Recomendaciones de medidas para evitar brechas de seguridad desde los dispositivos móviles

Recomendaciones de medidas para evitar brechas de seguridad desde los dispositivos móviles

  1. Pantalla de bloqueo en tu dispositivo móvil: “Código de acceso o biometría”
    • Se recomienda configurar el acceso con huella dactilar,reconocimiento fácil, y/o biometría, complementado con un código de acceso robusto.
  2. Comunicaciones USB: Los atacantes están empleando esta funcionalidad del USB para comprometer los dispositivos a través de la conexión de datos o códigos dañinos, haciéndose pasar por puestos carga en lugares públicos: “Juice Jacking”.
    • Se recomiendan establecer relaciones de confianza que ofrecen los sistemas operativos y que el usuario debe confirmar cuando el dispositivo lo pida.
  3. Cifrado del dispositivo:
    • Se recomienda el cifrado de la memoria interna del dispositivo móvil (como unidad de almacenamiento principal), así como de otra unidad de almacenamiento externa (como una tarjeta SD-Secure Digital).
  4. Configuración por defecto:
    • Se recomienda deshabilitar todos los servicios y funcionalidades del terminal tales como bluetooth, wifi, asistente personal digital (SIRI), servicios de geolocalización GPS, mientras no se utilicen y no tenerlos activados por defecto.
  5. Copias de seguridad:
    • Para evitar la pérdida de datos el usuario se recomienda realizar copias de seguridad de forma periódica, preferiblemente de forma automática, o de forma local a través de un USB, o a través de una conexión inalámbrica WIFI con el ordenador del usuario.
  6. Capacidades de comunicación inalámbricas: disponer el bluetooth activo en todo momento (relojes inteligentes, manos del vehículo) permite a los atacantes manipular las comunicaciones y la información entre amos dispositivos. Se recomienda:
    • no conectarse a wifis públicas abiertas o a puntos de carga públicos, ya que permiten a los atacantes manipular y acceder a todo el tráfico intercambiado por el dispositivo móvil. Deben usarse wifis de confianza o securizadas con WPA2-PSK.
    • que el usuario no use nunca redes 2G, de ser posible deshabilitar el uso de las mismas.
    • deshabilitar los servicios de geolocalización mientras no se usen, desactivando también el permiso asociado a determinadas apps.
    • no tener activo en todo momento el interfaz NFC “Near Field Comunication”, que permite transacciones y pagos con el móvil, los atacantes pueden forzar transacciones y pagos fraudulentos.
  7. Apps:
    • Se recomienda no permitir la instalación de apps en el móvil desde repositorios de terceros no de confianza, sino desde tiendas o mercados oficiales: Google play (Android); App Store (iOS); Microsoft Store (Windows Phone)
  8. Aplicaciones de mensajería (SMishing):
    • Se recomienda no contestar ningún mensaje de destinatario no conocido o en los que pidan datos personales o acceso a links que puedan albergar códigos dañinos, con el objetivo de infectar/comprometer el terminal.
  9. Recomendaciones genéricas:
    • no almacenar las contraseñas de los servicios o apps del móvil en el propio terminal, ya que pueden ser recuperadas en caso de que el dispositivo fuera infectado/hackeado.
    • verificar el consumo de la factura del operador de telefonía del móvil, para identificar posibles anomalías.
    • sistema operativo siempre actualizado.
    • no almacenar información en local. La información de la organización no debe almacenarse en dispositivos móviles, aunque éstos están cifrados.

Se recomienda instalar herramientas de securización; de anti-virus, anti-spam, firewall personal, antirrobo en todos los dispositivos móviles de la corporación.

Noticias relacionadas

Brechas de seguridad

En la era digital actual, la protección de datos de carácter personal se ha convertido en un pilar fundamental para la seguridad de las personas, empresas y entidades públicas. Este artículo pretende resolver las dudas que generan las brechas de seguridad, así como...

Brechas de seguridad

Brechas de seguridad

En la era digital actual, la protección de datos de carácter personal se ha convertido en un pilar fundamental para la seguridad de las personas, empresas y entidades públicas. Este artículo pretende resolver las dudas que generan las brechas de seguridad, así como concienciar al lector de la importancia de la prevención, no obstante, el riesgo cero no existe, es decir, todos estamos expuestos a sufrir una brecha de seguridad a pesar de implementar medidas de seguridad.

Lo primero es saber identificar una brecha de seguridad, entendiendo que es un incidente de seguridad que afecta a datos de carácter personal (información relativa a una persona física viva identificada o identificable). En general, las brechas causan la destrucción, pérdida, alteración, comunicación o acceso no autorizado a dichos datos en cualquier formato (papel y/o digital). La brecha, normalmente, se produce de forma intencionada cuando un tercero consigue saltarse los mecanismos de seguridad implantados (contraseñas débiles, vulnerabilidades en los sistemas o aplicaciones, correos maliciosos, etc.), sin embargo, también puede producirse de manera accidental por un error humano.

Lo segundo es, en la medida de lo posible, prevenir las posibles brechas de seguridad, para ello, recomendamos, entre otros:

  • Identificar los tratamientos de datos llevados a cabo en la organización (registro de actividades de tratamiento).
  • Realizar una evaluación de los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (análisis de riesgos).
  • Crear un plan de acción (política/protocolo/estrategia) que permita actuar con rapidez.
  • Contar con el asesoramiento de un equipo especializado en materia de protección de datos y ciberseguridad, que pueda apoyarte con la selección de medidas de prevención, la valoración adecuada de una posible brecha, así como el deber de notificar la brecha.

Por el contrario, si detectas que estás sufriendo una brecha de seguridad, deberás poner en marcha tu plan de acción a la mayor brevedad siguiendo los siguientes pasos:

  1. Identificar la brecha.
  2. Analizar la brecha.
  3. Contener la brecha.
  4. Minimizar las consecuencias.
  5. Notificar la brecha (Fuerzas y Cuerpos de Seguridad Nacional, Agencia Española de Protección de Datos y a los afectados).
  6. Registrar la información para poder cumplir con los posibles requerimientos de información.
  7. Aplicar medidas de prevención.

Por lo tanto, las brechas de seguridad son amenazas contantes que requieren establecer políticas, protocolos o estrategias e implementar cuantas medidas de seguridad (técnicas y organizativas) sean necesarias para mitigar sus riesgos y proteger los datos personales, asegurando de esta manera la continuidad de tu negocio y dar cumplimiento al principio de responsabilidad proactiva establecido en la normativa de protección de datos.

Noticias relacionadas

Brechas de seguridad

En la era digital actual, la protección de datos de carácter personal se ha convertido en un pilar fundamental para la seguridad de las personas, empresas y entidades públicas. Este artículo pretende resolver las dudas que generan las brechas de seguridad, así como...

¿Las llamadas comerciales son legales?

¿Las llamadas comerciales son legales?

Es frecuente escuchar quejas sobre la cantidad de llamadas comerciales (telefonía, servicios básicos, seguros, etc.) recibidas, y es que desde hace años es raro que cualquier persona no reciba al menos una llamada comercial a la semana.

Son varios los clientes que nos preguntan si estas llamadas son legales. Nuestra respuesta es tajante, desde junio de 2023, las llamadas comerciales están prohibidas, salvo que la empresa (i) tenga el consentimiento del usuario o (ii) pueda justificar su interés legítimo. En este último punto la Agencia Española de Protección de Datos (AEPD) indica que para ampararse en esta base legal debe existir una relación contractual vigente, relación contractual previa o una solicitud o interacción previa por parte del usuario en el último año.

Desde Rerum recomendamos seguir los siguientes pasos para evitar llamadas comerciales no deseadas:

  • Leer y revisar los contratos y cualquier documento antes de firmar. Muchos usuarios aceptan las llamadas comerciales, sin ser consciente de ello, cuando firman el contrato de servicios.
  • Inscribirse en la lista Robinson. Debería evitar las llamadas ya que las empresas están obligadas a consultarla antes de contactar.
  • Activar el filtro anti-spam de su teléfono móvil para filtrar las llamadas.

Si a pesar de estas recomendaciones sigues recibiendo llamadas comerciales o si diste tu consentimiento y quieres revocarlo ponte en contacto con nosotros en info@rerumlegis.com para solicitar asesoramiento jurídico para ejercitar tu derecho de oposición ante la/s empresa/s en cuestión.

