En la actualidad, todos estamos acostumbrados a realizar compras a través de internet, pero en el periodo navideño en el que nos encontramos éstas se incrementan. Debido a lo anterior, es importante que seamos conscientes de que cuando tenemos un negocio online (e-commerce) estamos expuestos a sufrir ataques y violaciones de seguridad mediante nuestros sistemas informáticos.

Actualmente, la figura del ciberdelincuente, entendido como: aquella persona experta en alguna rama tecnológica que accede a un sistema informático o a informaciones ubicadas en dicho sistema o en la red de comunicaciones, no es desconocida para nadie.

Si bien es cierto que existen muchos más delitos, ataques y violaciones informáticas a las que nuestro negocio online puede estar expuesto, en el presente artículo nos vamos a centrar en el denominado E-Skimming.

Pero ¿qué es el E-Skimming?

El objetivo de los ciberdelincuentes con esta técnica no es otro que conseguir información tanto bancaria como personal de tiendas online legítimas, de tal manera que una vez que consiguen dicha información pasarán o bien a venderla en el mercado negro, o bien a utilizarla en su propio beneficio.

¿Cómo se produce el E-Skimming?

Lo primero que necesitan los ciberdelincuentes es poder acceder a la tienda online, para lo cual se aprovechan de las propias vulnerabilidades del gestor de contenidos, como puede ser el no tener una contraseña lo suficientemente robusta o no contar con las últimas actualizaciones de los sistemas utilizados, o a través de las ya más que conocidas campañas phishing. Una vez que se ha conseguido tener acceso a la tienda online, realizan las modificaciones necesarias de tal manera que cuando el cliente final realiza una compra e introduce sus datos, estos se visualicen tanto por el banco, como por el ciberdelincuente.

Este tipo de técnica afecta tanto a los comercios online que tienen la pasarela de pago integrada en su tienda, como a los que trabajan a través de la pasarela de pago de un tercero. La diferencia principal es que, en el primero de los supuestos, la información personal y bancaria de los clientes es gestionada internamente por el responsable de la tienda online, en el segundo de los supuestos, aunque la información bancaria no es gestionada directamente por el responsable, los datos de carácter personal pueden ser robados igualmente.  

¿Cómo podemos evitar o minimizar los riesgos de sufrir un ataque e-Skimming?

Publicado en Blog

Cuando hablamos de privacidad de un individuo hemos de partir de la base de estar ante un derecho reconocido en la Constitución Española (en adelante CE), concretamente en el artículo 18 y que le atribuye a este la potestad de mantener su intimidad fuera del control de terceros, asegurándose la no divulgación de aquellos aspectos privados e íntimos de su vida. A ojos del presente artículo no podemos dejar de lado la referencia a una de las esferas que configuran esta privacidad y que, con el avance de las nuevas tecnologías ha asumido una importancia exponencial: la privacidad digital. Y es que, desgraciadamente, la falta de la misma en el entorno web, es una realidad que ya está moldeando nuestras vidas.

Es un hecho. El usuario se ha convertido protagonista del llamado Internet Social, es él quién aporta sus contenidos, suministra información y decide qué comparte con terceros. Se configura así el llamado derecho a la intimidad digital, entendiendo, por tal, aquel del que disponen los interesados en lo que respecta a la salvaguarda de sus datos privados en el ámbito de las nuevas tecnologías de la información, en especial, a la información que circula por Internet.

Pero ¿qué ocurre cuando este derecho es vulnerado por terceros como consecuencia de la publicación, sin nuestro consentimiento, de información que pertenece a nuestra esfera íntima y privada? Es en esta coyuntura en la que se encontró la joven víctima del conocido caso “La Manada” como consecuencia de la exposición web de datos de carácter personal vinculados a su persona.

Entrando en materia, los hechos objeto de análisis en el presente artículo, fueron puestos en conocimiento de la Agencia Española de Protección de Datos (en adelante, AEPD) en mayo de 2018 mediante una reclamación en la que se indicaba la difusión de los posibles datos personales de la joven en foros abiertos de Internet. Ante tal información, la AEPD comienza las pertinentes labores de investigación que tienen como resultado, la incoación, contra el medio de prensa digital, “La Tribuna de Cartagena”, de un procedimiento sancionador (PS/00139/2019) como consecuencia de la publicación de un artículo en el que se detallaban el nombre, apellidos, edad y universidad en la que estudiaba la joven y al que acompañaba una fotografía de la misma.

Estos hechos supondrían una infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99) que dispone que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Resulta necesario indicar que la AEPD fundamenta su decisión en la LOPD 15/99 porque los hechos acontecieron en un período en el que dicha normativa aún resultaba plenamente exigible. Aun así, a día de hoy, es por todos sabido que la LOPD 15/99 se encuentra ya derogada por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD); motivo por el cual, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido a ojos de la AEPD.

¿En qué fundamenta entonces la Agencia, la decisión emitida?

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal