La garantia de la edad digital: hallazgos clave de Australia.

 

La garantia de la edad digital: hallazgos clave de Australia.

 

El Informe Principal del Ensayo de Tecnología de Garantía de Edad (Age Assurance Technology Trial – AATT), publicado el 31 de agosto de 2025, es la evaluación más exhaustiva realizada en Australia sobre tecnologías para verificar la edad en entornos digitales.

1.- Contexto y Propósito

El ensayo fue encargado por el Departamento de Infraestructura de Australia y llevado a cabo de forma independiente por el Age Check Certification Scheme. Su objetivo principal es proporcionar una base de evidencia técnica para que las plataformas cumplan con las nuevas leyes de seguridad en línea que exigen impedir el acceso a menores de 16 años.

2.- Principales Hallazgos

a.- Viabilidad Técnica: Se confirmó que la garantía de edad es técnica y comercialmente viable en Australia, pudiendo implementarse a escala sin rediseños masivos de la experiencia del usuario

b.- Sin «Solución Única»: No existe una tecnología perfecta para todos los casos. El informe recomienda un enfoque de «validación sucesiva» (modelo en cascada), que combina inferencia de edad, estimación biométrica y verificación documental según el nivel de riesgo.

c.- Privacidad y Seguridad: Se observó un fuerte compromiso con los principios de «privacidad por diseño», aunque se advirtió sobre la retención innecesaria de datos por parte de algunos proveedores en previsión de futuras solicitudes regulatorias.

d.- Inclusión: Los sistemas evaluados funcionaron de manera consistente entre diversos grupos demográficos, incluidas las poblaciones indígenas, aunque persisten desafíos para usuarios sin documentos de identidad oficiales.

3.- Las seis categorías principales de soluciones:

a.- Verificación de Edad: Basada en documentos oficiales.

b.- Estimación de Edad: Uso de IA para analizar rasgos físicos (como el rostro o la voz).

c.- Inferencia de Edad: Basada en patrones de comportamiento o señales contextuales.

d.- Validación Sucesiva: Enfoque por capas.

e.- Control Parental: Herramientas para que padres gestionen el acceso.

f.- Consentimiento Parental: Confirmación activa por parte de un adulto.

El enlace:

https://www.infrastructure.gov.au/sites/default/files/documents/aatt_part_a_digital.pdf

/por

Deepfake: la primera sancion en España

 

Deepfake: la primera sancion en España

 

Primera multa de la AEPD por deepfake, al imponer 1.200 de multa a un menor por usar inteligencia artificial para desnudar a una compañera de instituto.

La AEPD señala en esta resolución que la manipulación se llevó a cabo con inteligencia artificial de imágenes que corresponderían a una persona de tal manera que, junto con la cara original, se asociaron cuerpos desnudos y además las imágenes manipuladas fueron objeto de difusión por sus autores a través de las redes sociales.

Así la difusión de fotografías manipuladas con inteligencia artificial que asocian sus rostros reales a cuerpos desnudos que no se corresponden con los suyos, supone un tratamiento de datos personales por cuanto la imagen es un dato personal.

Ha de señalarse asimismo que, de acuerdo con el artículo 84 de la LOPDGDD “Protección de los menores en Internet”, los menores de edad deben hacer un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.

Dicho precepto, en su apartado 2 señala lo siguiente:

“2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.”

En definitiva, nos encontramos ante un marco jurídico que, con carácter general, prevé que todo tratamiento de datos personales requiere contar con una base legitimadora para ser considerado lícito y, por otro lado, establece mecanismos de garantía reforzada cuando el tratamiento de datos personales se refiera y/o afecte a menores de edad.

Según ha quedado descritos en los antecedentes, la difusión de las imágenes se realizó a través de un grupo de mensajería entre cuyos participantes se encontraba la persona denunciada que realizó esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.

En el presente caso, de la documentación obrante en el expediente administrativo, se infiere:

a.-  que A.A.A. participó en la difusión de imágenes manipuladas con inteligencia artificial en las que se asociaban sus rostros reales a cuerpos desnudos que no les pertenecían,

b.- que dicho tratamiento se efectuó sin que concurriera ninguna de las causas de legitimación enumeradas en el artículo 6.1 del RGPD.

Los hechos son constitutivos de una infracción por vulneración del artículo 6.1 del RGPD y se impone una multa de 1.200 euros.

El enlace: https://www.aepd.es/documento/ps-00132-2025.pdf

/por

Tu basura electrónica: una bomba de tiempo para tus datos.

 

Tu basura electrónica: una bomba de tiempo para tus datos.

Introducción: La amenaza invisible

En la era digital actual, las organizaciones y los individuos se enfrentan a un peligro crítico que a menudo pasa desapercibido: los residuos electrónicos (e-waste).

Mientras las empresas se centran en proteger sus redes activas, los dispositivos desechados se han convertido en un «punto ciego» masivo para la seguridad.

Gran parte de este riesgo proviene de la eliminación inadecuada de hardware y de hecho, el error humano contribuye al 28% de todas las brechas de seguridad, y la eliminación incorrecta de dispositivos es uno de los errores prevenibles más comunes.

Esto deja a millones de toneladas de dispositivos, potencialmente llenos de datos confidenciales, circulando por cadenas de reciclaje informales sin ninguna supervisión de seguridad.

El mito del borrado de datos

Uno de los conceptos erróneos más peligrosos es creer que el borrado manual de archivos o el restablecimiento de fábrica protegen la información.

Cuando eliminas un archivo o reseteas un dispositivo, no estás borrando realmente los datos; simplemente le estás diciendo al dispositivo que ignore esos archivos y que el espacio está disponible para ser usado de nuevo. Sin embargo, la información original permanece en el disco y es totalmente recuperable utilizando herramientas de software básicas disponibles en internet.

