General

Ransomware Calavera Hacker Hacking
Consecuencias de una mala planificación IT ante un ciberataque.
1024 693 Prestigia

Uno de los negocios más lucrativos para los delincuentes es la Ciberdelincuencia. Se considera que ya suponen un valor de alrededor de un 0,8% del PIB Mundial (entre 445.000 y 600.000 millones de dólares). Y esto es debido al anonimato y protección de internet, y a la par, a la facilidad para hacerlos. Además, los ciberdelincuentes se aprovechan de los errores humanos en la mayoría de casos para que sus ataques sean efectivos. Los últimos estudios indican que el 95% de los casos de ciberataques necesitan de un fallo humano (o más) para ser efectivos.

Uno de los ataques más efectivos (y lucrativos) son los ataques Ransomware (o también conocidos como Cryptolockers). Estos ataques aprovechan un descuido de un usuario o una mala implementación de seguridad de un entorno empresarial para poder ejecutar un programa (conocidos como Ransomware) que encriptará la información de la empresa.

Como muestra, os explicamos uno de los últimos casos que hemos conocido. En este caso fallaron muchas cosas, y los atacantes pudieron hacer uno de los ataques más efectivos que hemos visto.

Vamos a exponer desde el punto de vista técnico un ejemplo en el que la afectación ha sido importante y en que unas medidas de seguridad insuficientes y ciertos errores en la planificación IT propiciaron unos importantes quebraderos de cabeza a la empresa.

La empresa empieza a detectar ficheros encriptados, con afectación a un número importante de servidores, lo que le impide trabajar con normalidad hasta el punto de dejar la empresa totalmente inoperativa ya que dejan de estar operativos los sistemas IT. Cuando se intenta recurrir a las copias de seguridad estas también están afectadas ya que el ataque se propaga también a través del sistema de copias de seguridad que no esta correctamente aislado y además uno de los equipos de backup esta averiado.

Se identifica que el ataque se ha propagado y generado distintos códigos desde varios servidores, lo que dificulta la recuperación de los datos. Se analiza el ataque en busca de soluciones para su recuperación pero no hay ningún sistema conocido que permita esta gestión, con lo que a la empresa solo le queda la opción de contactar con el atacante y pagar el rescate, la peor de las opciones y que genera muchas dudas sobre la efectividad, a parte del alto riesgo que conlleva.

Esta gestión finalmente les permite una recuperación parcial de los datos, al ser diferentes servidores el ataque genera diferentes códigos y incluso pagando el rescate resulta complicado recuperar los datos. Con la ayuda de los especialistas técnicos en ciberseguridad se consigue agilizar la localización de las fuentes del ataque y agilizar el proceso de recuperación, así como lo mas importante de cara al futuro, que es evitar que vuelva a ocurrir este grave suceso.

Todo ello lleva a esta empresa a estar con graves afectaciones durante mas de dos semanas, y afectaciones menores que se prolongan durante meses hasta volver a la normalidad. Analizando el ataque y con una posterior auditoria podemos resumir qué ha fallado y los principales errores cometidos que han permitido esta grave afectación:

  1. Errores en la planificación de la infraestructura IT: gran cantidad de usuarios (incluso externos) con permisos de administrador que permiten al atacante llegar hasta todos los recursos y datos de la red. Insuficiente seguridad en el acceso a los datos críticos de la empresa. Configuración DNS errónea que impide identificar correctamente el origen del ataque detectado por la herramienta de seguridad perimetral y endpoint.
  2. Copias de seguridad incorrectamente configuradas: sin copia o réplica aislada y encriptada en la nube u offline en soporte externo.
  3. Ausencia de elementos adecuados de protección a nivel perimetral y endpoint. Las soluciones avanzadas permiten detectar ataques desconocidos de este tipo mediante nuevos sistemas de análisis: deep inspection, escaneo en la nube via sandboxing, análisis de comportamiento y machine learning, entre otros.
  4. Comunicaciones inseguras: accesos desde fuera de la empresa no suficientemente controlados, aun disponiendo de conexiones VPN. Wifi insegura con acceso a los datos de la empresa. Redes incorrectamente segmentadas.
  5. Carencia de formación y phishing experiment a los usuarios: es necesario que los usuarios dispongan de una formación adecuada en el uso de la tecnología y la prevención de ataques, focalizado principalmente a la detección precoz de phishing, spear phishing y spoofing. Se recomienda también testear mediante herramientas de phishing experiment y similares la efectividad de la formación realizada a los usuarios.
  6. Ausencia de plan de contingencia. El hecho de no disponer de un plan de contingencia ante este tipo de situaciones provoca una crisis importante, disponer de este plan ayudará a volver cuanto antes a la normalidad y operativa diaria en un breve plazo de tiempo.

