BENVINGUTS A ATGROUP

Últimes Notícies

Security Forum

El pasado 2 y 3 de junio, se ha llevado a cabo el encuentro anual de empresas dedicadas al sector de la seguridad, el "Security Forum". Como cada año ATGroup ha estado presente junto a la Asociación de Jefes de Seguridad de España (AJSE). Ha sido nuevamente, un evento ideal para poder difundir nuestros servicios y poder conocer a las nuevas empresas del sector.

6 d'juliol del 2022

Canal de denuncias o whistleblower

El Gobierno ha anunciado que este año 2022 se publicará la nueva Ley de protección del denunciante (mecanismo también conocido como “canal de denuncias” o “Whistleblower”) a consecuencia de la trasposición de la Directiva (UE) 2019/1937.¿En qué puede afectarle esta normativa? Lo más probable es que desarrolle los elementos esenciales de la Directiva (UE) 2019/1937, la cual exige que todas aquellas entidades de más de 50 empleados deberán establecer un canal de denuncias y un sistema de protección al denunciante. Los canales de denuncias contemplarán los requisitos siguientes:

PREGUNTAS Y RESPUESTAS (POCAS) SOBRE EL VEHÍCULO AUTONOMO Y LA PROTECCIÓN DE DATOS

ES EVIDENTE QUE ESTAMOS YA A LAS PUERTAS DE UNA REVOLUCIÓN EN LA MOVILIDAD, ESPECIALMENTE EN LAR URBANA, LA TECNOLOGIA PARA EL PLENO FUNCIONAMIENTO DEL VEHÍCULO AUTONOMO YA ESTA, SÓLO QUEDA SU IMPLANTACIÓN, ¿QUÉ CONSECUENCIAS NOS APORTARÁ EN MATERIA DE PROTECCIÓN DE DATOS?

En poco tiempo la Dirección General de Tráfico nos obligará a incorporar dispositivos en nuestro vehículo que impidan la puesta en marcha si no se verifica de forma previa la capacidad del conductor para la conducción sin influencias del alcohol.

La realidad es que poco a poco en nuestros vehículos se van a incorporar herramientas y soluciones tecnológicas que van cambiar radicalmente nuestra manera y forma de entender la conducción del vehículo particular.

Sin ánimos de ser exhaustivos nos permitimos adelantar tres entornos de interconexión que van a tener grandes consecuencias, nos referimos a lo que se puede denominar: A. Control Centralizado Administrativo, B. Control Centralizado de Emergencias, C. Control Centralizado Mecánico o gestión de asistencia técnica.

A. El control centralizado administrativo, está claro que se basará en IoT, donde se interconectará vehículo y Administración de forma constante e independiente, permitiendo que la Administración encargada de la supervisión del tráfico tenga en todo momento datos actualizados del vehículo en cuestión, claro que esa interconexión en tiempo real también puede tener como contrapartida que se controle en tiempo real la situación de la ITV, la vigencia del seguro obligatorio, la situación administrativa del vehículo en cuestión, pudiendo reaccionar la Administración con el vehículo de forma automatizada bloqueando su uso, ya sea por falta de requisitos del vehículo para circular, o por falta de capacidad del conductor. Es decir, las verificaciones administrativas de situación y capacidad serán on line y automáticas gestionadas desde un Control Centralizado Administrativo.

B. En cuanto a las emergencias, hay que recordar que en la actualidad algún fabricante de alta gama, dota a sus vehículos de sistemas de ayuda vía GPRS, o similar, geoposicionando los vehículos, e incluso detectando una brusca desaceleración. Es más que previsible que dichos sistemas se generalicen y más cuando estemos ante el vehículo autónomo o semi-autonomo, siendo los datos generados controlados y gestionados por un Control Centralizados de Emergencias.

C. Por último, cada vez más fabricantes de vehículos están incorporando más sistemas de supervisión y mantenimiento mecánico en sus productos, interconectando fabricante con productos de forma recurrente, es más que probable que el coche autónomo siga la senda que ha marcado el fabricante TESLA respecto al seguimiento y control de sus unidades puestas en circulación creando un Control Centralizado Mecánico.

