Ciberseguridad. Cadena de suministro y confidencialidad.
Ciberseguridad. Cadena de suministro y confidencialidad. ¿Por qué no encontrarás publicado en nuestra web referencias a clientes o casos de éxito?
Por lo mismo que no te los daremos si nos los pides. Confidencialidad. Tampoco daremos los tuyos a nadie, por nuestra parte no se sabrá que hemos colaborado en algún proyecto o tenido algún contacto.
Probablemente esto nos penalice de cara a darnos a conocer, imagina una cita a ciegas en la que, con suerte, tienes alguna vaga referencia de con quién te vas a encontrar y poco más.
En RedHacking, empezamos a proteger tu información incluso antes de establecer una relación comercial. Así queremos ganarnos vuestra confianza.
La cadena de suministro.
Últimamente, se habla mucho acerca de proteger la cadena de suministro, sobre todo desde que se ha demostrado que puede ser una vía de entrada a un ciberataque incluso para grandes compañías de ciberseguridad.
Tan frecuentes son éstos ataques, que el ISMS Forum publicó conjuntamente con diferentes organismos (DSN, CCN, CNPIC, INCIBE y CESICAT), una guía para la gestión de Crisis por Ciberincidente en la cadena de suministro.
El término confidencialidad, aparece como una de las dimensiones principales en cualquier normativa de seguridad de la información. ISO27001, ENS, etc..
Sin embargo, nos encontramos con multitud de empresas tecnológicas, certificadas en estas normativas y con gran conocimiento del riesgo que supone la sobreexposición de información, sucumbiendo a las técnicas de marketing tradicionales.
Es de sobra conocido que, en la actualidad, la gran mayoría de los ataques proceden de un correo electrónico malicioso (phishing), cada vez más creíble, suplantando un origen conocido, incluso esperado.
Cuanto menos sepan los ciberdelincuentes sobre una relación comercial más difícil se lo pondremos, así que, si en vuestros catálogos, redes sociales o páginas web estáis alimentando esta sobreexposición de información, estáis incrementando el nivel de riesgo y exposición ante un ciberataque.
Confidencialidad y confianza vs sobreexposición de información y riesgo.
Los tiempos cambian, las maneras de hacer marketing y venta también han de hacerlo.
De acuerdo , eres consciente de que tu infraestructura de IT es vulnerable y estás buscando información que te ayude a blindar el acceso a tu infraestructura. Te vamos a proponer un decálogo básico de ciberseguridad IT, puedes utilizarlo como guía.
El orden de actuación dependerá del estado actual en el que te encuentres. Si necesitas ayuda quizás te interese nuestro servicio de CISO Virtual
1. Gestión de usuarios y contraseñas
No utilices usuarios genéricos o perderás el control y la trazabilidad.
Utiliza nomenclaturas diferentes para el nombre del usuario y su correo electrónico.
Política de cero privilegios tanto para usuarios normales como para los usuarios de TI.
Utiliza usuarios administradores nominales (sólo cuando se requieran privilegios de administrador), no utilices (desactiva) el usuario administrador por defecto.
Si es posible, configura el control horario a tus cuentas de usuario. No es necesario que estén activos por la noche o el fin de semana si no trabajan.
Pon especial cuidado con las cuentas privilegiadas que utilizas para servicios como backup, etc. Utiliza en su lugar cuentas de servicio administradas (MSA)
Elimina aquellas cuentas de usuario que ya no estén activas. Actualiza tu base de datos de usuarios.
Aplica una política de contraseñas robusta, con complejidad y caducidad. No caigas en el típico discurso de que hay que ponérselo fácil a los usuarios, o se lo estarás poniendo fácil a los ciberdelincuentes. Utiliza si es necesario un gestor de contraseñas.
Bloquea la sesión del usuario y levanta una alerta cuando éstos fallen más de n veces al abrir sesión. Ajusta ese valor a las necesidades de tu empresa, pero que no sea un valor elevado.
Utiliza doble factor en las aplicaciones críticas (el correo lo es). Exige a tus proveedores de software que lo implementen.
2. Segmentación de red.
Aísla tus ordenadores obsoletos (legacy). Utiliza el firewall para controlar el origen y el destino a ésta red, aplica políticas.
