Transparencia y acceso a la información

-IFAI

 

 

IFAI, pide que se garantice protección de datos

El Gratuito

Redacción

10 abril 2014

 

La comisionada del IFAI, Sigrid Artz, recomendó a los responsables del manejo de datos personales adoptar elSistema de Gestión de Seguridad de Datos Personales (SGSDP), que se basa en el ciclo Planear, Hacer, Verificar y Actuar (PHVA), para garantizar su protección.

 

En un comunicado, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) indicó que la comisionada participó en la Expo Tecnología 2014. Soluciones de Tecnologías de la Información, Telecomunicaciones y Seguridad para el canal y el sector empresarial.

 

En dicho evento, explicó que “el SGSDP es un sistema general de manejo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de datos personales, en función del riesgo de los activos y de los principios básicos para su protección”.

 

Mismos que están establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), agregó.

 

Destacó que lo más vulnerable en seguridad de datos personales son la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, la alteración o modificación no autorizada.

 

“De acuerdo con la ley, el responsable deberá informar al titular la naturaleza del incidente; los datos personales comprometidos; las recomendaciones acerca de las medidas que éste pueda adoptar para proteger sus intereses; las acciones correctivas realizadas de forma inmediata y los medios donde puede obtener más información al respecto”, subrayó.

 

Sigrid Arzt insistió en que el responsable del manejo de los datos personales, deberá establecer y mantener las medidas de seguridad, administrativas, físicas y, en su caso, técnicas para su protección.

 

De igual forma, expuso que se debe identificar también qué tipo de información se enviará a la nube, valorar la sensibilidad y volumen de los datos e identificar las medidas de seguridad que ofrece el proveedor.

 

También contar con mecanismos de transparencia, especificar el nivel de servicio cuando el proveedor subcontrate a terceros, y se deben conocer los términos del contrato respecto al borrado y permanencia de la información en la infraestructura del proveedor, enfatizó.

 

 

 

-Protección de datos

 

 

¿Qué contraseñas debo cambiar ante el fallo de internet?

Animal Político

Redacción

10 de abril de 2014

 

 

El inédito error informático llamado Heartbleed les está causando grandes dolores de cabeza a los expertos en seguridad.

 

Mientras tanto, los sitios web intentan solucionar el problema y los usuarios, asustados, se preguntan si deben cambiar o no sus contraseñas para evitar el robo de sus cuentas de correo electrónico, números de tarjetas de crédito y otra información confidencial.

A continuación respondemos las dudas más comunes.

 

¿Qué es Heartbleed ?

Es un fallo que afecta a los códigos OpenSSL, muy usados para la encriptación de datos en internet. Data de 2012 y recién ahora fue descubierto.

 

Esto ha permitido que un tercio de los sitios web mundiales quedaran vulnerables al robo por parte de hackers, lo que los expertos dicen es una de las brechas de seguridad más graves de los últimos años.

 

Esto significa que el icono de un candado pequeño (HTTPS) que vemos a la izquierda de la barra del navegador y en el que confiamos para mantener nuestras contraseñas de correos electrónicos personales y tarjetas de crédito seguras, en realidad está “abierto”.

 

Esto pone al alcance de cualquier hacker el acceso a unidades de información privada y protegida alojadas en servidores que usaran la codificación OpenSSL.

 

El fallo fue localizado por ingenieros de Google y de la empresa de seguridad informática Codenomicon la semana pasada. El lunes por la noche los responsables de OpenSSL dieron a conocer el problema y publicaron una actualización que lo soluciona.

 

¿Qué tan grave es? ¿Debo entrar en pánico?

Es grave, dado que afecta a dos tercios de la red. Los errores en el software van y vienen y son reparados por nuevas versiones. Sin embargo, este error ha dejado gran cantidad de claves privadas y otros secretos expuestos. El experto en seguridad Brue Schneier lo describió como “catastrófico”. “En la escala de uno a 10, es un 11″.

 

Pero no hay que entrar en pánico. Hay que estar atento.

 

Los investigadores de seguridad que descubrieron la amenaza están particularmente preocupados por el hecho de que no fue detectado durante más de dos años. Por eso temen la posibilidad de que los piratas informáticos pueden haber estado explotando en secreto el problema antes de su descubrimiento.

 

También es posible que nadie se haya aprovechado de la falla antes del anuncio de su existencia la noche del lunes.