Las estadísticas son alarmantes: el 90% de las laptops, discos duros y tarjetas de memoria de segunda mano todavía contienen datos recuperables. Esto convierte a ese equipo «reciclado» en una mina de oro para ciberdelincuentes que buscan contraseñas, registros financieros e información de clientes.

Riesgos emergentes para 2025: IoT y Criptomonedas

El panorama de amenazas está evolucionando rápidamente, superando las prácticas de eliminación actuales.

  • El peligro del Internet de las Cosas (IoT): Existen 18.8 mil millones de dispositivos IoT a nivel mundial (como equipos de oficina inteligentes y sensores industriales). Estos dispositivos a menudo carecen de características de seguridad robustas, pero almacenan datos sensibles. Los ciberdelincuentes buscan activamente estos dispositivos desechados para crear «botnets» (redes de dispositivos infectados), como se vio en el ataque «Matrix» de noviembre de 2024.
  • Criptomonedas: Los dispositivos desechados pueden contener carteras de criptomonedas olvidadas. Muchos casos de pérdidas en estafas de inversión involucraron activos digitales recuperados de dispositivos eliminados incorrectamente.

Consecuencias legales

La eliminación inadecuada no es solo un riesgo técnico, es un riesgo financiero y legal masivo.

Las empresas están sujetas a leyes estrictas de protección de datos como el reglamento de proteccion de datos (2016/679) y un solo dispositivo descartado con registros de clientes puede desencadenar multas, demandas y daños permanentes a la reputación.

Protocolo de seguridad: Cómo protegerse

Para mitigar estos riesgos, no basta con tirar los equipos a la basura. Se requiere un enfoque profesional para la destrucción de datos de tres niveles:

  1. Limpiar: Sobreescritura de datos. Adecuado para reutilización interna.
  2. Purgar: Técnicas avanzadas como borrado criptográfico. Necesario para datos confidenciales.
  3. Destruir: Destrucción física del medio de almacenamiento. Obligatorio para datos clasificados o cuando otros métodos fallan

El protocolo de 5 pasos para la eliminación segura

Las organizaciones deben seguir un protocolo estricto para garantizar la ciberseguridad durante el desecho de equipos:

  1. Paso 1: Inventario y Clasificación. Cree una lista completa de todos los dispositivos. No olvide el almacenamiento oculto en impresoras o equipos de red. Clasifique los datos según su sensibilidad (pública, confidencial, restringida) para determinar el método de destrucción necesario.
  2. Paso 2: Elegir proveedores certificados. Estos garantizaran que se siguen los protocolos de destrucción de datos.
  3. Paso 3: Transporte Seguro. Nunca use vehículos personales o envíos no seguros. Los proveedores profesionales ofrecen seguimiento GPS, embalaje a prueba de manipulaciones y monitoreo en tiempo real.
  4. Paso 4: Documentar todo (Cadena de Custodia). Exija un rastro de auditoría completo. Esto incluye certificados de destrucción de datos con firmas, informes serializados y registros de la cadena de custodia desde la recolección hasta el destino final. Esto es vital para protegerse legalmente ante auditorías.
  5. Paso 5: Verificación. Revise la documentación para asegurar su exactitud. Para desechos de alto valor, considere exigir evidencia en video del proceso de destrucción.

Métodos de destrucción física y lógica

Los recicladores certificados utilizan métodos específicos para garantizar que los datos sean irrecuperables:

  • Borrado y sobreescritura: Uso de software avanzado para escribir sobre los datos múltiples veces.
  • Desmagnetización (Degaussing): Uso de campos magnéticos potentes para neutralizar datos en dispositivos de almacenamiento magnético.
  • Destrucción física: Trituración o aplastamiento de discos duros y unidades SSD.

Responsabilidad Individual y Corporativa

La ciberseguridad de los residuos electrónicos es ahora un tema que debe discutirse en las juntas directivas. La reutilización es la mejor forma de reciclaje, pero solo si se acompaña de una sanitización de datos certificada.

Recomendaciones generales para reducir riesgos

  • Reducir compras: Alargar la vida útil de los productos reduce la cantidad de dispositivos que necesitan eliminación.
  • Encriptación: Encriptar los datos hace que sea mucho más difícil para los hackers acceder a la información, incluso si recuperan el dispositivo físico.
  • Uso de cortafuegos y antivirus: Protegen los dispositivos mientras están en uso, evitando que se conviertan en vectores de ataque antes de ser desechados.

Conclusión

Los dispositivos electrónicos olvidados en cajones o desechados incorrectamente son «bombas de tiempo» de seguridad. La negligencia en la disposición de activos de TI (ITAD) puede llevar al robo de identidad o espionaje corporativo.

  • La solución es clara: tratar la eliminación de equipos con la misma seriedad que la seguridad de la red activa. Invertir en una gestión de residuos electrónicos certificada y segura no es un gasto opcional, sino una póliza de seguro necesaria para proteger la reputación y las finanzas de cualquier organización
/por

Política de escritorio limpio: protege nuestra informacion

 

La Política de escritorio limpio (clean desk policy)

¿Qué es una Política de Escritorio Limpio?

La Política de Escritorio Limpio (CDP por sus siglas en inglés) es una herramienta de seguridad fundamental diseñada para garantizar que la información sensible y confidencial no quede expuesta ni sea accesible para personas no autorizadas.

En su forma más básica, requiere que los empleados limpien completamente sus escritorios al final de la jornada, guarden los documentos en cajones y desechen los que sean innecesarios.

Esta práctica va más allá del orden físico, ya que es una estrategia crítica de ciberseguridad que protege tanto los datos impresos como la información en formato digital, evitando brechas de datos y cumpliendo con regulaciones internacionales como el RGPD.

Propósito y Objetivos

El objetivo principal es establecer un procedimiento claro y requisitos mínimos para mantener un entorno de trabajo seguro por lo que sus metas específicas incluyen:

  • Proteger la información sensible: Asegurar que los datos de empleados, propiedad intelectual, clientes y consultores estén resguardados en áreas bajo llave.
  • Reducir riesgos: Minimizar las oportunidades de acceso no autorizado, robo o divulgación accidental de información.
  • Fomentar una cultura de responsabilidad: Aumentar la conciencia de los empleados sobre la importancia de proteger la privacidad.
  • Cumplimiento legal: Alinear a la organización con estándares internacionales como ISO 27001 / 17799, HIPAA y otras normativas de protección de datos.

Alcance

La política de escritorio limpio es universal dentro de la organización y se aplica a:

  • Todos los empleados de tiempo completo y parcial.
  • Contratistas, trabajadores temporales y consultores.
  • Cualquier personal externo o tercero que trabaje en las instalaciones de la empresa o en su nombre.
  • Entornos de trabajo modernos, incluyendo oficinas tradicionales, espacios de co-working y estaciones de trabajo remotas o domésticas.

Seguridad Física y Manejo de Documentos

Para cumplir con el principio de escritorio limpio, se deben seguir reglas estrictas sobre el uso de materiales físicos:

  • Custodia de la información: Toda información personal o confidencial en papel debe guardarse bajo llave al final del día o cuando no esté en uso activo.
  • Gestión de llaves: Las llaves de archivadores o cajas de seguridad nunca deben dejarse en los escritorios ni en áreas inseguras.
  • Uso de impresoras y faxes: Los materiales impresos deben retirarse de las bandejas de salida inmediatamente. No se debe permitir que documentos sensibles queden olvidados en áreas comunes de impresión.
  • Eliminación segura: Cuando los documentos ya no sean necesarios, deben destruirse en trituradoras o depositarse en contenedores de basura confidencial; nunca en la basura común.
  • Pizarras: Cualquier información sensible escrita en pizarras debe borrarse inmediatamente después de las reuniones o cuando ya no se necesite.

Seguridad Digital y Dispositivos

La política también abarca la pantalla limpia y el control de dispositivos electrónicos:

  • Bloqueo de ordenadores: Las estaciones de trabajo deben bloquearse (por ejemplo, usando Windows + L) siempre que el usuario se aleje de su lugar, incluso por periodos cortos.
  • Apagado diario: Los ordenadores deben apagarse completamente al finalizar la jornada laboral.
  • Dispositivos portátiles: Los ordenadores personales, las tablets y los medios de almacenamiento masivo (como USB) deben asegurarse con cables de bloqueo o guardarse en cajones bajo llave cuando no se utilicen.
  • Gestión de contraseñas: Está estrictamente prohibido escribir contraseñas en notas adhesivas (Post-its) o dejarlas visibles cerca del ordenador.
  • Privacidad de pantalla: En áreas concurridas, se recomienda el uso de filtros de privacidad para evitar que personas ajenas vean la información en el monitor.

Aplicación en el Trabajo Remoto (Home Office)

La responsabilidad de proteger la información de la empresa se extiende al hogar.

Los empleados deben evitar dejar notas a la vista de familiares o personal de limpieza, asegurando que los documentos de trabajo no sean utilizados accidentalmente para otros fines.

Cómo Implementar la Política con Éxito

La implementación efectiva requiere más que solo reglas, se necesita una estrategia de gestión:

  • Capacitación: Educar al personal sobre los riesgos de las brechas de datos físicos y cómo sus hábitos diarios previenen amenazas.
  • Herramientas adecuadas: Proporcionar cajones con llave, archivadores seguros y soluciones de almacenamiento digital.
  • Liderazgo con el ejemplo: Los gerentes deben ser los primeros en seguir la política para fomentar su adopción.
  • Rutinas de limpieza: Fomentar hábitos diarios como organizar cables, limpiar superficies y usar notas digitales en lugar de papel.

Beneficios Clave

Adoptar esta política ofrece múltiples ventajas estratégicas y operativas:

  • Productividad mejorada: Un espacio sin desorden reduce las distracciones y ayuda a los empleados a concentrarse mejor y encontrar archivos más rápido.
  • Imagen profesional: Los escritorios ordenados proyectan una imagen de disciplina y profesionalismo ante los clientes y visitantes.
  • Higiene y mantenimiento: Las superficies despejadas facilitan la limpieza profunda por parte del personal de mantenimiento, mejorando la higiene del lugar de trabajo.
  • Sustentabilidad: Al desincentivar la impresión innecesaria, se reduce el desperdicio de papel y se apoya la eficiencia digital.

Monitoreo y Cumplimiento

El cumplimiento de esta política es obligatorio y será verificado regularmente:

  • Auditorías: El equipo de seguridad de la información realizará revisiones periódicas y auditorías externas para asegurar que se sigan las reglas.
  • Excepciones: Cualquier excepción a la política debe ser aprobada previamente por escrito.
  • Consecuencias del incumplimiento: Los empleados que violen estas normas pueden enfrentarse a acciones disciplinarias.

Conclusión

La Política de Escritorio Limpio es un hábito diario sencillo pero poderoso que fortalece la seguridad organizacional y protege la credibilidad de la empresa en un mundo donde la seguridad física y la digital están intrínsecamente ligada

/por

El principio de mínimo privilegio: menos es mas en ciberseguridad

 

 

El principio de mínimo privilegio: menos es mas en ciberseguridad

 

¿Qué es el principio de mínimo privilegio y por qué es vital hoy?

El principio de mínimo privilegio (principle of least privilege o POLP) es una regla fundamental de seguridad informática que establece que los usuarios, las aplicaciones y los sistemas deben tener únicamente los permisos mínimos necesarios para realizar sus tareas específicas.

En términos simples, significa que a un empleado se le da acceso solo a la información y herramientas que realmente necesita para su trabajo, y nada más.

Si un usuario tiene menos poder del necesario para causar un desastre, las probabilidades de que un error o un ataque afecten gravemente a la empresa disminuyen drásticamente.