Tu directorio activo ha de estar protegido, aislado en una VLAN controlada con políticas de firewall que permitan el acceso sólo a lo mínimamente necesario.
Tus usuarios de TI también deberán estar en una VLAN diferenciada.
Los servidores deberán estar también aislados en una o más VLAN. Se permitirá sólo la entrada y salida de aquellos protocolos necesarios, tanto para usuarios normales como administradores.
Los servidores publicados a Internet deben estar en una VLAN (DMZ) dedicada. Siempre que sea posible se accederá a ellos para su administración utilizando una VPN. La autenticación a los servicios publicados deberá incorporar siempre un doble factor, nunca sólo usuario y contraseña.
3. Seguridad perimetral y de punto de trabajo.
Habla con tus proveedores, haz que tus dispositivos de seguridad saquen humo. No vale con que hagan mínimamente su trabajo. Que configuren todo aquello que se pueda configurar. Es habitual que se haga una configuración inicial y no se evolucione con el tiempo.
Utiliza el cifrado no sólo en la capa de transporte, también en la de almacenamiento. Cifra los discos, tanto en servidores como estaciones de trabajo.
4. Parchea tus dispositivos.
Los ciberdelincuentes utilizan sistemas no actualizados como puerta de entrada y posterior persistencia a nuestros sistemas. Parchea..
5. Copias de seguridad.
Finalmente es lo que te salvará la vida. Haz tantas como puedas, pero con criterio. Uno válido es utilizar el sistema 3-2-1. Tres copias de seguridad, en dos soportes diferentes y uno en un lugar físico diferenciado y no accesible a ser borrado por un malware o ciberdelincuente. Puedes leer el siguiente documento de Incibe.
6. Proveedores.
Exige a tus proveedores garantías de seguridad y audítalos. Estás en tu derecho. Aplica SLA’s en los contratos.
7. Monitorización.
No puedes controlar aquello que no ves. Registra los eventos de seguridad de tus dispositivos en un repositorio controlado, a ser posible fuera de la red. Dále inteligencia, utiliza un SIEM, no todos son impagables, algunos incluso muy baratos.
Amplia el nivel de información de tus logs de seguridad.
Levanta alarmas de aquellas actividades que puedan ser anómalas, procesos no controlados.
¿ Has pedido presupuesto y las soluciones tradicionales de SIEM te parecen caras ? Pídenos información de nuestro servicio de Security Watcher . Te aseguramos que si no monitorizas la seguridad de tu infraestructura no será por el precio del servicio.
8. Auditorías de seguridad. Hacking ético.
Encarga auditorías de seguridad periódicamente. Gestión, supervisión y mejora continua de la seguridad TI. Pregúntanos
9. Plan de contingencia.
Ten previsto el desastre, porque a pesar de tomar medidas éste puede ocurrir. Piensa cómo actuarás si tu sistema informático deja de estar disponible durante el tiempo que tardarás en remontarlo. Trabaja un plan de contingencia y recuperación de desastres.
10. Conciencia y forma a tus empleados.
Ellos son la última línea de defensa y no por ello la que ha de estar menos preparada. Prepararlos es vital para que sepan reaccionar en caso de que la seguridad perimetral haya sido sobrepasada.
Como nota final, toma ésto sólo como un guion inicial, la ciberseguridad es un camino que se empieza y nunca se termina. El objetivo de éste documento es sólo tener una referencia, un Decálogo básico de ciberseguridad IT.
Normas para la protección de datos dentro de las empresas
RGPD, ISO 27001, ENS. ¿Por dónde empezar?
En la actualidad existen diferentes normas para la protección de datos dentro de las empresas que poseen las herramientas necesarias para brindar seguridad y garantizar el respaldo de la información en caso de ciberataques o intentos de robos de información.
Cada empresa debe ser responsable de gestionar y establecer las medidas necesarias que garanticen la protección de datos más sensibles utilizando los sistemas de gestión en ciberseguridad y manteniendo sus redes y dispositivos protegidos.
Reglamento General de Protección de Datos (RPGD)
Como una herramienta inicial para la protección de datos encontramos el Reglamento General de Protección de Datos (RGPD) que se encarga de unificar toda la reglamentación necesaria sobre el control de datos de los ciudadanos y cada una de las organizaciones que los utilizan.