Igualmente, si eres una empresa y tienes dudas sobre cómo y cuándo puedes realizar llamadas o comunicaciones comerciales a clientes y/o potenciales clientes, ponte en contacto en el mismo correo para recibir presupuesto.

Noticias relacionadas

Brechas de seguridad

En la era digital actual, la protección de datos de carácter personal se ha convertido en un pilar fundamental para la seguridad de las personas, empresas y entidades públicas. Este artículo pretende resolver las dudas que generan las brechas de seguridad, así como...

Primera modificación de la Ley de Protección de Datos Personales

Primera modificación de la Ley de Protección de Datos Personales

El 10 de mayo entro en vigor la primera modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), mediante la aprobación de la Disposición final novena de la Ley 11/2023, de 8 de mayo.

Las mismas se resumen en:

  1. Previsión de dos sustitutos, en caso de ausencia, vacante, enfermedad, abstención o recusación de la persona titular de la Presidencia.
  2. Modificación del apercibimiento, en lugar de medida sancionadora, como medida correctiva encaminada a poner fin al posible incumplimiento.
  3. Implementación de sistemas digitales en las actuaciones de investigación de la AEPD.
  4. Ampliación de plazos para resolver en el procedimiento sancionador (de nueve a doce meses) y actuaciones previas de investigación (de doce a dieciocho meses).
  5. Suspensión de plazos de tramitación mediante resolución motivada, cuando resulte indispensable recabar información de otro organismo u autoridad de control.
  6. Remisión de reclamaciones a organismo de resolución extrajudicial de conflictos.
  7. No se podrá imponer multas administrativas a la Administración Pública.
  8. Implementación del uso obligatorio de modelos de presentación de reclamaciones ante la AEPD.

Noticias relacionadas

Nueva Ley reguladora de los servicios electrónicos de confianza

Nueva Ley reguladora de los servicios electrónicos de confianza

Tras su publicación en el BOE entra en vigor la nueva Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que deroga entre otras disposiciones la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Los servicios de confianza se definen como son los servicios electrónicos prestados habitualmente a cambio de una remuneración, consistentes en la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, certificados para la autenticación de sitios web, y la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

Esta Ley tiene por objeto regular los servicios electrónicos de confianza, realizados por prestadores públicos y privados establecidos en España, y a los residentes en otro Estado miembro que tengan un establecimiento permanente situado en España, como complemento del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014.

En concreto, la Ley regula aspectos como los certificados electrónicos, la protección de los datos personales, las obligaciones y responsabilidades de los prestadores, los mecanismos de supervisión y control y el régimen sancionador para los infractores.

¿Aerolínea o pasajero?

¿Aerolínea o pasajero?

La entrada en vigor la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, supone la transposición de la normativa europea sobre el tratamiento de los datos PNR “Passenger Name Record” o Registro de Nombres de los Pasajeros en Castellano.

Esta nueva normativa, cuya finalidad es elevar los niveles de seguridad de los ciudadanos ante el incremento de amenaza del crimen organizado y terrorismo, tiene especial importancia desde la perspectiva de la protección de datos.

La normativa obliga a las aerolíneas y a las entidades de gestión de reserva de vuelos a la transmisión de datos PNR mediante 2 envíos, uno entre 48 y 24 horas antes de la salida del vuelo, y el segundo una vez cerrado el vuelo (nadie pueda entrar en el avión ni abandonarlo). Además, si durante el vuelo se produjera alguna modificación en el destino, también deberá ser transmitidos. Cuando se produzca una amenaza real y concreta será necesario acceder a los datos PNR en momentos distintos a los anteriores, en concreto, las compañías aéreas deberán transmitir dichos datos con carácter inmediato cuando reciban un requerimiento.

Por lo tanto, las aerolíneas u entidades de gestión de reserva de vuelos se sitúan como los obligados a enviar los datos PNR de los pasajeros, los cuales a su vez podrían ver afectados sus derechos por la transmisión de dichos datos.

Desde Rerum Legis Abogados recomendamos una revisión de la documentación, protocolos de información y el adecuado tratamiento de los datos en el caso de aerolíneas u entidades de gestión de reserva de vuelos. Y por el otro lado, a los pasajeros que se informen de sus derechos respecto al tratamiento de sus datos.

× RL Chat