En materia de protección de datos, todas estas iniciativas comportan grandes retos como pueden ser.

¿Quién es el responsable de tratamiento? ¿A quien le corresponde en cada caso? ¿Qué pasará cuando se traté de un renting o un alquiler financiero?

¿Quién será el encargado de tratamiento en los diferentes entornos y titularidades?, ¿el fabricante? ¿la Administración? ¿las empresas de servicios?

¿Qué tipos de datos se tratarán? ¿Cómo se contemplará la privacidad desde el diseño y por defecto? ¿quién será responsable de cumplir dichos requisitos?

Las cesiones, accesos o el resto de actividades descritas en materia de protección de datos, ¿requerirán consentimientos de los titulares? ¿y de los terceros afectados?

También hay que tener presente, que la industria de la movilidad es un fenómeno internacional y que sus operadores son supra comunitarios, por tanto ¿Qué pasa con las transferencias internacionales de datos?

En caso de infracción mixta, ¿Quién será la autoridad competente? ¿la DGT? ¿la AEPD?, ¿otras?

Por último, y no menos importante, ¿Quién marcará los requisitos de ciberseguridad del vehículo autónomo?

La conclusión de lo aquí expuesto es que nos encontramos en una primera fase de desarrollo, en la cual se tienen más preguntas que respuestas, pero en muy poco espacio de tiempo parece ser que llegará el tiempo de empezar a plantear respuestas a las preguntas suscitadas por los diferentes operadores jurídicos, tecnológicos y administrativos que componen la ecuación del vehículo autónomo.Miembros del equipo de ATGROUP están trabajando en empresas y Universidades para buscar las soluciones más adecuadas para nuestros clientes y para la ciudadanía en general.

29 d'juny del 2022

A VUELTAS CON EL PHISING Y LOS RASOMWARE

ATAQUES COMO LOS SUFRIDOS POR EL INSTITUT MUNICIPAL DE INFORMATICA DE BARCELONA (IMI) O LA EMPRESA ANIMSA DE NAVARRA, DEJA AL DESCUBIERTO LA EFICACIA DE LOS ATAQUES Y LOS RIESGOS QUE PUEDEN COMPORTAR UNA CIBERSEGURIDAD DEFICIENTE O VULNERABLE.

Esta semana ha salido en los medios que el Institut Municipal de Informática órgano dependiente del Ayuntamiento de Barcelona ha sufrido un ataque mediante ingeniería social con la técnica no por conocida menos efectiva de la suplantación de facturas de proveedores legítimos por otras aparentemente también legitimas pero con el número de cuenta corriente bancaria cambiado a favor de otra, a nombre de una “mula” como se conoce en el argot a los titulares de cuentas corrientes que sirven para este tipo de estafas. Una vez la víctima realiza el pago en la cuenta de la mula, en el convencimiento que esta pagando a su proveedor, el dinero desaparece en cuestión de minutos, y a medida que pasan las horas, van efectuándose transacciones a terceras entidades de otros países, haciendo prácticamente imposible el rastreo y recuperación del capital si han pasado unos días desde el fraude.

A nuestro lector, seguro que le ha llamado la atención que la banca permita abrir cuentas corrientes y hacer disposiciones de fondos libremente y no pueda actuar contra estos colaboradores necesarios para este tipo de fraudes, máxime cuando es la máxima responsable de la identificación de su cliente real en virtud de la normativa sobre prevención de blanqueo de capitales y financiación del terrorismo. Pero a efectos prácticos, se siguen abriendo cuentas muy sospechosas, incluso de forma telemática, con insolventes o jubilados que por un porcentaje de la transacción se apuntan a colaborar en el fraude.

Entendemos que, a las entidades financieras, tan hábiles a la hora de clasificar los clientes cuando se trata de solvencia patrimonial, le seria extremadamente sencillo establecer reglas de disposición de fondos para ciertos tipos de cuentas (es extremadamente sospechoso que, a un jubilado con la pensión mínima, repentinamente en un corto periodo del tiempo le ingresen cantidades enormes de dinero y los trasfiera en cuestión de minutos a entidades de fuera del país…raro, muy raro ¿no?)

Pero no sólo la banca tiene algo que decir en este asunto, la verdad es que la actual legislación necesita urgentemente una nueva tipificación del ilícito penal, esta nueva legislación deberá obligar a los diferentes operadores, por un lado, a mejorar lo que se entiende por el “deber de autoprotección”, haciendo que la ciberseguridad sea una materia de especial atención en todas las empresas y organizaciones evitando mediante medidas técnicas, organizativas y jurídicas la victimización. Y, por otro lado, no es menos importante, el cambio legislativo en la rigurosidad de la aplicación de las medidas de supervisión y control bancario, y la posible retroacción de las transacciones fraudulentas durante un tiempo razonable, que permita a las fuerzas de seguridad solicitar el bloqueo de fondos cautelar mientras se tramita la solicitud al juzgado de instrucción correspondiente.

Con sólo este par de medidas, numerosas transacciones quedarían anuladas, identificados los estafadores y desarticulados los sistemas de enriquecimiento de estas tramas internacionales de delincuentes.

Todo ello respecto al phishing, cosa diferente ya diría a nuestro parecer algo más compleja de evitar son los ataques con ransomware, especialmente los ataques de clic cero, es decir aquellos que no necesitan ninguna acción de la víctima.

Recientemente hemos visto en los medios de comunicación como una entidad pública de Navarra (ANIMSA), que presta servicios informáticos a ciento setenta y nueve entidades públicas de esa comunidad autónoma, ha sufrido un ataque desde dos servidores (Hive y Cobalt Strike) ubicados en Letonia que ha tenido cómo consecuencia la encriptación de todos los sistemas de la entidad.

Al parecer, en este ataque no se ha pedido ningún tipo de rescate en bitcoins, como es muy habitual en este tipo de delitos, sino que se trataría de un ataque puro seguramente conectado con la triste situación de Ucrania en estos momentos y la voluntad de Rusia de dar respuesta a las sanciones occidentales atacando a cualquier administración vulnerable de la otra parte del “Telón de Acero” como se diría en otras épocas que pensábamos olvidadas.No nos cansaremos de recomendar el seguimiento y observación de las directrices y sugerencias que las entidades públicas como son INCIBE para empresas y particulares y CCN para administraciones públicas en cuanto a la planificación y ejecución de un plan de ciberseguridad integral. En resumen, la ciberseguridad es una asignatura pendiente de forma permanente, ya sabemos que la seguridad absoluta no existe, pero eso no quita que dentro de nuestra agenda u hoja de ruta empresarial incluyamos la necesidad de construir un sistema robusto de ciberseguridad desde un punto de vista integral, personas, organización y máquinas.En ATGROUP tenemos la firma vocación de acompañaros en todo este proceso, ajustarlo a vuestras necesidades e incluso ayudaros a gestionar las crisis, defendiendo los intereses de nuestros clientes con todas las herramienta legales y tecnológicas que en cada momento se puedan disponer.

Os seguiremos informando.
Un cordial saludo.

30 d'maig del 2022

LOS COMITES ETICOS Y LA INTELIGENCIA ARTIFICIAL

LOS ALGORITMOS QUE HACEN APRENDER A LAS MÁQUINAS, ¿TIENEN QUE SER ÉTICOS? ¿QUE PASA SI SUS DECISIONES VULNERAN DERECHOS DE PERSONAS? ¿DE QUIEN SERÁ LA RESPONSABILIDAD LEGAL Y MORAL?

En efecto, tanto administraciones públicas como empresas privadas están utilizando la inteligencia artificial (IA) para mejorar sus procesos, Ayuntamientos como el de Barcelona están aplicando el machine learning para sus procesos de atención al ciudadano y la misma Generalitat de Catalunya está utilizando el algoritmo de prevención del riesgo de reincidencia delincuencial RISCANVI, desde hace algunos años. En el mismo sentido de optimización y digitalización 4.0, numerosas empresas privadas están utilizando el Big Data para sus previsiones de incidencia de riesgo y cálculo actuarial en materia de seguros o de evaluación de solvencia patrimonial o crédito.