Conceptos clave

  • Acceso Mínimo: Incluso los administradores deben usar cuentas estándar para su trabajo diario y solo elevar sus privilegios cuando sea estrictamente necesario para una tarea administrativa.
  • Confianza Cero (Zero Trust): El principio de mínimo privilegio es un pilar de la estrategia «Zero Trust», donde no se confía implícitamente en nadie y el acceso debe verificarse continuamente.
  • Privilege Creep (Acumulación de privilegios): Este problema ocurre cuando los empleados acumulan permisos innecesarios con el tiempo. El principio de mínimo privilegio combate esto revisando y revocando accesos que ya no se usan.

¿Por qué es tan importante en la actualidad?

Antes las empresas solo se preocupaban por los ordenadores dentro de sus oficinas, pero con el auge del trabajo remoto y los entornos híbridos, la seguridad de cada dispositivo que se conecta a la red es un posible punto de ataque.

El principio de mínimo privilegio ayuda a proteger a las organizaciones de ataques financieros, robo de datos y daños a la reputación causados por ransomware o malware.

Al limitar lo que un usuario puede hacer, se reduce la «superficie de ataque», cerrando puertas que los criminales podrían aprovechar.

Beneficios, mecanismos y desafíos de implementación

Implementar el principio de mínimo privilegio no solo se trata de restringir, sino de equilibrar la seguridad con la productividad, siendo sus principales beneficios:

  1. Reduce el impacto de las brechas: Si un atacante roba las credenciales de un usuario limitado, no podrá moverse lateralmente por la red ni acceder a datos sensibles.
  2. Detiene la propagación de malware: Si un virus infecta una cuenta con pocos privilegios, no tendrá permiso para instalarse en todo el sistema o dañar archivos críticos.
  3. Cumplimiento Normativo: Ayuda a las empresas a cumplir con leyes y estándares internacionales al controlar estrictamente quién ve qué información.
  4. Mejora el rendimiento operativo: Al haber menos errores humanos o aplicaciones no autorizadas instaladas por los usuarios, el sistema sufre menos caídas e incompatibilidades.

¿Cómo se aplica en la práctica?

Existen métodos específicos para que esto funcione de manera fluida:

  • Control de Acceso Basado en Roles (RBAC): Los permisos se asignan según el puesto de trabajo (por ejemplo, «Contable»), no a personas individuales. Es más seguro gestionar grupos que individuos.
  • Acceso justo a tiempo (JIT): Se otorgan privilegios elevados de forma temporal (por ejemplo, durante dos horas) para una tarea específica y luego se eliminan automáticamente.
  • Controles Granulares: Gracias a sistemas modernos, se puede permitir que un usuario vea un archivo pero que no pueda descargarlo ni subir nada nuevo.

Los desafíos que enfrentan las empresas

No siempre es fácil aplicarlo. A veces, las aplicaciones antiguas dejan de funcionar si se les quitan permisos, lo que genera la tentación de dar acceso total.

Además, los usuarios pueden sentirse frustrados si sienten que su productividad baja porque deben pedir permiso para todo.

Es fundamental explicar a los empleados que estas medidas son para protección mutua y que la seguridad es responsabilidad de todos.

Para que el principio de mínimo privilegio sea efectivo, las organizaciones deben modernizar sus herramientas y cuidar especialmente las cuentas con mucho poder.

  • Cuidado extremo con las «Cuentas Privilegiadas»: Existen cuentas llamadas «superusuario», «root» (en Linux/Mac) o «Administrador» (en Windows) que tienen acceso total a todo. Si un hacker entra en una de estas cuentas, puede destruir bases de datos completas o el sistema operativo.

Los consejos de seguridad para estas cuentas son los siguientes:

  • Usar contraseñas largas y complejas que se cambien regularmente.
  • Activar la autenticación de múltiples factores (MFA), que pide dos formas de validar la identidad.
  • Nunca navegar por internet ni abrir correos sospechosos mientras se usa una cuenta de administrador.

Pasos para una implementación exitosa

  1. Auditoría: Revisar qué permisos tienen los usuarios actualmente y compararlos con lo que realmente necesitan.
  2. Pruebas: Antes de aplicar restricciones en toda la empresa, probar los nuevos niveles de acceso en servidores de prueba para corregir errores sin interrumpir el trabajo.
  3. Transición Gradual: Se recomienda un periodo de prueba donde convivan el sistema viejo y el nuevo hasta asegurar que todo funcione bien con los privilegios mínimos.
  4. Capacitación: Enseñar a los empleados por qué se están tomando estas medidas para evitar la resistencia al cambio.

En conclusión, el principio de mínimo privilegio es una medida simple pero poderosa que reduce significativamente el riesgo de desastres digitales en un mundo cada vez más conectado.

/por

Un simple email, una gran infracción: lecciones de una caso de proteccion de datos.

Un simple email, una gran infracción: lecciones de una caso de proteccion de datos.

Contexto del Caso y Hechos Probados

La infracción se origina a raíz de una reclamación contra la entidad UNIÓN ATLÉTICA SAN FERNANDO, tras el envío de correos electrónicos masivos a sus socios. En lugar de utilizar la función de «Copia Oculta» (Cco), la organización incluyó las direcciones de todos los destinatarios en el apartado «Para», permitiendo que cada receptor pudiera visualizar los datos de los demás.

Los hechos probados confirman que se realizaron al menos dos envíos:

  • El 30 de agosto de 2024, un correo dirigido a doce destinatarios.
  • El 9 de septiembre de 2024, otro correo dirigido a veinte personas (incluyendo a las doce del envío anterior).

Como consecuencia directa, se revelaron datos personales como el nombre, los apellidos y la dirección de correo electrónico de los socios a terceros no autorizados (el resto de los destinatarios).

