Bizum para vendedores, qué hacer ante una filtraciones de datos y desconexión digital: todo incluido en el 51º consultorio de Maldita Tecnología · Maldita.es

¡Hola, malditas y malditos! Tranquilos, que no íbamos a faltar a nuestra cita más importante de la semana: ¡la del consultorio tecnológico! Entre las preguntas que nos habéis hecho llegar en los últimos días hay

¡Hola, malditas y malditos! Tranquilos, que no íbamos a faltar a nuestra cita más importante de la semana: ¡la del consultorio tecnológico! Entre las preguntas que nos habéis hecho llegar en los últimos días hay otra relacionada con Bizum (esta vez sobre los vendedores), dudas sobre qué hacer ante una filtración de datos y también sobre el uso de herramientas tecnológicas una vez finalizada la jornada laboral.

Antes de ponernos manos a la obra os recordamos que podéis seguir enviando vuestras preguntas a través de los canales de siempre: podéis escribir al correo electrónico [email protected], a nuestro Twitter o a Facebook. Si no, podéis dejar vuestras dudas en este formulario.

Si soy autónomo o tengo un pequeño negocio, ¿puedo recibir pagos a través de Bizum sin tener que dar mi móvil personal? ¿No hay una forma más segura o que respete más mi privacidad?

Cada vez es más normal encontrarnos con que un comercio acepta Bizum como forma de pago. Incluso en el Rastro de Madrid u otros mercadillos callejeros, muchos comerciantes prefieren que se les pague con esta aplicación para no contar con datáfonos. En una de las últimas ediciones del consultorio tecnológico os hablamos de hasta qué punto era válido que en un negocio te ofrezcan esta opción como única alternativa al efectivo y de qué forma se cuida tu privacidad.

A raíz de esta cuestión, nos habéis preguntado por la otra cara de la moneda: cómo pueden utilizar la herramienta los negocios de una forma responsable y sin hacer públicos demasiados datos personales del vendedor.

Sigamos con el ejemplo del Rastro: una persona que está vendiendo cualquier tipo de productos en su puesto quiere que le pagues por Bizum, por lo que debería darte su número de teléfono personal (o al menos uno que esté ligado a su cuenta bancaria). Su nombre de pila aparecería en nuestra pantalla para confirmar el pago. Con estos datos, un potencial estafador contaría con información que podría servir para intentar hacerse pasar por tu banco o por una empresa proveedora de servicios en un caso de phishing, por ejemplo.

Desde Bizum explican a Maldita.es que su servicio “está pensado para pagos entre particulares”. “En el caso de empresas, ya sea autónomos o comercios, estos deben ponerse en contacto con su entidad que les informará de las opciones habilitadas para que puedan recibir pagos por Bizum”, explican.

En el caso concreto de los comercios, desde la aplicación afirman que los bancos son los encargados de ofrecer “soluciones a medida” para los clientes. Repasando los portales de BBVA, Banco Santander o Bankia, todos ellos ofrecen la posibilidad de pago con Bizum para negocios, aunque sólo en plataformas de comercio online. En ninguna entidad bancaria se ofrecen alternativas para negocios particulares tradicionales y se hace hincapié en que el servicio es de particular a particular.

Por otro lado, en algunos grandes comercios que ya aceptan el pago con Bizum en sus tiendas físicas, como MediaMarkt, pero esto se debe a un acuerdo bilateral entre ambas empresas. Para la mayoría de negocios, por tanto, la opción solo está disponible para pagos online y no en tienda física.

A la hora de usar Bizum para compras en internet, a cada usuario se le ofrece un código PIN de cuatro dígitos que genera la app de cada banco a modo de identificador. En otras palabras, una especie de DNI que servirá para todas las compras online que realices con la aplicación. Al continuar con el pago recibiremos un SMS con una clave para introducir en la tienda online y finalizar la compra.

Consultamos al INCIBE sobre la seguridad de este tipo de pago para negocios, que nos dice que el primer factor a tener en cuenta es que “si no se dispone de este servicio (el de pago a través de comercio electrónico), posiblemente se estará usando con la modalidad entre particulares (de persona a persona) donde, además, es probable que esos pagos no sean acordes a la legalidad fiscal pues puede no emitirse factura”.

En todo caso, los pagos que recibe una persona por Bizum quedan registrados en su cuenta bancaria, por lo que no declarar los gastos de ventas hechas usando la plataforma podría concluir con un problema fiscal.

Respecto a la posibilidad de asociar varios números de teléfono a una cuenta bancaria, en caso de querer vincular el número personal y el de trabajo, la opción depende de cada entidad financiera. En Bankinter, por ejemplo, anunciaron la posibilidad de hacerlo siempre y cuando “los titulares de los móviles sean titulares de la cuenta, o tutores o bien figurar como autorizados en la misma”.