En todo caso, lo que hace muy pocos años nos parecían asuntos de ciencia ficción, la realidad nos esta llevando a que muchas empresas y administraciones se plantean o ya tengan en explotación algoritmos que hacen aprender a las máquinas (machine learning) y que toman decisiones de forma autónoma en base a la explotación de datos masivos.

Sin duda es un gran avance y es muy posible que el machine learning mejore muchos procesos de atención a las personas, pero esos algoritmos… ¿pueden ser discriminatorios? ¿pueden atentar contra derechos fundamentales?, ¿pueden generar perjuicios por el sesgo de sus decisiones?, en resumen, ¿Quién garantiza la neutralidad ética y legal del aprendizaje de las máquinas y de sus decisiones automatizadas?

La misma Unión Europea, consciente del problema entre otras resoluciones ha dictado la Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas (2020/2012(INL).

Si los algoritmos de la IA, trabajan sin control humano y aplicando criterios estrictamente numéricos/económicos, no hay duda que en un futuro breve existirán potentes desajustes sociales y legales, haciendo prácticamente imposible por ejemplo contratar una póliza de asistencia sanitaria a partir de una determinada edad o harán prohibitivo el precio de la póliza del hogar si vives en una isla donde exista un volcán activo (p.e. La Palma), o quizás nos pondrá en la cola de petición de ayudas públicas por no pertenecer a uno de los colectivos de especial protección detectados por la máquina según su sesgo social de aprendizaje automático, e incluso en una mala aplicación de reconocimiento facial, podrían vetarnos la entrada en un local de ocio nocturno, al no ajustarse nuestro rostro a las características étnicas y raciales de los clientes que ha seleccionado la máquina.

Estas posibles injusticias, incluyendo los problemas legales que se puedan derivar, en muchas ocasiones emanan de los sesgos éticos y sociales que haya ido adquiriendo el algoritmo en el proceso de aprendizaje, que, en caso de no ser debidamente corregidos y tutorizados por humanos competentes, se corre el peligro de que afecten tanto a la reputación de la administración pública o la empresa que haya puesto en explotación la IA sin las debidas garantías éticas y legales como a los desarrolladores que han comercializado un producto no ajustado a la normativa vigente ni a la ética del cliente. Dichos incumplimientos pueden tener repercusiones reputacionales, pero también severas consecuencias económicas ya sea por reclamaciones directas de los colectivos afectados como por las posibles sanciones administrativas o judiciales que se pudieran derivar de la mala gobernanza del algoritmo.

Pero ¿cómo se evita el sesgo ético negativo o incluso ilegal en el proceso de machine learnig?, no es fácil, pero lo que esta claro es que hoy por hoy se necesita una tutoría humana de la máquina, y no basta con una gestión puramente técnica, hará falta un equipo multidisciplinar de expertos que valoren y corrijan el proceso, consiguiendo que el algoritmo final puesto en explotación tenga un sesgo ético-social adecuado y sobre todo que cumpla fielmente con la legalidad vigente en cada momento.

En este sentido, desde ATGROUP proponemos la creación de los COMITÉS ETICOS IA en todas las empresas e instituciones que desarrollen y/o apliquen la IA en su operativa, ya sean meros desarrolladores o usuarios finales de dichos algoritmos.

La doctrina propone como elementos transversales en dichos comités la participación de expertos en ética digital, la inclusión de los representantes de los colectivos afectados, la participación de los representantes de los trabajadores, la participación de expertos externos independientes, la aplicación de políticas eficaces de transparencia y comunicación, etc.

Los desarrolladores podrán proponer el COMITÉ ETICO IA, como un valor añadido a sus servicios y aplicaciones, garantizando un resultado conforme a las especificaciones éticas y legales que espera el cliente.