Definición Legal de la Infracción

El Reglamento General de Protección de Datos (RGPD) y la normativa española (LOPDGDD) señalan que:

  • Dato Personal: Se considera «dato personal» toda información sobre una persona física identificada o identificable. En este caso, el nombre, los apellidos y la dirección de correo electrónico son identificadores que permiten determinar la identidad del interesado.
  • Tratamiento de Datos: El acto de difundir estos datos a través de comunicaciones electrónicas se clasifica como un «tratamiento», que abarca operaciones como la comunicación por transmisión o difusión.
  • Responsable del Tratamiento: La entidad que envía los correos es responsable de garantizar que dicho tratamiento sea conforme a la ley y de aplicar las medidas técnicas y organizativas adecuadas para proteger la privacidad.

 Vulneración del Principio de Confidencialidad

El incumplimiento principal radica en la violación del Artículo 5.1.f) del RGPD, que establece el principio de integridad y confidencialidad. Según este principio, los datos deben ser tratados de manera que se garantice una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito.

La AEPD sostiene que el uso de la funcionalidad «Para» en lugar de «Cco» en comunicaciones masivas implica que no se preservó una seguridad y confidencialidad adecuadas. El responsable tiene la obligación de evitar accesos no autorizados o la divulgación de datos a terceros, lo cual incluye implementar medidas técnicas apropiadas, como el uso de herramientas que oculten la identidad de los destinatarios en envíos grupales.

Calificación y Gravedad de la Infracción

Bajo el marco jurídico actual, este tipo de falta se considera muy grave:

  • Tipificación: El quebrantamiento del artículo 5.1.f) está tipificado como infracción administrativa en el artículo 83.5 del RGPD.
  • Calificación: La LOPDGDD, en su artículo 72.1.a), califica como «muy graves» las infracciones que supongan una vulneración sustancial de los principios mencionados en el RGPD, como es el tratamiento de datos vulnerando la confidencialidad.
  • Prescripción: Debido a su naturaleza «muy grave», estas infracciones prescriben a los tres años.

Resolución y Medidas Correctivas

En el caso analizado, la Agencia resolvió lo siguiente:

  1. Apercibimiento: Se dirigió un apercibimiento a la entidad por la infracción cometida. Este es un poder correctivo que permite a la autoridad de control advertir formalmente al responsable sobre su incumplimiento.
  2. Orden de Adopción de Medidas: Se requiere a la entidad para que, en un plazo máximo de dos meses, adecue sus procedimientos de envío de correos electrónicos masivos a fin de cumplir con la normativa de seguridad y confidencialidad.
  3. Responsabilidad Proactiva: Corresponde al responsable del tratamiento decidir qué mecanismos concretos implementar (basándose en un enfoque de riesgos) para garantizar que los datos no vuelvan a ser expuestos.

El incumplimiento de las medidas correctivas impuestas por la Agencia tras un apercibimiento puede dar lugar a la apertura de un nuevo procedimiento sancionador más severo.

El enlace: https://www.aepd.es/documento/pa-00012-2025.pdf

/por

IA + humanos: La colaboración inteligente

 

IA + humanos: La colaboración inteligente

 

La IA como un autómata poderoso pero limitado

La Inteligencia Artificial (IA) se describe como un autómata sin alma, es increíblemente rápida, incansable y poderosa, pero está ciega sin la guía de una mente humana.

Aunque vivimos en una era donde las máquinas pueden escribir, analizar y sugerir, la verdadera inteligencia sigue siendo la capacidad de hacer las preguntas correctas e interpretar señales débiles, algo de lo que la IA carece.

La IA es experta en procesar datos y encontrar correlaciones, pero no tiene intuición, experiencia ni sensibilidad.

No entiende el contexto cultural, no puede «leer entre líneas» y no comprende los intereses estratégicos detrás de una decisión.

Además, la IA es propensa a errores conocidos como «alucinaciones», donde presenta información falsa o inventada como si fuera un hecho real, basándose simplemente en probabilidades matemáticas.

¿Qué es «Human-in-the-Loop» (HITL)?

Para mitigar estos riesgos surge el concepto de Human-in-the-Loop (HITL).

Este modelo coloca a las personas en el centro de la revolución digital.

En lugar de ser meros espectadores, los humanos actúan como colaboradores activos, intérpretes y tomadores de decisiones.

En la práctica, un sistema HITL permite que la IA genere sugerencias o automatice tareas, pero es siempre el ser humano quien verifica, aprueba, corrige o decide si acepta lo que la máquina ha producido.

No es solo una regla operativa, sino una visión estratégica: usar el poder de la IA para aumentar nuestras capacidades, no para reemplazarlas.

La Educación del Futuro

Para que este modelo funcione, es necesario cambiar la formación de los profesionales y que tengan una educación dual:

a.- Técnica: entender las herramientas de IA, sus límites y su lógica.

b.- Cultural y legal: tener el juicio crítico para dar sentido a los datos y tomar decisiones éticas.

No basta con saber usar un «prompt»; hay que entender por qué se toma una decisión estratégica.

El mayor riesgo actual no es la IA en sí, sino la pérdida de responsabilidad humana y la creencia errónea de que un sistema generativo puede sustituir nuestra ética e intuición.

¿Cómo funciona técnicamente el aprendizaje automático con HITL?

El aprendizaje automático (Machine Learning) tradicional utiliza datos para predecir resultados.

Sin embargo, si el algoritmo falla, puede generar una cadena de errores.

El enfoque HITL integra la inteligencia humana en todo el ciclo de aprendizaje para una mejora continua.

El ciclo funciona así:

  1. Entrenamiento: Los humanos etiquetan los datos iniciales para enseñar al algoritmo.
  2. Validación: A medida que la máquina trabaja, los humanos puntúan la precisión de sus resultados.
  3. Ajuste: Si hay errores, los humanos corrigen al modelo, lo que aumenta su confianza y precisión futura.

Esto es crucial para datos difíciles de etiquetar. Por ejemplo, los robots aspiradores (como Roomba) tenían problemas para distinguir desechos de mascotas, a veces empeorando la limpieza. La solución fue usar HITL para entrenar al sistema con miles de imágenes etiquetadas por humanos, permitiendo a la máquina reconocer y evitar esos obstáculos específicos.

Beneficios Clave

La incorporación de humanos ofrece ventajas que la máquina sola no puede lograr:

a.- Seguridad: En situaciones de vida o muerte (como la inspección de aviones), la IA no puede permitirse caer por debajo de la precisión humana.

b.- Experiencia del cliente: La personalización real requiere que los humanos aporten datos sobre matices y comportamientos que la IA no capta por sí sola.

c.- Inclusividad y ética: Los algoritmos pueden amplificar sesgos discriminatorios presentes en los datos. La revisión humana ayuda a identificar y corregir estos sesgos para hacer modelos más justos.

El Perfil del «Humano Correcto» (R-HiTL)

No cualquier persona sirve para este rol. Se necesita al «Right Human-in-the-Loop» (R-HiTL).

Elegir a la persona equivocada puede llevar a una disminución del rendimiento, riesgos éticos y errores costosos.

Un profesional R-HiTL eficaz debe poseer una combinación de habilidades:

a.- Conocimiento Técnico: Entender cómo funciona el aprendizaje automático y tener alfabetización de datos (saber interpretar tendencias y calidad de datos).

b.- Experiencia en el Dominio: Ser un experto en la materia (ya sea medicina, leyes o finanzas) para juzgar si el resultado de la IA es válido en el mundo real.

c.- Habilidades Cognitivas: Pensamiento crítico para detectar anomalías y resolver problemas ambiguos que la IA no entiende.

d.- Características Personales: Curiosidad, adaptabilidad y, sobre todo, un fuerte sentido de responsabilidad ética.

Conclusión General

El futuro de la inteligencia artificial sostenible no reside en la automatización total, sino en el equilibrio entre la velocidad de la máquina y el discernimiento humano.

La verdadera innovación no es la que nos reemplaza, sino la que nos completa.

Debemos pasar de ver al humano como un simple «etiquetador de datos» a verlo como el centro estratégico, Ya sea corrigiendo un algoritmo (HITL) o utilizando la IA como un consejero experto (AI2L), el juicio humano, la ética y la experiencia son insustituibles para garantizar una tecnología segura, justa y eficaz.

/por

Hackeando al humano: guía sobre ingeniería social

Hackeando al humano: guía sobre ingeniería social

La ingeniería social es, básicamente, el arte del engaño.

En el contexto de la seguridad informática, se define como la manipulación de personas para que revelen información confidencial o realicen acciones que permitan un fraude.

A menudo se le llama «hackear al humano».

La idea principal es que, aunque las empresas tengan los ordenadores y firewalls más seguros del mundo, el eslabón más débil suele ser la persona que está detrás del teclado.

Los criminales saben que es más fácil engañar a un empleado para que les dé una contraseña que romper un sistema de seguridad avanzado.

¿Por qué funciona?

Estos ataques funcionan porque se aprovechan de la psicología humana, la cual no ha cambiado mucho aunque la tecnología sí avance. Los atacantes explotan nuestros instintos naturales, como:

  • El deseo de ser útiles y ayudar a los demás.
  • La tendencia a confiar en la autoridad o en compañeros de trabajo.
  • El miedo o la urgencia.

Técnicas Comunes de Ataque

Destacamos cuatro formas principales en las que operan estos estafadores:

  1. Información Inofensiva («Innocuous Information») Los atacantes recopilan pequeños datos que parecen no tener importancia (como números de extensión telefónica, jerga de la empresa o nombres de departamentos). Luego, usan esta información para armar un «rompecabezas» y parecer empleados legítimos cuando contactan a alguien más para pedir acceso a datos sensibles.
  2. Causar y Arreglar un Problema. El estafador crea un problema (o finge que existe uno) y luego aparece como el «héroe» para solucionarlo.
  • Ejemplo: Alguien llama diciendo ser de Soporte Técnico (TI) para arreglar un problema de red. La víctima, agradecida por la ayuda, termina dando sus contraseñas o instalando un programa malicioso sin saberlo,.
  1. Simplemente Pedirlo («Just Asking for It»). A veces, la audacia es suficiente. Los atacantes usan la confianza y la presión social para entrar físicamente a lugares o conseguir archivos.
  • Ejemplo: Un desconocido con las manos ocupadas con cafés pide a un empleado que le sostenga la puerta de seguridad. Por amabilidad, el empleado lo deja pasar sin verificar quién es.
  1. Phishing (Suplantación de identidad) Es el método más común. Consiste en enviar correos electrónicos falsos que parecen venir de empresas legítimas (como bancos o servicios de correo).
  • El truco: Usan el miedo o la urgencia (ej. «Tu cuenta ha sido bloqueada») para que actúes rápido sin pensar.
  • Spear Phishing: Es una versión más peligrosa donde el atacante investiga a una persona específica (usando redes sociales) para hacer el correo mucho más creíble y personalizado.

¿Cómo protegerse?

Existen varias soluciones prácticas:

  • Verificar siempre: Si alguien llama pidiendo información, cuelga y llama tú al número oficial de la empresa o de la persona para confirmar que sea real.
  • Desconfiar de la urgencia: Si un mensaje te presiona para actuar rápido, detente. El pánico hace que ignoremos detalles obvios, como errores de ortografía o enlaces extraños.
  • Revisar los enlaces: Antes de hacer clic, pasa el cursor sobre el enlace para ver la dirección real a la que te lleva. A veces cambian letras sutiles (como poner paypa1.com en lugar de paypal.com).
  • Autenticación de dos pasos (2FA): Usar sistemas que pidan un código extra al iniciar sesión. Así, aunque roben tu contraseña, no podrán entrar.
  • Cultura de seguridad: No compartas contraseñas ni dejes pasar a desconocidos por puertas de seguridad, aunque parezca descortés.

