Interés legítimo, el cajón de sastre del RGPD

Desde que entró en vigor el Reglamento General de Protección de Datos (en adelante RGPD), y más aún, desde su aplicabilidad de forma obligatoria el día 25/06/2018, son muchas las dudas, por parte de las empresas y organizaciones, acerca de utilizar como base jurídica para sus tratamientos el denominado "interés legítimo".

Aunque a primera vista puede parecer un tema nuevo, lo cierto es que no se trata de ninguna novedad del RGPD, sino que este concepto ya estaba presente en la anterior Directiva 95/46.


Principio de Minimización de Datos

En la era actual, en la que prácticamente, a nivel mundial todos nos encontramos conectados a través de internet, redes sociales, smartphones, etc. Nuestros datos de carácter personal, nuestros gustos, nuestra información más íntima, se ha convertido en uno de los mayores negocios y que más dinero mueven en el mundo. [...]

Es por esto que, con la llegada del nuevo Reglamento Europeo de Protección de Datos, una de las mayores novedades y más llamativas, es la obligación del responsable del tratamiento a minimizar los datos recogidos. A grandes rasgos, esta obligación intenta preservar y proteger los datos de carácter personal de las personas físicas, es decir, empleando la política del "need to know", evitando que terceras personas se apropien de forma indebida de datos que no les son necesarios para la prestación del servicio que ofertan.


Novedades del RGPD con respecto a la LOPD

En nuestro día a día, y sobre todo desde la inclusión en nuestra sociedad del mundo IT como una herramienta indispensable en nuestras vidas, realizamos una gran cantidad de acciones que impactan en nuestra privacidad. Cuando nos encontramos caminando podemos ser grabados por las cámaras que regulan el tráfico, cuando entramos en cualquier tienda también existen cámaras de seguridad, cuando navegamos por Internet dejamos una huella gigantesca sobre nuestras preferencias, gustos, datos personales, lugares que visitamos, además, sin pretenderlo, podemos aparecer en fotografías subidas a Internet por terceras personas en sus redes sociales.

Muchas veces, no somos conscientes de la cantidad de datos que compartimos sin pararnos a pensar en quién tratará estos datos, cómo serán usados, si están debidamente almacenados, y lo que es más importante, si una vez compartidos podemos recuperarlos, borrarlos y / o modificarlos.


Bancos, Fintech... ¿hasta dónde llega PSD2?

Desde hace algunos meses todos venimos escuchando hablar de la Directiva 2015/2366, mejor conocida como PSD2 (Payment Services Directive 2). Mucho se ha hablado de esta directiva; de la obligación de los bancos de disponer formas de consultar sus servicios para minoristas (probablemente en forma de APIs). Sin embargo, esta directiva tiene un ámbito de aplicación y un alcance mucho más extendido.

La Unión Europea ha publicado varias normativas en relación a la seguridad de los pagos. Por ejemplo, en 2007, la Unión Europea creó la primera Directiva de Servicios de Pago, que sentó precedente para posteriormente generar el Reglamento SEPA, el cual definía la Single Euro Payments Area (o en castellano, Zona Única de Pagos en Euros).


Políticas de privacidad online, tras el RGPD

Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado una nota de prensa y un informe relativo a la adaptación de las políticas de privacidad online al Reglamento General de Protección de Datos (RGPD).

En esta labor, durante los primeros meses de vida del RGPD, es decir, desde el 25 de mayo de 2018, que es cuando es de obligado cumplimiento este reglamento, la AEPD ha analizado las políticas de privacidad de varias empresas que prestan sus servicios desde Internet, y ha recogido en una nota de prensa las incidencias y errores más comunes, ofreciendo las recomendaciones oportunas para paliarlas y, así cumplir con el RGPD.

Lo más Leído

Se necesitan urgentemente expertos en ciberseguridad: ¿qué estudiar para ser uno de ellos?

La amenaza crece al tiempo que empresas e instituciones de todo el mundo hacen frente a otro peligro, igual de acuciante, que es el de la escasez de profesionales expertos en ciberseguridad.

Un campo en el que tradicionalmente ha predominado lo autodidacta, pero que comienza a abrirse paso en la formación oficial de universidades y otros centros educativos.

Hackean miles de Chromecast y Smart TVs para advertir de su vulnerabilidad

Nuevo hackeo que ha afectado a miles de dispositivos Chromecast y Smart TVs a lo largo del planeta. Los hackers aseguran que el motivo de esta acción es advertir sobre lo vulnerables que son estos dispositivos.

Google ha afirmado que no se trata de un fallo de seguridad de sus dispositivos, y que se puede evitar este hackeo entrando en la configuración del router y desactivando la opción UPnP.

Fallo crítico de RCE en la APT de Linux permite a los atacantes remotos hackear sistemas

Un sistema de gestión de paquetes creado por el proyecto Debian que facilita la instalación de software y es utilizada ampliamente por distribuciones GNU/Linux derivadas como Ubuntu y otras. La explotación podría haberse mitigado si el administrador de descargar de software estuviera utilizando estrictamente HTTPS para comunicarse de forma segura.

Brecha de seguridad récord expone 773 millones de cuentas de correo y 23 millones de contraseñas

Troy Hunt, administrador de Have I Been Pwned, ha desvelado una brecha de seguridad que afecta a 772.904.991 direcciones únicas de correo electrónico, a las que se suman más de 21 millones de contraseñas únicas. No hay confirmación de que todos estos datos vengan de una sola brecha de un servicio, sino que parece que se trata de una brecha que acumula 2.000 bases de datos que contienen contraseñas hackeadas.

Eventos

28-30/03 de 2019: RootedCom (Madrid, España).

24/04 de 2019: MundoHacker Day (Madrid, España)

26/02 de 2019: Webinar - Implementación y retos de los SGSI y SGCN (Bogotá, Colombia)

Formación

4 marzo4 marzo   ISO 27001
Implementación

Barcelona
     
1 abril   ISO 27001 L.A.
Barcelona
 
4 marzo   CCSP
Madrid
     
2 abril   ISO 27001 A.I.
Bogotá
 
18 marzo   CISSP
Barcelona
     
9 abril   Gestión de Crisis
Bogotá