AEPD investigará a Yahoo y advierte del riesgo de los juguetes conectados

Yahoo ha lanzado un comunicado en el que informa que los datos de más de 1.000 millones de cuentas de usuario fueron robados, y por tanto es recomendable cambiar la contraseña y la pregunta/respuesta de seguridad.

AEPD Yahoo

Los pasos a seguir si su cuenta fue comprometida son:

  1. Cambiar la contraseña de Yahoo, y de todos los servicios en los que tengamos las mismas credenciales de acceso.
  2. Cambiar la pregunta/respuesta de seguridad y de los demás servicios donde hayamos usado.
  3. Si tenemos algún medio de pago dado de alta modificarlo.

El incidente probablemente es distinto al que la compañía había revelado en septiembre, lo que significa que Yahoo ha sido víctima de las dos mayores infracciones de datos hasta la fecha. Los datos robados en el último incidente pueden incluir nombres, direcciones de correo electrónico, números de teléfono y contraseñas cifradas. Las contraseñas claras de texto, los datos de la tarjeta de crédito o de la cuenta bancaria no han sido aparentemente comprometidos. Sin embargo, se insta a los usuarios afectados a cambiar sus contraseñas y revisar sus cuentas en línea para detectar actividad sospechosa.

Las brechas de datos como la de Yahoo se han vuelto cada vez más comunes en los últimos años y muchas veces se descubren cuando los datos robados se ofrecen a la venta en la darknet. Como ilustra el gráfico, muchas compañías de alto perfil han sido objeto de ataques de hackers recientemente y probablemente no serán las últimas. Los expertos en seguridad recomiendan encarecidamente no usar la misma contraseña en varios sitios web. El uso de contraseñas diferentes limita significativamente el daño potencial que podría ocasionar una contraseña expuesta.

Infographic: Latest Yahoo Hack Is the Largest Data Breach To Date | Statista

La AEPD investigará el incidente

La AEPD ha abierto este jueves una investigación de oficio por el robo de información de mil cuentas de Yahoo!, con el objetivo de analizar las medidas de seguridad que la compañía tecnológica ha puesto en marcha para proteger a sus usuarios.

Yahoo! admitó el pasado miércoles que le han robado información privada de más de mil millones de cuentas y que no ha sido capaz de identificar al responsable de esta intrusión.

“En este momento hay que ver las medidas y la diligencia que haya desarrollado la compañía en cuanto a las medidas de seguridad”, ha explicado en declaraciones a la prensa recogidas por Efe la directora de la AEPD, Mar España.

Entre la información sustraída de las cuentas afectadas de Yahoo! figurarían nombres de los usuarios, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas, así como preguntas y respuestas de seguridad.

La AEPD notifica la investigación a las demás agencias europeas

La directora de la AEPD ha indicado que ha notificado la apertura de la investigación al resto de autoridades europeas de protección de datos a través del Grupo de Trabajo del Artículo 29 para coordinar esfuerzos.

“Es algo que afecta a nivel mundial, es absurdo que la investigación se centre en el ámbito nacional y lo que vamos a hacer es combinar todas las actuaciones por parte de las autoridades europeas, que tienen mucha más fuerza”, ha precisado Mar España, quien ha incidido en que una de las “grandes ventajas” del nuevo reglamento europeo de protección de datos son la extraterritorialidad y el ámbito de aplicación de las leyes.

Yahoo! no ha hecho una “notificación individualizada”, ha señalado, a las autoridades nacionales para aclarar cuántos usuarios se han visto afectados en cada país, si bien la directora de la AEPD ha recordado que el nuevo reglamento obliga a notificar este tipo de brechas de seguridad.

“En ese caso, podría ser objeto de sanción, pero en el momento actual lo importante es que podamos verificar desde el Grupo de Trabajo del 29 que Yahoo! ha adoptado todas las medidas correctoras para garantizar la seguridad de sus usuarios”, ha aseverado.

Los juguetes conectados

La AEPD ha pedido a los padres que analicen qué tipo de información recogen los juguetes conectados, dónde se almacena y con qué fines se utiliza y ha alertado de los riesgos que conlleva la grabación de voz o vídeo a un colectivo tan vulnerable como el de los menores.

“Se está metiendo un dispositivo en el hogar y además manejado por un colectivo tan sensible como es el de los menores. Pueden estar grabando la voz y lo que está ocurriendo en la habitación del menor”, ha subrayado hoy la directora de la AEPD, Mar España.

Así, ha pedido a los progenitores que antes de comprar el juguete con conexión a internet, se cercioren de qué tipo de datos registra, adónde los envía -¿es un país que ofrece garantías de protección de datos?- y para qué se utilizan.

“El primer responsable de su seguridad en internet es el propio ciudadano”, ha incidido España durante la presentación de un decálogo de consejos de seguridad y privacidad en dispositivos conectados.

El documento pretende que los ciudadanos sean conscientes de los riesgos que entraña el uso de las nuevas tecnologías y que hagan un uso más responsable de sus terminales.

En primer lugar, el jefe del área informática de la AEPD, Andrés Calvo, ha pedido que el usuario se haga preguntas acerca de su interacción con las aplicaciones móviles: ¿cuántas apps tienes instaladas en el móvil? ¿Cuánto tiempo llevan instaladas sin que las utilices? ¿A qué información de tu terminal móvil están accediendo? ¿Has revisado los permisos alguna vez?

“Antes de instalar una aplicación, hay sopesar qué información vamos a dar y a cambio de qué”, ha sostenido.

Por otra parte, Calvo ha resaltado que la activación de la geolocalización no sólo permite averiguar dónde se encuentra un usuario, sino que puede favorecer el descubrimiento indirecto de información sobre sus hábitos, por lo que ha pedido que sólo se utilice cuando sea necesaria, no por defecto.

El experto ha recomendado que, por costumbre, se apaguen o tapen las cámaras que están presentes en el hogar -como la del portátil o la de la consola- y sólo se descubran cuando se vayan a utilizar.

Como “nuestra vida está escrita en nuestro móvil”, Calvo ha instado a protegerlo con un código de desbloqueo complejo, a mantener su software actualizado para evitar brechas de seguridad y a configurar la opción de borrado remoto de los datos por si roban el dispositivo.

Utilizar gestores de contraseñas, recurrir al diálogo con los menores y al control parental para la gestión de la experiencia en línea de los más pequeños y anteponer la cautela a la hora de elegir las tiendas de comercio electrónico son otros consejos del decálogo presentado hoy.

La directora ha precisado que la AEPD está “absolutamente a favor de las nuevas tecnologías” y no quiere “caer en el alarmismo” con sus mensajes, pero considera necesario concienciar a los ciudadanos de sus riesgos y de que “se da con mucha más alegría información personal en las redes de la que se daría a cualquier persona por la calle”.

En la presentación de la guía, España ha defendido que la AEPD está haciendo un esfuerzo importante para abordar una carga de trabajo creciente con un personal limitado.

“Estamos haciendo milagros. Uno tiene que gestionar con los recursos que tiene, eso está claro. Lo que sí es cierto es que desde hace ocho años se ha multiplicado la gestión por cinco”, ha afirmado.

La directora de la AEPD, que ha hecho hincapié en que la puesta en marcha del nuevo reglamento europeo de protección de datos supondrá “un cambio muy complicado en las reglas de juego”, ha reconocido que solicitará al Gobierno que aumente los recursos de la agencia en un “año fundamental”.

“Mi obligación es trasladar esa demanda al gobierno y lo haré. (…) Estoy convencida de que habrá receptividad”, ha declarado.

Decálogo con consejos prácticos de privacidad y seguridad en dispositivos conectados

Uno de los ejes principales de actuación de la AEPD es apostar de forma decidida por la prevención para que los ciudadanos sean más conscientes de los derechos que les asisten y cómo ejercerlos. Con motivo de la cercanía de las navidades, la Agencia ha elaborado un listado de 10 claves imprescindibles en materia de privacidad y seguridad a tener en cuenta si te regalan o vas a regalar un dispositivo conectado.