Todos estos puntos nos permiten llegar a conclusiones sobre las acciones a realizar para minimizar las probabilidades de recibir este tipo de ataques y evitar que nos puedan afectar gravemente, ya que a día de hoy nos es posible evitarlos al 100%. El paso previo para la mayoría de empresas es realizar una auditoria de seguridad, para luego implantar las soluciones recomendadas en las conclusiones.

Hoy en día la inversión en tecnologías y concienciación en ciberseguridad es una prioridad para proteger debidamente la empresa ante afectaciones directas a tesorería, reputación y productividad y así deben valorarlo los consejos de administración y dirección de las empresas.

*Post invitado, por Jordi Bartes, IT Consultant en Infoself Grouppartner de Prestigia Seguridad

Qué son y qué hacer ante las Brechas de Seguridad
1024 576 Prestigia

Hace poco más de un año nos hacíamos eco en este blog de que la ciberseguridad era, para el Foro de Davos, un desafío global. La seguridad en Internet, decíamos, es un riesgo que tiene un coste global anual de 500.000 millones de dólares. Ahí es nada.

La inmensa mayoría de los ataques los sufren empresas corrientes, pymes como la nuestra. Así, según el INCIBE, el 70% de los ataques informáticos son dirigidos a PYMES. Con todo, también las grandes marcas se ven afectadas y nos recuerdan que ninguno estamos a salvo. En lo que llevamos de año, tenemos constancia de que han sufrido ataques Facebook, Xiaomi, Toyota, Nokia y Twitter, entre otras. Muchas de estas empresas trabajan y se nutren de nuestros datos.

Desde Prestigia Seguridad queremos recordaros cuáles son las principales medidas que hay que tomar cuando tus datos personales se ven comprometidos por una brecha de seguridad.

¿Qué es una brecha de seguridad?

Las brechas de seguridad son fallos o violaciones de seguridad en las empresas que almacenan datos personales y que conllevan la pérdida o robo de estos. Cualquier empresa es susceptible de sufrir una brecha de seguridad, siendo el factor humano la causa principal.

Los cibercriminales pueden utilizar una brecha de seguridad para conseguir datos como contraseñas, números de tarjetas de crédito, archivos personales, etc.

Hace unos días, por ejemplo, Microsoft anunciaba que unos ciberdelincuentes tuvieron acceso a cuentas personales de correo electrónico de sus usuarios a causa de una brecha de seguridad. Los hackers lo lograron gracias a la contraseña de un trabajador de la empresa. Incluso en un gigante tecnológico como Microsoft, la formación de sus empleados se ha demostrado insuficiente.

Otro ejemplo muy comentado este 2019, ha sido la brecha de seguridad que sufrió el popular videojuego multiplataforma Fortnite, donde quedaron expuestos datos personales de las cuentas de los jugadores, incluyendo los números de las tarjetas de crédito. Los atacantes pudieron hacer compras dentro del juego aprovechando los datos bancarios que obtuvieron.

La aerolínea British Airways, sufrió una brecha de seguridad entre los días 21 de agosto y 5 de septiembre del 2018, donde le robaron 300 mil números de tarjetas de crédito, de usuarios que realizaron reservas a través de la página web de la compañía y de la aplicación móvil.

Facebook, la red social con más usuarios del mundo, ha sufrido varios ciberataques desde su aparición en 2004. En septiembre de 2018 la compañía escribió una publicación en su blog, dando a conocer un fallo de seguridad que afectó a 50 millones de cuentas que los cibercriminales aprovecharon para acceder a las cuentas afectadas.

