Cada vez más, los hackers se aprovechan del buen nombre de algunas compañías, y de la avidez de los internautas por conseguir chollos para realizar fraudes. Los viajes son campo abonado para ello, debido a lo elevado de los precios según el destino, y la necesidad urgente de aquellos que deciden sus vacaciones con poco margen de tiempo. Por esto, se multiplican las ofertas de última hora que finalmente resultan estafas. En este artículo te indicamos 7 claves para detectar una estafa detrás de un falso anuncio o mensaje de un proveedor de viajes.

1. La página de la compañía no aparece claramente identificada. El link de la compañía está escrito incorrectamente o bien directamente el link no es legible. El anuncio no aparece indicado en medios propios de la compañía (redes sociales verificadas)

2. Se utilizan sistemas de mensajería instantánea para promover la oferta (hay sentencias ya contra el uso de WhatsApp para promociones sin consentimiento, así que las empresas serias no lo utilizan).

3. Otra de las claves para detectar una estafa en un mailing es el lenguaje. Recibimos un e-mail que aparentemente es de una compañía seria, pero el lenguaje utilizado tiene incorrecciones o parece una mala traducción del inglés, como en este falso e-mail que detectó en su día la Oficina de Seguridad del Internauta:

4. Nos urgen a realizar una acción muy rápido o la oferta o la página se cerrará:

5. Nos piden datos personales como los de la tarjeta de crédito, o las credenciales de acceso a una web que la empresa real ya tiene.

6. Nos envían un adjunto que es un archivo ejecutable, un pdf o un archivo comprimido (.zip) cuando no hemos solicitado nada.

7. Nos piden que compartamos la oferta en una red social con cuanta más gente mejor. Seamos lógicos… ¿Qué compañía que regale algo valioso favorecerá su difusión a cuantos más consumidores mejor?

¿Y si nos piden datos para realizar una compra?

Si has fallado en una primera detección, y has llegado a una ventana en que te piden datos para realizar una compra, unos hábitos consolidados de compra segura te pueden salvar en ese momento.

• Pon los cinco sentidos cuando realices una transacción. No facilites datos si la página no es segura (https en lugar de http) y no tiene un certificado verificado y en vigor (icono del candado).

• Elige un medio de pago seguro. La clasificación de medios de pago, de más o menos seguros, son:

1. Contra reembolso.
2. Tarjeta de crédito virtual (mejor con pasarela de pago) limitado.
3. Tarjeta de crédito (mejor con pasarela de pago).
4. Transferencia: Facilitar tus datos bancarios y tu nombre es una mala combinación.
5. Envío de efectivo: Nunca lo utilices, es el favorito de los estafadores.

• Cuando te des de alta en portales para realizar la contratación, ten una práctica de contraseñas seguras para que no sea tan fácil al ciberdelincuente hacerse con la tuya. También puedes utilizar teclados virtuales como los que ofrecen determinadas compañías de antivirus.

• Si pagas por móvil, utiliza sistemas de bloqueo y localización del mismo. Mantén el sistema operativo y el antivirus actualizado.
• Almacena capturas de pantalla y copia de todas las transacciones que haces. Cuando hemos sido víctimas de un delito, son lo que nos permitirá probar ante nuestro banco o la autoridad correspondiente que hemos sido objeto de una estafa.

Cuando hemos sido víctimas de un fraude

Si a pesar de todo has sido víctima de un delito informático, la Oficina de Seguridad del Internauta recomienda:

1. Contacta con la empresa o servicio en el que se ha publicado el fraude. Las redes sociales o los proveedores de servicios de Internet tienen mecanismos para perseguir las estafas, desacreditar una suplantación de identidad o eliminar mensajes fraudulentos
2. Acude a la Oficina Municipal de Información al Consumidor o a asociaciones de defensa de consumidores como la OCU o FACUA.
3. Denuncia a los cuerpos y fuerzas de seguridad del estado: La Brigada de Investigación Tecnológica de la Policía, el Grupo de Delitos Telemáticos de la Guardia civil, y otros cuerpos autonómicos.

Pero sobre todo, esperamos que no tengas que llegar a este extremo, porque tienes las claves para detectar una estafa en cualquier oferta dudosa en Internet. Mantente alerta y, cuando hayas hecho por fin una compra segura…

¡Disfruta de tus vacaciones! 🙂

La entrada en vigor del RGPD, el nuevo Reglamento General de Protección de Datos, el 25 de Mayo de 2018, va a generar importantes cambios en la práctica diaria de las empresas. En esta publicación te vamos a explicar cómo aplicar el RGPD.

Este nuevo reglamento regulará todo lo relacionado con la protección de los datos personales de las personas físicas en el ámbito de la UE. Su objetivo por tanto es controlar el uso que las empresas hacen de los datos personales de las personas físicas.

También los datos tratados por empresas fuera de Europa se ven afectados, siempre que su actividad afecte a personas físicas de la Unión Europea. En España, el RGPD sustituirá a la actual LOPD (Ley Orgánica de Protección de datos de carácter personal), que seguirá vigente hasta la implantación de la nueva regulación.

Sanciones millonarias por no aplicar el RGPD

Un elemento importante son las sanciones que se pueden producir en caso de no cumplir con el Reglamento. No tienen mínimo y pueden alcanzar el 4% del volumen de negocio o 20 millones de euros, lo que sea mayor. Con la LOPD eran de un mínimo de 900 euros y un máximo de 600.000. Esto ha hecho que las empresas hayan empezado a preocuparse sobre esta normativa.

¿En qué consiste el RGPD?

Veamos ahora en qué consiste la normativa y qué medidas debemos ir tomando para velar por su aplicación en nuestra empresa.

Principios y derechos que protege el RGDP

1. El principio de transparencia. Los datos han de ser tratados de manera lícita, leal y transparente. Para ello se debe llevar un Registro de actividades de tratamiento, del que luego hablaremos.
2. Principio de limitación de la finalidad. Los datos permitidos deben ser adecuados y limitados a lo necesario en relación con los fines para los que se tratan.
3. Se mantienen los derechos ARCO de la LOPD. (Acceso, Rectificación, Cancelación y Oposición). Y se añaden los siguientes derechos:
4. Derecho al Olvido: La información personal puede ser eliminada de los proveedores de servicios de Internet cuando se desee.
5. Derecho a la Portabilidad: A transmitir los datos del responsable de una empresa a otro, cuando sea necesario, con la única limitación de lo técnicamente posible.

Información al recabar datos personales

La LOPD ya establece, al consentir en proporcionar datos personales, que hay que informar de una serie de datos. En concreto, el responsable del fichero y la finalidad de la recogida de derechos. También, la posibilidad de ejercer derechos de acceso, rectificación, cancelación y oposición.

Ahora también habrá que informar de la base legal del tratamiento de datos, del periodo de conservación, la identificación –si procede- del DPO (nueva figura del Delegado de Protección de Datos, solo para determinadas empresas). También, si habrá o no transferencia internacional de datos y decisiones automatizadas y del derecho a presentar reclamaciones.

El consentimiento de datos personales

El consentimiento debía ya ser inequívoco con la LOPD, pero se permitía para datos no sensibles que fuera tácito.

Para el RGPD, el consentimiento debe ser libre, informado, específico y siempre basado en una declaración del interesado o una acción positiva. Es decir, que el silencio, las casillas pre-marcadas o la inacción no serán consentimientos válidos.

Además, debe solicitarse de nuevo el consentimiento para aquellos datos que se obtuvieron antes del RGPD de manera tácita.

Por último, no se podrán obtener datos de menores de 16 años sin consentimiento de sus padres o tutores, salvo que la regulación nacional establezca una edad inferior. Esta edad nunca podrá ser de menos de 13 años. La LOPD establece actualmente un mínimo de 14 años, sin necesidad de recabar el consentimiento de los padres.

Los contratos de tratamiento de datos

Deben constar por escrito y detallar las instrucciones del responsable de los datos al encargado de tratamiento de los mismos en relación con las medidas de seguridad. También debe figurar el régimen de subcontratación, la confidencialidad y el destino de los datos tras el tratamiento.

El registro de actividades de tratamiento de datos

No era regulado por la LOPD. Dicho registro debe contener:

• Tratamiento de los datos a realizar.
• Qué datos personales se tratan los destinatarios.
• Destinatarios de los datos.
• Periodo de conservación.
• Finalidad del tratamiento.
• Medidas técnicas y de seguridad adoptadas por la empresa.

¿Cómo puedo prepararme para el RGPD?

Lo primero es que saber la categoría de empresa al que perteneces según la RGPD y según el tipo de datos que tratas.

Extra Software se puede encargar de realizar un Informe de Seguridad que ayude tu empresa a cumplir con la RGPD.

Si estás interesado en empezar a aplicar el RGPD, contacta con nosotros y te diremos los pasos a seguir.

Queremos ayudarte a que pases este examen con buena nota. 🙂

Hoy nos salimos un poco de la temática de tecnología avanzada de este blog, y sin ánimo de reírnos de ti, sino más bien contigo, te contamos algunas anécdotas, de nuestro servicio técnico y de otros. Te harán comprender por qué a veces la labor del servicio técnico es un trabajo curioso curioso…

La tinta de la impresora

¿Quién no se ha quedado sin toner alguna vez? Las soluciones son tan diversas como personas, como se aprecia en esta historia:

Uno de nuestros técnicos –afortunadamente cuando trabajaba para otra empresa- va a revisar una impresora láser en un cliente. Cuando llega se encuentra la impresora chorreando tinta por los cuatro costados. Rápidamente echa un vistazo a su alrededor y detecta algo raro en la mesa de la oficina. ¿Ese bote de tinta para los sellos de caucho no estará medio vacío? El usuario, ni corto ni perezoso, había cogido el bote de tinta y rellenado el cartucho de tóner con él. A pesar de negarlo rotundamente, nuestro intrépido técnico confirmó lo que había pasado gracias a una de sus compañeras, que se lo confesó en voz bajita con una sonrisa… “Que sí, que sí, ha sido él…”

Esto de la Wi-Fi

Llama una clienta desde SEVILLA a uno de nuestros técnicos, que por aquel entonces trabajaba de operador técnico de Orange, y atendió la llamada de esta encantadora señora:

TÉCNICO: Buenos días, le atiende…. En qué puedo ayudarle?

USUARIA: Ya me han puesto el ADSL, estoy muy contenta por poder usar el portátil sin cables con esto de la Wi-Fi.

TÉCNICO: Me alegro. Dígame, ¿qué puedo hacer por usted?

USUARIA: El caso es que este fin de semana me voy a BILBAO a ver a mi hijo. Usted cree que la Wi-Fi va a llegar a mi portátil desde SEVILLA?

TÉCNICO: (¡No puedo aguantarme, no puedo, ja ja ja, no puedo…!!!!) Ante todo gracias por llamar a Orange, le explico…

Asterisco, asterisco, asterisco, asterisco, …

Los campos de contraseña de los usuarios tienen un sistema de cifrado que hace que aparezca un asterisco en sustitución de cada carácter introducido. Hay personas que esto no lo saben, y hace que se dé la consabida respuesta a los técnicos cuando les preguntan la contraseña: “Asterisco, asterisco, asterisco, asterisco,….”. Ante la pregunta “¿Está seguro de que esa es la contraseña?”, suele responderse: “Sí, sí, se la he visto escribir al informático…./…mi jefe…/…mi compañero…”

Esos periféricos…

Mucha gente ignora algo fundamental en los periféricos (teclado, ratón, lector de código de barras,…); y es que puede haber más de uno conectado a la CPU. Esto fundamenta esta anécdota que ya ha dado la vuelta al mundo:

USUARIO: Mi teclado no quiere funcionar.

TÉCNICO: ¿Está seguro de que está conectado?

USUARIO: No lo sé. No alcanzo la parte de atrás.

TÉCNICO: Coja el teclado y dé diez pasos hacia atrás.

(unos segundos más tarde)

USUARIO: Ok.

TÉCNICO: ¿El teclado sigue con usted?

USUARIO: Sí.

TÉCNICO: Eso significa que el teclado no está conectado. ¿Hay algún otro teclado?

USUARIO: Sí, hay otro aquí. Huy!… ¡¡¡Este sí funciona!!!

Capturas de pantalla “originales”

La gran mayoría de los teclados tienen la tecla “Print Screen” (inglés) o bien “Impr. Pant.” (español). Sin embargo, la popularidad de las cámaras de móvil ha hecho que cuando se solicita una “captura de pantalla”, algunos usuarios se tomen la molestia de sacarle una foto a la pantalla de ordenador, enviarla del móvil a una cuenta de correo y desde ahí reenviarla al Servicio técnico:

Botones, botones,… son todos iguales

No queremos llegar al extremo de esta anécdota, pero la proximidad entre “Cambiar de usuario” “Cerrar sesión” y “Apagar equipo” nos ha jugado muchas malas pasadas en conexiones remotas. Por ejemplo, quedarse desconectado porque el usuario ha apagado el equipo en lugar de cerrar sesión 🙂 . Pero vamos con la anécdota:

Una clienta llamó al servicio técnico de Compaq para decir que su nuevo y reluciente PC no funcionaba. Ella comentó que había desembalado la unidad, había colocado todos los periféricos, la había enchufado según las instrucciones y esperado hasta 2 minutos sin que nada pasara. Cuando se le preguntó que relatara que sucedía exactamente al apretar el botón de encendido, ella contestó:

“¿Qué botón de encendido?”

Esperamos haberte hecho sonreír un poco, al menos. Créenos que nuestro servicio técnico siempre está de tu parte. Sé paciente con sus preguntas, la mayoría de las veces solo quieren saber qué es lo que de verdad está pasando para poder ayudarte. 🙂

Agradecimiento a nuestros pacientes técnicos, que compartieron estas y otras muchas anécdotas que te iremos contando poco a poco…

LABORATORIO 2: Google ( Mis datos y las grandes empresas)

Antes de comenzar este laboratorio, te avisamos que puedes acceder a la primera parte de esta publicación. Al igual que la primera parte, te mostramos mediante sencillos ejemplos y laboratorios cómo grandes empresas obtienen nuestros datos, en este caso te hablamos de Google.

Si con lo que has visto en la primera parte sobre Facebook te ha parecido aterrador espera a ver lo que puede llegar a tener google que obtiene información a través el buscador, el servicio de correo electrónico, la red social Google+, el sistema operativo para móviles Android, etc.

Para descargar los datos de Google

1. Visita la página Descargar tus datos. Es posible que tengas que acceder a tu cuenta de Google.
2. Elige los productos de Google que quieras incluir en la descarga. Para ver más detalles y opciones para un producto, selecciona la flecha hacia abajo
3. Selecciona “Siguiente”.
4. Elige el tipo de archivo.

En este punto puedes elegir el método de descarga del archivo. Puedes elegir recibir el enlace de descarga por correo electrónico igual que en el caso de Facebook.
Una vez confirmes el método de descarga tendrás que tener un poco de paciencia pues es tanta la información que google puede tardar bastante tiempo en recopilarla. Este tiempo depende de la cantidad de información a nosotros nos tardó 32 minutos.

Una vez recibamos el mail podemos empezar a descargar el archivo. En nuestro caso ha sido un fichero de 23Gb. ¡Imaginad la cantidad de información que puede llegar a gestionar Google!

Al descomprimir el archivo vemos unas carpetas de todos los servicios de Google que contienen nuestra información. Además, igual que pasaba con Facebook hay un archivo llamado index.html, que si lo abrimos en el navegador nos mostrará un menú con un resumen de los archivos que hay en las carpetas de antes. Al contrario de lo que pasaba con Facebook, desde esta web no podremos visualizar la información, habrá que ir navegando por las carpetas y abriendo los ficheros uno a uno para ver lo que hay.

El número de carpetas pueden variar en función de lo activos que seáis en los distintos servicios de la compañía, en nuestro caso hay bastante información de casi todos los servicios.

En la carperta +1 encontraremos un fichero web con lo que hemos compartido en Google+, en la de Blogger temos un fichero ATOM para importar a nuestro blog lo que tengamos en Blogspot, la carpeta busqueda como se puede intuir reune todas nuestras busquedas en google, en mi caso la primera busqueda de la que hay constancia es sobre el programa de sincronizacion de los moviles nokia con el PC allá por 2009 ¿Os acordais?

Dejando la nostalgia a un lado y siguiendo con las carpetas llegamos al calendario, donde podremos ver todas las citas que hemos ido añadiendo en un archivo ICS que podemos importar en outlook. En la siguiente carpeta “Chrome” encontraremos todo lo relativo al navegador desde los favoritos hasta el historial de navegación pasando por los datos que recuerda para las funciones de autocompletado de formularios, las palabras que hemos añadido al diccionario o la configuracion de extensiones y motores de busqueda. La siguiente, circulos de Google+ tiene los contactos de la red social en ficheros separados por circulos (grupos). La siguiente es contactos y esta vez son los de Android. Pasamos ahora al correo, un archivo sin conexión con todo nuestro correo de gmail incluido el spam y los eliminados. Le toca el turno a Drive donde se nos ha descargado todo el contenido de la nube de Google. En favoritos encontraremos los bookmarks de Google que son otros favoritos distintos a los de google chrome, la diferencia es que son accesibles desde cualquier navegador a través de esta url. La carpeta Fit es de las que más sorprende a la gente ya que tiene toda la información que ha recogido el podometro de tu movil android, cuantos kilometros has recorrido al dia, si ha sido andando, corriendo o en bici, etc..

Toca ahora otra de las que sorprende, “Google Fotos”. Si no te has dado cuenta y tienes activada en tu movil la carga automatica de fotos aquí encontraras todas las fotos que tengas en tu teléfono. Por supuesto en las condiciones de Google explican que los derechos sobre esas imágenes son nuestros pero…Siempre hay un pero. Al usar este servicio concedes a google (y a terceros) derechos para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas, comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido incluso cuando hayas dejado de usar sus servicios. Puedes consultar la politica de Google aquí.

Siguiendo con las carpetas, en google Play Books podremos ver los libros que hemos adquirido en la plataforma; en hangouts, el historial de conversaciones del servicio de mensajería. La siguiente es historial de lugares y es que aunque no te lo creas google controla todos tus movimientos a través del GPS de tu movil android puedes consultarlos tambien desde la web www.google.com/maps/timeline Las siguientes carpetas también relacionadas con los mapas son tus lugares y mis mapas que recojen las opiniones que has dejado en google sobre establecimientos y los mapas personalizados respectivamente.

Ya casi terminando es el turno de Perfil donde encontraremos los datos personales de nuestro perfil de Google+, Tareas donde volveremos a ver las tareas del calendario, “Transmisiones de Google+” donde veremos los lugares donde hemos hecho chek-in en google+ y wallet donde se almacena lo relativo a nuestra cartera, tarjetas de credito asociadas a nuestra cuenta de google, suscripciones a servicios etc…

Para terminar está la carpeta Youtube donde además del historial de visualizaciones y de busquedas de videos podremos ver nuestras suscripciones a canales y los videos que habeis marcado para ver más tarde o con me gusta.

¿Y ahora que hago?

Ahora que ya sabemos todo lo que tienen sobre nosotros estas grandes compañias es el momento de pararse a pensar que podemos hacer al respecto y la respuesta no es clara, como hemos visto en las condiciones de uso se aseguran de seguir teniendo derechos sobre nuestros datos aun cuando dejemos de usar sus servicios. Sin embargo si que podemos dejar de darles información. Para esto Google ha habilitado una opción en la configuración accesible desde https://myaccount.google.com/activitycontrols donde podremos decidir que información queremos que recojan y cual no. Tambíen tenemos una opción desde el submenu de mi actividad para borrar nuestra actividad aunque en este caso google se asegura de dejarnos claro que guardarán “información relacionada con los servicios sobre tu cuenta, como los productos de Google que usas y cuándo lo haces, para mejorar sus servicios y evitar el spam y el abuso”.

