DECLARACIÓN DE KASPERSKY SECURITY NETWORK (KSN): Kaspersky Endpoint Security 11 para Windows La Declaración de Kaspersky Security Network (en lo sucesivo, la “Declaración de KSN”) se relaciona con el programa informático Kaspersky Endpoint Security (en lo sucesivo, el “Software”). En la Declaración de KSN, junto con el Acuerdo de licencia para el usuario final del Software, particularmente en la Sección “Condiciones relacionadas con el Procesamiento de Datos”, se especifican las condiciones, las responsabilidades y los procedimientos relacionados con la transmisión y el procesamiento de datos indicados en dicha Declaración. Antes de aceptarlos, lea minuciosamente los términos de la Declaración de KSN, así como los documentos relacionados con esta. Si el Usuario Final activa KSN para su uso, este será plenamente responsable de garantizar que el procesamiento de los datos personales de los Sujetos de Datos es lícito, en particular, de conformidad con lo estipulado en el Artículo 6(1) de la (a) a la (f) del Reglamento (UE) 2016/679, que corresponde al Reglamento General de Protección de Datos (General Data Protection Regulation, “GDPR”), en caso de que el Sujeto de Datos se encuentre en la Unión Europea, o bien la legislación correspondiente en lo que respecta a la información confidencial, los datos personales, la protección de los datos o asuntos similares. Protección y procesamiento de datos Los datos que el Usuario Final reciba del Titular del Derecho durante el uso de KSN se manejan de conformidad con la Política de privacidad del Titular del Derecho, la cual se encuentra publicada en www.kaspersky.com/Products-and-Services-Privacy-Policy. Propósito del uso de KSN El uso de KSN podría aumentar la eficacia de la protección proporcionada por el Software contra amenazas de seguridad de red y de la información. Este propósito se logra mediante las siguientes acciones: - determinar la reputación de los objetos analizados; - identificar las amenazas a la seguridad de la información que son nuevas y difíciles de detectar, además de su origen; - tomar las medidas adecuadas para aumentar la protección de los datos que el Usuario Final almacena en la Computadora y procesa mediante esta; - reducir la probabilidad de que se generen falsos positivos; - aumentar la eficiencia de los componentes del Software; - evitar los incidentes relacionados con la seguridad de la información e investigar aquellos que ocurran; - mejorar el rendimiento de los productos del Titular del Derecho; - recibir información de referencia sobre la cantidad de objetos cuya reputación se conoce. Datos procesados Durante el uso de KSN, el Titular del Derecho recibirá y procesará automáticamente los siguientes datos: - información sobre los archivos y las direcciones URL que deben escanearse: las sumas de comprobación del archivo escaneado (MD5, SHA2-256, SHA1) y el patrón del archivo (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre de acuerdo con la clasificación del Titular del derecho; el identificador de las bases de datos antivirus, la dirección URL en la que se solicita la reputación, así como la dirección URL de referencia, el identificador del protocolo de conexión y el número del puerto utilizado; - información sobre los resultados de la categorización de los recursos web solicitados, lo que contiene la URL procesada y la dirección IP del host, la versión del componente del Software que realizó la categorización, el método de categorización y el conjunto de categorías que definió el recurso web; - el identificador de la tarea de análisis que detectó la amenaza; - información sobre los certificados digitales que se usaron y que se necesitaba para verificar su autenticidad: las sumas de comprobación (SHA2-256) del certificado que se usó para firmar el objeto analizado y la clave pública del certificado; - información sobre el software instalado en la Computadora: el nombre de las aplicaciones y los proveedores del software, las claves de registro y sus valores, la información sobre los archivos de los componentes del software instalado (las sumas de comprobación [MD5, SHA2-256, SHA1], el nombre, la ruta de acceso al archivo en la Computadora, el tamaño, la versión y la firma digital), la información sobre los objetos del núcleo, los controladores, los servicios, las extensiones de Microsoft Internet Explorer, las extensiones del sistema de impresión y del Explorador de Windows, los elementos de instalación activa, los applets del panel de control, las entradas del archivo de hosts y el registro del sistema, y las versiones de los navegadores y clientes de correo; - información sobre el estado de protección antivirus de la Computadora: las versiones y las marcas de tiempo de publicación de las bases de datos antivirus en uso; estadísticas sobre las actualizaciones y las conexiones con los servicios del Titular del Derecho; el identificador del trabajo; y el identificador del componente del Software que realiza el análisis; - información acerca de los archivos que descargó el Usuario Final: las direcciones URL e IP desde las que se realizó la descarga y las páginas de descarga; el identificador del protocolo de descarga y el número del puerto de conexión; el estado que indica si las direcciones son maliciosas o no; los atributos y el tamaño del archivo, además de sus sumas de comprobación (MD5, SHA2-256, SHA1); la información acerca del proceso que descargó el archivo (las sumas de comprobación [MD5, SHA2-256, SHA1], la fecha y hora de creación/compilación, el estado de reproducción automática, los atributos, los nombres de los empaquetadores, la información sobre firmas, la marca del archivo ejecutable, el identificador de formato y la entropía); el nombre del archivo y su ruta en la Computadora; la firma digital del archivo y la marca de tiempo de su generación; la dirección URL en la cual se detectó; el número de la secuencia de comandos en la página que parece ser sospechosa o dañina; la información acerca de las solicitudes HTTP generadas y sus respectivas respuestas; - información sobre las aplicaciones que se ejecutan y sus módulos: los datos sobre procesos que se ejecutan en el sistema (el identificador del proceso [PID], el nombre del proceso; la información sobre la cuenta desde la que se inició el proceso, la aplicación y el comando que iniciaron el proceso, el signo de programa o proceso de confianza, la ruta de acceso completa a los archivos del proceso, y la línea de comandos de inicio; el nivel de integridad del proceso; la descripción del producto al cual pertenece el proceso (el nombre del producto y la información sobre el editor), así como los certificados digitales utilizados y la información necesaria para verificar su autenticidad o la información acerca de la ausencia de la firma digital de un archivo; información sobre los módulos cargados en los procesos (sus nombres, tamaños, tipos, fechas de creación, atributos, sumas de comprobación [MD5, SHA2-256, SHA1], las rutas de acceso a estos en la Computadora); información sobre el encabezado del archivo PE, los nombres de los empaquetadores (si se empaquetó el archivo); - información sobre todas las acciones y los objetos posiblemente maliciosos: el nombre del objeto detectado; la ruta de acceso completa del objeto en la Computadora; las sumas de comprobación (MD5, SHA2-256, SHA1) de los archivos que se procesan; la fecha y hora de detección; los nombres, el tamaño y las rutas de acceso de los archivos infectados; el código del patrón de la ruta; el indicador de si el objeto es un contenedor, los nombres de los empaquetadores (si el archivo estaba empaquetado); el código de tipo de archivo; el identificador de formato del archivo; la lista de actividades de las aplicaciones maliciosas, junto con las decisiones asociadas que tomaron el Software y el Usuario Final; los identificadores de las bases de datos antivirus que el Software usó para tomar una decisión; el nombre de la amenaza detectada según la clasificación del Titular del Derecho; el nivel de amenaza; el estado y el método de detección; el motivo para incorporar un archivo en el contexto analizado y el número de serie del archivo en el contexto; las sumas de comprobación (MD5, SHA2-256, SHA1), el nombre y los atributos del archivo ejecutable de la aplicación que transmitió el mensaje o vínculo infectado; las direcciones IP anonimizadas (IPv4 e IPv6) del host del objeto bloqueado; la entropía del archivo; el estado de reproducción automática; el horario en que el archivo se detectó por primera vez en el sistema; la cantidad de veces que el archivo se ejecutó desde la última vez en que se enviaron estadísticas; la información sobre el nombre, las sumas de comprobación (MD5, SHA2-256, SHA1) y el tamaño del cliente de correo electrónico que se usó para recibir el objeto malicioso; el identificador de trabajo del software que realizó el análisis; la marca de comprobación de reputación o la comprobación de firma de archivo; el resultado de procesar el archivo, la suma de comprobación (MD5) del patrón recopilado en el objeto y su tamaño en bytes; y los parámetros técnicos de las tecnologías de detección correspondientes; - información sobre los objetos analizados: el grupo de confianza asignado en el que se ubicó el archivo o desde el que se ubicó; el motivo por el que el archivo se ubicó en esa categoría; el identificador de la categoría; la información sobre el origen de las categorías y la versión de la base de datos de la categoría; la marca de certificado de confianza del archivo; el nombre del proveedor del archivo; la versión del archivo; el nombre y la versión de la aplicación de software que contiene el archivo; - información sobre las vulnerabilidades detectadas: el identificador de la vulnerabilidad en la base de datos de vulnerabilidades, la clase de riesgo de la vulnerabilidad y el estado de detección; - información acerca de la emulación del archivo ejecutable: el tamaño del archivo y sus sumas de comprobación (MD5, SHA2-256, SHA1); la versión del componente de la emulación, la profundidad de la emulación, el conjunto de propiedades de los bloques lógicos y las funciones situadas dentro de estos bloques que se obtuvieron durante la emulación; los datos provenientes de los encabezados de PE del archivo ejecutable; - información sobre ataques de red: las direcciones IP de la computadora atacante (IPv4 e IPv6), el número del puerto de la Computadora al que se dirige el ataque de red, el identificador del protocolo del paquete IP que contiene el ataque, el objetivo del ataque (nombre de la organización, sitio web), la marca de la reacción ante el ataque, la ponderación del ataque y el nivel de confianza; - información sobre ataques asociados a recursos de red falsificados, y las direcciones IP (IPv4 e IPv6) y DNS de los sitios web visitados; - direcciones IP (IPv4 o IPv6) y DNS del recurso web solicitado; la información sobre el archivo y el cliente web que solicita el recurso web; el nombre, el tamaño y las sumas de comprobación (MD5, SHA-256, SHA1) del archivo, su ruta de acceso completa y el código del patrón de la ruta de acceso; y el resultado de la comprobación de la firma digital y su estado de conformidad con KSN; - información sobre la reversión de actividades de malware: datos sobre el archivo cuyas acciones se revertirán (nombre del archivo, ruta de acceso completa, tamaño y sumas de comprobación [MD5, SHA2-256, SHA1]); datos sobre acciones llevadas a cabo correctamente y acciones fallidas destinadas a eliminar archivos, copiarlos y cambiar sus nombres, y a restaurar valores del registro (nombres de las claves del registro y sus valores); e información sobre archivos del sistema modificados por el malware, antes y después de la reversión; - información acerca de los módulos que el Software cargó: el nombre, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo del módulo, su ruta completa y código del patrón de la ruta de acceso del archivo; los parámetros de la firma digital del archivo del módulo; la marca de tiempo de la generación de la firma; el nombre del sujeto y de la organización que firmaron el archivo del módulo; el identificador del proceso en el cual se cargó el módulo; el nombre del proveedor del módulo; y el número de índice del módulo situado en la cola de carga; - información de servicio acerca del funcionamiento del Software: la versión del compilador, la marca que indica en qué medida el objeto analizado puede ser malicioso; la versión del conjunto de estadísticas que se envía; la información acerca de la disponibilidad y validez de estas estadísticas; el identificador de las condiciones en que se generan las estadísticas que se envían; y la marca que indica que el software funciona en modo interactivo; - si se detecta un objeto posiblemente malicioso, se debe proporcionar información sobre los datos en la memoria de los procesos: los elementos de la jerarquía de los objetos del sistema (ObjectManager), los datos de la memoria UEFI BIOS, los nombres de las claves del registro y sus valores; - información sobre los eventos en los registros de los sistemas: la marca de tiempo del evento, el nombre del registro en el que se encontró el evento, el tipo y la categoría del evento, el nombre de la fuente del evento y su descripción; - información sobre las conexiones de red: la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo desde el que se inició el proceso de apertura del puerto, la ruta de acceso al archivo del proceso y su firma digital, las direcciones IP locales y remotas, la cantidad de puertos de conexión local y remota, el estado de conexión, y la marca de tiempo de apertura del puerto; - información acerca de la fecha de instalación y activación del Software en la Computadora: el tipo de licencia instalada y su fecha de caducidad, el identificador del socio al que se le compró la licencia, el número de serie de la licencia; el tipo de instalación del Software en la Computadora (instalación inicial, actualización, etc.); y una marca que representa que la instalación se realizó correctamente o el número de error de instalación, el identificador único de instalación del Software en la Computadora, el tipo y el identificador de la aplicación que se actualizará y el identificador de la tarea de actualización; - información sobre el conjunto de todas las actualizaciones instaladas y el conjunto de las últimas actualizaciones instaladas o eliminadas, el tipo de evento que ocasionó que se enviara la información de actualización, el tiempo transcurrido desde la instalación de la última actualización, y la información sobre las bases de datos antivirus instaladas; - información acerca del funcionamiento del Software en la Computadora: los datos de uso de la CPU, los datos de uso de la memoria (bytes privados, bloques no paginados), la cantidad de amenazas del Software activas y en estado de espera, y el período de funcionamiento del Software antes de que ocurriera el error; - cantidad de volcados de software y volcados del sistema (BSOD) desde que se instaló el Software y a partir del momento de la última actualización, además del identificador y la versión del módulo del Software en la que se produjo el error, la pila de memoria del proceso del Software e información sobre las bases de datos antivirus en el momento en que se generó el error; - datos acerca del volcado del sistema (BSOD): la marca que refleja su aparición en la Computadora, el nombre del controlador que provocó el BSOD, la dirección y la pila de memoria del controlador, la marca que refleja la duración de la sesión del SO antes de que ocurriera el BSOD, la pila de memoria de los controladores que se bloquearon, el tipo de volcado de la memoria almacenada, la marca de la sesión del SO antes de que el BSOD se prolongara por más de 10 minutos, el identificador único del volcado y la marca de tiempo del BSOD; - información sobre los errores que surgieron durante el funcionamiento de los componentes del Software: el identificador del estado del Software, el tipo de error, el código y la hora de la ocurrencia, los identificadores del componente, el módulo y el proceso del producto en el que se produjo el error, el identificador de la tarea o la categoría de actualización durante la cual se produjo el error, los registros de los controladores que usó el Software (código de error, nombre del módulo, nombre del archivo de origen y línea en la cual se produjo el error), el identificador del método que determina el error en el funcionamiento del Software, y el nombre del proceso que inició la intercepción o intercambio del tráfico que derivó en un error en el funcionamiento del Software; - información sobre las actualizaciones de las bases de datos antivirus y los componentes del Software: los nombres, las fechas y la hora de los archivos de índice descargados durante la última actualización y los que se descargan durante la actualización actual, además de la fecha y la hora de finalización de la última actualización, los nombres de los archivos de las categorías actualizadas y sus sumas de comprobación (MD5, SHA2-256, SHA1); - información sobre la finalización anormal del funcionamiento del Software: la marca de tiempo de la generación del volcado, su tipo, el nombre del proceso vinculado al volcado, la versión y la hora de envío de las estadísticas relacionadas; el tipo de evento que generó la finalización anormal del funcionamiento del Software (desconexión inesperada de la fuente de energía eléctrica, bloqueo de aplicaciones de terceros, errores de procesamiento de intercepciones), y la fecha y la hora de dicha desconexión inesperada; - información acerca de las aplicaciones externas que generaron el error: su nombre, la versión y la ubicación; el código de error y la información sobre este, proveniente del registro de aplicaciones del sistema; la dirección de la aparición del error y la pila de la memoria de la aplicación externa; la marca que representa la aparición del error en el componente del Software; el período durante el cual funcionó la aplicación externa antes de que se produjera el error; las sumas de comprobación (MD5, SHA2-256, SHA1) de la imagen del proceso de la aplicación en el cual ocurrió el error; la ruta de acceso a la imagen del proceso de la aplicación y el código del patrón de la ruta de acceso; la información del registro del sistema, con una descripción del error asociado a la aplicación; la información sobre el módulo de la aplicación en la que se produjo el error (el identificador de la excepción, la ubicación del error en la memoria como un desplazamiento del módulo de la aplicación, el nombre y la versión del módulo, el identificador del error de la aplicación en el complemento del Titular del Derecho y la pila de memoria del error, y la duración de la sesión de aplicación antes de que se produjera el error); - versión del componente de actualización del Software y la cantidad de errores que ocurrieron en este componente durante la ejecución de tareas de actualización durante su ciclo de vida, el identificador de los tipos de tareas de actualización, la cantidad de intentos fallidos que realizó el componente de actualización a fin de completar las tareas correspondientes; - información sobre el funcionamiento de los componentes de supervisión de sistema del Software: las versiones completas de los componentes, el código del evento que saturó la cola y la cantidad de tales eventos; la cantidad total de eventos de saturación de cola; información sobre el archivo del proceso que inició el evento (nombre del archivo y su ruta de acceso en la Computadora, código del patrón de la ruta de acceso del archivo, sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado con el archivo, versión del archivo); el identificador de la intercepción del evento; la versión completa del filtro de intercepción; el identificador del tipo de evento interceptado; el tamaño de la cola de eventos y la cantidad de eventos que ocurrieron entre el primer evento de cola y el actual; la cantidad de eventos pendientes en la cola; la información sobre el archivo del proceso correspondiente al iniciador del evento actual (nombre del archivo del proceso y su ruta de acceso en la Computadora; código del patrón de la ruta de acceso del archivo, las sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado con el archivo); la duración del procesamiento de los eventos, la duración máxima de dicho procesamiento; la probabilidad de envío de estadísticas; - información sobre el último reinicio fallido del SO: la cantidad de reinicios fallidos desde la instalación del SO, datos sobre el volcado del sistema (el código y los parámetros del error; el nombre, la versión y la suma de comprobación [CRC32] del módulo que generó el error en el funcionamiento del SO; la ubicación del error como un desplazamiento en el módulo; las sumas de comprobación [MD5, SHA2-256, SHA1] del volcado del sistema); - información para verificar la autenticidad de los certificados digitales que se utilizan para firmar archivos: la huella digital del certificado, el algoritmo de la suma de comprobación, la clave pública y el número de serie del certificado, el nombre del emisor del certificado, el resultado de la validación del certificado y el identificador de la base de datos del certificado; - información acerca del proceso que ejecuta el ataque a la defensa propia del Software: el nombre y el tamaño del archivo del proceso, sus sumas de comprobación (MD5, SHA2-256, SHA1), la ruta de acceso completa al archivo del proceso y el código del patrón de la ruta de acceso del archivo, la marca de tiempo de la creación o generación, la marca del archivo ejecutable, los atributos del archivo del proceso, la información acerca del certificado que se utiliza para firmar el archivo del proceso, el código de la cuenta que se utiliza para iniciar el proceso, el identificador de las operaciones realizadas para acceder al proceso, el tipo de recurso con el cual se realiza la operación (proceso, archivo, objeto de registro, función de búsqueda FindWindow), nombre del recurso con el cual se realiza la operación, la marca que indica que la operación se realizó correctamente, el estado del archivo del proceso y su firma, de conformidad con KSN; - información acerca del Software del Titular del Derecho: la versión completa, el tipo, el idioma regional y el estado de la operación, la versión de los componentes del Software que se instalaron y su estado de funcionamiento, la información sobre las actualizaciones instaladas, el valor del filtro TARGET, la versión del protocolo que se usó para conectarse a los servicios del Titular del Derecho; - información sobre el hardware que se instaló en la Computadora: el tipo, el nombre, el nombre del modelo, la versión del firmware, los parámetros de los dispositivos integrados y conectados, el identificador único de la Computadora con el Software instalado; - información sobre las versiones del sistema operativo y las actualizaciones instaladas, el tamaño de las palabras, la edición y los parámetros del modo de ejecución del SO, la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo kernel del SO. Además, a fin de alcanzar el propósito declarado de aumentar la eficacia de la protección que proporciona el Software, es posible que el Titular del Derecho reciba objetos que los intrusos podrían aprovechar para dañar la Computadora y representar amenazas a la seguridad de la información. Entre estos objetos se encuentran los siguientes: - archivos ejecutables y no ejecutables o sus fragmentos; - fragmentos de la RAM de la Computadora; - sectores involucrados en el proceso de inicialización del SO; - paquetes de datos de tráfico de red; - páginas web y correos electrónicos con objetos sospechosos y maliciosos; - descripción de las clases y las instancias de las clases del repositorio WMI; - informes de actividad de la aplicación. Dichos informes de actividad de la aplicación contienen los siguientes datos sobre los archivos y los procesos: - el nombre, el tamaño y la versión del archivo que se envía, su descripción y sus sumas de comprobación (MD5, SHA2-256, SHA1), el identificador de formato del archivo, el nombre del proveedor del archivo, el nombre de producto al cual pertenece el archivo, la ruta de acceso completa en la Computadora, el código del patrón de la ruta de acceso del archivo, las marcas de tiempo de la creación y modificación del archivo; - fecha y hora de inicio y finalización del período de validez del certificado (si el archivo tiene una firma digital), la fecha y la hora de la firma, el nombre del emisor del certificado, la información acerca del titular del certificado, la huella digital, el certificado de clave pública y sus algoritmos correspondientes, y el número de serie del certificado; - nombre de la cuenta desde la cual se ejecuta el proceso; - sumas de comprobación (MD5, SHA2-256, SHA1) del nombre de la Computadora desde la cual se ejecuta el proceso; - títulos de las ventanas del proceso; - identificador de las bases de datos antivirus, nombre de la amenaza detectada, de conformidad con la clasificación del Titular del derecho; - información sobre la licencia instalada, como el identificador de la licencia, el tipo y la fecha de caducidad; - hora local de la Computadora en el momento de proporcionar la información; - nombres y rutas de los archivos a los cuales se accedió a través del proceso; - nombres de las claves del registro y sus valores a los cuales se accedió a través del proceso; - direcciones IP y URL a las cuales se accedió a través del proceso; - direcciones IP y URL desde las cuales se descargó el archivo ejecutado. Además, a fin de alcanzar el propósito declarado de evitar falsos positivos, es posible que el Titular del Derecho reciba archivos de confianza, ejecutables y no ejecutables, o fragmentos de estos. Proporcionar a KSN la información indicada anteriormente es de carácter voluntario. Tras la instalación del Software, el Usuario Final podrá, en cualquier momento, habilitar o inhabilitar el uso de KSN en la configuración del Software, tal como se describe en el Manual del Usuario. © 2018 AO Kaspersky Lab. Todos los derechos reservados.