DECLARACIÓN DE KASPERSKY SECURITY NETWORK (KSN) - Kaspersky Endpoint Security 11 para Windows La declaración de Kaspersky Security Network (en lo sucesivo denominada "Declaración de KSN") se refiere al programa informático Kaspersky Endpoint Security (en lo sucesivo denominado "software"). La declaración de KSN, junto con el contrato de licencia de usuario final para el "software", en concreto en la sección "Condiciones relativas al procesamiento de datos", especifica las condiciones, las responsabilidades y los procedimientos relativos a la transmisión y el procesamiento de los datos, indicados en la declaración de KSN. Lea detenidamente los términos de la declaración de KSN, así como todos los documentos contemplados en la misma, antes de aceptarlos. Cuando el usuario final activa el uso de KSN, este es plenamente responsable de garantizar que el procesamiento de los datos personales de los interesados es legal, en concreto, con arreglo a lo dispuesto en el artículo 6 (1) (a) a (1) (f) del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, "RGPD") si el Interesado está en la Unión Europea, o las leyes vigentes relativas a la información confidencial, los datos personales, la protección de datos, o similares. Protección y procesamiento de datos Los datos recibidos por el titular de los derechos de parte del usuario final durante el uso de KSN se gestionan de acuerdo con la política de privacidad del titular de los derechos publicada en: https://www.kaspersky.com/Products-and-Services-Privacy-Policy. Objetivo del procesamiento de datos Poder aumentar la velocidad de reacción del Software ante las amenazas a la seguridad de la red y la información. El objetivo declarado se consigue mediante las siguientes acciones: - Determinar la reputación de los objetos analizados. - Identificar las amenazas de seguridad de la información que son nuevas y difíciles de detectar, así como sus fuentes. - Tomar medidas rápidas para aumentar la protección de los datos almacenados y procesados por el usuario final con el ordenador. - Reducir la probabilidad de falsos positivos. - Aumentar la eficiencia de los componentes de "software". - Prevenir incidentes de seguridad de la información e investigar los incidentes que sí se han producido. - Mejorar el rendimiento de los productos del titular de los derechos. - Recibir información de referencia sobre el número de objetos con reputación conocida. Datos procesados Mientras KSN esté activado, el Titular de los derechos recibirá y procesará automáticamente los siguientes datos: Los datos que transmite el Usuario dependen del tipo de licencia instalada y la configuración de uso de KSN especificada. Si utiliza una licencia para 1-4 nodos, el Titular de los derechos recibirá y procesará automáticamente los siguientes datos durante el uso de KSN: - Información sobre actualizaciones de configuración de KSN: identificador de la configuración activa, identificador de la configuración recibida, código de error de la actualización de configuración. - Información sobre los archivos y las direcciones URL que se van a analizar: las sumas de comprobación del archivo analizado (MD5, SHA2-256, SHA1) y los patrones de archivos (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre según la clasificación del titular de los derechos, el identificador de las bases de datos antivirus, la dirección URL para la que se solicita la reputación, así como la dirección URL del remitente, el identificador de protocolo de la conexión y el número de puerto que se utiliza. - El identificador de la tarea de análisis que ha detectado la amenaza. - Información sobre los certificados digitales que se utilizan y se necesitan para verificar su autenticidad: las sumas de comprobación (SHA2-256) del certificado utilizadas para firmar el objeto escaneado y la clave pública del certificado. - el identificador del componente del Software que realiza el análisis; - los ID de las bases de datos antivirus y de los registros de estas bases de datos antivirus; - información sobre la activación del Software en el Ordenador: el encabezado firmado del tique del servicio de activación (identificador del centro de activación regional, suma de comprobación del código de activación, suma de comprobación del tique, fecha de creación del tique, identificador único del tique, versión del tique, estado de la licencia, fecha y hora de inicio/finalización de validez del tique, identificador único de la licencia, versión de la licencia), el identificador del certificado utilizado para firmar el encabezado del tique, la suma de comprobación (MD5) del archivo clave; - información sobre el Software del titular de los derechos: su versión completa, el tipo, la versión del protocolo utilizado para conectarse con los servicios del titular de los derechos. Si utiliza una licencia para 5 o más nodos, el Titular de los derechos recibirá y procesará automáticamente los siguientes datos durante el uso de KSN: - Información sobre actualizaciones de configuración de KSN: identificador de la configuración activa, identificador de la configuración recibida, código de error de la actualización de configuración. - Información sobre los archivos y las direcciones URL que se van a analizar: las sumas de comprobación del archivo analizado (MD5, SHA2-256, SHA1) y los patrones de archivos (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre según la clasificación del titular de los derechos, el identificador de las bases de datos antivirus, la dirección URL para la que se solicita la reputación, así como la dirección URL del remitente, el identificador de protocolo de la conexión y el número de puerto que se utiliza. - Información sobre los resultados de la categorización de los recursos web solicitados, que contiene la dirección URL procesada y la dirección IP del "host", la versión del componente de "software" que ha realizado la categorización, el método de categorización y el conjunto de categorías definidas para el recurso web. - El identificador de la tarea de análisis que ha detectado la amenaza. - Información sobre los certificados digitales que se utilizan y se necesitan para verificar su autenticidad: las sumas de comprobación (SHA2-256) del certificado utilizadas para firmar el objeto escaneado y la clave pública del certificado. - Información sobre el "software" instalado en el ordenador: los nombres de las aplicaciones de "software" y los proveedores de "software", las claves de registro y sus valores, información sobre los archivos de los componentes de "software" instalados (sumas de comprobación (MD5, SHA2-256, SHA1), nombre, la ruta al archivo en el ordenador, tamaño, versión y firma digital). - Información sobre el estado de la protección antivirus del ordenador: las versiones y la fecha y la hora de la versión de las bases de datos antivirus que se utilizan, el identificador del trabajo y el identificador del componente de "software" que realiza el análisis. - Información sobre los archivos descargados por el usuario final: la dirección URL y la dirección IP de la descarga y dirección URL de la página que se visitó antes de la página de descarga, el identificador del protocolo de descarga y el número de puerto de conexión, el estado de las direcciones URL como maliciosas o no, los atributos de archivo, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1), información sobre el proceso que ha descargado el archivo (sumas de comprobación [MD5, SHA2-256, SHA1], la fecha y la hora de creación/compilación, el estado de reproducción automática, los atributos, los nombres de compresores, información sobre las firmas, el indicador de archivo ejecutable, el identificador de formato y el tipo de cuenta utilizada para iniciar el proceso), información sobre el archivo del proceso (nombre, ruta de archivo y tamaño), el nombre del archivo y su ruta en el ordenador, la firma digital del archivo y la fecha y la hora de su generación, la dirección URL donde se produjo la detección, el número de "script" en la página que parece sospechosa o dañina. - Información sobre las aplicaciones que se ejecutan y sus módulos: datos sobre los procesos que se ejecutan en el sistema (ID de proceso [PID], el nombre del proceso, información sobre la cuenta desde la que se inició el proceso, la aplicación y el comando que iniciaron el proceso, la señal de programa o proceso de confianza, la ruta completa a los archivos del proceso y sus sumas de comprobación [MD5, SHA2-256, SHA1], la línea de comando de arranque, el nivel de integridad del proceso, una descripción del producto al que pertenece el proceso [nombre del producto e información sobre el fabricante], así como los certificados digitales que se utilizan y la información necesaria para verificar su autenticidad o información sobre la ausencia de la firma digital de un archivo) e información sobre los módulos cargados en los procesos (sus nombres, tamaños, tipos, fechas de creación, atributos, sumas de comprobación [MD5, SHA2-256, SHA1], las rutas de acceso a estos elementos en el Ordenador), información del encabezado de archivo PE, los nombres de los compresores (si el archivo estaba comprimido). - Información sobre todas las actividades y los objetos potencialmente maliciosos: los nombres de los objetos detectados y la ruta completa al objeto en el ordenador, las sumas de comprobación de los archivos procesados (MD5, SHA2-256, SHA1), la fecha y la hora de detección, los nombres y los tamaños de los archivos procesados y las rutas a estos archivos, el código de plantilla de la ruta, el indicador de archivo ejecutable, un indicador de si el objeto es un contenedor, los nombres del compresor (si el archivo estaba comprimido), el código del tipo de archivo, el ID del formato del archivo, los ID de las bases de datos antivirus y de los registros de estas bases de datos antivirus que se utilizaron para tomar la decisión, el indicador de un objeto potencialmente malicioso, el nombre de la amenaza detectada de acuerdo con la clasificación del titular de los derechos, el nivel de peligro, el estado de detección y el método de detección, el motivo para su inclusión en el contexto analizado y el número de secuencia del archivo en el contexto, las sumas de comprobación (MD5, sHA2-256, SHA1), el nombre y los atributos del archivo ejecutable de la aplicación a través de la que se transmitió el mensaje o el enlace infectado, las direcciones IP (IPv4 e IPv6) del host del objeto bloqueado, la entropía del archivo, el indicador de ejecución automática del archivo, la hora en la que el archivo se detectó por primera vez en el sistema, el número de veces que el archivo se ejecutó desde que se enviaron las últimas estadísticas, el tipo de compilador, la información sobre el nombre, las sumas de comprobación (MD5, SHA2-256, SHA1) y el tamaño del cliente de correo a través del que se recibió el objeto malicioso, el ID de la tarea de "software" que realizó el análisis, un indicador de si se comprobó la firma o reputación del archivo, los resultados de un análisis estático del objeto contenido, el patrón del objeto, el tamaño del patrón en "bytes" y las especificaciones técnicas de las tecnologías de detección aplicadas. - Información sobre los objetos analizados: el grupo de confianza asignado al que o desde el que se ha colocado el archivo, el motivo por el que el archivo se colocó en esa categoría, el identificador de la categoría, información sobre la fuente de las categorías y la versión de la base de datos de la categoría, el indicador del certificado de confianza del archivo, el nombre del proveedor del archivo, la versión del archivo, el nombre y la versión de la aplicación de "software" que incluye el archivo. - Información sobre vulnerabilidades detectadas: el ID de vulnerabilidad en la base de datos de vulnerabilidades, la clase de peligro de vulnerabilidad. - Información sobre la emulación del archivo ejecutable: el tamaño del archivo y sus sumas de comprobación (MD5, SHA2-256, SHA1), la versión del componente de emulación, la profundidad de emulación, una matriz de propiedades de bloques lógicos y funciones dentro de los bloques lógicos obtenidos durante la emulación, datos de los encabezados PE del archivo ejecutable. - Información sobre los ataques de red, las direcciones IP del ordenador atacante (IPv4 e IPv6), el número de puerto en el ordenador al que está dirigido el ataque de red, el identificador del protocolo del paquete IP que contiene el ataque, el objetivo del ataque (nombre de la organización, sitio web), indicador para la reacción al ataque, el peso del ataque, el nivel de confianza. - Información sobre los ataques asociados con recursos de red falsificados, las direcciones DNS e IP (IPv4 e IPv6) de los sitios web visitados. - Las direcciones DNS e IP (IPv4 o IPv6) del recurso web solicitado, información sobre el archivo y el cliente web que accede al recurso web, el nombre, el tamaño, las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo, su ruta completa y el código de plantilla de la ruta, el resultado de la verificación de la firma digital y su estado de conformidad con KSN. - Información sobre la reversión de las actividades de "malware": los datos sobre el archivo cuya actividad se está revirtiendo (el nombre del archivo, la ruta completa al archivo, su tamaño y las sumas de comprobación [MD5, SHA2-256, SHA1]), los datos sobre las acciones exitosas y no exitosas que se van a eliminar, renombrar y copiar los archivos y restaurar los valores en el registro (nombres de las claves del registro y sus valores), e información sobre los archivos del sistema modificados por el "malware", antes y después de la reversión. - Información sobre el conjunto de exclusiones para el componente de control de anomalía Adaptive: el ID y el estado de la regla que se activó, la acción realizada por el "software" cuando la regla se activó, el tipo de cuenta de usuario bajo la cual el proceso o el subproceso realiza actividad sospechosa, así como sobre el proceso que estuvo sujeto a actividad sospechosa (el ID de "script" o el nombre de archivo de proceso, la ruta completa al archivo del proceso, el código de plantilla de la ruta, las sumas de comprobación [MD5, SHA2-256, SHA1] del archivo del proceso); información sobre el objeto que realizó las actividades sospechosas así como sobre el objeto que estuvo sometido a las actividades sospechosas (el nombre de la clave de registro o el nombre del archivo, la ruta completa al archivo, el código de plantilla de la ruta y las sumas de comprobación [MD5, SHA2-256, SHA1] del archivo). - Información sobre los módulos de "software" cargados: el nombre, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo de módulo, su ruta completa y el código de plantilla de la ruta, los parámetros de la firma digital del archivo del módulo, la fecha y la hora de la generación de la firma, los nombres de la persona y la organización que firmaron el archivo del módulo, el ID del proceso en el que el módulo se cargó, el nombre del proveedor del módulo y el número de secuencia del módulo en la cola de carga. - Información sobre la calidad de la interacción del "software" con los servicios de KSN: la fecha y la hora de inicio y finalización del periodo en el que se generaron las estadísticas, la información sobre la calidad de las solicitudes y la conexión a cada uno de los servicios de KSN utilizados (el ID del servicio de KSN, el número de solicitudes con éxito, el número de solicitudes con respuestas de la memoria caché, el número de solicitudes sin éxito [problemas de red, desactivación de KSN en la configuración del "software", enrutamiento incorrecto], duración de las solicitudes con éxito, duración de las solicitudes canceladas, duración de las solicitudes que han excedido el límite de tiempo, número de conexiones de KSN tomadas de la memoria caché, número de conexiones a KSN con éxito, número de conexiones a KSN sin éxito, número de transacciones con éxito, número de transacciones sin éxito, duración de las conexiones a KSN con éxito, duración de las conexiones a KSN sin éxito, duración de las transacciones con éxito, duración de las transacciones sin éxito). - Si se detecta un objeto potencialmente malicioso, se proporciona información sobre los datos de la memoria del proceso: los elementos de la jerarquía de objetos del sistema (ObjectManager), los datos de la memoria UEFI BIOS, los nombres de las claves del registro y sus valores. - Información sobre los eventos en los registros de los sistemas: la fecha y la hora del evento, el nombre del registro en el que se encontró el evento, el tipo y la categoría del evento, el nombre de la fuente del evento y la descripción del mismo. - Información sobre las conexiones de red: la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo desde el que se inició el proceso de apertura del puerto, la ruta de acceso al archivo del proceso y su firma digital, las direcciones IP locales y remotas, el número de puertos de conexión local y remota, el estado de conexión, la fecha y la hora de la apertura del puerto. - Información sobre la fecha de instalación y activación del "software" en el ordenador: el identificador del socio a quien se compró la licencia, el número de serie de la licencia, el encabezado firmado del tique del servicio de activación (identificador del centro de activación regional, suma de comprobación del código de activación, suma de comprobación del tique, fecha de creación del tique, identificador único del tique, versión del tique, estado de la licencia, fecha y hora de inicio/finalización de validez del tique, identificador único de la licencia, versión de la licencia), el identificador del certificado utilizado para firmar el encabezado del tique, la suma de comprobación (MD5) del archivo clave, el identificador único para la instalación del "software" en el ordenador, el tipo y el identificador de la aplicación que se está actualizando, el identificador del trabajo de actualización. - Información sobre el conjunto de todas las actualizaciones instaladas y el conjunto de actualizaciones instaladas o eliminadas recientemente, el tipo de evento que provocó el envío de la información de actualización, el tiempo transcurrido desde la instalación de la última actualización, información sobre las bases de datos antivirus instaladas actualmente. - Información sobre la operación del "software" en el ordenador: los datos de uso de la CPU, los datos de uso de la memoria ("bytes" privados, grupo no paginado, grupo paginado), el número de subprocesos del "software" activos y de subprocesos en estado de espera, la duración de la operación del "software" antes de que ocurriese el error, un indicador de si el "software" está operando en modo interactivo. - Número de volcados de "software" y volcados del sistema (BSOD) desde que se instaló el "software" y desde el momento de la última actualización, el identificador y la versión del módulo de "software" que se bloqueó, la pila de memoria en el proceso del "software" y la información sobre las bases de datos antivirus en el momento del bloqueo. - Datos del volcado del sistema (BSOD): un indicador que muestra la incidencia del BSOD en el ordenador, el nombre del controlador que provocó el BSOD, la dirección y la pila de memoria del controlador, un indicador que muestra la duración de la sesión del SO antes de que se produjera el BSOD, la pila de memoria del controlador que se bloqueó, el tipo de volcado de memoria almacenada, el indicador de la sesión del SO antes de que el BSOD durara más de diez minutos, identificador único del volcado, la fecha y la hora del BSOD. - Información sobre errores o problemas de rendimiento que se produjeron durante la operación de los componentes del "software": el ID de estado del "software", el tipo de error, el código y la causa, así como el momento en el que ocurrió el error, los ID del componente, el módulo y el proceso del producto en el que ocurrió el error, el ID de la tarea o la categoría de actualización durante la que ocurrió el error, los registros de los controladores utilizados por el "software" (código de error, nombre de módulo, nombre del archivo de origen y la línea donde ocurrió el error). - Información sobre actualizaciones de las bases de datos antivirus y los componentes del "software": el nombre, la fecha y la hora de los archivos índice descargados durante la última actualización y que se descargan durante la actualización actual. - Información sobre la terminación anormal de la operación del "software": la fecha y la hora de la creación del volcado, su tipo, el tipo de evento que causó la terminación anormal de la operación del "software" (apagado inesperado, fallo de la aplicación de terceros), la fecha y la hora del apagado inesperado. - Información sobre la compatibilidad de los controladores del "software" con "hardware" y "software": información sobre las propiedades del sistema operativo que restringen la funcionalidad de los componentes del "software" (arranque seguro, KPTI, WHQL Enforce, BitLocker, sensibilidad de mayúsculas y minúsculas), tipo de "software" de descarga instalado (UEFI, BIOS), el identificador del Módulo de Plataforma de Confianza (TPM), la versión de la especificación del TPM, la información sobre la CPU instalada en el ordenador, el modo de funcionamiento y los parámetros de la integridad de código y el Device Guard, el modo de funcionamiento de los controladores y la razón para el uso del modo actual, la versión de los controladores del "software", el estado de soporte de virtualización de "hardware" y "software" del ordenador. - Información sobre las aplicaciones de terceros que provocaron el error: el nombre, la versión y la localización, el código de error e información sobre el error del registro del sistema de aplicaciones, la dirección del error y la pila de memoria de la aplicación de terceros, un indicador que muestra la incidencia del error en el componente de "software", el tiempo durante el que la aplicación de terceros estaba en funcionamiento antes de que se produjera el error, las sumas de comprobación (MD5, SHA2-256, SHA1) de la imagen del proceso de la aplicación en el que se produjo el error, la ruta a la imagen del proceso de la aplicación y el código de la plantilla de la ruta, información del registro del sistema con una descripción del error asociado con la aplicación, información sobre el módulo de la aplicación, en el que se produjo un error (el identificador de la excepción, la dirección de la memoria de bloqueo como un desplazamiento en el módulo de la aplicación, el nombre y la versión del módulo, el identificador del bloqueo de la aplicación en el complemento del titular de los derechos y la pila de memoria del bloqueo, la duración de la sesión de la aplicación antes de que se produjera el bloqueo). - La versión del componente de actualización de "software", el número de bloqueos del componente de actualización mientras se ejecuta tareas de actualización durante la vida útil del componente, el ID del tipo de tarea de actualización, el número de intentos fallidos del componente de actualización para completar las tareas de actualización. - Información sobre el funcionamiento de los componentes de supervisión del sistema de "software": las versiones completas de los componentes, la fecha y la hora en la que se iniciaron los componentes, el código del evento que desbordó la cola de eventos y el número de tales eventos, el número total de eventos de desbordamiento de cola, información sobre el archivo del proceso del iniciador del evento (el nombre del archivo y su ruta en el ordenador, el código de plantilla de la ruta del archivo, las sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado al archivo, la versión del archivo), el identificador de la intercepción del evento que se ha producido, la versión completa del filtro de la intercepción, el identificador del tipo de evento interceptado, el tamaño de la cola de eventos y el número de eventos entre el primer evento en la cola y el evento actual, el número de eventos retrasados en la cola, información sobre el archivo del proceso del iniciador del evento actual (el nombre del archivo y su ruta en el ordenador, el código de plantilla de la ruta del archivo, las sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado al archivo), la duración del procesamiento del evento, la duración máxima del procesamiento del evento, la probabilidad de enviar estadísticas, información sobre eventos del sistema operativo para los que se excedió el tiempo límite (la fecha y hora del evento, el número de inicializaciones repetidas de las bases de datos antivirus, la fecha y hora de la última inicialización repetida de las bases de datos antivirus tras su actualización, el tiempo de retraso del procesamiento del evento para cada componente de supervisión del sistema, el número de eventos en cola, el número de eventos procesados, el número de eventos retrasados del tipo actual, el tiempo total retrasado para los eventos del tipo actual, el tiempo total retrasado de todos los eventos). - Información de la herramienta de seguimiento de eventos de Windows (Event Tracing para Windows, ETW) en caso de problemas de rendimiento del "software", proveedor de eventos SysConfig/SysConfigEx/Win SATAssessment de Microsoft: información sobre el ordenador (modelo, fabricante, diseño de la carcasa, versión), información sobre las métricas de rendimiento de Windows (evaluaciones de WinSAT, índice de rendimiento de Windows), nombre de dominio, información sobre procesadores lógicos y físicos (número de procesadores lógicos y físicos, fabricante, modelo, nivel de revisión, número de núcleos, frecuencia de reloj, CPUID, características de la memoria caché, características del procesador lógico, indicadores de modos soportados e instrucciones), información sobre módulos RAM (tipo, diseño, fabricante, modelo, capacidad, granularidad de la asignación de memoria), información sobre interfaces de red (direcciones IP y direcciones MAC, nombre, descripción, configuración de interfaces de red, desglose del número y tamaño de paquetes de red por tipo, velocidad de intercambio de red, desglose del número de errores de red por tipo), configuración del controlador IDE, direcciones IP de los servidores DNS, información sobre la tarjeta de vídeo (modelo, descripción, fabricante, compatibilidad, capacidad de memoria de vídeo, permiso de pantalla, número de bits por píxel, versión del BIOS), información sobre dispositivos plug-and-play (nombre, descripción, identificador del dispositivo [PnP, ACPI], información sobre discos y dispositivos de almacenamiento (número de discos o unidades flash, fabricante, modelo, capacidad de disco, número de cilindros, número de pistas por cilindro, número de sectores por pista, capacidad del sector, características de la memoria caché, número secuencial, número de particiones, configuraciones del controlador SCSI), información sobre discos lógicos (número secuencial, capacidad de la partición, capacidad del volumen, letra del volumen, tipo de partición, tipo del sistema de archivo, número de clústeres, tamaño del clúster, número de sectores por clúster, número de clústeres vacíos y ocupados, letra de volumen de arranque, dirección de desplazamiento de la partición en relación con el inicio del disco), información sobre la placa base del BIOS (fabricante, fecha de publicación, versión), información sobre la placa base (fabricante, modelo, tipo), información sobre la memoria física (capacidad libre y compartida), información sobre los servicios del sistema operativo (nombre, descripción, estado, etiqueta, información sobre procesos [nombre y PID]), parámetros de consumo de energía del Ordenador, configuración del controlador de interrupción, ruta a las carpetas de sistema de Windows (Windows y System32), información sobre el sistema operativo (versión, compilación, fecha de publicación, nombre, tipo, fecha de instalación), tamaño del archivo de página, información sobre monitores (número, fabricante, permiso de pantalla, capacidad de resolución, tipo), información sobre el controlador de la tarjeta de vídeo (fabricante, fecha de publicación, versión). - Información de la ETW, proveedores de eventos EventTrace/EventMetadata de Microsoft: información sobre la secuencia de eventos del sistema (tipo, hora, fecha, zona horaria), metadatos sobre el archivo con resultados de seguimiento (nombre, estructura, parámetros de seguimiento, desglose del número de operaciones de seguimiento por tipo), información sobre el sistema operativo (nombre, tipo, versión, compilación, fecha de publicación, hora de inicio). - Información de la ETW, proveedores de eventos Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power de Windows: información sobre procesos iniciados y completados (nombre, PID, parámetros de inicio, línea de comando, código de retorno, parámetros de administración de energía, hora de inicio y finalización, tipo de "token" de acceso, SID, ID de la sesión, número de descriptores instalados), información sobre cambios en las prioridades de subprocesos (TID, prioridad, hora), información sobre operaciones de disco del proceso (tipo, hora, capacidad, número), historial de cambios de la estructura y la capacidad de los procesos de memoria utilizables. - Información de la ETW, proveedores de eventos StackWalk/Perfinfo de Microsoft: información sobre contadores de rendimiento (rendimiento de secciones de código individuales, secuencia de llamadas a funciones, PID, TID, direcciones y atributos de las rutinas de servicio de interrupción (ISR) y llamadas de procedimiento diferido (DPC)). - Información de la ETW, proveedor de eventos KernelTraceControl-ImageID de Microsoft: información sobre archivos ejecutables y librerías dinámicas (nombre, tamaño de imagen, ruta completa), información sobre archivos PDB (nombre, identificador), datos de origen VERSIONINFO para archivos ejecutables (nombre, descripción, creador, ubicación, versión e identificador de aplicación, versión e identificador de archivo). - Información de la ETW, proveedor de eventos FileIo/DiskIo/Image/Windows Kernel Disk de Microsoft: información sobre operaciones de archivos y discos (tipo, capacidad, hora de inicio, hora de finalización, duración, estado de finalización, PID, TID, direcciones de llamada de la función del controlador, paquete de solicitud de I/O (IRP), atributos del objeto de archivo de Windows), información sobre archivos involucrados en operaciones de archivos y discos (nombre, versión, tamaño, ruta completa, atributos, desplazamiento, suma de comprobación de imagen, opciones de apertura y acceso). - Información de la ETW, proveedor de eventos PageFault de Microsoft: información sobre errores de acceso de la página de memoria (dirección, hora, capacidad, PID, TID, atributos del objeto de archivo de Windows, parámetros de asignación de memoria). - Información de la ETW, proveedor de eventos Thread de Microsoft: información sobre la creación/finalización de subprocesos, información sobre subprocesos iniciados (PID, TID, tamaño de pila, prioridades y asignación de recursos de la CPU, recursos de I/O, páginas de memoria entre subprocesos, dirección de la pila, dirección de la función "init", dirección del Thread Environment Block (TEB), etiqueta de servicio de Windows). - Información de la ETW, proveedor de eventos Microsoft Windows Kernel Memory de Microsoft: información sobre las operaciones de administración de memoria (estado de finalización, hora, cantidad, PID), estructura de asignación de memoria (tipo, capacidad, ID de la sesión, PID). - Información sobre el funcionamiento del "software" en caso de problemas de rendimiento: identificador de instalación del "software", tipo y valor de la caída en el rendimiento, información sobre la secuencia de eventos dentro del "software" (hora, zona horaria, tipo, estado de finalización, identificador del componente del "software", identificador del escenario operativo del "software", TID, PID, direcciones de llamadas de función), información sobre conexiones de red que se deben comprobar (URL, dirección de la conexión, tamaño del paquete de red), información sobre archivos PDB (nombre, identificador, tamaño de imagen del archivo ejecutable), información sobre archivos que se van a comprobar (nombre, ruta completa, suma de comprobación), parámetros de seguimiento de rendimiento del "software". - Información sobre el último reinicio del SO incorrecto: el número de reinicios incorrectos desde la instalación del SO, los datos en el volcado del sistema (el código y los parámetros de un error, el nombre, la versión y la suma de comprobación [CRC32] del módulo que provocó un error en el funcionamiento del SO, la dirección del error como desplazamiento en el módulo, las sumas de comprobación [MD5, SHA2-256, SHA1] del volcado del sistema). - Información para verificar la autenticidad de los certificados digitales que se utilizan para firmar archivos: la huella digital del certificado, el algoritmo de la suma de comprobación, la clave pública y el número de serie del certificado, el nombre del emisor del certificado, el resultado de la validación del certificado y el identificador de la base de datos del certificado. - Información sobre el proceso que ejecuta el ataque sobre la capacidad del "software" para defenderse a sí mismo: el nombre y el tamaño del archivo de proceso, sus sumas de comprobación (MD5, SHA2-256, SHA1), la ruta completa al archivo de proceso y el código de plantilla de la ruta del archivo, la fecha y la hora de creación/compilación, el código de tipo de archivo del proceso, el indicador del archivo ejecutable, los atributos del archivo de proceso, información sobre el certificado que se ha utilizado para firmar el archivo de proceso, el tipo de cuenta utilizada para realizar la actividad sospechosa dentro del proceso o subproceso, los ID de las operaciones realizadas para acceder al proceso, el tipo de recurso con el que se realiza la operación (el proceso, el archivo, el objeto de registro, la función de búsqueda FindWindow), el nombre del recurso con el que se realiza la operación, el indicador que muestra el éxito de la operación, el estado del archivo del proceso y su firma de conformidad con KSN. - Información sobre el "software" del titular de los derechos: su versión completa, el tipo, el idioma local y el estado de funcionamiento, la versión de los componentes de "software" instalados y su estado de funcionamiento, información sobre las actualizaciones instaladas, el valor del filtro TARGET, la versión del protocolo utilizado para conectarse con los servicios del titular de los derechos. - Información sobre el "hardware" instalado en el ordenador: el tipo, el nombre, el nombre del modelo, la versión del "firmware", los parámetros de los dispositivos integrados y conectados, el identificador único del ordenador con el "software" instalado. - Información sobre las versiones del sistema operativo y las actualizaciones instaladas, el tamaño de la palabra, la edición y los parámetros del modo de ejecución del sistema operativo, la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo del núcleo del sistema operativo, y la fecha y la hora de inicio del sistema operativo. - información sobre la interacción del usuario con los controles de la aplicación (clics, eventos táctiles). Además, para lograr el objetivo declarado de aumentar la eficacia de la protección proporcionada por el "software", el titular de los derechos puede recibir objetos que los intrusos podrían explotar para dañar el ordenador y crear amenazas de seguridad de la información. Entre tales objetos se incluyen los siguientes: - Archivos ejecutables y no ejecutables, o bien partes de estos. - Partes de la RAM del ordenador. - Sectores involucrados en el proceso de arranque del sistema operativo. - Paquetes de datos de tráfico de red. - Páginas web y correos electrónicos que contienen objetos sospechosos y maliciosos. - Descripción de las clases e instancias de clases del repositorio WMI. - Informes de actividad de la aplicación. Tales informes de actividad de la aplicación contienen los siguientes datos sobre los archivos y procesos: - El nombre, el tamaño y la versión del archivo que se envía, su descripción y las sumas de comprobación (MD5, SHA2-256, SHA1), el identificador del formato de archivo, el nombre del proveedor del archivo, el nombre del producto al que pertenece el archivo, la ruta completa en el ordenador, el código de plantilla de la ruta de archivo, la fecha y la hora de la creación y modificación del archivo. - La fecha y la hora de inicio y finalización del periodo de validez del certificado (si el archivo tiene una firma digital), la fecha y la hora de la firma, el nombre del emisor del certificado, información sobre el titular del certificado, la huella digital, la clave pública del certificado y los algoritmos apropiados, y el número de serie del certificado. - El nombre de la cuenta desde la que se ejecuta el proceso. - Sumas de comprobación (MD5, SHA2-256, SHA1) del nombre del ordenador en el que se ejecuta el proceso. - Títulos de las ventanas de proceso. - El identificador de las bases de datos antivirus, el nombre de la amenaza detectada según la clasificación del titular de los derechos. - Los datos sobre la licencia instalada, su identificador, el tipo y la fecha de caducidad. - Hora local del ordenador en el momento de la provisión de información. - Nombres y rutas de los archivos a los que se accedieron mediante el proceso. - Nombres de las claves del registro y sus valores a los que se accedieron mediante el proceso. - Direcciones URL y direcciones IP a las que se accedieron mediante el proceso. - Direcciones URL y direcciones IP desde las que se descargó el archivo ejecutable. Además, para lograr el objetivo declarado con respecto a la prevención de falsos positivos, el titular de los derechos puede recibir archivos ejecutables y no ejecutables de confianza, o bien partes de estos. La descripción de los datos transmitidos según la configuración de uso de KSN especificada se puede consultar en el Manual del usuario. Decisión de participación Es decisión suya optar por enviar o no automáticamente y de forma regular los datos al Titular de los derechos en virtud de esta Declaración. En cualquier momento, puede retirar su consentimiento mediante las opciones de configuración del Software que se describen en el manual del usuario. © 2020 AO Kaspersky Lab