El caso de facebook es más radical y si queremos que no recopile nuestra información no nos quedará otra que dejar de usar sus servicios. El proceso de borrado de la cuenta es largo y se puede prolongar hasta 3 meses desde la fecha de solicitud. Sin embargo esto solo borra la información accesible a otros usuarios y no toda, ya que hay información almacenada en la cuenta de tus amigos como los mensajes que les has enviado que no se borraran.

Si te ha gustado recuerda compartir 🙂

No te olvides de leer también:

¿QUÉ SABEN DE MÍ LAS GRANDES EMPRESAS Y QUÉ HACEN CON MIS DATOS? Laboratorio I

¿Consciente de qué datos tuyos están en internet?

Actualizamos la información de esta publicación (24/04/2017)

Google publica la versión de Chrome 58 y corrige esta vulnerabilidad

Google anuncia una nueva versión de su navegador en la que corrige esta vulnerabilidad. La nueva versión es Chrome 58

Os dejamos los pasos para actualizar nuestro navegador a la siguiente versión:

1. Abrimos Google Chrome.

2. En la parte superior derecha pulsamos sobre el icono

3. Y nos dirigimos a Ayuda > Información de Google Chrome.

4. Automáticamente empezará a descargar la nueva versión.

5. Una vez finalizada reiniciamos el navegador.

6. Y ya tenemos instalada la nueva versión donde se corrige esta vulnerabilidad.

Hasta aquí nuestra actualización para esta publicación. Esperamos que sea de utilidad y os recordamos que lo compartas, si te ha gustado. 🙂

Un investigador de seguridad informática chino ha descubierto un nuevo ataque phishing muy difícil de detectar.

El ataque hace uso de una vulnerabilidad conocida en los navegadores Chrome, Opera y Firefox que permite utilizar dominios falsos como sitios Web legítimos, como Apple, Amazon o Google lo que puede llevar al robo de las credenciales de acceso a la cuenta, los datos de la tarjeta de crédito, etc.

Este investigador (Xudong Zheng) ha creado una página Web demo donde muestra la vulnerabilidad.

Si abrimos el enlace anterior con cualquiera de los navegadores mostrados, podemos ver que aparece el dominio legítimo Apple.com y asegurado mediante certificado SSL (HTTPS) pero la Web que se muestra no es la Web de Apple. Esto es así, por que los caracteres se han sustituido por caracteres Unicode.

Este ataque se conoce desde el 2001 y se le llama ataque homógrafo (homograph attack)

Con los caracteres Unicode se puede representar alfabetos como el griego, cirílico y armenio en los nombres de dominio internacionalizados y hay letras que tienen el mismo aspecto que las letras latinas, por ejemplo, la “a» latina con el código (U + 0430) puede ser sustituida por una “a» cirílica con el código (U + 0041). Las dos letras son tratadas de diferente forma por los navegadores, pero aparentemente son la misma letra.

Por defecto, muchos navegadores web utilizan la llamada codificación Punycode (código púny) para representar los caracteres Unicode en la URL para defenderse de los ataques de phishing homógrafos.

De acuerdo con Zheng, el vacío legal se basa en el hecho de que, si alguien elige todos los caracteres de un nombre de dominio de un único conjunto de caracteres del idioma extranjero, de forma aparente es igual que el dominio de destino, entonces los navegadores lo muestran en el mismo idioma en lugar de mostrarlo en el formato Punycode.

Esto le permitió registrar el dominio xn--80ak6aa92e.com, el cual aparece como Apple.com en todos los navegadores vulnerables.

Las distintas compañías ya están buscando una solución, habrá que esperar unos días para actualizar nuestros navegadores, mientras tanto mucho cuidado con este ataque.

Podéis ampliar esta información desde el artículo original (en inglés)