04/05/2024

Mes: enero 2022

fraude

80.000 euros de sanción x microcrédito online a una persona que suplantó la identidad de un tercero

Editor YPT2 31/01/2022

15 de enero de 2022 – La Sala de lo Contencioso del Tribunal Supremo establece que la intervención fraudulenta de un tercero que suplanta la identidad de otra persona no excluye la infracción de la empresa por falta de consentimiento inequívoco para el tratamiento de datos personales que exige la Ley de Protección de Datos porque la intervención fraudulenta de un tercero no implica que la empresa contratante haya actuado con diligencia.

La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que
impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de
Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud
del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del
DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y
confirma la sentencia de la Audiencia Nacional que confirmó la sanción.

El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo
trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su
nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en
un fichero de morosos.

La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos
infracciones graves de la Ley de Protección de Datos por tratar datos personales sin
recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de
exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los
datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el
nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda
que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

La empresa no actuó con la diligencia necesaria

En su sentencia, el tribunal explica que comparte el criterio de la Audiencia Nacional sobre la
insuficiencia de las medidas que aplicó la empresa en el procedimiento de contratación on line del
microcrédito, en tanto que “se desentienden enteramente del objetivo de verificar la
veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el
crédito es precisamente quien dice ser”.

La sentencia de la Audiencia Nacional explicaba que en el proceso de contratación la plataforma de
la empresa exigía determinados datos, como el número del DNI, dos teléfonos y el correo
electrónico. Unos datos que se ignora si son del cliente que los facilita como suyos o si son de
otras personas.

En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI
facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida
“únicamente demuestra a la entidad que” alguien” es titular de ese DNI, por cuanto le confirma
que es un número de documento que existe”.

La sentencia, ponencia del magistrado Eduardo Calvo, aprecia que de este modo, “ en cualquier
caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una
compra o solicitar un crédito online, siempre se consumaría el tratamiento inconsentido de los
datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las
autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas anunciadas por la
recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca”.

Por último, el tribunal señala que lo anterior no significa que se haga recaer sobre la empresa
contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es el
uso fraudulento de un DNI por parte de quien no es su titular, “ Pero sí es exigible a dicha
empresa contratante, como diligencia necesaria para que no se le pueda reprochar el
incumplimiento de sus obligaciones en materia de protección de datos de carácter personal- tanto
en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio
de veracidad y exactitud de los datos- la implantación de medidas de control tendentes a verificar
que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del
DNI aportado”.

empresa nso group

El “hackeo a gran escala” con un programa espía israelí a periodistas y activistas de El Salvador

Editor YPT2 27/01/2022

Los teléfonos celulares de casi tres docenas de periodistas y activistas de El Salvador fueron pirateados con el sofisticado software espía Pegasus, según ha descubierto el instituto canadiense Citizen Lab y confirmado Amnistía Internacional.

El hackeo afectó a 37 dispositivos de 35 personas entre julio de 2020 y noviembre de 2021, según dijo Citizen Lab el miércoles. La mayoría de los teléfonos pirateados pertenecen a periodistas del medio salvadoreño El Faro, el cual ha expuesto los vínculos entre el gobierno de Nayib Bukele y las pandillas de ese país.

Hasta ahora no se ha comprobado quién está detrás del hackeo, aunque los periodistas de El Faro señalan al gobierno, algo que el gobierno niega.

La investigación fue realizada por Citizen Lab de la Universidad de Toronto y el grupo de derechos digitales Access Now.

El Laboratorio de Seguridad de Amnistía Internacional confirmó de forma independiente los hallazgos.

"El análisis forense confirmó que cada dispositivo estaba infectado con el programa espía Pegasus de NSO Group", apuntó Amnistía Internacional y señaló que "los primeros indicios de ataque en los dispositivos de la muestra se produjeron en torno al 30 de julio de 2020" y "los signos de amenaza o intento de ataque continuaron hasta el 15 de noviembre de 2021", citó la agencia de noticias Efe.