Como consejo general con los pagos online, desde el INCIBE recuerdan que “no existe un medio perfecto, pero sí alternativas que no tienen por qué exponer datos de carácter personal, como pueden ser PayPal, pasarelas de pago (como Redsys) o las clásicas transferencias”.

¿Qué hacemos si ha habido una filtración de datos en una plataforma o página web que usamos?

A raíz de la filtración de datos que ha sufrido Glovo en los últimos días nos habéis preguntado qué tenemos que hacer si nuestros datos han sido expuestos: ¿cambiar las contraseñas? ¿Borrar o cambiar nuestros datos bancarios si los teníamos guardados? En cualquier situación similar, según el tipo de datos que se hayan hecho públicos podemos tomar unas medidas u otras, pero sí que será conveniente cambiar al menos nuestras credenciales y consultar nuestros movimientos bancarios.

En algunos casos, como es el de Glovo, el de Phone House de hace unas semanas o la reciente filtración masiva de Facebook, nos enteramos de que la brecha existió gracias a los medios de comunicación o a la propia empresa: si la filtración de los datos afecta a “los derechos y libertades” de los usuarios estará obligada a comunicarles que sus datos han sido expuestos y qué han hecho para intentar arreglarlo, según el artículo 34 del Reglamento General de Protección de Datos (RGPD).

Este tipo de brechas no tienen por qué comunicarse siempre, ya que depende de la magnitud de la filtración y del tipo de datos que se hayan visto afectados. Por eso, una buena manera de estar al tanto de si un servicio que sueles usar ha tenido un problema de seguridad con tus datos es usando la herramienta de “Have I Been Pwned”.

En esta página web podemos ver si alguna de las aplicaciones o servicios en los que estamos registrados ha sufrido una brecha de seguridad. Es una herramienta de código abierto que va acumulando las brechas que sufren servicios de todo el mundo y funciona introduciendo nuestro correo electrónico o nuestro número de teléfono. Si tenemos varias cuentas, podemos comprobarlas todas, y el servicio nos dirá en qué ocasiones y qué tipo de datos se han comprometido: nombre de usuario, contraseña, dirección, número de teléfono, número de tarjeta, etc.

También tiene un servicio para comprobar si una contraseña específica ha aparecido alguna vez en una de estas brechas: si es así, sabemos qué combinaciones deberíamos evitar porque de una manera u otra han estado al alcance de ciberdelincuentes y pueden usarse para intentar entrar en cualquier servicio. 

Cabe recordar que el servicio no es infalible (ninguno lo es), pero con el paso de los años se ha popularizado cada vez más y para el usuario medio es ahora una herramienta de referencia para comprobar las brechas de seguridad. Tanto que su creador, Troy Hunt, quien trabaja en Microsoft, ha llegado a un acuerdo con el FBI estadounidense para que alimenten la herramienta con las contraseñas filtradas que registren en sus investigaciones.

Siguiente punto: ¿qué hacemos si sabemos que nuestros datos pueden estar comprometidos? La realidad es que una vez que los paquetes de datos obtenidos por un ciberataque a una plataforma o por una brecha de seguridad de la misma se publican por ahí (sobre todo en la dark web) ya hemos perdido el control sobre ellos. Así que lo que nos queda es actuar sobre los más sensibles, como las contraseñas o los datos bancarios.

El primer paso sería cambiar la contraseña del servicio en cuestión, de modo que quien la consiga no pueda entrar en él. Si usas esa misma contraseña para otra aplicación, también la tendrás que cambiar: una práctica común de los ciberdelincuentes es probar las contraseñas de un usuario en varias páginas web para ver si en alguna otra encaja. Ponle que usas la misma contraseña para Netflix, HBO y Amazon Prime porque son todas plataformas de streaming y HBO sufre una brecha: en ese caso, sabes que todas ellas están comprometidas. Lo mismo con las redes sociales. Desde Maldita Tecnología siempre os recomendamos que nunca repitáis contraseñas para diferentes cuentas y que no sean cosas obvias sobre vuestra persona. Lo ideal es utilizar un gestor de contraseñas para que sean todas diferentes y difíciles de adivinar.

La Agencia Española de Protección de Datos (AEPD) recuerda que no siempre tendremos indicaciones de la información que se ha visto afectada, por lo que “siempre tendrás que  valorar el alcance o las posibilidades de que esa información abra las puertas a otras informaciones sobre tu persona”. De ahí que recomiende que incluso aunque no estés seguro de que tu contraseña ha sido filtrada, la cambiéis cada cierto tiempo o en el caso de que te enteres de que un servicio en el que utilizas esa clave ha sufrido una brecha.

En cuanto a los datos asociados a nuestra cuenta bancaria, otro de los datos más sensibles que pueden conseguir, hay varias maneras de proceder. Es probable que junto a los datos de tu tarjeta o de tu cuenta se filtren tu nombre completo, tu número de teléfono o tu dirección de correo, por lo que los ciberatacantes tienen más material para suplantarnos a la hora de hacer una compra o un trámite bancario y eso lo hace más peligroso.

