UD3.

RGPD
SEGURIDAD INFORMÁTICA, 2º CFGM SMR
CUMPLIMIENTO
LOPD
Reglamento General de Protección de Datos
Regulación

Aplicación de la ley

Datos personales
QUE
5. RGPD y ciberseguridad
VAMOS A
VER?!
Ingeniería social
Alcance de la RGPD
Base legal para el Tratamiento

Los datos solo se pueden tratar si existe al menos una base legal para hacerlo:
✓ El interesado ha dado su consentimiento para el tratamiento de sus datos personales con uno o más
propósitos específicos.
✓ El tratamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar
medidas a petición del interesado antes de celebrar un contrato.
✓ El tratamiento es necesario para cumplir con una obligación legal a la cual el controlador está sujeto.
✓ El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
✓ El tratamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el
ejercicio de la autoridad oficial conferida al controlador.
✓ El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable o por
un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades
fundamentales del interesado que requieren protección de datos personales, en particular cuando el
interesado es un niño.
Principio de Consentimiento

Cuando el consentimiento se utiliza como la base legal para el tratamiento, el consentimiento debe ser explícito para los
datos recopilados y los fines para los que se utilizan los datos.
El consentimiento para niños debe ser otorgado por el padre o tutor del niño, y ser verificable.
Los controladores de datos deben poder probar el "consentimiento" (opt-in) y el consentimiento puede ser retirado.
La cuestión del consentimiento de RGPD tiene una serie de implicaciones para las empresas que graban llamadas en la
práctica. Las típicos avisos del tipo "esta llamada está siendo grabada por motivos de seguridad" ya no serán suficientes
para obtener el consentimiento asumido para grabar llamadas. Además, cuando la grabación haya comenzado, si la persona
que es grabada retira su consentimiento, entonces el agente que recibe la llamada debe ser capaz de detener una
grabación previamente iniciada y asegurarse de que la grabación no se guarde.
 Derechos fundamentales de los interesados
Para ayudar a los interesados a asegurar la protección y la privacidad de sus datos personales, el RGPD otorga varios
derechos a los interesados. Mediante estos derechos, los interesados pueden realizar una solicitud específica y tener la
seguridad de que los datos personales no se utilizan de forma incorrecta para fines que no sean el objetivo legítimo del
propósito para el que se proporcionaron originalmente.
Derecho de información

Derecho de acceso

Derecho de rectificación

Derecho de retirar el consentimiento

Derecho de oposición

Derecho de oposición al tratamiento automático

Derecho al olvido

Derecho a la portabilidad de datos

 RGPD y ciberseguridad (I)
Para poder demostrar el cumplimiento con el RGPD, el controlador de datos debe implementar medidas
que cumplan con los principios de protección de datos por diseño y protección de datos por defecto. La
privacidad por diseño y por defecto requiere que las medidas de protección de datos estén diseñadas
para el desarrollo de procesos comerciales para productos y servicios (ciclo de vida de la seguridad
alineada con el ciclo de vida del sistema y de la información). Para ello se debe realizar un Privacy Impact
Assessment o Análisis de Impacto de la Privacidad, que determinará las amenazas existentes para esos
datos y su nivel de impacto y probabilidad, lo que determinará las salvaguardas necesarias. El reglamento
además establece diferentes criticidades de acuerdo al tipo de información gestionada (por ejemplo, los
datos de salud, creencias u orientación sexual son de los más elevados) y el número de registros
gestionados (impacto por volumen).
Cuando el tratamiento lo lleve a cabo una autoridad pública o cuando, en el sector privado, el tratamiento
lo lleva a cabo un controlador cuyas actividades centrales consisten en operaciones de tratamiento que
requieren regular y la supervisión sistemática de los interesados, una persona con conocimiento experto
de la legislación y prácticas de protección de datos debería ayudar al controlador o procesador a
supervisar el cumplimiento interno de este Reglamento, el DPO.
 RGPD y ciberseguridad (II)
La seudonimización de datos, según RGPD, es el tratamiento de datos personales de manera tal que ya
no pueden atribuirse a un interesado sin utilizar información adicional. Dicha información adicional tiene
que figurar por separado y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los
datos personales no se atribuyan a una persona física identificada o identificable. Esto se puede lograr
mediante el uso de cifrado, enmascaramiento o tokenización.
Por último, pero no menos importante, la RGPD incluye la obligación de gestionar los incidentes que
afecten a los datos personales, a la vez que obliga a notificar a la agencia estatal correspondiente (AEPD
en el caso de España) determinadas brechas:
✓ Si la brecha de seguridad puede causar daños emocionales, físico y/o financieros.
✓ Si el volumen o la naturaleza de los datos así lo exige.
✓ Si se trata de datos sensibles.
Esta notificación se debe realizar a más tardar 72 horas después de haber tenido constancia del incidente
(a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y
las libertades de las personas físicas). Cuando sea probable que la violación de la seguridad de los datos
personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento la comunicará al interesado sin dilación (en lenguaje claro y sencillo).
 Análisis de Impacto en la Privacidad (PIA)
El RGPD prevé que las Evaluaciones de Impacto se lleven a
cabo “antes del tratamiento” en los casos en que sea
probable que exista un alto riesgo para los derechos y
libertades de los afectados. Ello implica que el mandato del
Reglamento no se extiende a las operaciones de
tratamiento que ya estén en curso en el momento en que
comience a ser de aplicación. Se debe disponer de una
metodología que permita resultados homogéneos y se
debe incluir al menos:
• Una descripción sistemática de la actividad de
tratamiento previstas.
• Una evaluación de la necesidad y proporcionalidad del
tratamiento respecto a su finalidad.
• Una evaluación de los riesgos.
• Las medidas previstas para afrontar los riesgos,
incluidas garantías, medidas de seguridad y
mecanismos que garanticen la protección de datos
personales.
Ingenieria social
▪ https://youtu.be/dp6bF3DPvN4 (fraude por comportamiento)

La ingeniería social basa su

comportamiento en una premisa básica: es
más fácil manejar a las personas que a las
máquinas.
▪ https://hackend.incibe.es/ (juego)
▪
https://www.youtube.com/watch?v=OqdCcwGaV6A
Osint

El término OSINT (Open Source Intelligence) comenzó

a utilizarse allá por el año 1941 en Estados Unidos, con
la organización FBIS (Foreign Broadcast Information
Service).

▪ https://www.youtube.com/watch?v=bcJ_TEQtORE&t=103s
 OSINT consiste en:
● Aprovechar la enorme cantidad de información
que hay disponible a través de fuentes abiertas.
● Seleccionar la que te interesa.
● Procesarla y analizarla.
● Plasmarla en un documento.
● Extraer conclusiones a raíz de la información.
 Para quién es útil OSINT

Policías y miembros del ejército

Detectives
Escritores

Periodistas
¿Qué son fuentes
abiertas?
Cualquier información sin cifrar y que sea de dominion publico.
Pero: ¿información para qué?
▪ Para obtener respuestas a través de cualquier motor de búsqueda (Google,
Yahoo, etc.).
▪ Acelerar el proceso de una investigación.
▪ Documentarte sobre un tema específico.
▪ Preparar un caso (si eres policía o detective).
▪ Mejorar la ciberseguridad.
▪ Buscar a una persona en concreto.
▪ Seguir el rastro de operaciones de una empresa.
▪ Etc.
Piensa que con la información correcta en tus manos
puedes desempeñar mejor cualquier tarea, extraer
conclusiones más acertadas acerca de cualquier tema
o tomar decisiones basadas en certezas.
Pros
▪ Implica menos riesgos
▪ Es más rentable
▪ Facilidad de acceso
▪ Actualización constante de la información
▪ Muy útil para cualquier tipo de investigación
▪ Te ayuda a actuar a tiempo:
Contras
▪ Exceso de información poco clara

▪ Fuentes poco fiables

Esta metodología de
investigación te ayuda para ….
▪ Identificación y prevención de posibles amenazas en el ámbito militar o de la
seguridad nacional.
▪ Búsqueda y seguimiento de personas.
▪ Conocer la reputación online de un usuario o empresa.
▪ Realizar estudios sociológicos, psicológicos, lingüísticos, etc.
▪ Auditorías de empresas y diferentes organismos con el fin de evaluar el nivel de
privacidad y ciberseguridad.
▪ Evaluar tendencias de mercados.
▪ Documentación periodística.
▪ Análisis de mercado para el lanzamiento de campañas de marketing
trabajo lento y minucioso
creer que ya lo sabe todo
sobre Internet. (error)
LLEVAR A CABO INVESTIGACIONES DE ÉXITO
 La Surface Web o Web Superficial es la Internet fácilmente
accesible. La que usamos habitualmente para leer las noticias,
reservar un viaje, o hacer gestiones bancarias

La Web Superficial está

compuesta por poco más del
5% del total de Internet

SURFACE WEB (O WEB SUPERFICIAL)

El iceberg
Deep Web (o Internet Profunda)
 Emails:
Contenido dinámico
Contenido de acceso restringido
Archivos y documentos
Redes internas
Paginas no enlazadas

Deep Web (o Internet Profunda)

Deep Web (o Internet Profunda)
TOR BROWSER https://www.torproject.org/es/
Resumen

▪ Osint
▪ maltego
Resumen
GRACIAS!