Qué hacer como usuario ante una brecha de seguridad

Lo primero que podemos hacer nosotros como usuarios es prevenir.

Como os explicamos en nuestro post sobre la sextorsión, un hacker puede aprovechar una brecha de seguridad en una web, plataforma o aplicación donde estés registrado, y con ello, conseguir tu información personal, mandarte un email utilizando alguna de tus contraseñas como gancho y pedirte dinero a cambio de no compartir tus datos personales. Así son las extorsiones modernas.

Puede que tus datos se hayan visto comprometidos y te enteres por alguna noticia aparecida en los medios, por aviso de la propia empresa afectada o por contrastarlo tú mismo usando alguna herramienta pública como ésta: https://haveibeenpwned.com

Desde Prestigia recomendamos:

Mantener la calma: cuando recibes algún chantaje o extorsión, ignora al remitente. En general, negociar con un cibercriminal que hace del engaño y el robo su medio de vida no acostumbra a ser una buena idea. Denúncialo a la Policía.

Cambia tus contraseñas en todas tus redes y dispositivos: esta es la primera medida de choque cuando tus datos se han visto comprometidos. Tus nuevas contraseñas deben ser distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas, de forma que puedas incluir mayúsculas, minúsculas, letras, números y símbolos (mínimo 8 caracteres).

¿Hemos dicho contraseñas distintas? Sí, así es. Si utilizas la misma contraseña en todas las plataformas, con solo conseguir la contraseña en un sitio, los cibercriminales pueden entrar en todos los demás donde estés registrado. De forma que deberías usar una contraseña por sitio web o aplicación. Y tener todas las contraseñas custodiadas a buen recaudo, hay distintas aplicaciones para hacerlo, pero esto daría para otro post.

Configura la verificación en dos pasos: La mayoría de grandes empresas como Google, Android, Epic Games o las bancas digitales, nos ofrecen la llamada verificación en dos pasos, es decir, nos ofrecen la posibilidad de activar una confirmación de inicio de sesión vía sms a nuestro móvil personal.

Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

Evita que te graben y te vigilen con una cubierta para tu webcam. Deshabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

Y tú, ¿has sido víctima de alguna brecha de seguridad?. ¿Cómo te has dado cuenta?. ¿Te ha notificado alguna empresa la pérdida o robo de tus datos personales?

Si aún no tienes protegida la seguridad de tu empresa, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. Puedes contactar con nuestros especialistas en ciberseguridad.

El mantenimiento técnico de tu proyecto: no te la juegues
1024 682 Prestigia

Sí, te la juegas. Algunos clientes tienen pánico a los costes fijos. No escatiman en gastos para el lanzamiento de su proyecto, pero luego no acaban de entender la necesidad del mantenimiento técnico posterior. Y, aunque siempre avisamos, en ocasiones no reaccionan hasta que es tarde y ya han sufrido un ataque. Entonces te llaman angustiados. Y descubren que la intrusión se podría haber evitado actualizando sus sistemas, o implementando un parche de seguridad de su proveedor de software, o con la última versión del core de su CMS o de los plugins que utiliza su Web. ¿En serio? Sí, en serio. Un plugin de WordPress y un Drupal antiguo fueron los causantes de la filtración de los Papeles de Panamá, la mayor de la historia del periodismo.

La realidad es que el mantenimiento técnico incluye muchísimas cosas que a simple vista no se ven, como copias de seguridad, monitorización del servidor, protección ante ataques, seguridad del proyecto web, actualización del servidor o de los componentes… Ya lo dice el refrán: Más vale prevenir que curar. Y por eso hoy os hablamos de la importancia del mantenimiento técnico y del mantenimiento web, fundamentales para garantizar la seguridad de tu empresa en internet.