Amnistía Internacional detalló que "los objetivos incluyeron periodistas de El FaroGatoEncerradoLa Prensa GráficaRevista Digital DisruptivaDiario El MundoEl Diario de Hoy, y dos periodistas independientes", además de miembros de las organizaciones Fundación DTJ y Critosal.

¿Qué es Pegasus?

Pegasus es un sofisticado software diseñado por la empresa israelí NSO Group. Infecta dispositivos que tienen sistemas iOS y Android, lo que permite extraer mensajes, fotos, correos electrónicos, grabar llamadas y activar en secreto micrófonos y cámaras.

Según algunas fuentes, alrededor del mundo más de 600 políticos y funcionarios, 189 periodistas, 64 ejecutivos de negocios y 85 activistas, entre otros, habrían sido víctimas de este espionaje. Unos 50.000 números de teléfono habrían sido filtrados.

Y desde entonces ha estado en la mira. Pegasus figura en la lista negra de EE.UU. desde el año pasado después de acusaciones de que gobiernos represivos estaban utilizando el programa espía para piratear a personas inocentes, incluidos activistas, políticos y periodistas.

NSO Group niega las acusaciones, indicando que no pone estas herramientas en manos de cualquiera y que sus clientes son cuidadosamente valorados.

A través de un comunicado, la empresa dijo que vendió sus productos solo a agencias legítimas de inteligencia y de aplicación de la ley para su uso contra terroristas y delincuentes, y que no sabía quiénes eran los objetivos de sus clientes.

La compañía se negó a comentar si El Salvador era cliente de Pegasus.

Los investigadores de Citizen Lab declararon que iniciaron un análisis forense de los teléfonos de El Salvador en septiembre, tras ser contactados por dos periodistas de ese país que sospechaban que sus dispositivos podían estar comprometidos.

Citizen Lab dijo haber encontrado rastros reveladores de infecciones de software espía en los teléfonos móviles de 22 reporteros, editores y personal administrativo y pruebas de que se habían robado datos de muchos de esos dispositivos, incluidos varios gigabytes.

Reacciones

En una declaración a Reuters, la oficina de comunicaciones de Bukele dijo que el gobierno de El Salvador no es cliente de NSO Group Technologies. Señaló que la administración está investigando el supuesto hackeo y que tiene información de que los teléfonos de algunos funcionarios de alto nivel también podrían haber sido infiltrados.

"Tenemos indicios de que nosotros, funcionarios de Gobierno, también estamos siendo víctimas de ataques", indicó en un comunicado.

"Las intervenciones y el espionaje del que hemos sido víctimas en El Faro implican que los responsables han tenido acceso a todo acerca de nuestras comunicaciones y la información almacenada en nuestros celulares", denunció el jefe de información del medio, el periodista Óscar Martínez.

"Me cuesta pensar o concluir algo distinto a que se trate del gobierno de El Salvador" detrás de los presuntos ataques, dijo Martínez. "Es evidente que hay un interés radical en comprender qué es lo que El Faro está haciendo", añadió.

Carlos Martínez, un periodista de investigación de la publicación, dijo que los piratas informáticos pasaron 269 días dentro de su teléfono. "Durante 269 días invadieron mi privacidad", denunció en Twitter

Durante la época de las supuestas infiltraciones con Pegasus, El Faro informó sobre escándalos relacionados con el gobierno de Bukele, incluyendo acusaciones de que estaba negociando un acuerdo con violentas pandillas callejeras para reducir la tasa de homicidios con el fin de impulsar el apoyo popular al partido Nuevas Ideas, del presidente Bukele.

Bukele, que discute frecuentemente con la prensa, condenó públicamente la información de El Faro sobre esas supuestas conversaciones como "ridícula" e "información falsa" en su cuenta de Twitter del 3 de septiembre de 2020.

El espionaje telefónico no es nuevo en El Salvador, asegura Citizen Lab.

En un informe de 2020, se afirmaba que El Salvador era uno de 25 países que utilizaban tecnología de vigilancia masiva fabricada por una empresa israelí llamada Circles, cuya tecnología se diferencia de Pegasus en que recoge datos de la red telefónica global en lugar de instalar spyware en dispositivos específicos.

estafa que cobra por falsas apps

Detectan estafa que cobra por falsas apps en más de 100 millones de móviles Android

Editor YPT2 27/01/2022

Una nueva estafa cibernética, denominada Dark Herring, ha afectado ya a 105 millones de usuarios de dispositivos móviles con sistema Android que instalaron aplicaciones que resultaron ser maliciosas. Los delincuentes informáticos usan esta modalidad para cobrar hasta 15 dólares al mes por servicios prémium ficticios sin que las víctimas lo sepan.

La campaña, que ha descubierto la compañía de ciberseguridad Zimperium, se distribuye a través de aplicaciones que no despiertan sospechas ya que resultan operativas, pero que cobran a sus usuarios por servicios que no ofrecen sin su conocimiento a través de su factura telefónica.

Las primeras aplicaciones pertenecientes a la campaña Dark Herring comenzaron a publicarse a partir de marzo de 2022, lo que le convierte en una de las estafas más longevas de este tipo, según Zimperium. En total se han identificado 470 apps implicadas, publicadas hasta noviembre de 2021.

En la mayoría de los casos (38,9 %) las aplicaciones estaban publicadas en la categoría de entretenimiento de Play Store, seguida por herramienta (8,3 %), fotografía (8,3 %), carreras (7,7 %) y productividad (7 %).

Los expertos advierten que estas aplicaciones maliciosas, publicadas a través de Google Play y otras plataformas de apps de terceros, ya han sido eliminadas de la biblioteca oficial de Google, pero aún permanecen en las de terceros y pueden continuar instaladas en los dispositivos que las han descargado.

En total, 105 millones de usuarios de móviles Android de 70 países diferentes han descargado las aplicaciones maliciosas con Dark Herring, a los que se les cobra en concepto de servicios prémium falsos una media de 15 dólares al mes. Los países europeos más afectados han sido los nórdicos y bálticos, Grecia y Bulgaria.

En muchos casos, las víctimas pueden no darse cuenta de la estafa hasta que les llega la factura de su operador telefónico, ya que la app solo necesita el número de teléfono para realizar la suscripción. La sofisticación del ataque también ha retrasado su descubrimiento de parte de las plataformas oficiales, según Zimperium.

Campaña de troyanos en Android

La compañía Threat Fabric, especializada en seguridad cibernética, compartió a finales de 2021 los resultados de una investigación sobre una serie de troyanos bancarios que ha estado disponible en Google Play Store, la tienda de aplicaciones de dispositivos Android. Los troyanos han sido instalados más de 300.000 veces en más de 15 países.

La investigación ha desvelado una campaña de droppers, un tipo de aplicación diseñada para instalar un malware en un equipo infectado, en este caso, un troyano bancario. El informe de Threat Fabric señala cuatro familias de malware: Anatsa, con más de 200.000 instalaciones; Alien, con más de 95.000 instalaciones; Hydra y Ermac, con más de 15.000 instalaciones.

Según explican los expertos de la compañía, los droopers son difíciles de detectar por los sistemas automáticos porque tienen una “huella maliciosa muy pequeña” y porque la instalación manual del troyano solo se realizaba en caso de que los ciberdelincuentes detrás de la app quisieran llegar a más víctimas en una región determinada.

Los droppers se hacían pasar por aplicaciones como lectores de códigos QR o de documentos PDF, o incluso de aplicaciones de actividad física. Estas falsas apps estaban disponibles en la tienda Google Play Store, en la que han pasado desapercibidas en parte por los cambios introducidos en la propia plataforma.

Dichos cambios se refieren a la limitación de los permisos, lo que ha llevado a los cibercriminales a evitar la instalación automática sin el consentimiento del usuario. Ahora las campañas se han vuelto más sofisticadas y han tenido que reducir la huella maliciosa desde el código para fundirse aún más entre el resto de aplicaciones legítimas.

*Con información de Europa Press.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023