Los datos biométricos son vistos, por ejemplo, por la Ley General de Protección de Datos (LGPD) de Brasil, como datos sensibles, y se exige que sean tratados con más discreción que los datos personales. En el caso de la biometría facial, estos datos tienen aún más información que puede presentar características étnicas, convicciones religiosas e incluso aspectos relacionados con la salud de las personas. La ley no estipula qué medios deben aplicarse para dicha protección de datos, sino que basa sus fundamentos en los pilares de la seguridad de la información, valorando su integridad, disponibilidad y confidencialidad, y las empresas deben aplicar todos los esfuerzos necesarios para lograr este objetivo.

“Asumiendo que los datos están adecuadamente protegidos y que todos los procesos están siendo seguidos por quienes almacenarán dichos datos, observando el funcionamiento de algunos de estos edificios y condominios en la ciudad de San Pable, Brasil, me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto”, comenta Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica.

Los tipos de control de acceso más comunes, son el acceso biométrico por reconocimiento facial, que como ejemplo, la LGPD de Brasil, establece que tales datos pueden ser tratados con normalidad si se cumplen una serie de requisitos, como el consentimiento explícito del interesado, así como el cumplimiento de una serie de obligaciones para proteger los datos. Si el titular se niega a proporcionar sus datos biométricos, las empresas responsables de la seguridad perimetral deberán ofrecer alternativas para el acceso del titular y sus invitados. Otras formas de control de acceso pueden ser a través de huellas dactilares, lectura de tarjetas de proximidad (NFC), PIN numéricos o, en los últimos casos, incluso el uso de una llave.

A la hora de conceder accesos, ya sea adoptando la biometría o alguna medida alternativa, desde ESET se recomienda analizar los mismos.

Posibles incidentes de seguridad que pueden presentarse

Incidentes de seguridad con el titular: Si la persona que tiene un derecho legítimo a entrar en el edificio se encuentra bajo algún tipo de coacción impuesta por terceros, los medios utilizados para autorizar esta entrada no suelen tener repercusión. Ya sea con reconocimiento biométrico facial, biometría de huellas dactilares, tarjeta, PIN o llave, la víctima será coaccionada para usarlo y el resultado sería básicamente el mismo. A su vez, los objetos utilizados para abrir puertas, como llaves y tarjetas, pueden perderse, ser robados o perforados, lo que puede tener impactos muy negativos en la seguridad.

Incidentes de seguridad en un entorno protegido por biometría: Este tipo de escenario es el más preocupante porque suelen tener un impacto alto, y pueden afectar a todos los que forman parte de este entorno.

Incidentes de seguridad en medios digitales, los directamente vinculadas a cuestiones relacionados con el acceso a la estructura, son:

• Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.
• Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recolectada de la víctima.
• Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea tanto el digital como el físico.
• Incidentes de seguridad en medios físicos: este tipo de incidentes tiene el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.

Mejores prácticas adoptadas para abordar de manera más adecuada la seguridad

Para usuarios:

• Asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegurarse de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar.

Para empresas:

• Proteger todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).
• Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.
• Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.
• Restringir el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten.

Para conocer más sobre este y otros temas relacionados con la seguridad informática visite el portal de ESET: https://www.welivesecurity.com/es/privacidad/son-seguros-controles-acceso-biometricos/

De interés: Científicos urgen medidas ante un calentamiento sin precedentes

DOBLE LLAVE

Con información e imágenes suministradas por ESET Latinoamérica y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

Rafael Núñez Aponte, presidente de MásQueDigital y especialista con muchos años de experiencia en cuanto a seguridad de la información en el ámbito empresarial venezolano, se refirió en su exposición a las ‘Amenazas de Hackers en 2023’, donde enumeró varios de los principales peligros, haciendo particular énfasis en los ataques ransomware, que son códigos maliciosos a través de los cuales delincuentes secuestran datos para posteriormente pedir rescate, y que, a su juicio, son y seguirán siendo el modus operandi principal.

Ransomware, el gran enemigo

Durante su ponencia, Rafael Núñez explicó que el ransomware seguirá siendo el ataque más usado porque apela a la vulnerabilidad tanto de personas como de equipos y sistemas, y se han sofisticado y evolucionado, ya que es muy fácil colarlos debido a la falta de protección.

El presidente de MásQueDigital destacó que Venezuela es un país muy vulnerable en materia de ciberseguridad porque los potenciales objetivos de ataques ransomware están desactualizados, especialmente las empresas, la banca y las instituciones del Estado.

En ese sentido, Núñez aseguró que es vital que toda empresa u organización actualice y optimice sus equipos, antivirus y sistemas, que cree respaldos, y que, más importante que todo, le dé el sitio que corresponde al tema de la ciberseguridad, creando un área dinámica y específica de seguridad de la información.

Asimismo, habló de la ingeniería social, que son técnicas que apelan al engaño cognitivo de las personas, y cómo los delincuentes informáticos se cuelan por allí para infiltrar instituciones de todo tipo a través de, por ejemplo, el phishing, que consiste en el envío de un correo electrónico o mensaje por parte de un atacante a un usuario simulando ser una entidad legítima con el objetivo de robarle datos, listas de contactos, información confidencial, dinero, y otras cosas de valor tanto personal como estratégico organizacional.

También comentó sobre otras amenazas a tener en cuenta en 2023, como los ciberataques vinculados con terceros o los ‘deepface’ (modificación o sustitución de un rostro real por otro en una imagen o video), los cuales pueden tener consecuencias realmente negativas en la juventud cuando se usan, por ejemplo, para hacer acoso y chantaje.

Concientización, la mejor prevención

Rafael Núñez aprovechó la ocasión para hacer un llamado a priorizar la prevención en las empresas. En ese sentido, abogó por una mayor resiliencia organizacional, la homologación de servicios a nivel de ciberseguridad, la implementación de entornos descentralizados, así como por la creación de equipos de defensa tecnológica que estén atentos a las amenazas.

Finalmente, recomendó la activación y uso de la autenticación multifactorial y la verificación en dos pasos en todos los equipos y sistemas, pues esta simple acción les dificulta mucho el trabajo a los delincuentes informáticos y fomenta la seguridad de la información, término que el experto define como un triángulo compuesto por la gestión, la tecnología y la concientización.

Resiliencia y transformación digital

En el Conversatorio ‘Desafíos Tecnológicos 2023’ de la BritCham hubo otras interesantes intervencionnes de expertos, como Edwin Orrico (PwC), quien presentó la ponencia ‘Resiliencia y Ciberseguridad’; Laszlo Beke (Beke Santos), que encabezó la charla ‘Trabajo Moderno, una ruta hacia la Transformación Digital’; y Carlos López Rodríguez (ESET Venezuela), quien habló de ‘Confianza y Nueva Normalidad’.

Orrico expuso la enorme importancia que tiene la ciberseguridad en el entorno comercial en general, sea este grande o pequeño, pues todo el sistema trabaja en base a la tecnología. A modo de ejemplo, mencionó que hasta los kioscos dependen de la tecnología pues sus propietarios mueven contactos, clientes y transacciones vía celular.

Así las cosas, explicó que un entorno tecnológico obliga a tomar medidas de ciberseguridad y, por ende, a aplicar lo que llamó la ‘ciberresiliencia’, un subconjunto de la seguridad de la información fundamental para los negocios pues los ataques informáticos siguen siendo una constante en la ecuación.

Beke, por su parte, habló de cómo la sociedad tuvo que adaptarse a la nueva normalidad surgida a raíz de la pandemia, la cual trajo consigo la consolidación de un ámbito laboral prácticamente digitalizado y online, y que, a su juicio, debe ser arropado y fomentado por las directivas pues hacia allá apunta el futuro.

Para lograr que el trabajo moderno se establezca, el experto comentó que tiene que haber mucha gestión del cambio enfocada al ser humano, el cual debe asumir las nuevas prácticas digitales hasta que se conviertan en hábitos y, eventualmente, en una norma que ya se sabe es mucho más productiva y eficiente.

Todo eso pasa por que se dé el cambio de perfil de los profesionales, quienes a su vez deben entrar en un constante proceso de aprendizaje para evolucionar a la par de lo que lo hace la tecnología.

Finalmente López Rodríguez ahondó un poco sobre esta nueva normalidad que vive el mundo actualmente tras la crisis sanitaria, aunque haciendo énfasis en la prevención y al hecho de que, mientras más tecnológico sea el contexto, más vulnerable se está debido a las amenazas mencionadas por Núñez en su intervención.

Esa prevención, detalló, debe darse en todos los frentes. Usuarios, familiares, amigos. Porque no son solo las organizaciones y empresas las que son amenazadas. De hecho, el individuo es un vector de la cadena de ataque, pues se suele apuntar al blanco pequeño para, a través de él, llegar a los más grandes.

Cerró diciendo que, debido al auge del trabajo remoto (y por ende el manejo de información y datos sensibles), lo ideal sería construir una infraestructura hogareña segura.

DOBLE LLAVE /

Grupo de Comunicación Digital EL SUMARIO

Con información de BritCham, cobertura directa y prensa especializada