Este reglamento es la base que regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea (UE).
El RGPD solicita los consentimientos para tratamiento de datos, informa sobre el deber y derechos de los interesados, evalúa el impacto que se dará a los datos recolectados, comunica los fallos dentro de la organización a la autoridad competente, y aplica las medidas de seguridad pertinentes.
Adicionalmente a este reglamento se encuentran las normas ISO 27001 y el Esquema Nacional de Seguridad (ENS), que de forma conjunta logran establecer un escudo de protección dentro de cualquier organización; creando los protocolos necesarios para bloquear posibles ciberataques o violaciones del tratamiento de datos que alguna organización realice a los datos suministrados por terceros.
¿Qué proporciona la ISO 27001: Seguridad de la Información?
Esta norma válida y encuentra los fallos tecnológicos dentro de la organización y permite crear los procedimientos necesarios para la revisión y cierre en los siguientes aspectos:
Seguridad de los equipos.
Copias de seguridad.
Intercambio de información.
Control de acceso a la red.
Seguridad en ordenadores portátiles y comunicaciones móviles.
Seguridad en Teletrabajo.
Gestión de claves.
Protección de datos y privacidad de la información de carácter personal.
También, ayudando a adaptarse a las diferentes normativas específicas a cumplir y a gestionar los riesgos de seguridad de la información y establecer el plan de tratamiento adecuado.
Con la implantación de la norma ISO 27001 se permite crear un sistema de gestión de Seguridad de la información como una herramienta indispensable para proteger a las empresas y organizaciones de las amenazas y riesgos contra la información y también, la minimización de las posibles consecuencias de alguna de las amenazas detectadas.
ISO 27001 es una norma que mantiene la información propia de la empresa, de los clientes y de los proveedores controlada y protegida de cualquier intrusión y posible ciberpirata o ciberatacante. El acompañamiento de un experto en la implantación de esta norma, como lo es el Grupo Ingertec permite garantizar el cumplimiento de todos los requisitos y así, obtener el certificado de forma garantizada.
¿Qué proporciona el ENS?
El Esquema Nacional de Seguridad es una recopilación de información sobre las políticas que la empresa realiza o realizará para la protección de datos con el uso de medios electrónicos.
Es de obligado cumplimiento para todos los Sistemas de Información de las Administraciones Públicas, tanto a los operados directamente por el personal de las AA.PP como por terceros que desarrollen servicios para éstas.
Este esquema estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información, teniendo presentes todos los medios digitales que se utilicen dentro de la organización.
Según Ingertec – empresa consultora y con amplia experiencia en la implantación del Esquema Nacional de Seguridad, los principales objetivos del ENS son:
Crear las condiciones necesarias para garantizar la seguridad en el uso de medios electrónicos; entre los cuales deben estar los sistemas, los datos, las comunicaciones y cualquier servicio electrónico prestado por la entidad.
Favorecer toda gestión de seguridad en el uso de medios electrónicos; así como la utilización de los servicios digitales seguros de la organización.
Promover la detección y corrección de cualquier error o problemática dentro de posibles ciberamenazas o ataques cibernéticos.
Fomentar el tratamiento homogéneo de la seguridad para facilitar la prestación de servicios públicos digitales cuando se realiza con diversas entidades.
Siguiendo estas normas para la protección de datos dentro de las empresas convertirse en un modelo de buenas prácticas en conformidad con las políticas de seguridad en la información y del uso de medios electrónicos, detectando cualquier vulnerabilidad y monitorizando la entrada de cualquier visitante indeseado.
Desde RedHacking brindamos toda nuestra experiencia en test de Intrusión que permite a los auditores simular un ataque desde cualquier punto de la empresa y detectar esos puntos vulnerables. Brindamos toda nuestra experiencia y servicio para ayudaros a detectar cuán vulnerables sois o a protegernos de ellos.
Qué es y cómo protegernos de Emotet y sus secuaces.
No es nada nuevo, Emotet existe desde 2014, pero ha evolucionado de Troyano bancario a nave nodriza de otros malwares como Trickbot, Ryuk, etc. Antes de entender cómo hacer una prevención básica de éstos malwares intentemos saber cómo funcionan.
¿ Qué son Emotet, Trickbot y Ryuk ?
Si ya tienes claro su funcionamiento puedes saltar directamente a la sección de consejos y cómo protegerse de éstos malwares.
Por simplificar y como viene siendo habitual actualmente la infección comienza con la entrada de un correo electrónico, bien redactado, con el idioma esperado y con un origen conocido. Sí, los mensajes ya no son fácilmente detectables descartándolos por su incorrecta redacción o idioma origen. Adjunto al correo un archivo ofimático o un enlace al mismo para descargarlo de Internet.
Al abrir dicho archivo, en caso de que el usuario tenga activo el uso de macros, o lo active al solicitarlo la suite ofimática se ejecuta el código que se encargará de lanzar un proceso PowerShell que descargará de Internet Emotet a la carpeta del usuario.
Este malware buscará ser persistente y poder volver a ejecutarse en caso de reinicio del ordenador, para ello utiliza diferentes técnicas en función del contexto de seguridad del usuario. En caso de usuario administrador creará un servicio de Windows, en caso de usuario sin privilegios en su clave Run en el registro de Windows. A partir de aquí ja puede dedicarse a hacer sus maldades.
De manera primaria Emotet puede robar las credenciales que tengamos almacenadas en el navegador y en nuestros clientes de correo, propagarse por protocolo SMB y obtener de la memoria las credenciales, robar contactos de la libreta de Outlook o enviar SPAM desde el propio equipo.
No se queda sólo ahí, sino que como hemos dicho hace de lanzadera de otros malwares. Controlados desde un Command and Control externo puede desplegar diferentes códigos en función de los intereses de los ciberdelincuentes, por ejemplo Trickbot.
Una vez descargado Trickbot no depende para nada de Emotet, tiene sus propios mecanismos de propagación y persistencia, así como de despliegue de otros códigos como por ejemplo:
Empleando el exploit EternalBlue. Propagación por SMB y aumento de privilegios
Extracción de credenciales de acceso remoto RDP
Obtención de información interesante.
Y como no hay dos sin tres, las últimas campañas de estos dos elementos (Emotet y Trickbot) han sido creadas con el objetivo principal de cifrar toda aquella información que bajo el contexto del usuario y sus posibles movimientos laterales y elevación de privilegios haya podido encontrar, gracias al ransomwareRyuk.
Dicho ésto y teniendo una ligera idea de cómo funciona el despliegue de estos programas, vamos a ver por dónde empezar a protegernos.
¿Cómo protegernos de ellos ?
La primera línea de defensa será evidentemente intentar protegernos de la entrada y/o ejecución de éstos correos electrónicos.
Partamos de la base de que nuestra empresa dispone de una solución Antivirus/AntiSpam de correo electrónico.
El correo debería entrar siempre a través de nuestra pasarela o solución antivirus/antispam/sandbox. El criterio y orden a seguir en los siguientes filtros dependerá de ésta.
Detección tradicional de antivirus, poner en cuarentena los correos sospechosos de estar infectados, detectando patrones o firmas conocidas.
Bloquear los enlaces sospechosos conocidos, utilizando repositorios como el de URLhaus u otros propios. (Cuidado con los falsos positivos).
Interceptar y poner en cuarentena los correos electrónicos con documentos adjuntos que requieran el uso de macros.
Intentar contener los correos sospechosos en un entorno controlado, Sandbox, si nuestra empresa dispone de él. Cualquier apertura o ejecución debería hacerse primero en éste entorno antes de enviarse al usuario.
Superadas estas barreras el usuario debería recibir el correo electrónico informando en caso de sospecha o detección de malware o directamente el original en su bandeja de entrada, tras lo cual la última línea sería el antivirus de punto de trabajo (endpoint). Personalmente en éste último caso me gusta confiar en un endpoint de distinto fabricante al que proporciona la seguridad perimetral, por si a uno se le escapa una detección confiar en que otro la detectará.. Pero para gustos, los colores
La segunda línea de defensa será la fortificación (hardening) de los sistemas operativos, ofimáticos, etc. Pero, por dónde empezar ?
