DECLARACIÓN DE KASPERSKY SECURITY NETWORK (KSN): Kaspersky Endpoint Security 11 para Windows La Declaración de Kaspersky Security Network (en lo sucesivo, la “Declaración de KSN”) se relaciona con el programa informático Kaspersky Endpoint Security (en lo sucesivo, el “Software”). En la Declaración de KSN, junto con el Contrato de licencia de usuario final del Software, particularmente en la Sección “Condiciones relacionadas con el Procesamiento de Datos”, se especifican las condiciones, las responsabilidades y los procedimientos relacionados con la transmisión y el procesamiento de datos indicados en dicha Declaración. Antes de aceptarlos, lea minuciosamente los términos de la Declaración de KSN, así como los documentos relacionados con esta. Si el Usuario Final activa KSN para su uso, será plenamente responsable de garantizar que el procesamiento de los datos personales de los Interesados es lícito, en particular, de conformidad con lo estipulado en el Artículo 6(1) de la (a) a la (1) (f) del Reglamento (UE) 2016/679, que corresponde al Reglamento General de Protección de Datos ( “RGPD”), en caso de que el Interesado se encuentre en la Unión Europea, o bien la legislación correspondiente en lo que respecta a la información confidencial, los datos personales, la protección de los datos o asuntos similares. Protección y procesamiento de datos Los datos que el Usuario Final reciba del Titular del Derecho durante el uso de KSN se manejan de conformidad con la Política de privacidad del Titular del Derecho, la cual se encuentra publicada en https://www.kaspersky.com/Products-and-Services-Privacy-Policy. Propósito del procesamiento de datos Permite aumentar la velocidad de reacción del Software ante las amenazas de seguridad de red y de la información. Este propósito se logra mediante las siguientes acciones: - determinar la reputación de los objetos analizados; - identificar las amenazas a la seguridad de la información que son nuevas y difíciles de detectar, además de su origen; - tomar las medidas adecuadas para aumentar la protección de los datos que el Usuario Final almacena y procesa en la Computadora; - reducir la probabilidad de que se generen falsos positivos; - aumentar la eficiencia de los componentes del Software; - evitar los incidentes relacionados con la seguridad de la información e investigar aquellos que ocurran; - mejorar el rendimiento de los productos del Titular del Derecho; - recibir información de referencia sobre la cantidad de objetos cuya reputación se conoce. Datos procesados Mientras KSN esté habilitado, el Titular del Derecho recibirá y procesará automáticamente los siguientes datos: Los datos transmitidos por el Usuario dependen del tipo de licencia instalada y de la configuración de uso de KSN especificada. Si utiliza una licencia para entre 1 y 4 nodos, el Titular del Derecho recibirá y procesará automáticamente los siguientes datos durante el uso de KSN: - información sobre las actualizaciones de configuración de KSN: identificador para la configuración activa, identificador para la configuración recibida, código de error para la actualización de la configuración; - información sobre los archivos y las direcciones URL que deben escanearse: las sumas de comprobación del archivo escaneado (MD5, SHA2-256, SHA1) y el patrón del archivo (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre de acuerdo con la clasificación del Titular del derecho; el identificador de las bases de datos antivirus, la dirección URL en la que se solicita la reputación, así como la dirección URL de referencia, el identificador del protocolo de conexión y el número del puerto utilizado; - el identificador de la tarea de análisis que detectó la amenaza; - información sobre los certificados digitales que se usaron y que se necesitaban para verificar su autenticidad: las sumas de comprobación (SHA2-256) del certificado que se usó para firmar el objeto analizado y la clave pública del certificado; - el identificador del componente del Software que realiza el análisis; - los identificadores de las bases de datos antivirus y de los registros de estas bases de datos antivirus; - información sobre la activación del Software en la Computadora: encabezado firmado del ticket del servicio de activación (identificador del centro de activación regional, suma de comprobación del código de activación, suma de comprobación del ticket, fecha de creación del ticket, identificador único del ticket, versión del ticket, estado de la licencia, fecha de inicio y finalización y hora de validez del ticket, identificador único de la licencia, versión de la licencia), identificador del certificado utilizado para firmar el encabezado del ticket, suma de comprobación (MD5) del archivo de clave; - información sobre el Software del Titular del Derecho: su versión