En el caso de organizaciones que explotan ya los algoritmos de la IA, el COMITÉ ETICO IA, es la herramienta de gestión de incidencias y resolución de conflictos, tanto éticos, operativos como legales.

En resumen, el COMITÉ ÉTICO IA tendrá como funciones la gobernanza ética de los algoritmos que se apliquen o desarrollen en la institución. Es evidente que este comité deberá estar estrechamente coordinado con los otros garantes de cumplimiento normativo como son la figura del delegado de Protección de Datos y el Oficial de cumplimiento normativo (Compliance Officer) en su caso.

Si estáis explotando algoritmos de IA o tenéis proyectado escalar del 3.0 al mundo 4.0, no dudéis en contactar con nosotros, donde os asesoraremos gustosamente sobre los requisitos y necesidades a cubrir.

29 d'abril del 2022

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS INCREMENTA UN 337% EL IMPORTE DE LAS MULTAS EN EL AÑO 2021

RECIENTEMENTE SE HA PUBLICADO LA MEMORIA 2021 DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS DONDE DESTACAN DOS CIFRAS MUY SIGNIFICATIVAS: LA PRIMERA EL INCREMENTO DE LOS PROCEDIMIENTOS SANCIONADORES EN UN 54% Y LA SEGUNDA LA SUBIDA DE LOS IMPORTES DE LAS SANCIONES EN UN 337%.

En efecto, la AEPD en su memoria anual nos expone el estado de los trabajos realizados en el pasado año 2021, enumerando actividades y acciones realizadas en estos tiempos tan complejos y cambiantes.

Sin duda la AEPD se modernizado y ha asumido el reto de la incorporación a nuestro Ordenamiento Jurídico y social el RGPD con eficacia y profesionalidad. Iniciativas como el Pacto Digital o el Canal prioritario de denuncias así lo avalan.

También hay que destacar la gran actividad informativa y difusora de información, mediante numerosos eventos y actividades que permiten difundir de forma eficaz los nuevos paradigmas y garantías en materia de privacidad.

También nos permitimos destacar, por ser de indudable interés para nuestros lectores y colaboradores el cambio de orientación que se ha constatado en la nueva Memoria 2021, nos referimos al gran incremento del número de procedimientos sancionadores, un 54 % con respecto al año 2020, y sobre todo a la fuerte subida de los importes de las sanciones impuestas, donde destaca el incremento del 337% respecto al año 2020.

Por sectores de actividad destacan los clásicos ya conocidos en anteriores memorias, nos referimos al sector de la publicidad, telecomunicaciones, entidades financieras, etc.

Aunque en esta Memoria 2021 cabe destacar el fuerte aumento de sanciones derivadas de asuntos laborales (con un incremento del 6.368 % con respecto al 2020), situación que sin duda ha tenido mucho que ver con la pandemia y las medidas de teletrabajo.

También toma interés el incremento del 89 % de los procedimientos sancionadores finalizados en el 2021 derivados de una quiebra de seguridad. Es evidente que las quiebras de seguridad han de ser gestionadas de forma diligente y profesional, ya que en caso de incidente pueden ser y son una de las vías de apertura de expediente sancionador por parte de la autoridad de control.

La conclusión de lo expuesto es que la AEPD está harmonizando su actividad sancionadora y los importes de las sanciones al resto de autoridades de control europeas, (incluso en los fundamentos de Derecho de las resoluciones sancionadoras se menciona doctrina y resoluciones jurisprudenciales de otros países de nuestro entorno europeo). Esta harmonización ha comportado un incremento muy sustancial del importe de las sanciones impuestas en base al vigente RGPD, rompiendo los viejos paradigmas y precedentes administrativos en cuanto a cuantías y valoración de las infracciones de la antigua LOPD.

Por las incidencias detectadas y la actividad realizada hasta la fecha (finales de marzo), el año 2022 promete ser aún más intenso que el pasado 2021 para la AEPD.

31 d'març del 2022

EL CENTRE CRIPTOLÒGIC NACIONAL (CCN) RECOMANA AUGMENTAR LES MESURES DE CIBERSEGURETAT PER MOTIUS DE LA CRISI D'UCRAÏNA, COM POT AFECTAR LA MEVA EMPRESA?