Nuestra maldita Paula González, que nos presta sus superpoderes como especialista en ciberseguridad y auditora de sistemas, nos recomienda estar pendientes de nuestros movimientos bancarios, ya que en caso de detectar algo raro que no nos suena o que no hemos autorizado, habrá que llamar corriendo al banco para que estén al tanto y bloqueen estas acciones. En el caso de que sepamos que se ha filtrado nuestra tarjeta de crédito o débito incluso recomienda bloquearla y cambiarla por una nueva, dado que los ciberdelincuentes tendrían acceso al número y datos como el código de seguridad CVC.

¿Puedo negarme a utilizar herramientas tecnológicas relacionadas con mi trabajo fuera del horario laboral?

Cada día, la fina línea entre la vida personal y la laboral es más borrosa: con la pandemia muchas personas viven donde trabajan y los horarios se han flexibilizado, obligándonos a estar pendientes de los móviles por si surge cualquier emergencia. Aunque la ley protege al trabajador a la hora de tener una separación clara entre su vida privada y el trabajo, el asunto es un poco más complicado teniendo en cuenta la ya citada crisis sanitaria o puestos de trabajo de reciente creación que funcionan ‘a demanda’, sin horario fijo.

Lo primero de todo, ¿qué dice la ley? La Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales (LOPD-GDD), aprobada en 2018, recoge en su artículo 88 que “los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar”.

La norma indica que la empresa o la patronal deberá negociar con los sindicatos una política interna en la que se definirá de forma clara este “derecho a la desconexión” para así “evitar el riesgo de fatiga informática” y las jornadas laborales sin final definido.

Luis Antonio Fernández Villazón, profesor de Derecho del Trabajo y la Seguridad Social en la Universidad de Oviedo, explica a Maldita.es que este derecho a la desconexión digital ya estaba contemplado antes incluso de la entrada en vigor de la LOPD-GDD.

“El respeto a la intimidad personal y familiar y al descanso permitían afirmarlo ya mucho antes. De hecho, los tribunales ya habían señalado con anterioridad que obligar a los empleados a mantener una conexión ininterrumpida y en todo momento de los teléfonos móviles de la empresa y con los clientes, en horas no coincidentes con la jornada, sobrepasaría las facultades normales o regulares de la empresa”, resume el experto.

Además, que la Ley Orgánica diga explícitamente que empresarios y sindicatos tendrán que negociar para definir la desconexión tecnológica no significa que los trabajadores no puedan disfrutar de este derecho en caso de que no haya un acuerdo entre las partes. “El ejercicio del derecho no depende de la existencia de esa política interna o de la regulación colectiva. La labor de la negociación y de la política interna es la de facilitar el ejercicio del derecho, no la de condicionarlo”, aclara Fernández Villazón.

Dicho esto, la realidad laboral cada vez es más complicada y asegurar este derecho no es tarea fácil en muchas ocasiones. Pongamos que el trabajador en cuestión es periodista de sucesos, trabaja en un centro de gestión de emergencias o es un repartidor que sale a la carretera en función de la demanda del día. Para todos estos supuestos, una llamada activa la jornada laboral y el descanso es eso que hay entre llamada y llamada.

En esta línea, ya existen algunas actividades donde se regula “la existencia de un ‘tiempo de puesta a disposición’ durante el que no se trabaja, pero se debe estar disponible por si se requieren nuestros servicios”, explica el profesor universitario.

“Obviamente, en esos tiempos va a ser necesario seguir pendiente de las herramientas tecnológicas. La clave del problema está, en consecuencia, no en saber si los trabajadores tienen derecho a la desconexión, sino en determinar cuándo estoy en mi tiempo de descanso. Algo especialmente difícil en algunas modalidades de contrato de trabajo a tiempo parcial o en el teletrabajo. De ahí que cobren tanta importancia las reglas de control de la jornada de trabajo, como es el registro horario recientemente implantado”, concluye.

El debate se coló recientemente en el Parlamento Europeo, donde se aprobó con amplia mayoría una iniciativa legislativa en la que se reclama un reglamento que regule “el derecho a desconectarse fuera del horario laboral y unos requisitos mínimos para el trabajo a distancia que ayuden a esclarecer las condiciones laborales y los horarios de trabajo y de descanso”.

Justifican esta propuesta por el aumento exponencial del teletrabajo a raíz de la crisis sanitaria y con las conclusiones extraídas de un estudio de Eurofound, donde se afirma que “quienes trabajan desde casa de forma habitual tienen más del doble de probabilidades de exceder el máximo de 40 horas de trabajo semanales que quienes trabajan en las instalaciones de su empleador”.

¡Un segundín!

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo ha colaborado con sus superpoderes la maldita Paula González.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.


Primera fecha de publicación de este
artículo: 01/06/2021




Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *