El phishing aumentó un 66% en sólo un mes

enero 31, 2008 § Deja un comentario

En diciembre de 2007, España se situó como tercer país del mundo receptor de este tipo de ataques.

A pesar de los múltiples avisos y recomendaciones que se hacen, los internautas siguen cayendo en las redes de los mensajes de phishing bancarios y, sus creadores, obteniendo grandes beneficios. Sólo así se explica el imparable ascenso que se registra cada mes de este tipo de correos estafa.

De hecho, según RSA, la división de seguridad de EMC, el pasado mes de diciembre aumentaron de forma drástica los ataques de phishing hasta alcanzar lo 13.013, un 66% más que en noviembre, en el que se registraron 7.833 ataques en todo el mundo.

En cuanto a entidades financieras objetivo de los hackers, también durante diciembre se registró un incremento del 17%, pasando de 159 entidades en noviembre, a 186 registradas en diciembre.

España, durante ese mes, se convirtió en el tercer país del mundo receptor de este tipo de mensajes, ya que el 7% del total de phishing fue enviado contra bancos españoles. En concreto, han sido 12 entidades víctimas de phishing con un total de 52 ataques, la mayoría de ellos procedentes de Estados Unidos.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1391

Anuncios

Identifican a un joven español de 23 años que estafó en más de 1000 euros a su madre por internet

enero 31, 2008 § Deja un comentario

Según el comunicado policial, las pesquisas comenzaron después de que la madre de J.A.T. interpusiera una denuncia por transacciones no realizadas.

La Policía comprobó a partir de esa denuncia que todas las operaciones habían sido realizadas a través de la red, pero al contactar con los administradores de dichas páginas ‘se comprobó que ambas carecen de contacto o representación legal en España, encontrándose ubicadas en Suecia y Austria respectivamente’, hecho que según la Delegación ‘supuso una importante traba en la continuación de la investigación, pues no se podía obtener la información para identificar al autor de los hechos’.

Finalmente, fue el Servicio de Prevención del fraude el que aportó ‘los datos técnicos y de registro de las conexiones’, según los cuales los cargos ‘se había efectuado desde el domicilio de la denunciante’. ‘Esta circunstancia, sumada a otras que se habían recopilado durante la investigación, fue determinante para la identificación del hijo de la perjudicada como responsable de los cargos’, concluyó la Policía Nacional.

Fuente: http://www.laregioninternacional.com/noticia/16851/Internet/robo/madre/

CAPTCHA de Yahoo Hackeado

enero 31, 2008 § Deja un comentario

Se puede decir de un modo sencillo que un sistema CAPTCHA(1) es esa casilla que encontramos en muchos blogs y servicios de registro para evitar recibir SPAM de sistemas atomatizados.

yahoo-game-cribbage.jpg

Uno de los mas populares y potentes es el de Yahoo, al menos lo era hasta ahora. Y es que un hacker ruso ha conseguido automatizar un sistema de saltarse esta restricción, consiguiendo un éxito del 35% de aciertos.

El sistema de Yahoo es de los mas seguros, pues utiliza valores alfanuméricos para mostrar los caracteres que el navegante debe introducir/reproducir y así demostrar que es un visitante real (humano) y no una máquina de registro automático de usuarios, envío de mensajes, etc.

El hacker dice haber avisado a Yahoo del problema de seguridad con el CAPTCHA, y estos dicen estar trabajando en mejoras en el sistema.

Este asunto no es menor, pues con el poder viral de la red pronto podemos estar frente a herramientas para newbies que les facilite el registro indiscriminado de direcciones de correo en foros y blogs para, de este modo, llenar la red de publicidad de Viagra u otros sistemas de alargamiento del pene, por poner un ejemplo.

Para terminar de complicar el asunto, el motor de reconocimiento está disponible para descarga en esta web, por lo que no va a ser difícil parar esta nueva amenaza.

Fuente: http://ciberprensa.com/2008/01/31/captcha-de-yahoo-hackeado/

Los hombres creen ser menos vulnerables a los ataques informáticos que las mujeres

enero 31, 2008 § Deja un comentario

En lo que se refiere a seguridad informática, todo el mundo cree ser un experto, y más que nadie, los hombres, según revela una encuesta elaborada por el fabricante de software de seguridad AVG. Eso sí, AVG busca con esta encuesta promocionar su software.

En la encuesta participaron 1.400 adultos de Gran Bretaña a los que se preguntó si eran conscientes de los riesgos que corrían al navegar por Internet. Los hombres se mostraron excepcionalmente confiados en su destreza para mantenerse seguros y sólo un 4 por ciento dijo que no sabían qué tipo de protección tenían instalada.

Pero la confianza no significa estar exento de peligros. Según la encuesta de AVG, un tercio de los usuarios (tanto hombres como mujeres) habían sufrido alguna forma de robo de identidad. Y cuando se les preguntó si cambiarían sus hábitos para que algo así no volviera a pasar, sólo el 20 por ciento dijo estar dispuesto a hacerlo.

Uno de los responsables de la encuesta en AVG afirma: “Tengo la sensación, tal vez porque soy un hombre, de que esta es una de esas cosas de género. Los hombres creen que tienen más control sobre las cosas que hacen”.

El problema, según AVG, es que los usuarios no tienen muchas opciones de reducir el riesgo, a menos que desconecten el ordenador del router. Bueno, esto tampoco es del todo cierto. La elección de la plataforma repercute directamente en los factores de riesgo. Y como finalmente viene a decir AVG, su software antivirus (que es gratuito), y su antispyware, también.

Fuente: http://www.theinquirer.es/2008/01/31/los_hombres_creen_ser_menos_vulnerables_a_los_ataques_informaticos_que_las_mujeres.html

España: Rastrear el contenido de los mails para personalizar los anuncios vulnera la privacidad

enero 31, 2008 § Deja un comentario

Esta semana, coincidiendo con la celebración el lunes del Día Europeo de la Protección de Datos, se ha conocido que la Agencia Española de Protección de Datos (AEPD) considera que los servicios de correo electrónico de Google, Microsoft y Yahoo! vulneran la legislación española.

La AEPD explica que dichos servicios escanean los correos de sus usuarios con varias finalidades, como prevenir virus informáticos en los ficheros adjuntos y filtrar los correos que se consideran spam. Sin embargo, no es lícito que las compañías rastreen el contenido de los mensajes para personalizar la publicidad en el correo.

Además, la Agencia recibió el año pasado las primeras reclamaciones por parte de personas que vieron vulnerados sus derechos por la inserción de imágenes en YouTube, o el intercambio de archivos a través de programas P2P, como el Emule. AEPD recibió en 2007 unas 900 demandas de tutela, casi el doble que en 2006, lo que evidencia una concienciación cada vez mayor sobre este asunto.
Las tutelas son gratuitas y se refieren al derecho de los ciudadanos a conocer la información personal que se encuentra en poder de entidades públicas, y eliminar o corregir los datos inexactos o irreales.

El 90% de las empresas que protagonizan las demandas de tutelas incumplimiento de la Ley Orgánica de Protección de Protección de Datos de Carácter Personal (LOPD) pertenecen al sector financiero y de las telecomunicaciones, básicamente por la inclusión indebida en ficheros de morosos y la obtención fraudulenta de información personal.
Estas empresas se exponen a sanciones que pueden alcanzar los 600.000 euros en los casos más graves y los 600 en los más leves. La AEPD impuso el año pasado más de 300 multas por vulnerar los derechos en materia de protección de datos.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/espaa-rastrear-el-contenido-de-los.html

Argentina: Ley 26.343 reforma la ley de protección de datos personales (25.326)

enero 31, 2008 § Deja un comentario

El blanqueo legal de morosos: comentario a la ley 26.343 que reforma de la ley de protección de datos personales, Ley 25.326.

1. Introducción
A fines del año 2007 el Congreso aprobó la ley 26.343, que reforma la ley de protección de datos personales 25.326. La norma se publicó el 9 de enero de 2008 en el Boletín Oficial y entró en vigencia a los ocho días de su publicación. Mediante esta ley se incorpora un nuevo art. 47 a la ley 25.326 de Protección de los Datos Personales. El propósito de esta nota es comentar los antecedentes de la reforma, sus principales aspectos y cómo deberá ser interpretada en la práctica.

2. Antecedentes
Cuando a fines del año 2000 se sancionó la ley 25.326 de protección de datos personales, el Congreso incluyó un “blanqueo de morosos” en el art. 47 por el cual se buscaba “limpiar” los datos negativos de deudores existentes a la época de la sanción de la ley. Esa norma, muy criticada por la doctrina y generadora de una gran polémica , fue observada por el Poder Ejecutivo en ejercicio de la facultad prevista en el art. 83 de la Constitución Nacional y el Congreso nunca insistió.
Luego de la crisis del año 2001, se presentaron diversos proyectos de leyes tendientes a paliar la situación informativa de deudores de entidades financieras que aparecían en situación irregular, informados en bancos de datos de informes comerciales y en la base de datos del Banco Central. En el primer semestre del año 2006 existían mas de una veintena de proyectos de ley con tal finalidad en la cámara de diputados. Los proyectos se debatieron durante todo ese año, e incluso el PEN dictó una prórroga de sesiones a través del decreto 1670/06, que posibilitó que en la cámara baja se aprobara esa reforma en el mes de diciembre de aquel año.
Pero para poder ser tratado, el proyecto de reforma se desdobló en dos proyectos que recibieron aprobación el mismo día en la cámara baja. El primero obligaba a través de la modificación del art. 47 de la ley de 25.326, a eliminar de los registros de las empresas de riesgo crediticio a los morosos que se hubiesen endeudado durante la última crisis económica “siempre y cuando esas deudas hubieran sido canceladas o regularizadas al momento de entrada en vigencia de la presente ley o lo sean dentro de los 180 días posteriores a la misma”. Este es el proyecto convertido en ley que comentamos.
El segundo proyecto de reforma de la ley 25.326 , era una reforma muy amplia y controvertida del art. 26 de la ley 25.326 por la cual se introducían toda una serie de nuevos requisitos para incluir información en bancos de datos de informes comerciales y se encomendaba a la Dirección de Protección de datos personales (que a la fecha no cuenta con recursos suficientes para realizar todas las tareas que le encomienda el art. 29 de la ley 25.326) la creación de un registro de juicios finalizados. De aprobarse, constituirá una reforma integral de la regulación de informes comerciales, en especial del art. 26 de la ley 25.326 .
3. Principales aspectos de la ley 26.343
Como se señaló, la ley tiene un sólo artículo integrado por cuatro párrafos mediante el cual se incorpora un nuevo artículo 47 a la ley 25.326 con la siguiente redacción.

A continuación se comentan los aspectos salientes de la norma.
3.1. Sujetos que deben cumplir con la ley
La norma se aplica a los “bancos de datos destinados a prestar servicios de información crediticia”. La norma coincide con la terminología usada por el art. 26 de la ley 25326 (esta se refiere a “prestación de servicios de información crediticia”) pero su campo es mas amplio porque alcanza a todo aquel que vende informes comerciales .
La norma alcanza también a los bancos y entidades financieras que les informan estos datos, ya que éstos también también deberán cumplir con el mandato legal para que lo dispuesto por el Congreso sentido. Ello surge además del último párrafo del art. 47 que hace referencia a la obligación del acreedor de comunicar (a la empresa de informes comerciales o al BCRA) la cancelación o regularización de la obligación.
Como veremos, la norma también alcanza a las bases de datos que mantiene el BCRA pues en definitiva al haber creado esta base de datos, el BCRA actúa como una central de riesgos de carácter público o estatal.

3.2. Derechos de los titulares de datos frente a esta norma
La ley dispone, un tanto sobreabundantemente, que “toda persona que considerase que sus obligaciones canceladas o regularizadas están incluidas en lo prescripto en el presente artículo puede hacer uso de los derechos de acceso, rectificación y actualización en relación con lo establecido (en esta norma)”.
Está claro que si la norma se inserta en el art. 47 de la ley 25.326 tales derechos integraban el plexo de recursos que dispone el titular de los datos personales. Pero la aclaración ayuda al interprete a concluir que el incumplimiento de estas disposiciones dejará habilitada la acción de protección de datos personales prevista en el art. 33 de la ley 25.326.

3.3. Obligación de comunicar
La norma finaliza señalando que “Sin perjuicio de lo expuesto en los párrafos precedentes, el acreedor debe comunicar a todo archivo, registro o banco de datos al que hubiera cedido datos referentes al incumplimiento de la obligación original, su cancelación o regularización”.
Esta norma refuerza lo que decíamos al comienzo acerca de su aplicación a todo acreedor, incluidos bancos y entidades financieras. Es que no tiene ningún sentido que solo se imponga su cumplimiento a las empresas de informes comerciales y no a quienes le suministran los datos en cuestión. Por otra parte tampoco serviría a los propósitos de la ley que los bancos cesen de informar si el dato sigue figurando históricamente, por ende la norma impone una obligación activa dentro de los supuestos contemplados en el art. 47, que recae tanto sobre la entidad financiera como sobre la proveedora de informes comerciales. El acreedor debe comunicar a todos aquellos a quienes hubiera cedido datos referentes al incumplimiento de la obligación original su cancelación o regularización en los términos de esta ley y el receptor debe borrar la deuda histórica respectiva. No alcanza, como sostuvo algún fallo adecuadamente, con dejar de informar el dato negativo .

4. Conclusiones y sugerencias
La ley introduce una modificación de poca importancia en la ley de protección de datos personales. Hay muchas e importantes reformas pendientes respecto de la materia que deberían implementarse en nuestro país; y no todas requieren que se modifique la ley 25.326. Entre otras señalamos las reformas requeridas por la Unión Europea al aprobar a Argentina como país adecuado y otras que la práctica y aplicación diaria de la ley, que ya cumple siete años, requiere decididamente tanto en materia de fondo como la procesal. Estas reformas deberán hacerse con el consenso y participación de todos los interesados, porque en la sociedad de la información la protección de datos personales y la privacidad debería ser una política de estado. Por otra parte, como hemos señalado en otra ocasión , los temas sobre informes comerciales, si bien suelen ser los más abordados en nuestra doctrina y jurisprudencia, no son por ello los mas importantes dentro del amplio campo del Derecho de la Protección de los Datos Personales.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/argentina-ley-26343-reforma-la-ley-de.html

Argentina: Ley 26.343 reforma la ley de protección de datos personales (25.326)

enero 31, 2008 § 2 comentarios

El blanqueo legal de morosos: comentario a la ley 26.343 que reforma de la ley de protección de datos personales, Ley 25.326.

1. Introducción
A fines del año 2007 el Congreso aprobó la ley 26.343, que reforma la ley de protección de datos personales 25.326. La norma se publicó el 9 de enero de 2008 en el Boletín Oficial y entró en vigencia a los ocho días de su publicación. Mediante esta ley se incorpora un nuevo art. 47 a la ley 25.326 de Protección de los Datos Personales. El propósito de esta nota es comentar los antecedentes de la reforma, sus principales aspectos y cómo deberá ser interpretada en la práctica.

2. Antecedentes
Cuando a fines del año 2000 se sancionó la ley 25.326 de protección de datos personales, el Congreso incluyó un “blanqueo de morosos” en el art. 47 por el cual se buscaba “limpiar” los datos negativos de deudores existentes a la época de la sanción de la ley. Esa norma, muy criticada por la doctrina y generadora de una gran polémica , fue observada por el Poder Ejecutivo en ejercicio de la facultad prevista en el art. 83 de la Constitución Nacional y el Congreso nunca insistió.
Luego de la crisis del año 2001, se presentaron diversos proyectos de leyes tendientes a paliar la situación informativa de deudores de entidades financieras que aparecían en situación irregular, informados en bancos de datos de informes comerciales y en la base de datos del Banco Central. En el primer semestre del año 2006 existían mas de una veintena de proyectos de ley con tal finalidad en la cámara de diputados. Los proyectos se debatieron durante todo ese año, e incluso el PEN dictó una prórroga de sesiones a través del decreto 1670/06, que posibilitó que en la cámara baja se aprobara esa reforma en el mes de diciembre de aquel año.
Pero para poder ser tratado, el proyecto de reforma se desdobló en dos proyectos que recibieron aprobación el mismo día en la cámara baja. El primero obligaba a través de la modificación del art. 47 de la ley de 25.326, a eliminar de los registros de las empresas de riesgo crediticio a los morosos que se hubiesen endeudado durante la última crisis económica “siempre y cuando esas deudas hubieran sido canceladas o regularizadas al momento de entrada en vigencia de la presente ley o lo sean dentro de los 180 días posteriores a la misma”. Este es el proyecto convertido en ley que comentamos.
El segundo proyecto de reforma de la ley 25.326 , era una reforma muy amplia y controvertida del art. 26 de la ley 25.326 por la cual se introducían toda una serie de nuevos requisitos para incluir información en bancos de datos de informes comerciales y se encomendaba a la Dirección de Protección de datos personales (que a la fecha no cuenta con recursos suficientes para realizar todas las tareas que le encomienda el art. 29 de la ley 25.326) la creación de un registro de juicios finalizados. De aprobarse, constituirá una reforma integral de la regulación de informes comerciales, en especial del art. 26 de la ley 25.326 .
3. Principales aspectos de la ley 26.343
Como se señaló, la ley tiene un sólo artículo integrado por cuatro párrafos mediante el cual se incorpora un nuevo artículo 47 a la ley 25.326 con la siguiente redacción.