ANTERIORS CIBERATACS PROCEDENTS PRESUMPTAMENT DE RÚSSIA HAN DEIXAT FORA DE SERVEI ADMINISTRACIONS PUBLIQUES MOLT DESTACADES, COM ÉS EL SEPE, AJUNTAMENTS I UNIVERSITATS. S'ESPERA QUE AMB LES SEVERES SANCIONS ECONÒMIQUES I PERSONALS ADOPTADES PER OCCIDENT CONTRA RÚSSIA I ELS SEUS OLIGARQUES, ELS CIBERATACS S'INCREMENTARAN NOTÒRIAMENT.

En els últims dies diferents mitjans de comunicació han difós notícies on s'exposa la recomanació que ha difós el CCN perquè s'augmentin de manera significativa les mesures de ciberseguretat en administracions i institucions, ja que és molt possible que s'augmentin els atacs a aquestes organitzacions.

En efecte, les severes mesures econòmiques que s'han adoptat com a sancions es preveu que tinguin un gran impacte en l'economia russa, i fins i tot les mesures personals contra uns certs oligarques fa més que previsible la possibilitat de “intentar retornar el cop” amb ciber atacs de divers tipus i intensitat en els sectors estratègics de tots els països que estiguin el sector occidental, especialment els que pertanyen a l'OTAN.

En principi, és bastant clar que s'estan aplicant sancions insòlites a Rússia (p.e. l'expulsió del sistema bancari SWIFT), que de ben segur tindran una forta conseqüència en l'economia i la competitivitat de les seves empreses i banca. Per tant, està pràcticament assegurat que un dels objectius de Rússia serà el complicar l'economia i l'administració dels països de l'OTAN, i més si és de manera “fosca”, oculta o més o menys impune i en molts casos amb un alt benefici econòmic pels rescats de dades o fraus com el del “home interposat” que hauran de pagar les empreses occidentals víctimes dels ciber atacs.

Les recomanacions, no per ja conegudes resten efectivitat a la prevenció i la resposta davant possibles ciberatacs:

  1. Canviar les contrasenyes de tots els equips, substituint-les per contrasenyes robustes.
  2. Custòdia i gestió adequada de les contrasenyes, evitant la seva pèrdua o substracció.
  3. Apagar els equips en el temps que no s'usen, especialment servidors en cap de setmana, i resta de dispositius connectats a Internet.
  4. Especial atenció a dispositius connectats a Internet com són maquinària industrial, telemedicina, domòtica, etc. (És més fàcil atacar nostra Smart TV o la CCTV que un servidor ben configurat i protegit.)
  5. Monitorar adequadament en tot moment els nostres dispositius, detectant l'activació d'alguna bomba lògica de manera ràpida i primerenca.
  6. Tenir les còpies de seguretat actualitzades i amb una còpia física desconnectada (que contingui dades i entorn per a reproduir).
  7. Mai pagar un rescat per les nostres dades. Si som víctimes d'un ransomware, mai fomentem aquesta pràctica pagant rescats.
  8. En cas de ser oportú, presentar la corresponent denúncia davant les autoritats competents pels delictes de danys informàtics que es puguin haver sofert.
En principi, aquestes serien una enumeració no exhaustiva sinó merament enunciativa i a tall d'exemple ja que cada organització necessita adequar les seves mesures de seguretat segons les seves necessitats, objectius i capacitats. Com sempre, quedem a la vostra disposició per a ajudar en la correcta gestió de qualsevol ciber incidència, ja sigui mínima o un gran atac.
Amb l'esperança i sincer desitjo que tot acabi al més aviat possible i la pau i la concòrdia s'imposi entre les parts, com sempre, quedem a la vostra disposició per a qualsevol dubte o consulta sobre aquest tema o algun altre que sigui de vostre.

Us continuarem informant.
Salutacions.
--
Jorge Ortega

28 d'febrer del 2022