Dos tipos de mantenimiento: web y técnico

Mantenimiento web: Tener nuestro proyecto web actualizado quizás parece una tarea sencilla. Muchos de los gestores de contenidos disponen de funciones de actualización automática o semiautomática cuando lanzan nuevas versiones o corrigen fallos de seguridad. Sin embargo, una mala configuración nos puede dejar desprotegidos, como comentábamos hace poco en nuestro post sobre los mejores plugins de seguridad para WordPress. No sólo es de vital importancia mantener el software actualizado sino que, además, se deben realizar otras tareas asociadas para comprobar que nuestro proyecto funciona correctamente. Por ejemplo: revisar los registros de errores del servidor web para detectar fallos en nuestro proyecto web, revisar el consumo de ancho de banda para optimizar imágenes o detectar linkbuilding negativo, entre otras muchas.

Con el uso mayoritario de gestores de contenidos open source como WordPress, Joomla, Drupal, la seguridad web se ha convertido en el talón de aquiles de estos CMS. Así, tener una buen mantenimiento web – no solo del core y los plugins – es la primera defensa a la hora de tener protegido nuestro proyecto.

Mantenimiento técnico: Se refiere sobre todo a la parte física de nuestro proyecto, que en los casos de empresas pequeñas suele ser únicamente el servidor. Sin embargo, en proyectos más complejos también incluye el firewall, los balanceadores de carga, switches, routers y el resto de componentes de conectividad a la red.

Este mantenimiento gestiona la monitorización del servidor, las copias de seguridad tanto de ficheros como de las bases de datos, la correcta actualización del software de los servidores y sus componentes y, en el caso de componentes de hardware, su firmware siempre que aparezcan nuevas versiones, se detecten fallos o agujeros de seguridad.

El verano pasado, por ejemplo, se detectó un fallo de seguridad que afectaba a 500.000 routers conectados a la red, que permitía controlarlos de forma remota. Los fabricantes reaccionaron sacando nuevos firmwares para los dispositivos pero, en muchos casos, depende del administrador de sistemas o de la empresa encargada del mantenimiento implementar estas actualizaciones. Los routers domésticos son usados habitualmente por los ciberdelincuentes ya que conocen las contraseñas predeterminadas de los fabricantes, y los usuarios no cambiamos o actualizamos estas contraseñas. Es importante cambiar la contraseña del router y usar claves seguras para aumentar nuestra seguridad.

El ataque con ransomware más grave sufrido el año pasado en España, lo padeció Telefónica. Una infección masiva de sus sistemas y ordenadores de escritorio que se podría haber evitado (o al menos minimizado) si todos los equipos hubiesen estado actualizados a las últimas versiones.

Mantenimiento técnico y web: cuando lo barato sale caro

Él “mientras todo funcione no se toca” ya no vale. Es de vital importancia contar con una política de mantenimiento acorde con nuestros proyectos, que revise los sistemas operativos del servidor, se actualicen siguiendo un calendario programado y de forma inmediata cuando que se detecten fallos de seguridad que puedan ser usados por ciberdelincuentes. El informe de Kaspersky Lab de diciembre de 2017 indicaba que las medianas y pequeñas empresas han tenido que pagar una factura media de 74.000 euros por cada incidente de seguridad. Ahí es cuando entiendes que lo barato te puede salir caro.

¿Estás seguro de que tus servidores y proyectos web están actualizados? Si necesitas revisar tu mantenimiento web y técnico, podemos ayudarte.

ciberseguridad en vacaciones
Ciberseguridad en vacaciones: que nada te amargue la fiesta
1020 691 Prestigia

Bajar las persianas, cerrar puertas y ventanas a cal y canto, avisar al vecino de que nos marchamos…Estas son algunas de las cosas que hacemos cuando pasamos fuera de casa la época estival. Son una serie de medidas básicas para mantener el hogar seguro y protegido de posibles cacos que aprovechan el verano y las casa vacías para cometer sus fechorías.