Para prevenir estos ataques deberemos controlar la ejecución del código no deseado (macros) en el centro de confianza de Microsoft Word. En un entorno empresarial y para facilitarnos la vida emplearemos políticas de grupo (GPO). A través de ellas podremos hacer excepciones que permitan la ejecución de macros en zonas de confianza (siempre que sea estrictamente necesario).
Evidentemente seguir la recomendación de siempre, parchear los sistemas. No insistiremos en éste aspecto por lo obvio del mensaje. Ante todo instalar las actualizaciones que protejan de ataques como EternalBlue o BlueKeep.
Evitar la ejecución de PowerShell o cmd.exe siempre que sea posible. Suena muy drástico pero es necesario.
Segmentar la red. Tampoco abundaremos en ello pero está claro que la contención de un posible incidente empieza por tener una red bien segmentada y monitorizada.
Podéis encontrar mucha información relativa a éstos programas dañinos, no nos queremos extender más y una imagen vale más que mil palabras, desde el CCN-CERT lo explican de ésta manera tan gráfica.
Por cierto, el contenido de éste mensaje está extraído en parte del documento que a tal efecto ha elaborado el mismo organismo CCN CERT y que podéis descargar en :
En resumen, la prevención y monitorización nos ayudarán a poner difícil la entrada a éstos visitantes indeseados. Cualquier ayuda que os podamos prestar desde RedHacking ya sabéis dónde encontrarnos. Podemos ayudaros a detectar cuán vulnerables sóis o a protegeros de ellos.
“Ah, claro! Tú estás seguro! Tienes antivirus y Firewall! Incluso compruebas de vez en cuando la integridad de las Copias de Seguridad” [ironía on]
A todo eso, el Pepito grillo de tu interior repite una y otra vez: ¿Y por qué no a mí? A otros como yo les ha pasado y también tenían antivirus, Firewall y Copias de Seguridad. ¿Cómo puede ser que les hayan cifrado la información?
Todos conocemos las prioridades, el día a día y las
limitaciones económicas de nuestra empresa. Esto nos hace procrastinar gran
parte de las tareas y estrategias que podrían reducir los riesgos relacionados
con la seguridad de la información.
Haciendo un paralelismo con la salud humana, aparte de prevenir problemas de salud
(haciendo deporte, comiendo de forma saludable, adquiriendo buenos hábitos
posturales…), periódicamente nos
realizamos chequeos (revisiones médicas, analíticas…) para tener la certeza
de que nuestro sistema “humano” funciona como es debido.
En el
planteamiento de la seguridad como
proceso de mejora continuo, se establecen también esas tareas preventivas (sistemas operativos
y antivirus actualizados, firewalls perimetrales…) así como auditorias de
seguridad que nos permitirán chequear el estado de salud de nuestro sistema de
información, dándonos la oportunidad de detectar puntos débiles y permitiéndonos priorizar
su mitigaciónsegún convenga.
Desde RedHacking os acompañamos en este proceso de mejora
de la seguridad. Identificamos, valoramos y buscamos la mejor solución para la
seguridad de los datos de tu infraestructura.
Consulta nuestro catálogo de servicios (Servicios de Hacking
Ético), elije el que mejor se
ajuste al momento y realidad de tu empresa y confía en la experiencia del
RedTeam.
Que nuestra privacidad se pierde al empezar a «disfrutar» de las nuevas tecnologías es sabido por todos. Que (queramos o no) nuestros datos son accesibles por nuestros proveedores de tecnología (Google, Apple, Microsoft, Facebook, etc. ) y lo que es peor utilizados con fines que escapan de nuestro control también lo sabemos.
¿ Quién no ha hecho una búsqueda en Google Chrome en alguna ocasión y al cabo del rato es bombardeado con información relativa a esa búsqueda en otras plataformas ?
¿ Quién no ha creído que sin haber hecho una búsqueda explícita ha sido igualmente bombardeado con productos o destinos de los que estaba simplemente hablando en una conversación en la que supuestamente la tecnología no estaba siendo usada ?
Es cierto que las condiciones de uso y política de privacidad que pretenden que un usuario de a pie lea habitualmente indican que los datos pueden ser utilizados. Es una cuestión de confianza o de abuso de ella ?
Pero, realmente, ¿ qué información estamos compartiendo ? En éste primer artículo mostraremos sólo la información qué sabiéndolo o no estamos compartiendo. En la siguiente entrada hablaremos de cómo privatizar o al menos intentarlo nuestros datos.