completa, el tipo, la versión del protocolo utilizado para conectarse con los servicios del Titular del Derecho. Si utiliza una licencia para 5 o más nodos, el Titular del Derecho recibirá y procesará automáticamente los siguientes datos durante el uso de KSN: - información sobre las actualizaciones de configuración de KSN: identificador para la configuración activa, identificador para la configuración recibida, código de error para la actualización de la configuración; - información sobre los archivos y las direcciones URL que deben escanearse: las sumas de comprobación del archivo escaneado (MD5, SHA2-256, SHA1) y el patrón del archivo (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre de acuerdo con la clasificación del Titular del derecho; el identificador de las bases de datos antivirus, la dirección URL en la que se solicita la reputación, así como la dirección URL de referencia, el identificador del protocolo de conexión y el número del puerto utilizado; - información sobre los resultados de la categorización de los recursos web solicitados, que contiene la URL procesada y la dirección IP del host, la versión del componente del Software que realizó la categorización, el método de categorización y el conjunto de categorías que definió el recurso web; - el identificador de la tarea de análisis que detectó la amenaza; - información sobre los certificados digitales que se usaron y que se necesitaban para verificar su autenticidad: las sumas de comprobación (SHA2-256) del certificado que se usó para firmar el objeto analizado y la clave pública del certificado; - información sobre el Software instalado en la Computadora: nombres de las aplicaciones de Software y de los proveedores de software, claves de registro y sus valores, información sobre los archivos de los componentes de software instalados (sumas de comprobación [MD5, SHA2-256, SHA1], nombre, ruta al archivo en la Computadora, tamaño, versión y firma digital); - información sobre el estado de protección antivirus de la Computadora: las versiones y las marcas de tiempo de publicación de las bases de datos antivirus en uso; el identificador del trabajo; y el identificador del componente del Software que realiza el análisis; - información acerca de los archivos que descargó el Usuario Final: las direcciones URL e IP desde las que se realizó la descarga y la dirección URL de la página que se visitó antes de la página de descarga; el identificador del protocolo de descarga y el número del puerto de conexión; el estado que indica si las URL son maliciosas o no; los atributos y el tamaño del archivo, además de sus sumas de comprobación (MD5, SHA2-256, SHA1); la información acerca del proceso que descargó el archivo (las sumas de comprobación [MD5, SHA2-256, SHA1], la fecha y hora de creación/compilación, el estado de reproducción automática, los atributos, los nombres de los empaquetadores, la información sobre firmas, la marca del archivo ejecutable, el identificador de formato, el tipo de cuenta utilizada para iniciar el proceso); información sobre el archivo del proceso (nombre, ruta y tamaño del archivo), el nombre del archivo y su ruta en la Computadora; la firma digital del archivo y la marca de tiempo de su generación; la dirección URL en la cual se detectó; el número de la secuencia de comandos en la página que parece ser sospechosa o dañina; - información sobre las aplicaciones que se ejecutan y sus módulos: los datos sobre procesos que se ejecutan en el sistema (el identificador del proceso [PID], el nombre del proceso; la información sobre la cuenta desde la que se inició el proceso, la aplicación y el comando que iniciaron el proceso, el signo de programa o proceso de confianza, la ruta de acceso completa a los archivos del proceso y sus sumas de comprobación [MD5, SHA2-256,SHA1], la línea de comandos de inicio; el nivel de integridad del proceso; la descripción del producto al cual pertenece el proceso [el nombre del producto y la información sobre el editor], así como los certificados digitales utilizados y la información necesaria para verificar su autenticidad o la información acerca de la ausencia de la firma digital de un archivo); información sobre los módulos cargados en los procesos (sus nombres, tamaños, tipos, fechas de creación, atributos, sumas de comprobación [MD5, SHA2-256, SHA1], las rutas de acceso a estos en la Computadora); información sobre el encabezado del archivo PE, los nombres de los empaquetadores (si se empaquetó el archivo); - información sobre los posibles objetos y actividades maliciosos: nombre del objeto detectado y ruta completa al objeto en la Computadora, sumas de comprobación de los archivos procesados (MD5, SHA2-256, SHA1), fecha y hora de detección, nombres y tamaños de los archivos procesados y rutas a ellos, ruta al código de la plantilla, marca de archivo ejecutable, indicador respecto de si el objeto es un contenedor, nombres del empaquetador (si el archivo estaba empaquetado), código de tipo de archivo, identificador de formato del archivo, identificadores de las bases de datos de antivirus y de los registros de estas bases de datos de antivirus que se utilizaron para tomar la decisión, indicador de un objeto posiblemente malicioso, nombre de la amenaza detectada de conformidad con la clasificación del Titular del derecho, nivel de peligro, estado y método de detección, motivo para la inclusión en el contexto analizado y número de secuencia del archivo en el contexto, sumas de comprobación (MD5, SHA2-256, SHA1), nombre y atributos del archivo ejecutable de la aplicación a través del cual se transmitió el mensaje o el enlace infectado, direcciones IP (IPv4 e IPv6) del host del objeto bloqueado, entropía del archivo, indicador de ejecución automática del archivo, hora en que se detectó por primera vez el archivo en el sistema, cantidad de veces que se ejecutó el archivo desde que se envió la última estadística, tipo de compilador, información sobre el nombre, sumas de comprobación (MD5, SHA2-256, SHA1) y tamaño del cliente de correo a través del cual se recibió el objeto malicioso, identificación de la tarea del Software que realizó el escaneo, indicador respecto de si se corroboró la reputación o la firma del archivo, resultados de un análisis estadístico del objeto contenido, patrón del objeto, tamaño del patrón en bytes, y especificaciones técnicas de las tecnologías de detección aplicadas; - información sobre los objetos analizados: el grupo de confianza asignado en el que se ubicó el archivo o desde el que se ubicó; el motivo por el que el archivo se ubicó en esa categoría; el identificador de la categoría; la información sobre el origen de las categorías y la versión de la base de datos de la categoría; la marca de certificado de confianza del archivo; el nombre del proveedor del archivo; la versión del archivo; el nombre y la versión de la aplicación de software que contiene el archivo; - información sobre las vulnerabilidades detectadas: el identificador de la vulnerabilidad en la base de datos de vulnerabilidades, la clase de riesgo de la vulnerabilidad; - información acerca de la emulación del archivo ejecutable: el tamaño del archivo y sus sumas de comprobación (MD5, SHA2-256, SHA1); la versión del componente de la emulación, la profundidad de la emulación, el conjunto de propiedades de los bloques lógicos y las funciones situadas dentro de estos bloques que se obtuvieron durante la emulación; los datos provenientes de los encabezados de PE del archivo ejecutable; - información sobre ataques de red: las direcciones IP de la computadora atacante (IPv4 e IPv6), el número del puerto de la Computadora al que se dirige el ataque de red, el identificador del protocolo del paquete IP que contiene el ataque, el objetivo del ataque (nombre de la organización, sitio web), la marca de la reacción ante el ataque, la ponderación del ataque y el nivel de confianza; - información sobre ataques asociados a recursos de red falsificados, y las direcciones IP (IPv4 e IPv6) y DNS de los sitios web visitados; - direcciones IP (IPv4 o IPv6) y DNS del recurso web solicitado; la información sobre el archivo y el cliente web que accede al recurso web; información sobre el archivo y el cliente web que accede al recurso web; el nombre, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo, ruta completa al archivo y código de plantilla de la ruta, el resultado de la comprobación de la firma digital y su estado de conformidad con KSN; - información sobre la reversión de actividades de malware: datos sobre el archivo cuyas acciones se revirtieron (nombre del archivo, ruta de acceso completa, tamaño y sumas de comprobación [MD5, SHA2-256, SHA1]); datos sobre acciones llevadas a cabo correctamente y acciones fallidas destinadas para eliminar, cambiar el nombre y copiar archivos, y restaurar valores del registro (nombres de las claves del registro y sus valores); e información sobre archivos del sistema modificados por el malware, antes y después de la reversión; - información sobre las exclusiones establecidas para el componente de control de anomalías adaptativo: la identificación y el estado de la regla que se ejecutó, la acción llevada a cabo por el Software cuando se ejecutó la regla, el tipo de cuenta de usuario con la cual el proceso o el hilo lleva a cabo una actividad sospechosa, así como sobre el proceso sujeto a la actividad sospechosa (identificación de la secuencia o nombre del archivo del proceso, ruta de acceso completa al archivo del proceso, código del patrón de la ruta, sumas de comprobación [MD5, SHA2-256, SHA1] del archivo del proceso); información sobre el objeto que llevó a cabo las actividades sospechosas, así como sobre el objeto que quedó sujeto a acciones sospechosas (nombre de la clave del registro o nombre del archivo, ruta completa al archivo, código del patrón de la ruta, y sumas de comprobación [MD5, SHA2-256, SHA1] del archivo); - información acerca de los módulos que el Software cargó: el nombre, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo del módulo, su ruta completa y código del patrón de la ruta; los parámetros de la firma digital del archivo del módulo; la marca de tiempo de la generación de la firma; el nombre de la persona y de la organización que firmaron el archivo del módulo; el identificador del proceso en el cual se cargó el módulo; el nombre del proveedor del módulo; y el número de secuencia del módulo situado en la cola de carga; - información sobre la calidad de la interacción del Software con los servicios de KSN: fecha de inicio y finalización y hora del período durante el cual se generaron las estadísticas, información sobre la calidad de las solicitudes y la conexión a cada uno de los servicios de KSN utilizados (identificador del servicio de KSN, cantidad de solicitudes correctas, cantidad de solicitudes con respuestas de la caché, cantidad de solicitudes incorrectas [problemas de red, KSN desactivado en la configuración del Software, enrutamiento incorrecto], duración de las solicitudes correctas, duración de las solicitudes canceladas, duración de las solicitudes con límite de tiempo excedido, cantidad de conexiones a KSN tomadas desde la caché, cantidad de conexiones correctas a KSN, cantidad de conexiones incorrectas a KSN, cantidad de transacciones correctas, duración de las conexiones correctas a KSN, duración de las conexiones incorrectas a KSN, duración de las transacciones correctas, duración de las transacciones incorrectas); - si se detecta un objeto posiblemente malicioso, se debe proporcionar información sobre los datos en la memoria de los procesos: los elementos de la jerarquía de los objetos del sistema (ObjectManager), los datos de la memoria UEFI BIOS, los nombres de las claves del registro y sus valores; - información sobre los eventos en los registros de los sistemas: la marca de tiempo del evento, el nombre del registro en el que se encontró el evento, el tipo y la categoría del evento, el nombre de la fuente del evento y su descripción; - información sobre las conexiones de red: la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo desde el que se inició el proceso de apertura del puerto, la ruta de acceso al archivo del proceso y su firma digital, las direcciones IP locales y remotas, la cantidad de puertos de conexión local y remota, el estado de conexión, y la marca de tiempo de apertura del puerto; - información sobre la fecha de instalación y activación del Software en la Computadora: identificador del socio a quien se le compró la licencia, número de serie de la licencia, encabezado firmado del ticket del servicio de activación (identificador del centro de activación regional, suma de comprobación del código de activación, suma de comprobación del ticket, fecha de creación del ticket, identificador único del ticket, versión del ticket, estado de la licencia, fecha y hora de comienzo y finalización de la validez del ticket, identificador único de la licencia, versión de la licencia), identificador del certificado utilizado para firmar el encabezado del ticket, suma de comprobación (MD5) del archivo de la clave, identificador único para la instalación del Software en la Computadora, tipo e identificador de la aplicación que se actualiza, identificador del trabajo de actualización; - información sobre el conjunto de todas las actualizaciones instaladas y el conjunto de las últimas actualizaciones instaladas o eliminadas, el tipo de evento que ocasionó que se enviara la información de actualización, el tiempo transcurrido desde la instalación de la última actualización, y la información sobre las bases de datos antivirus instaladas; - información acerca del funcionamiento del Software en la Computadora: los datos de uso de la CPU, los datos de uso de la memoria (bytes privados, bloques no paginados, bloques paginados), la cantidad de amenazas del Software activas y en estado de espera, la duración de la operación del Software antes de que se produjese el error, la marca que indica que el Software opera en modo interactivo; - cantidad de volcados de software y volcados del sistema (BSOD) desde que se instaló el Software y a partir del momento de la última actualización, además del identificador y la versión del módulo del Software en la que se produjo el error, la pila de memoria del proceso del Software e información sobre las bases de datos antivirus en el momento en que se generó el error; - datos acerca del volcado del sistema (BSOD): la marca que refleja su aparición en la Computadora, el nombre del controlador que provocó el BSOD, la dirección y la pila de memoria del controlador, la marca que refleja la duración de la sesión del SO antes de que ocurriera el BSOD, la pila de memoria de los controladores que se bloquearon, el tipo de volcado de la memoria almacenada, la marca de la sesión del SO antes de que el BSOD se prolongara por más de 10 minutos, el identificador único del volcado y la marca de tiempo del BSOD; - información sobre los errores o problemas de rendimiento que tuvieron lugar durante la operación de los componentes del Software: identificación del estado del Software, tipo de error, código y causa, así como el horario en el que ocurrió el error, identificador del componente, módulo y proceso del producto en el que tuvo lugar el error, identificador de la tarea o categoría de actualización en el que tuvo lugar el error, registros de las unidades que utiliza el Software (código de error, nombre del módulo, nombre del archivo de origen y línea en la que ocurrió el error); - información sobre las actualizaciones de bases de datos de antivirus y componentes del Software: nombre, fecha y horario de los archivos de índice descargados durante la última actualización y en descarga en la actualización vigente; - información sobre la terminación anormal de la operación del Software: marca de tiempo de la creación del volcado, su tipo, tipo de evento que provocó la terminación anormal del funcionamiento del Software (cierre inesperado, error en la aplicación de terceros), fecha y horario del cierre inesperado; - información sobre la compatibilidad de los controladores del Software con el hardware y el Software: información sobre las propiedades del sistema operativo que limitan la funcionalidad de los componentes del Software (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), tipo de Software de descarga instalado (UEFI, BIOS), identificador de módulo de plataforma segura (TPM), versión de especificación de TPM, información sobre el CPU instalado en la Computadora, modo operativo y parámetros de la Integridad del Código y la Protección de Dispositivos, modo de funcionamiento de los controladores y motivo para utilizar el modo actual, versión de los controladores del Software, estado de soporte de virtualización del software y del hardware de la Computadora; - información acerca de las aplicaciones externas que generaron el error: su nombre, la versión y la ubicación; el código de error y la información sobre este, proveniente del registro de aplicaciones del sistema; la dirección de la aparición del error y la pila de la memoria de la aplicación externa; la marca que representa la aparición del error en el componente del Software; el período durante el cual funcionó la aplicación externa antes de que se produjera el error; las sumas de comprobación (MD5, SHA2-256, SHA1) de la imagen del proceso de la aplicación en el cual ocurrió el error; la ruta de acceso a la imagen del proceso de la aplicación y el código del patrón de la ruta de acceso; la información del registro del sistema, con una descripción del error asociado a la aplicación; la información sobre el módulo de la aplicación en la que se produjo el error (el identificador de la excepción, la ubicación del error en la memoria como un desplazamiento del módulo de la aplicación, el nombre y la versión del módulo, el identificador del error de la aplicación en el complemento del Titular del Derecho y la pila de memoria del error, y la duración de la sesión de aplicación antes de que se produjera el error); - versión del componente de actualización del Software y la cantidad de errores que ocurrieron en este componente durante la ejecución de tareas de actualización durante su ciclo de vida, el identificador de los tipos de tareas de actualización, la cantidad de intentos fallidos que realizó el componente de actualización a fin de completar las tareas correspondientes; - información sobre el funcionamiento de los componentes de monitoreo del sistema del Software: versiones completas de los componentes, fecha y hora en que se iniciaron los componentes, código del evento que desbordó la cola de eventos y la cantidad de dichos eventos, cantidad total de eventos de desborde de la cola, información sobre el archivo del proceso del iniciador del evento (nombre de archivo y su ruta en la Computadora, código de plantilla de la ruta del archivo, sumas de comprobación (MD5, SHA2-256, SHA1) del proceso asociado con el archivo, versión del archivo), identificador de la intercepción del evento que tuvo lugar, versión completa del filtro de intercepción, identificador del tipo de evento interceptado, tamaño de la cola del evento y la cantidad de eventos entre el primer evento de la cola y el evento actual, cantidad de eventos vencidos en la cola, información sobre el archivo del proceso del iniciador del evento actual (nombre del archivo y su ruta en la Computadora, código de patrón de la ruta del archivo, sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado con el archivo), duración del procesamiento del evento, duración máxima del procesamiento del evento, probabilidad del envío de estadísticas, información sobre los eventos del sistema operativo respecto de los cuales se excedió el límite de tiempo de procesamiento (fecha y hora del evento, cantidad de inicializaciones reiteradas de las base de datos de antivirus, fecha y hora de la inicialización repetida por última vez de las base de datos de antivirus luego de su actualización, tiempo de demora de procesamiento del evento para cada uno de los componentes de monitoreo del sistema, cantidad de eventos en cola, cantidad de eventos procesados, cantidad de eventos demorados del tipo actual, tiempo de demora total para los eventos del tipo actual, tiempo de demora total para todos los eventos); - información de la herramienta de seguimiento de eventos de Windows (Event Tracing for Windows, ETW) en caso de que se presenten problemas de rendimiento con el Software, proveedores de eventos SysConfig/SysConfigEx/WinSATAssessment de Microsoft: información sobre la Computadora (modelo, fabricante, factor de forma del alojamiento, versión), información sobre las métricas de rendimiento de Windows (evaluaciones WinSAT, índice de rendimiento de Windows), nombre de dominio, información sobre los procesadores físicos y lógicos (cantidad de procesadores físicos y lógicos, fabricante, modelo, nivel de revisión, cantidad de núcleos, frecuencia del reloj, CPUID, características del caché, indicadores de modos e instrucciones compatibles), información sobre los módulos RAM (tipo, factor de forma, fabricante, modelo, capacidad, granularidad de la distribución de la memoria), información sobre las interfaces de red (direcciones IP y MAC, nombre; descripción; configuración de las interfaces de red, desglose de la cantidad y del tamaño de los paquetes de red por tipo, velocidad del intercambio de la red, desglose de la cantidad de errores de red por tipo), configuración del controlador IDE, direcciones IP de los servidores DNS, información sobre la tarjeta de video (modelo, descripción, fabricante, compatibilidad, capacidad de memoria de video, permiso de la pantalla, cantidad de bits por píxel, versión BIOS), información sobre los dispositivos “enchufar y reproducir” (nombre, descripción, identificador del dispositivo [PnP, ACPI], información sobre los discos y dispositivos de almacenamiento (cantidad de discos o unidades flash, fabricante, modelo, capacidad de disco, cantidad de cilindros, cantidad de pistas por cilindro, cantidad de sectores por pista, capacidad del sector, características del caché, número secuencial, cantidad de particiones, configuración del controlador SCSI), información sobre los discos lógicos (número secuencial, capacidad de partición, capacidad de volumen, letra del volumen, tipo de partición, tipo del sistema de archivos, cantidad de clústeres, tamaño del clúster, cantidad de sectores por clúster, cantidad de clústeres vacíos y ocupados, carta de volumen reiniciable, dirección de desplazamiento de la partición en relación con el inicio del disco), información sobre la placa madre BIOS (fabricante, fecha de lanzamiento, versión), información sobre la placa madre (fabricante, modelo, tipo), información sobre la memoria física (capacidad compartida y libre), información sobre los servicios del sistema operativo (nombre, descripción, estado, etiqueta, información sobre los procesos [nombre y PID]), parámetros de consumo de energía para la Computadora, configuración del controlador de interrupción, ruta a las carpetas del sistema de Windows (Windows y System32), información sobre el sistema operativo (versión, edición, fecha de lanzamiento, nombre, tipo, fecha de instalación), tamaño del archivo de página, información sobre monitores (cantidad, fabricante, permiso de pantalla, capacidad de resolución, tipo), información sobre el controlador de la tarjeta de video (fabricante, fecha de lanzamiento, versión); - información sobre ETW, proveedores de eventos EventTrace/EventMetadata de Microsoft: información sobre la secuencia de eventos del sistema (tipo, horario, fecha, zona horaria), metadatos sobre el archivo con resultados de pista (nombre, estructura, parámetros de la pista, desglose de la cantidad de operaciones de pista por tipo), información sobre el sistema operativo (nombre, tipo, versión, edición, fecha de lanzamiento, horario de inicio); - información de ETW, proveedores de eventos de Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power de Microsoft: información sobre los procesos iniciados y completos (nombre, PID, parámetros de inicio, línea de comando, código de retorno, parámetros de administración de la energía, horario de inicio y compleción, tipo de token de acceso, SID, SessionID, cantidad de descriptores instalados), información sobre los cambios en las prioridades del hilo (TID, prioridad, horario), información sobre las operaciones de disco del proceso (tipo, horario, capacidad, cantidad), historial de cambios en la estructura y capacidad de procesos de memoria utilizable; - información de ETW, proveedores de eventos StackWalk/Perfinfo de Microsoft; información sobre los contadores de rendimiento (rendimiento de secciones de código individual, secuencia de llamadas de función, PID, TID, direcciones y atributos de ISR y DPC); - información de ETW, proveedor de eventos KernelTraceControl-ImageID de Microsoft: información sobre los archivos ejecutables y las bibliotecas dinámicas (nombre, tamaño de la imagen, ruta completa), información sobre archivos PDB (nombre, identificador), datos de recursos VERSIONINFO para los archivos ejecutables (nombre, descripción, creador, ubicación, versión e identificador de la aplicación, versión del archivo e identificador); - información de ETW; proveedores de eventos Filelo/Disklo/Image/Windows Kernel Disk de Microsoft: información sobre el archivo y las operaciones del disco (tipo, capacidad, horario de inicio, horario de compleción, duración, estado de compleción, PID, TID, direcciones de llamada de la función del controlador, Paquete de Solicitud de E/S (IRP), atributos de objeto de archivo de Windows), información sobre los archivos que forman parte de operaciones de archivo y disco (nombre, versión, tamaño, ruta completa, atributos, desplazamiento, suma de comprobación de la imagen, acciones abiertas y de acceso); - información de ETW, proveedor de eventos PageFault de Microsoft: información sobre los errores de acceso de la página de memoria (dirección, horario, capacidad, PID, TID, atributos del objeto de archivo de Windows, parámetros de distribución de la memoria); - información de ETW, proveedor de eventos de hilo de Microsoft: información sobre la creación/compleción del hilo, información sobre hilos iniciados (PID, TID, tamaño de la pila, prioridades y asignación de recursos del CPU, recursos de E/S, páginas de memoria entre hilos, dirección de la pila, dirección de la función init, dirección del Thread Environment Block [TEB], etiqueta de servicios de Windows); - información de ETW, proveedor de eventos Microsoft Windows Kernel Memory de Microsoft: información sobre las operaciones de administración de la memoria (estado de compleción, hora, cantidad, PID), estructura de asignación de la memoria (tipo, capacidad, SessionID, PID); - información sobre el funcionamiento del Software en caso de problemas de rendimiento: identificador de la instalación del Software, tipo y valor de caída en el rendimiento, información sobre la secuencia de eventos en el Software (hora, zona horaria, tipo, estado de compleción, identificador del componente de Software, identificador del escenario operativo del Software, TID, PID, direcciones de llamada de funciones), información sobre las conexiones de red a verificarse (URL, dirección de la conexión, tamaño del paquete de red), información sobre los archivos PDB (nombre, identificador, tamaño de imagen del archivo ejecutable), información sobre los archivos a verificarse (nombre, ruta completa; suma de comprobación), parámetros de monitoreo del rendimiento del Software; - información sobre el último reinicio fallido del SO: la cantidad de reinicios fallidos desde la instalación del SO, datos sobre el volcado del sistema (el código y los parámetros del error; el nombre, la versión y la suma de comprobación [CRC32] del módulo que generó el error en el funcionamiento del SO; la ubicación del error como un desplazamiento en el módulo; las sumas de comprobación [MD5, SHA2-256, SHA1] del volcado del sistema); - información para verificar la autenticidad de los certificados digitales que se utilizan para firmar archivos: la huella digital del certificado, el algoritmo de la suma de comprobación, la clave pública y el número de serie del certificado, el nombre del emisor del certificado, el resultado de la validación del certificado y el identificador de la base de datos del certificado; - información acerca del proceso que ejecuta el ataque a la defensa propia del Software: el nombre y el tamaño del archivo del proceso, sus sumas de comprobación (MD5, SHA2-256, SHA1), la ruta de acceso completa al archivo del proceso y el código del patrón de la ruta de acceso del archivo, la marca de tiempo de la creación o generación, código de tipo de archivo del proceso, la marca del archivo ejecutable, los atributos del archivo del proceso, la información acerca del certificado que se utiliza para firmar el archivo del proceso, el tipo de cuenta que se utiliza para llevar a cabo una actividad sospechosa en el proceso o hilo, el identificador de las operaciones realizadas para acceder al proceso, el tipo de recurso con el cual se realiza la operación (proceso, archivo, objeto de registro, función de búsqueda FindWindow), nombre del recurso con el cual se realiza la operación, la marca que indica que la operación se realizó correctamente, el estado del archivo del proceso y su firma, de conformidad con KSN; - información acerca del Software del Titular del Derecho: la versión completa, el tipo, el idioma regional y el estado de la operación, la versión de los componentes del Software que se instalaron y su estado de funcionamiento, la información sobre las actualizaciones instaladas, el valor del filtro TARGET, la versión del protocolo que se usó para conectarse a los servicios del Titular del Derecho; - información sobre el hardware que se instaló en la Computadora: el tipo, el nombre, el nombre del modelo, la versión del firmware, los parámetros de los dispositivos integrados y conectados, el identificador único de la Computadora con el Software instalado; - información sobre las versiones del sistema operativo y las actualizaciones instaladas, el tamaño de las palabras, la edición y los parámetros del modo de ejecución del SO, la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo kernel del SO, fecha y hora de inicio del SO; - información sobre la interacción del Usuario con los controles de la aplicación (clics, eventos táctiles). Además, a fin de alcanzar el propósito declarado de aumentar la eficacia de la protección que proporciona el Software, es posible que el Titular del Derecho reciba objetos que los intrusos podrían aprovechar para dañar la Computadora y representar amenazas a la seguridad de la información. Entre estos objetos se encuentran los siguientes: - archivos ejecutables y no ejecutables o sus fragmentos; - fragmentos de la RAM de la Computadora; - sectores involucrados en el proceso de inicialización del SO; - paquetes de datos de tráfico de red; - páginas web y correos electrónicos con objetos sospechosos y maliciosos; - descripción de las clases y las instancias de las clases del repositorio WMI; - informes de actividad de la aplicación. Dichos informes de actividad de la aplicación contienen los siguientes datos sobre los archivos y los procesos: - el nombre, el tamaño y la versión del archivo que se envía, su descripción y sus sumas de comprobación (MD5, SHA2-256, SHA1), el identificador de formato del archivo, el nombre del proveedor del archivo, el nombre de producto al cual pertenece el archivo, la ruta de acceso completa en la Computadora, el código del patrón de la ruta de acceso del archivo, las marcas de tiempo de la creación y modificación del archivo; - fecha y hora de inicio y finalización del período de validez del certificado (si el archivo tiene una firma digital), la fecha y la hora de la firma, el nombre del emisor del certificado, la información acerca del titular del certificado, la huella digital, el certificado de clave pública y sus algoritmos correspondientes, y el número de serie del certificado; - nombre de la cuenta desde la cual se ejecuta el proceso; - sumas de comprobación (MD5, SHA2-256, SHA1) del nombre de la Computadora desde la cual se ejecuta el proceso; - títulos de las ventanas del proceso; - identificador de las bases de datos antivirus, nombre de la amenaza detectada, de conformidad con la clasificación del Titular del derecho; - información sobre la licencia instalada, como el identificador de la licencia, el tipo y la fecha de caducidad; - hora local de la Computadora en el momento de proporcionar la información; - nombres y rutas de los archivos a los cuales se accedió a través del proceso; - nombres de las claves del registro y sus valores a los cuales se accedió a través del proceso; - direcciones IP y URL a las cuales se accedió a través del proceso; - direcciones IP y URL desde las cuales se descargó el archivo ejecutado. Además, a fin de alcanzar el propósito declarado de evitar falsos positivos, es posible que el Titular del Derecho reciba archivos de confianza, ejecutables y no ejecutables, o fragmentos de estos. La descripción de los datos transmitidos según la configuración de uso de KSN especificada se puede encontrar en el Manual del Usuario. Su decisión de participar El envío automático de datos al Titular del Derecho de manera periódica, en virtud de lo establecido en esta Declaración, depende totalmente de Usted. Puede anular Su consentimiento en cualquier momento desde los ajustes del Software, según se describe en el Manual del Usuario. © 2020 AO Kaspersky Lab