Si también bajas la persiana de tu empresa en agosto -o tu equipo de IT se va de vacaciones-, no está de más tomar algunas medidas de ciberseguridad para proteger tu web, tu negocio online o los datos de tu compañía. En definitiva, se trata de ser precavido con tu seguridad digital:

  1. La regla número uno: revisa las contraseñas de acceso y su fortaleza. Y tampoco dejes escrito en un papel o envies por email las contraseñas.
  2. No hagas clic en enlaces sospechosos ni descargues archivo cuya procedencia desconozcas o no sean 100% fiables. Tras este tipo de situaciones suele esconderse un virus o malware dispuesto a hacer mucho daño.
  3. Antes de hacer la maleta, haz una copia de seguridad. De esta forma podrás marcharte tranquilo. Todos tus datos estarán a salvo en caso de sufrir algún robo o percance durante las vacaciones.
  4. Chequea la seguridad de la red wifi de la empresa (WPA) y habilitar una red wifi distinta para invitados. De esta forma, los dispositivos que se conecten tendrán acceso a Internet pero no a tu red privada. Si bajas la persiana durante unas semanas, directamente puede desconectar el wifi.
  5. Aplica un filtro web o software de control de contenidos para evitar el acceso a determinadas páginas web que puedan poner en riesgo la seguridad de tu empresa.
  6. Formación del personal. En verano suelen incorporarse nuevas personas al equipo humano de una compañía. Es importante que aprendan y tenga claro las políticas de seguridad y buenas prácticas.
  7. Asegúrate de que tus proveedores tiene actualizados los datos de contacto de la persona responsable ante una posible incidencia. Y garantiza que tu plan de contingencia y recuperación ante desastres está al día antes de marcharte. Ante una ausencia, es importante que quede claro cómo actuar para actuar de forma eficaz y eficiente ante un imprevisto.
  8. Cuidado con la temperatura. Tu piel sufre ante la exposición solar y los aparatos electrónicos también son víctima de las altas temperaturas. Para evitar desperfecto o roturas de los equipos informáticos, vigila especialmente la temperatura y la humedad.

Una vez que hayas dejado la ciberseguridad de tu empresa en buenas manos, no olvides también de protegerte a ti mismo. Así que…

  1. No te fies de las conexiones externas. El Wifi suele ser un reclamo para muchos pero recuerda que no es una red segura y tu información personal puede quedar al descubierto. Si quieres evitar verte inmerso en un pishing, extrema la seguridad. No realices operaciones confidenciales con Wifi o usa sólo redes oficiales.
  2. Sé discreto en redes sociales. Sabemos que el postureo en verano está a flor de piel pero…si vas proclamando tu día a día…los delincuentes se percatarán de que tu negocio, o incluso tu casa, están vacíos.

Estas son solo algunas medidas básicas para mantener la seguridad en vacaciones. Ante la duda, recuerda la regla principal: tener sentido común. Y si tienes alguna duda más sobre cómo fortalecer tu ciberseguridad en vacaciones o quieres contratar un servicio de mantenimiento y seguridad para despreocuparte de la seguridad estas vacaciones, ¡contacta con Prestigia Seguridad!

penalización de Google
Penalización de Google: qué es, cómo detectarla y porqué afecta al SEO
1024 690 Prestigia

Ponte en situación. El tráfico en tu web va viento en popa a toda vela, como un coche por la ciudad de madrugada, sin semáforos en rojo ni caravana. De repente, un día…¡ups, caída en picado! Investigas, revisas Google Analytics, analizas el servidor y, a simple vista, no das con el origen del problema. Pues bien…quizás una penalización de Google puede ser la respuesta.

El origen de las penalizaciones de Google

Hay muchos motivos por los que tu web puede ser penalizada por Google pero a continuación os mencionamos algunos de los más habituales:

  • No tener un certificado SSL válido. Un ejemplo claro de cuándo la seguridad puede afectar al SEO lo tenemos en los certificados SSL, de cuyas ventajas y consecuencias os hemos hablado anteriormente en el blog de Prestigia Seguridad. Cuando una web no dispone de un certificado SSL, algunos navegadores (como Google Chrome o Firefox) añaden un aviso de “web no segura”. De esta forma, el usuario puede sentir desconfianza y abandonar la web, aunque esto por sí solo no conlleva una penalización de Google. Un caso más extremo es el de la página web que sí tuvo un certificado SSL pero éste ha caducado. En estos casos, la discrepancia entre el protocolo https en el que está configurado la página web y el hecho que no esté respaldado por un certificado válido es interpretado por Google como un intento (o riesgo elevado) de phishing y en la mayoría de ocasiones el buscador -o los navegadores- incluso impiden el acceso a la web. Si no se resuelve rápido, puede ocasionar una penalización.
  • Web hackeada. Hay muchos delincuentes informáticos que no buscan datos o información confidencial cuando cometen un ataque. En algunas ocasiones hackean una web para utilizar el servidor como un centro de envío masivo de Spam o para generar miles de páginas dentro de tu propia página web para que sirvan de enlaces a las suyas. Si esto sucede, ten por seguro que acabarás recibiendo una penalización de Google.
  • Técnicas de SEO agresivas: en este caso el culpable no es un agente externo a la web. Si intentas mejorar tu posicionamiento a toda costa, sin seguir las normas de Google, no tendrás escapatoria y acabarás penalizado. Las penalizaciones de Google en relación al SEO pueden estar vinculadas con contenido duplicado, keyword stuffing, el cloacking o compra de enlaces en granjas, entre otros.

¿Cómo detectar penalizaciones de Google?

Como decíamos al principio de este post, a veces es posible que hayas sido “víctimas de las penalizaciones de Google” pero no seas capaz de detectarlo o no te hayas enterado. Para saber si estás ante una penalización, tienes varias opciones:

  1. Busca tu web en Google. Si apareces…puedes respirar tranquilo. Pero si no te encuentras es posible que el gigante de Internet te haya desterrado de los resultados de búsqueda.
  2. Revisa tu contenido indexado. Con la búsqueda “site:tupaginaweb.com” en el buscador podrás ver qué páginas tienes indexadas. Si echas en falta muchas páginas o Google no tiene indexada ninguna puede ser que esté penalizado (o que alguna otra herramienta esté bloqueando la indexación de tu web en Google).
  3. Presta atención a Google Analytics. Una caída inusual del tráfico orgánico que se detecta con el análisis de métricas puede ser una primera señal de alarma.
  4. Consulta con Google Search Console. Ante una incidencia o sospecha de penalización, conviene siempre revisar los “errores de rastreo” y otros avisos en el Google Search Console: ahí podrás encontrar posibles errores en tu web para solucionarlos. Recuerda que esto sólo podrás hacerlo si tu webmaster te ha dado de alta previamente en esta herramienta gratuita de Google.

¿Cómo arreglar las penalizaciones de Google?

Salir de la penalización es sin duda el paso más laborioso y dependerá de diversos factores, por ejemplo, el tipo de penalización. Tienes diversas alternativas para hacerlo:

  • Arreglando lo que motivó la penalización sea cual sea tu caso (disavow de enlaces entrantes tóxicos, limpiar la página web de virus, rehacer el contenido, actualización de certificado SSL, etc.)
  • Valoración de daños: para ver el mejor modo de arreglar una penalización tendrás que analizar cuál ha sido el impacto de la misma. En algunos casos basta con arreglar el desaguisado; en casos más complicados puede que incluso haya afectado a la autoridad de tu dominio y sea necesario empezar de cero con un dominio nuevo para poder recuperar el nivel de tráfico orgánico previo a la penalización.
  • Enviar una solicitud de reconsideración a Google. Esto llevará su tiempo porque la solicitud pasa por diferentes fases. De hecho, es el último paso tras arreglar primero lo que motivó la penalización. Además, esta solicitud solo está disponible para los casos de penalización manual.

En definitiva, si ya has detectado que has recibido una penalización de Google, no pierdas más tiempo y ponte manos a la obra. Desde Prestigia Seguridad podemos ayudarte para que recuperes tu posicionamiento y visibilidad. ¡Contáctanos!

eloi-font-reglamento-general-de-proteccion-de-datos
Todo lo que debes saber sobre el Reglamento General de Protección de Datos
1024 690 Prestigia

Si tienes una pyme y has oído hablar que el próximo 25 de mayo será aplicable el Reglamento General de Protección de Datos y no sabes muy bien qué significa ni si te afecta, muy probablemente te interesará continuar leyendo este artículo.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

Es una nueva regulación europea que, como Reglamento comunitario que es, se aplicará de forma directa y por igual en todos los Estados Miembros y afectará a organizaciones de la Unión Europea (UE), con independencia de dónde se realiza el tratamiento de sus datos, así como a organizaciones de fuera de la UE, cuando traten datos de ciudadanos de la UE derivados de una oferta de bienes o servicios o a causa  de una monitorización y seguimiento de su comportamiento.

Como consecuencia de la próxima aplicación del RGPD, se está reformando la Ley Orgánica de Protección de Datos (LOPD), aunque está previsto que, pronto, se apruebe una nueva ley española de protección de datos que esté totalmente alineada con el RGPD.

¿Qué nuevas obligaciones tendrá tu empresa a partir de ahora?

La regulación europea crea un nuevo marco en el que se introducen cambios, no solamente a nivel jurídico, sino también de tipo técnico y organizativo para tratar de introducir la “cultura de la privacidad” en las organizaciones. Vayamos por partes.

Hasta ahora, si una empresa trataba datos personales de, por ejemplo, clientes, proveedores, empleados o usuarios de la página web o la App corporativas, tenía que notificar los correspondientes “ficheros” a la Agencia Española de Protección de Datos (AEPD) mediante la cumplimentación de unos formularios para su inscripción en el Registro General. Con el RGPD, esta obligación desaparece y muta a una nueva que es la de tener que implementar unos documentos, denominados “Registros de Actividades de Tratamiento” (RAT), en los que deben reflejarse los aspectos básicos de los tratamientos de datos. A diferencia de los ficheros, los RAT no se tienen que notificar ni inscribir en la AEPD, sino implementar.

Hasta ahora, también era necesario implementar cláusulas y políticas en los canales de recogida de datos (por ejemplo, en los contratos con clientes o proveedores, en contratos laborales, pero también en formularios de contacto de la web o la app de la empresa) para informar, entre otros aspectos, de la finalidad del tratamiento, si se iban a comunicar datos a terceros o dónde se podían ejercer determinados derechos, como los derechos de acceso, rectificación, cancelación y oposición. El RGPD refuerza dicha obligación y añade nuevos requisitos como, por ejemplo, tener que informar del plazo de conservación de los datos, si se van a transferir fuera de la UE y de las posibilidades de revocar el consentimiento prestado o de reclamar ante la Autoridad de Control. Ello implica que, antes del 25 de mayo es necesario volver a informar a todos los interesados (clientes, proveedores, empleados, etc.) de los nuevos requisitos que prevé el RGPD si se desea continuar tratando sus datos.

Dado que hay más información a ofrecer/notificar y que el RGPD también prevé que las comunicaciones se hagan con un lenguaje sencillo y claro, es recomendable que todo se realice a través de un sistema de doble nivel o capa. Así, por ejemplo, si tu empresa recoge datos personales a través de una página web o una app, será necesario incluir, debajo del formulario de datos, una versión resumida de la política de privacidad e informar de cómo el usuario puede acceder a una versión más detallada, que deberá estar en un segundo nivel.

Teniendo en cuenta que el RGPD exige un consentimiento inequívoco (en el que se exige una acción afirmativa por parte del interesado) y, en algunos casos, explícito, para tratar los datos con carácter general, es necesario revisar si en el pasado hemos tratado datos con consentimiento tácito de los interesados y, en consecuencia, proceder a regularizarlo antes del 25 de mayo.

Además, es necesario revisar los contratos suscritos con proveedores que accedan o traten datos por cuenta de la empresa (como, por ejemplo, las gestorías, asesoría o empresas de hosting) y suscribir con todos ellos un nuevo contrato para recoger los requisitos introducidos por el RGPD. Igualmente, es recomendable proceder a realizar un análisis de riesgos con una empresa especializada, que determine las medidas de seguridad más adecuadas para el tipo de tratamientos de datos que realiza la empresa, ya que con el RGPD desaparece el listado detallado de medidas de seguridad que había hasta ahora.

Además, si tu empresa lleva a cabo tratamientos de datos sensibles masivos o realiza evaluaciones de perfiles a gran escala, será necesario determinar si estás obligado a llevar a cabo una auditoría específica, denominada “Evaluación de Impacto”, para tratar de adaptar el producto o servicio a los requisitos del RGPD y de tener que designar un Delegado de Protección de Datos, figura que podrá ser interna o externa a la organización, que se encargará de supervisar de forma continuada el cumplimiento del RGPD por parte de la empresa.

Finalmente, a partir del 25 de mayo, habrá que notificar a la AEPD, en un plazo máximo de setenta y dos horas, las violaciones de seguridad que sufra la empresa cuando afecte a datos personales y suponga un riesgo para los derechos y libertades de los interesados. Ello se deberá realizar a través del canal de comunicaciones electrónicas habilitado por la misma AEPD. Además, si es probable que la violación de seguridad ocasione daños de entidad a los interesados, por ejemplo, porque se desvela información confidencial como contraseñas o se difunden datos sensibles de forma masiva, también será necesario notificarlo a los afectados.

¿Qué sucede si no cumples con el RGPD?

Además de perder la oportunidad de ofrecer una ventaja competitiva a los titulares de los datos, el incumplimiento del RGPD también puede acarrear la imposición de importantes sanciones administrativas que, en el peor de los casos, pueden llegar a ser de 20 millones de euros o, en el caso de las empresas, del 4% del volumen de negocio global del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocatspartner legal de Prestigia Seguridad

ventajas-certificado-ssl
5 ventajas de implementar un certificado SSL
1024 695 Prestigia

El concepto de seguridad en Internet abarca múltiples ámbitos. De hecho, en el blog hemos hablado de los riesgos de ciberseguridad para pymes, los hackers éticos o el RGPD que entrará en vigor en mayo. Pero otro de los aspectos que más preocupa en seguridad es la protección de los datos que se recopilan y ofrecen a través de páginas web y comercios electrónicos. En este sentido, si quieres que tu web sea segura deberías disponer de un certificado SSL.

¿Qué es un certificado SSL?

El SSL (Secure Socket Layer) es un protocolo de comunicaciones que garantiza seguridad a servidores y usuarios Internet.

Si tu página web dispone de un certificado SSL significa que los datos (tarjeta de crédito, datos personales, etc) e información que se transmiten a través de tu web están protegidos y no pueden ser interceptados, leídos ni manipulados por terceros. En otras palabras, el intercambio de datos entre un servidor y un usuario está encriptado gracias a que la información se cifra mediante algoritmos.

Por otra parte, el certificado también se encarga de autentificar el servidor.

Ventajas de disponer de un certificado SSL

A día de hoy, para garantizar la seguridad de un sitio web es necesario implementar un certificado SSL. Al hacerlo…

  1. Legitimas tu web y empresa porque queda patente que tu actividad online la realizas bajo valores y parámetros de seguridad.
  2. La información privada de tu web está encriptada, de forma que los usuarios no corren el riesgo de que sus datos sean interceptados o robados.
  3. Pones barreras al malware: los certificados SSL escanean la página web en busca de programas ilícitos o malware que puedan ponerte en riesgo.

Por otra parte, debes saber que desde hace algo más de un año, Google Chrome y Firefox avisan al usuario si navegan por una página web que no tenga un protocolo HTTPS (Protocolo de Transferencia de Hipertexto Seguro), y por lo tanto, pueda considerarse insegura. En este sentido, otras ventajas de disponer de un certificado SSL son:

  1. Más confianza: los usuarios confían más en una página que disponga de este certificado. En las webs que no tienen implementado el SSL, cuando el usuario accede para navegar por la misma les aparece un mensaje que les advierte de que el sitio en el que navegan no es seguro.
  2. Mejor posicionamiento: con la actualización de Chrome en 2017, Google favorece las páginas web que cuentan con el SSL a través del uso de HTTPS. Por lo tanto, este certificado también suma puntos a la hora de obtener mejor posición en los resultados de búsqueda.

Tener un certificado SSL no es obligatorio pero sin duda implementarlo puede tener importantes ventajas para tu página web. Este certificado es especialmente recomendable para negocios o tiendas online que a diario trabajan con datos personales de usuarios y clientes. En estos casos, garantizar la seguridad con un certificado SSL no solo es un factor de seguridad o confianza, sino también de reputación.

Si quieres tener una web segura, mejorar tu posicionamiento y garantizar a los usuarios que tu página web es segura, Prestigia Seguridad puede ayudarte a instalar un certificado SSL.

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.