Conclusión

La ingeniería social es prevenible, pero requiere estar siempre alerta. La mejor defensa es la educación y recordar que conocer la terminología de una empresa no significa que alguien pertenezca a ella.

/por

Ataques Man in the Middle: cómo funcionan y cómo protegerse

El ataque del hombre en el medio (MITM)

1.- Introducción

Imagina una conversación telefónica entre dos personas. Un ataque Man-in-the-Middle (MitM) o «hombre en el medio» ocurre cuando una tercera persona, el atacante, se conecta a esa línea sin que nadie se dé cuenta. Este intruso no solo escucha, sino que puede interceptar y cambiar lo que se dice.

En el mundo digital, esto significa que un atacante se coloca entre dos partes (por ejemplo, tu ordenador y el web del banco) para robar o manipular la información.

El objetivo principal de estos ataques suele ser robar contraseñas, acceder a sistemas sin permiso, corromper datos o simplemente espiar las actividades del usuario.

Las redes más vulnerables suelen ser las redes Wi-Fi públicas (como las de cafeterías o aeropuertos) y las redes locales que no tienen buena seguridad.

Existen dos formas principales de realizar este ataque:

a.- Ataque Pasivo: El atacante solo «escucha» y captura datos confidenciales sin hacer ruido.

b.- Ataque Activo: El atacante altera o inyecta nueva información en la comunicación, lo que puede causar daños mayores o robos directos de datos.

2.- Herramientas y armas digitales del atacante

a.- El análisis del tráfico: Wireshark y Tcpdump

Para entender qué pasa en una red, los atacantes necesitan «ver» los datos que viajan por el aire o los cables:

  • Wireshark: Es como una radiografía de la red. Permite capturar paquetes de datos en tiempo real y ver su contenido detallado (direcciones IP, protocolos, etc.). Usa colores para diferenciar tipos de tráfico, lo que ayuda a identificar rápidamente correos, visitas a webs o contraseñas no cifradas.
  • Tcpdump: Es una herramienta similar pero funciona mediante líneas de comandos (texto), sin gráficos. Es muy potente para capturar tráfico de forma rápida y eficiente para analizarlo después,.

b.- El «cuchillo suizo» de los ataques: Wifislax y Airgeddon

  • Wifislax: Es un sistema operativo que agrupa muchísimas herramientas de hacking en un solo lugar. Permite lanzar ataques complejos, como crear «gemelos malvados» (redes Wi-Fi falsas) o atacar protocolos de seguridad.
  • Airgeddon: Es un script que automatiza los ataques. En lugar de escribir códigos complejos, el atacante usa un menú sencillo para elegir qué hacer, como capturar «apretones de manos» (handshakes) digitales o descifrar claves. Esto hace que sea más fácil para personas con menos experiencia lanzar ataques peligrosos.

c.- Rompiendo contraseñas: Hashcat y Aircrack-ng

Una vez que el atacante captura datos cifrados (como una contraseña de Wi-Fi protegida), necesita «romperla» para leerla.

  • Hashcat: Utiliza la potencia del procesador (CPU) y la tarjeta gráfica (GPU) para adivinar contraseñas a una velocidad increíble, probando millones de combinaciones por segundo.
  • Aircrack-ng: Es una herramienta específica para romper la seguridad de redes Wi-Fi (claves WEP y WPA), permitiendo al atacante entrar a la red privada.

3.- Estrategias y Métodos de Invasión

Existen técnicas con las que los atacantes logran situarse en medio de la comunicación utilizando técnicas específicas:

a.- El ataque del «Gemelo Malvado» (Rogue Access Point)

Este es muy común en lugares públicos. El atacante crea un punto de acceso Wi-Fi falso con un nombre confiable (por ejemplo, «Cafetería_Gratis»). Las víctimas se conectan pensando que es la red legítima. Al hacerlo, todo lo que envían pasa primero por el atacante, quien puede robar credenciales bancarias o correos electrónicos.

b.- Suplantación de identidad en la red (ARP y DNS Spoofing)

  • ARP Spoofing (Suplantación ARP): En una red local, el atacante engaña a tu ordenador diciéndole: «Yo soy el router». Al mismo tiempo, le dice al router: «Yo soy el ordenador de la víctima». Así, el tráfico fluye a través del atacante, quien puede leerlo o modificarlo antes de reenviarlo.
  • DNS Spoofing: El DNS es como el directorio telefónico de Internet (traduce «google.com» a una dirección IP numérica). El atacante altera este directorio para que, cuando escribas una dirección web real, tu navegador te lleve a una página falsa diseñada para robar tus datos (phishing).

4.- Casos de Estudio Reales

Presentamos dos ejemplos para ilustrar cómo ocurren estos ataques en la vida real.

a.- Caso 1: El peligro del Wi-Fi Público. En una cafetería, un atacante configuró un punto de acceso falso («Rogue Access Point»). Como los usuarios rara vez verifican si la red es legítima, se conectaron automáticamente. El atacante pudo interceptar datos bancarios y personales porque la red no tenía seguridad y los usuarios no usaban protección adicional como una VPN. Esto demostró la importancia de no realizar transacciones sensibles en redes públicas.

2.- Caso 2: Infiltración Corporativa En una empresa mediana, los atacantes usaron la técnica de ARP Spoofing. Lograron entrar a la red interna y, debido a que la empresa no tenía la red dividida en segmentos seguros (VLANs), pudieron moverse libremente. Interceptaron correos y archivos confidenciales sin ser detectados por mucho tiempo porque la empresa no monitoreaba el tráfico interno, solo el externo.

5.- Defensas: ¿Cómo podemos protegernos?