  1. Tu cuerpo dice más de lo que crees. La tecnología ‘vestible’ (pulseras, relojes, podómetros, etc.) incorpora sensores que registran y pueden transferir información sobre hábitos y costumbres del usuario, tanto al fabricante como a terceros. Si los utilizas para monitorizar tu actividad física, es recomendable comprobar quién está recogiendo los datos que aportas, para qué los va a utilizar y si los va a ceder a otros. Si vas a subir estos datos a una red social intenta dar la menor información personal posible al registrarte y elimina o limita el acceso a tu ubicación siempre que puedas, ya que a partir de este dato se puede inferir mucha más información sobre ti de la que imaginas.
  2. Una ventana indiscreta. Buena parte de los dispositivos incorporan cámaras que aportan funcionalidades añadidas. Desconéctala o tápala con una cinta adhesiva si no la estás utilizando para evitar que un extraño pueda verte si se hace con el control del dispositivo sin que te des cuenta. Por otro lado, si te han regalado un dron, además de la normativa aeronáutica, ten en cuenta que si difundes por internet imágenes en las que se pueda identificar a las personas que aparecen en ellas, necesitarás tener su permiso o consentimiento.
  3. Dispositivos vulnerables. Bloquea la pantalla de inicio y utiliza un código de desbloqueo lo más largo posible. Además, actualiza el software de tus dispositivos siempre que sea posible para evitar que sean vulnerables ante un posible hackeo y valora instalar algún programa que te proteja ante el software malicioso. Desactiva el bluetooth si no vas a utilizarlo y la conexión automática a wifis abiertas, ya que pueden ser una puerta de entrada para posible ataques.
  4. Protege tus datos ante pérdidas o robos. Localiza en las opciones de configuración del terminal la forma en la que podrías acceder a distancia a su contenido para eliminarlo y piensa si te interesa utilizar una aplicación para realizar el borrado remoto. Valora si además quieres bloquear algunas aplicaciones que contengan información sensible y, en cualquier caso, realiza copias de seguridad con frecuencia.
  5. Apps: no aceptes sin leer. Antes de instalar una aplicación, consulta su política de privacidad para comprobar quién va a recoger qué datos sobre ti y qué va a hacer con ellos. Valora también los comentarios de otros usuarios, ya que en ocasiones pueden aportarte información útil. Además, comprueba periódicamente las apps instaladas y qué permisos les has concedido, y elimina aquellas que ya no utilices.
  6. La ubicación no siempre es necesaria. Configura tu dispositivo móvil para que las apps te pidan permiso para acceder a tu ubicación y comprueba si tus redes sociales difunden tu posición. Activa la geolocalización manualmente sólo cuando la necesites.
  7. Juguetes conectados. Comprueba en primer lugar si pueden captar la voz o la imagen de los menores, entre otros datos, mientras juegan con ellos y dónde se almacenan. Revisa la política de privacidad para consultar qué permisos estás concediendo y a quién sobre esos datos. Si te piden que registres el juguete online para obtener funciones adicionales, averigua cual será el destino de la información personal facilitada y para qué se utilizará.
  8. Demasiadas contraseñas. Las contraseñas deben ser robustas y es necesario utilizar una diferente para cada servicio. ¿Cómo recordarlas todas? Es recomendable utilizar un gestor de contraseñas que las almacene cifradas en el dispositivo y que, para acceder a ellas, utilices lo que se conoce como una contraseña maestra. En cualquier caso, evita tener las contraseñas almacenadas en tu correo electrónico o en un documento sin seguridad.
  9. Menores: edúcales. El diálogo y la supervisión son las mejores herramientas cuando los menores entran en contacto con la tecnología. Es recomendable acordar con ellos para qué van a utilizar los dispositivos y valorar si se quieren instalar herramientas de control parental. Es aconsejable que si los padres quieren instalar un software de localización en el dispositivo para conocer la ubicación del menor, lo hablen previamente con él.
  10. ¿Sabes dónde compras? Asegúrate en primer lugar de que la dirección web de la página es en la que realmente quieres comprar y, antes de facilitar tu información, comprueba quién y para qué la utilizará, revisando especialmente si la política de privacidad identifica al responsable y si muestra su domicilio social. Presta especial atención a las casillas que te piden permiso para utilizar tu información para enviarte publicidad y no las marques si no te interesa, ya que no es obligatorio. Sospecha de las páginas que ofrecen precios excesivamente bajos y si te surgen dudas busca una alternativa que te aporte más confianza y seguridad.


Deja un comentario