A continuación se comentan los aspectos salientes de la norma.
3.1. Sujetos que deben cumplir con la ley
La norma se aplica a los “bancos de datos destinados a prestar servicios de información crediticia”. La norma coincide con la terminología usada por el art. 26 de la ley 25326 (esta se refiere a “prestación de servicios de información crediticia”) pero su campo es mas amplio porque alcanza a todo aquel que vende informes comerciales .
La norma alcanza también a los bancos y entidades financieras que les informan estos datos, ya que éstos también también deberán cumplir con el mandato legal para que lo dispuesto por el Congreso sentido. Ello surge además del último párrafo del art. 47 que hace referencia a la obligación del acreedor de comunicar (a la empresa de informes comerciales o al BCRA) la cancelación o regularización de la obligación.
Como veremos, la norma también alcanza a las bases de datos que mantiene el BCRA pues en definitiva al haber creado esta base de datos, el BCRA actúa como una central de riesgos de carácter público o estatal.

3.2. Derechos de los titulares de datos frente a esta norma
La ley dispone, un tanto sobreabundantemente, que “toda persona que considerase que sus obligaciones canceladas o regularizadas están incluidas en lo prescripto en el presente artículo puede hacer uso de los derechos de acceso, rectificación y actualización en relación con lo establecido (en esta norma)”.
Está claro que si la norma se inserta en el art. 47 de la ley 25.326 tales derechos integraban el plexo de recursos que dispone el titular de los datos personales. Pero la aclaración ayuda al interprete a concluir que el incumplimiento de estas disposiciones dejará habilitada la acción de protección de datos personales prevista en el art. 33 de la ley 25.326.

3.3. Obligación de comunicar
La norma finaliza señalando que “Sin perjuicio de lo expuesto en los párrafos precedentes, el acreedor debe comunicar a todo archivo, registro o banco de datos al que hubiera cedido datos referentes al incumplimiento de la obligación original, su cancelación o regularización”.
Esta norma refuerza lo que decíamos al comienzo acerca de su aplicación a todo acreedor, incluidos bancos y entidades financieras. Es que no tiene ningún sentido que solo se imponga su cumplimiento a las empresas de informes comerciales y no a quienes le suministran los datos en cuestión. Por otra parte tampoco serviría a los propósitos de la ley que los bancos cesen de informar si el dato sigue figurando históricamente, por ende la norma impone una obligación activa dentro de los supuestos contemplados en el art. 47, que recae tanto sobre la entidad financiera como sobre la proveedora de informes comerciales. El acreedor debe comunicar a todos aquellos a quienes hubiera cedido datos referentes al incumplimiento de la obligación original su cancelación o regularización en los términos de esta ley y el receptor debe borrar la deuda histórica respectiva. No alcanza, como sostuvo algún fallo adecuadamente, con dejar de informar el dato negativo .

4. Conclusiones y sugerencias
La ley introduce una modificación de poca importancia en la ley de protección de datos personales. Hay muchas e importantes reformas pendientes respecto de la materia que deberían implementarse en nuestro país; y no todas requieren que se modifique la ley 25.326. Entre otras señalamos las reformas requeridas por la Unión Europea al aprobar a Argentina como país adecuado y otras que la práctica y aplicación diaria de la ley, que ya cumple siete años, requiere decididamente tanto en materia de fondo como la procesal. Estas reformas deberán hacerse con el consenso y participación de todos los interesados, porque en la sociedad de la información la protección de datos personales y la privacidad debería ser una política de estado. Por otra parte, como hemos señalado en otra ocasión , los temas sobre informes comerciales, si bien suelen ser los más abordados en nuestra doctrina y jurisprudencia, no son por ello los mas importantes dentro del amplio campo del Derecho de la Protección de los Datos Personales.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/argentina-ley-26343-reforma-la-ley-de.html

¿Dónde estoy?

Actualmente estás viendo los archivos para enero, 2008 en Seguridad Informática.