Afortunadamente, existen formas efectivas de defenderse contra los ataques MitM:

  1. Cifrado Fuerte (Encryption): Es la defensa más importante. Usar protocolos como HTTPS y TLS asegura que, aunque el atacante intercepte los datos, no pueda leerlos porque estarán «revueltos» o encriptados. Es vital validar que los certificados de seguridad de las páginas web sean legítimos.
  2. Monitoreo de la Red: Las empresas deben usar herramientas para vigilar el tráfico de la red constantemente. Si detectan algo raro, como un dispositivo enviando demasiados mensajes ARP (señal de suplantación), pueden detener el ataque a tiempo.
  3. Seguridad en Wi-Fi: Se deben usar contraseñas fuertes y protocolos modernos como WPA3. También es importante separar la red de invitados de la red corporativa principal.
  4. Educación del Usuario: El factor humano es el eslabón más débil. Se debe enseñar a las personas a no conectarse a redes Wi-Fi desconocidas, a usar VPNs (Redes Privadas Virtuales) en lugares públicos y a reconocer correos de phishing.
  5. Respuesta a Incidentes: Tener un plan preparado para actuar rápidamente si ocurre un ataque. Esto incluye aislar los sistemas afectados y analizar qué pasó para evitar que se repita.

6.- Conclusión y Mirada al Futuro

Los ataques Man-in-the-Middle siguen siendo una amenaza grave porque las herramientas para realizarlos son cada vez más fáciles de usar y están más automatizadas. Los atacantes aprovechan cualquier descuido, desde una contraseña débil hasta una red Wi-Fi mal configurada.

El futuro de la defensa contra estos ataques dependerá del uso de Inteligencia Artificial y aprendizaje automático (Machine Learning) para detectar amenazas en tiempo real, así como de la adopción de arquitecturas de seguridad donde «no se confía en nadie» (Zero Trust) por defecto.

/por

¿Son seguras las contraseñas? Guía esencial para protegerte.

 

Buenas prácticas para las contraseñas

Las contraseñas son la llave de casi todo lo que haces en línea y protegen información tan valiosa como el dinero en tu cuenta bancaria. Sin embargo, los expertos en ciberseguridad han advertido durante mucho tiempo que las contraseñas tradicionales son inseguras y pueden ser adivinadas o robadas.

Para mantener a los hackers alejados de tus cuentas, sigue estas estrategias fundamentales.

1.- La regla de oro: la longitud gana a la complejidad

Antiguamente, se nos decía que una contraseña debía estar llena de símbolos extraños y números. Hoy, la recomendación ha cambiado: lo más importante es qué tan larga es tu contraseña así que intenta que tus contraseñas tengan al menos 15 o 16 caracteres siempre que sea posible.

2.- Usa «Frases de Contraseña» (Passphrases)

Crear una contraseña de 16 caracteres puede parecer difícil de memorizar, pero hay un truco sencillo: usa una frase es decir junta varias palabras reales para formar una frase o una oración sin sentido.

En lugar de P@ssw0rd1, usa algo como mantequillaypanrico o, si el sistema permite espacios, mantequilla y pan rico.

No uses palabras solas ni secuencias obvias como 12345 o la palabra password y tampoco incluyas información personal que sea fácil de encontrar en tus redes sociales, como nombres de mascotas, cumpleaños o modelos de autos.

3.- La diversidad es clave: no recicles

Nunca uses la misma contraseña para diferentes cuentas ya que si usas la misma clave para todo y un sitio web sufre una filtración de datos, los atacantes tendrán la llave para entrar a todas tus otras cuentas por lo que cada cuenta debe tener su propia contraseña única.

4.- Usa un gestor de contraseñas

Es casi imposible recordar una contraseña única y larga para cada cuenta que tienes. Aquí es donde entran los gestores de contraseñas que son aplicaciones que crean contraseñas largas y complejas por ti y las guardan de forma segura.

El beneficio es que solo necesitas recordar una sola «contraseña maestra» para abrir el gestor ya que la herramienta se encarga de completar el resto automáticamente.

Además muchos gestores te avisarán si estás usando una contraseña débil o si esta ha aparecido en una filtración de datos.

5.- Activa la Autenticación Multifactor (MFA)

Incluso la mejor contraseña puede ser robada y por eso, el paso más importante que puedes dar hoy es activar la autenticación multifactor (MFA) que es una capa extra de seguridad, ya que si un hacker roba tu contraseña pero no tiene tu teléfono para recibir el código de confirmación, no podrá entrar a tu cuenta.

Para activarlo busca en las opciones de seguridad de tu correo electrónico, el banco o las redes sociales

6.- Cuidado con el «phishing» (suplantación de identidad)

No importa qué tan compleja sea tu contraseña si tú mismo se la entregas a un criminal.

Los atacantes envían correos o enlaces a sitios web falsos que se ven idénticos a los reales (como tu banco) para engañarte y que escribas tus credenciales por lo que nunca reveles tus contraseñas a nadie.

Si alguien te pide tu contraseña (incluso si parece ser del departamento de soporte técnico), es una estafa.

Piensa en tu contraseña como en el PIN de tu tarjeta de crédito nunca se lo darías a un extraño.

7.- El Futuro: llaves de acceso (Passkeys)

Si estás cansado de las contraseñas, la tecnología está avanzando hacia las Passkeys o llaves de acceso que utilizan tu teléfono o tu ordenador para verificar tu identidad mediante reconocimiento facial, huella digital o PIN, sin necesidad de enviar una contraseña por internet que pueda ser robada. Son más seguras y fáciles de usar, ya que no requieren memorización.

8.- Resumen

Para asegurar tus cuentas hoy mismo, sigue estos tres pasos principales recomendados por el Instituto Nacional de Estándares y Tecnología (NIST):

  1. Activa la autenticación multifactor (MFA) en todas las cuentas que lo permitan.
  2. Usa un gestor de contraseñas para generar y guardar claves únicas.
  3. Si debes crear una contraseña manual, asegúrate de que sea una frase larga (más de 15 caracteres) y evita palabras comunes.
/por