Si usa nuestros servicios para realizar y recibir llamadas o enviar y recibir mensajes, es posible que recopilemos información de registro de telefonía, como su número de teléfono, el número de teléfono de quienes lo llaman o a quienes usted llama, los números de desvío, los datos de enrutamiento, las categorías a las que pertenecen las llamadas y su hora, fecha y duración.
Cuando usa nuestros servicios, recopilamos información sobre su ubicación, lo que nos permite ofrecer ciertas funciones, como rutas en auto para su escapada de fin de semana u horarios de películas que estén pasando cerca de usted.
Podemos determinar su ubicación con diferentes niveles de precisión a través de los siguientes medios:
En algunas circunstancias, Google también recopila información sobre usted de fuentes disponibles públicamente. Por ejemplo, si su nombre aparece en los periódicos locales, es posible que el motor de Búsqueda de Google indexe ese artículo y lo muestre a otras personas si buscan su nombre. Probablemente recopilemos información sobre usted de socios de confianza, como socios de marketing que nos proporcionan información sobre clientes potenciales de nuestros servicios comerciales y socios de seguridad que nos proporcionan información como medio de protección contra el abuso. También recibimos información de anunciantes para ofrecer sus servicios de publicidad e investigación.
Aunque no tengamos nada que ocultar, ¿ de verdad queremos dejar en manos de terceros nuestra privacidad ?
Política de cookies
Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Leer másACEPTAR
Cookies Policy
Declaración de privacidad
www.redhacking.com (en adelante la Web) es propiedad de SOPORTEVIRTUAL SL (en adelante el Titular)
En cumplimiento a lo dispuesto en el Reglamento General de Protección de Datos de la UE (RGPD) se realiza la declaración siguiente:
¿Quién és el responsible de tratamieto de sus datos?
Empresa: SOPORTEVIRTUAL SL
Dirección postal: C/ Escala 17, Cerdanyola del Vallés, 08290, Barcelona
Se informa al interesado que el Titular ha nombrado un Delegado de Protección de Datos ante el cual podrá poner de manifiesto cualquier cuestión relativa al tratamiento de sus datos personales. El interesado podrá contactar con el Delegado de Protección de Datos a través de la dirección electrónica privacy@soportevirtual.com.
¿Qué tipo de información personal recopila WWW.REDHACKING.COM?
La Web puede recopilar la siguiente información personal relacionada con el formulario de contacto disponible en el sitio y mediante el cual se recopilan los datos personales “Nombre”, “Correo-e” y "Teléfono".
¿Con qué finalidad tratamos los datos personales?
Los datos personales del interesado serán tratados con las siguientes finalidades según apliquen:
Gestionar y enviar la información solicitada a través del formulario web.
Envío de correos electrónicos comerciales o acción promocional: En el caso que se acepte explícitamente en el proceso de solicitud de información mediante el formulario web. Para gestionar las comunicaciones puede dirigirse a la dirección info@soportevirtual.com.
¿Por cuánto tiempo conservaremos los datos?
Estamos comprometidos con los principios de evitar y disminuir lo más posible la entrega de datos. Por lo tanto, almacenaremos sus datos personales solo el tiempo que sea necesario para:
Cumplir con los propósitos establecidos en esta Declaración de Privacidad, o
Cumplir con los períodos de conservación establecidos por ley.
Una vez que se ha cumplido el objetivo relevante o ha expirado el período de conservación, los datos relevantes serán bloqueados o eliminados.
Sus derechos en tanto que persona a la que se refieren los datos son:
Información sobre los datos que tenemos sobre usted, así como la gestión y uso de los mismos,
Rectificación de datos personales inexactos,
Eliminación de datos que tenemos sobre usted,
Restricción del uso de datos,
Objeción a la utilización de sus datos, y
Portabilidad de datos si ha otorgado su consentimiento para su utilización o ha celebrado un contrato con nosotros.
Si nos ha dado su consentimiento, puede retirarlo en cualquier momento con efecto futuro.
Puede hacer valer sus derechos en cualquier momento poniéndose en contacto con nuestro Responsable de Protección de Datos.
Los detalles para contactar se proporcionan a la cabecera de la declaración
Puede presentar una queja ante la autoridad de supervisión competente en cualquier momento: https://apdcat.gencat.cat.
Finalidad del tratamiento de datos por parte del responsable y terceros
Tratamos sus datos personales solo para los fines especificados en esta Declaración de Privacidad.No transferimos sus datos personales a terceros para fines distintos a los especificados.
Transmitiremos sus datos personales a terceros solo si:
Usted ha dado su consentimiento expreso
Es necesario para la ejecución de un contrato del que es parte,
Es necesario para cumplir con una obligación legal,
Es necesario para proteger intereses vitales, y no hay razón para creer que tiene un interés primordial y legítimo en que no sean comunicados.
Recopilación de información general cuando visita nuestro sitio web
Cuando visita nuestro sitio web, las cookies se utilizan para recopilar y almacenar información general. Esta información (archivos de registro del servidor) incluye detalles sobre su navegador web, sistema operativo, el nombre de dominio de su proveedor de servicios de Internet y otra información similar. Ninguna de esta información se puede utilizar para identificarle personalmente.
Esta información es necesaria por razones técnicas para permitir la entrega correcta del contenido del sitio web solicitado y se genera automáticamente cuando se utiliza Internet. Se procesa para los siguientes propósitos en particular:
Para garantizar una buena conexión al sitio web,
Para evitar problemas técnicos al usar nuestro sitio web,
Para evaluar la seguridad y estabilidad del sistema, y
Para otros fines administrativos.
De vez en cuando, podemos analizar estadísticamente información anónima de este tipo con el fin de optimizar nuestro sitio web y la tecnología subyacente.
Acceso a los archivos de registro de datos / servidor del proveedor del espacio web
El proveedor de espacio web recopila datos sobre cada acceso. Los datos de acceso incluyen: nombre de la página web recuperada, archivo, fecha y hora de recuperación, cantidad de datos transferidos, notificación de recuperación exitosa, tipo de navegador y versión, sistema operativo del usuario, URL de referencia (la página visitada anteriormente), dirección IP y el proveedor solicitante.
El proveedor utiliza los datos de registro solo para las evaluaciones estadísticas con el propósito de operación, seguridad y optimización del acceso. Sin embargo, el proveedor se reserva el derecho de revisar retrospectivamente los datos de registro si, sobre la base de pruebas concretas, existe la sospecha legítima de uso ilícito.
Formulario solicitud de información
Si se solicita información a través del formulario de contacto, almacenamos ciertos datos personales, como su nombre, dirección de correo electrónico, teléfono (en el caso que lo haya informado) con el objetivo de poder resolver su petición satisfactoriamente. Una vez procesada su solicitud, borraremos los datos cuando expiren los periodos de conservación legal.
Adicionalmente, en el caso de aceptar el “envío de información comercial y ofertas de RedHacking”, sus datos serán introducidos en nuestro sistema para poder hacerle llegar información de éste índole en un futuro. Éstos datos no se cederán a terceros. Puede hacer valer sus derechos en tanto que persona a la que se refieren los datos en cualquier momento con respecto a estos servicios.
Cifrado SSL
Para proteger sus datos durante la transmisión, utilizamos tecnologías de encriptación de vanguardia (por ejemplo, SSL) a través de HTTPS.
Uso de Google Analytics
Este sitio web utiliza Google Analytics, un servicio de análisis web proporcionado por Google, Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, EE. UU. (En adelante, Google). Google Analytics usa "cookies". Estos son archivos de texto ubicados en su ordenador que permiten que el sitio web analice cómo usa el sitio. La información generada por la cookie sobre su uso del sitio web generalmente será transmitida y almacenada por Google en servidores en los Estados Unidos. Debido a que la anonimización de IP está activada en estas páginas web, su dirección IP, sin embargo, se truncará primero dentro de los Estados miembros de la Unión Europea u otras partes en el Acuerdo sobre el Espacio Económico Europeo. Solo en casos excepcionales, la dirección IP completa se transferirá primero a un servidor de Google en EE. UU. y se truncará allí. Google utilizará esta información en nombre del operador de este sitio web con el fin de evaluar su uso, recopilar informes sobre la actividad y proporcionar otros servicios relacionados con la actividad y el uso de Internet. La dirección IP transferida por su navegador dentro del alcance de Google Analytics no se asociará con ningún otro dato en poder de Google.