 

Como explica a la BBC David Stupples, profesor de la City University de Londres, aun no se ha oído de ningún daño serio desde que se supo del fallo.

 

¿Cómo sé si fui atacado?

Ese es el problema. Los posibles ataques no dejan rastros. La página Heartbleed.com, creada para explicar el incidente informático, probó la falla en sus propios servicios “desde la perspectiva del atacante”.

 

“Nos atacamos a nosotros mismos desde fuera, sin dejar rastro. Sin el uso de información privilegiada o credenciales pudimos robarnos a nosotros mismos las claves secretas utilizadas por nuestros certificados X.509, nombres de usuario y contraseñas, mensajes instantáneos, correos electrónicos y documentos críticos de negocio y comunicación”, explica el sitio.

 

Seguramente estés afectado, “de forma directa o indirecta, dice el sitio. El OpenSSL es el código abierto más utilizado. Tu popular red social, el sitio de tu empresa, de comercio electrónicoo incluso los sitios administrados por el gobierno podría estar usando OpenSSL vulnerable.

 

¿Debo cambiar mis contraseñas?

Sí, pero primero hay que ver si el sitio en cuestión –mail, red social o banco, por ejemplo- ya reparó el error. Cambiarlas antes de que los servicios hayan solucionado el fallo nos dejaría más expuestos, advierten los analistas de seguridad.

 

Para los sitios web, el proceso de corrección del fallo implica la instalación de parches de software en los equipos de sus centros de datos y luego cambiar la clave del software confidencial utilizado para proteger los mensajes y transacciones.

 

Lee también nuestra guía para cambiar las contraseñas

 

¿Qué sitios están en peligro?

Google les está diciendo a sus usuarios que no tienen que cambiar las contraseñas que utilizan para acceder a Gmail (que tiene 425 millones de cuentas), YouTube y sus otros productos.

 

Una fuente de la empresa le dijo a la BBC que corrigieron la vulnerabilidad antes de que se hiciera pública.

 

Facebook, que tiene más de 1.200 millones de titulares de cuentas, también dijo haber purgado la amenaza, pero igual recomendó a los usuarios “aprovechar esta oportunidad para seguir las buenas prácticas y establecer una contraseña única para su cuenta de Facebook que no utilicen en otros sitios”.

 

La red social Twitter y el gigante del comercio electrónico Amazon dicen que sus páginas web no se expusieron a Heartbleed. Ebay, que administra el servicio de pagos PayPal, dijo que la mayoría de sus servicios evitaron el error.

 

Algunos señalan que hay muchos sitios más pequeños que aún no se han ocupado de la cuestión y en esos casos cambiar de contraseña podría hacer más daño que bien, dejando al descubierto viejas y nuevas contraseñas a cualquier posible atacante.

 

En esta página uno puede ver si la página a la que quiere entrar ya resolvió el problema: clichttp://filippo.io/Heartbleed

 

Fue creada por el experto en seguridad Filippo Valsorda, quien le dijo a BBC Mundo que recibe unas 17.000 visitas por minuto. La página es en inglés, pero su diseño es simple y fácil de entender.

 

 

 

¿Boicot a Dropbox?

Reporte Índigo

11 de abril de 2014

Bernhard Buntru

 

 

Qué mejor que confiar tu información personal a una empresa que contrata a involucrados en programas de espionaje… O tal vez no.

Condoleezza Rice, secretaria de estado de Estados Unidos durante la presidencia de George W. Bush y artífice de la guerra de Irak, se unió esta semana al consejo de la popular plataforma almacenamiento de archivos Dropbox.

La noticia no fue bien recibida por parte de la comunidad virtual, a tal grado que cientos de usuarios en Twitter propusieron un boicot a la compañía utilizando el hashtag #DropDropbox en esta y otras redes sociales.

Y es que, en 2003, Rice autorizó las escuchas telefónicas de miembros del Consejo de Seguridad de la ONU por parte de la NSA. Después, cuando la noticia se hizo pública, la exfuncionaria defendió vehemente la acción.

Historial oscuro

La preocupación por parte de usuarios no solo gira alrededor de sus antecedentes en espionaje, sino también por su rol en la guerra de Irak, así como en programas de tortura.

“Esto es profundamente inquietante, y cualquier persona o negocio que valore la ética debería estar preocupado”, declara el sitio Drop Dropbox.