El propósito del tratamiento de datos en el sitio web se limita a evaluar el uso y compilar informes sobre la actividad. La información sobre el uso del sitio web y de Internet se utilizará para proporcionar otros servicios relacionados. El tratamiento está en los intereses legítimos del sitio web operador. La base legal para el uso de Google Analytics es § 15 para. 3 TMG y Art. 6 para. 1 lit. f GDPR. Los datos enviados por nosotros y vinculados a cookies, identificadores de usuario (por ejemplo, ID de usuario) o identificadores de publicidad se eliminan automáticamente después de 14 meses. Los datos cuyo período de conservación se ha alcanzado se eliminan automáticamente una vez al mes. Para obtener más información sobre los términos de uso y protección de datos, visite https://www.google.com/analytics/terms/es.html
Puede evitar que Google recopile y use datos generados por la cookie y relacionados con su uso del sitio web (incluida su dirección IP) al descargar e instalar el complemento del navegador disponible en: https://tools.google.com/dlpage/gaoptout?hl=es
Las cookies de exclusión impiden la recopilación futura de sus datos cuando visita este sitio web. Para evitar que Universal Analytics recopile datos en varios dispositivos, debe optar por no participar en todos los sistemas utilizados. Si hace clic aquí, se configurará la cookie de inhabilitación:
deshabilitar Google Analytics
Usando Google reCAPTCHA
Para garantizar la seguridad de los datos al enviar formularios, utilizamos el servicio reCAPTCHA de Google Inc. Esto se usa principalmente para distinguir si la entrada es hecha por una persona natural o es abusiva mediante un procesamiento automatizado. El servicio incluye el envío de la dirección IP y cualquier otra información requerida por Google para el servicio reCAPTCHA a Google. Esto está sujeto a las políticas de privacidad de Google Inc. Para obtener más información sobre las políticas de privacidad de Google Inc., visite https://www.google.com/intl/es/privacy o https://www.google.com/intl/es/policies/privacy/
AdWords de Google
Este sitio web utiliza el seguimiento de conversiones. Si fue dirigido a nuestro sitio web haciendo clic en un anuncio, Google AdWords almacenará una cookie en su ordenador. La cookie de seguimiento de conversiones se establece cuando un usuario hace clic en un anuncio servido por Google. Estas cookies caducan después de 30 días y no se utilizan para la identificación personal del usuario. Si visita ciertas páginas de nuestro sitio web y la cookie aún no ha caducado, nosotros y Google podemos decir que hizo clic en el anuncio y se dirigió a esa página. Cada anunciante de Google AdWords tiene una cookie diferente. Por lo tanto, las cookies no se pueden rastrear en los sitios web de diferentes anunciantes de AdWords. La información obtenida mediante la cookie de conversión se usa para crear estadísticas de conversión para los anunciantes de AdWords que han optado por el seguimiento de conversiones. A los clientes se les informa la cantidad total de usuarios que hicieron clic en sus anuncios y se les redirigió a una página de etiquetas de seguimiento de conversiones. Sin embargo, los anunciantes no obtienen ninguna información que pueda usarse para identificar personalmente a los usuarios.
Si no desea participar en el seguimiento, puede evitar que su navegador establezca las cookies necesarias deshabilitando todas las cookies en la configuración de su navegador o ajustando la configuración de su navegador para bloquear las cookies del dominio "googleleadservices.com".
Tenga en cuenta que no puede eliminar las cookies de exclusión si no desea que se incluyan en las estadísticas analíticas. Una vez que haya eliminado todas las cookies en su navegador, deberá restablecer la cookie de exclusión pertinente.
Cambios a nuestra política de privacidad
Nos reservamos el derecho de ajustar esta Declaración de Privacidad para cumplir con los nuevos requisitos legales o para incorporar cambios a nuestros servicios (por ejemplo, con la introducción de nuevos servicios). La nueva Declaración de Privacidad se aplica cuando visita nuestro sitio web nuevamente.
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Esta categoría solo incluye cookies que garantizan funcionalidades básicas y características de seguridad del sitio web. Estas cookies no almacenan ninguna información personal.
