Aquest post és la continuació d’una primera entrada al blog sobre Ciberseguretat.

Internet: No tot és gratUIT

Hi ha un axioma estès en un ampli percentatge de la població: Internet ens permet fer de tot, o gairebé de tot, i gratis. El boom de les apps mòbils o dels serveis web que no demanen un pagament en diners ens genera la percepció que no estem pagant pel seu ús o consum. I no és així. Paguem amb publicitat i, el que és més important, amb informació.
1. Les nostres cerques i visites a Internet són registrades i analitzades. Proporcionen informació estadística, de tendències, que pot ser comercialitzada amb serveis com Google Analytics. També permeten generar un perfil de cada usuari amb dades més personals com el model de mòbil, els interessos que té, els llocs que visita, les fotos que fa… Us recomano la lectura d’aquest article de Yolanda Valery a com “Cómo averiguar todo lo que Google sabe de ti”.
2. Els correus electrònics de serveis webmail com Gmail o Yahoo Mail són analitzats cercant informació útil que els permeti oferir-nos un servei “més personalitzat” o comercialitzar publicitat per exemple. Una lectura de la Política de Privacitat de Yahoo i de Yahoo Mail pot ser molt il·lustrativa.
3. Les apps gratuïtes que descarreguem al mòbil moltes vegades ens demanen permisos que poc tenen a veure amb la seva funcionalitat. És part del seu preu: informació.

Importància Ciberseguretat — ©2017 Google. Font: Google PlayStore

La lectura d’aquest article de El País és molt esclaridora al respecte: “Siete de cada diez apps comparten sus datos con otros proveïdores”.

Les conclusions són fàcils:

Hem de descarregar només les apps que considerem necessàries i confiables.
Hem de revisar els permisos que ens demanen aquestes apps (revisant la fitxa de la botiga d’apps des de la qual ens les descarreguem o gestionant les opcions de privacitat del nostre terminal).
Hem de llegir les condicions de privacitat dels serveis web que contractem.
Hem de ser conscients de l’escaneig que es fa de la informació compartida en serveis webmail i valorar què compartim i què no per aquests mitjans.
I en cas de dubte… hem de renunciar al servei Web o a l’app. Sembla mentida, però és possible viure sense ells.

Metadades – La informació invisible

No només cal ser conscient de la informació sobre les nostres vides que permetem que recullin o que proporcionem directament. Hem d’entendre també com funcionen els dispositius o aplicacions que utilitzem. Aquest és el cas, per exemple, de les metadades. És una informació de context utilitzada per enriquir el tractament de fitxers. No la veiem si no és que la cerquem, perquè no està visible, però és una informació que pot ser rellevant. Les metadades poden contenir la següent informació:

Geolocalització (per exemple, informació relativa al lloc on físicament es va fer una foto). Mitjançant apps com GeoSetter o com les relacionades en aquest article de Gersón Beltrán, “5 mapas para ver fotos geolocalizadas de Instagram”, podem tractar les metadades de les fotos per geolocalitzar-les dibuixant-les en un mapa. Això ens permet identificar on va estar i a quina hora la persona que les va fer.

Informació relativa a l’autor del fitxer, quan el va crear, si el va modificar, quin software va utilitzar per fer-ho… tot informació incorporada als fitxers ofimàtics de forma oculta per les aplicacions com Word o Chema Alonso, en una entrada molt interessant del seu blog Un informático en el lado del mal, ens relaciona tot un seguit de casos en què les metadades han aportat informació rellevant.

Conclusions

Hem de gestionar les metadades configurant, per exemple, el nostre mòbil per no afegir dades de geolocalització si no ho considerem necessari.
Hem de tenir present l’exposició de la informació continguda en les metadades quan proporcionem un fitxer a un tercer. Pensem-ho dues vegades abans de fer-ho.
Hem d’aprofitar les utilitats dels fabricants per esborrar les metadades dels fitxers abans de compartir-los.

Suplantació d’identitat

La nostra activitat a Internet es realitza sota una identitat digital. Es troba vinculada a la nostra identitat real, però no té perquè ser la mateixa. Per exemple, Enrique Dans, conegut professor d’IE Business School, a Twitter és @edans.

La nostra identitat digital normalment està protegida per elements com un compte de correu electrònic, unes credencials (nom d’usuari i contrasenya) o un terminal (telèfon mòbil o tablet) que ens permeten actuar en el món digital de forma individualitzada. Però si perdem el control de la clau de la nostra identitat digital, una altra persona podria fer accions utilitzant-la com si fos nosaltres. Això seria una suplantació d’identitat.

Podem tenir vàries identitats digitals o una única. Des del punt de vista de la facilitat d’ús, tenir una única és la millor opció: amb el mateix usuari i contrasenya puc accedir a tot (Facebook, Instagram, Gmail, Banca ONLINE…). Des del punt de vista de la seguretat, és més convenient tenir una segregació entre les diferents identitats de forma que separem les més crítiques (com poden ser les de serveis financers) de la resta. Així, si algú obté les credencials que controlen aquest segment d’identitats digitals, la resta no es veuen afectades i limitem el possible impacte.

Què poden fer si suplanten la nostra identitat? Dependrà d’allò que estigui vinculat a aquesta identitat:

Webmail: podran enviar correus en el nostre nom (per exemple, a tots els nostres contactes dient que estem de viatge a l’estranger, que tenim un problema econòmic i que necessitem urgentment una transferència de diners) o llegir tots els correus que tenim guardats (esbrinant quina és la nostra entitat financera, l’escola dels nostres fills, les reserves de bitllets que hem fet…).
Serveis financers: podran veure els diners que tenim estalviats, on hem fet despeses amb les targetes VISA o Mastercard, si tenim una hipoteca, els rebuts que paguem, les nostres dades personals… Fins i tot, si controlen també el segon factor d’autenticació (claus de coordenades o codi de verificació), podrien fer operacions en el nostre nom.
Xarxes socials: podran modificar el nostre perfil, compartir fotos, fitxers o parlar com si fóssim nosaltres.

Què hem de fer si suplanten la nostra identitat digital?

Recuperar-ne el control per evitar que se’n pugui fer un mal ús (canviant, per exemple, la contrasenya).
Revisar els serveis afectats per identificar què han pogut fer amb la nostra identitat.
Denunciar-ho a la policia:
1. Ertzaintza. Pàgina web per a denunciar.
2. Guàrdia Civil. Pàgina web per informar o denunciar: pàgina web de la Guardia Civil – Col·laboració Ciutadana.
3. Mossos d’Esquadra. Adreça de correu electrònic per a denúncies relacionades amb Internet, internetsegura@gencat.cat, i per a d’altres denúncies, pàgina web de Mossos d’Esquadra – Denúncies.
4. Policia Nacional. Denúncies de Delictes Tecnològics, pàgina web de la Policia Nacional – Denúncies de Delictes Tecnològics, i d’altres denúncies, pàgina web de Policia Nacional – Denúncies.
Informar la nostra entitat financera quan es tracti de la identitat vinculada amb la prestació de serveis financers o si es tracta del servei web de correu electrònic des del qual ens comunicàvem amb l’entitat.
Intentar identificar com han pogut fer-se amb la clau de la nostra identitat digital per facilitar la identificació dels responsables.
Revisar que els dispositius que utilitzem habitualment com ordinador, tablet o mòbil es troben lliures de malware.

Els maldecaps que ens pot generar una suplantació d’identitat poden ser molt grans (imaginem, per exemple, que s’utilitza per compartir pornografia infantil) i paga la pena dedicar una mica de temps a protegir-nos per evitar-ho.

Serveis financers

A la pàgina web de Caixa d’Enginyers podeu trobar de forma detallada consells per gaudir de la prestació de serveis financers via Internet reduint els riscos. Només heu de visitar l’apartat Seguretat / Seguridad.

Bàsicament, es tracta de seguir, sempre que sigui possible, els següents consells:

Revisar de forma freqüent els comptes i productes (com targetes VISA o Mastercard) per detectar de forma ràpida qualsevol operació fraudulenta que se n’hagi fet.
Activar, quan sigui possible, notificacions d’operacions que ens ajudin a controlar la disposició (transferències o càrrecs de targeta) dels nostres diners.
Protegir la informació que dona accés als serveis financers:
1. No proporcionant-la a tercers (usuaris, contrasenyes, codis per poder fer operacions…).
2. Protegint els ordinadors, tablets o mòbils d’infecció per part de malware (software que pot ser molt sofisticat i que cerca comprometre informació financera sensible) que té com a objectiu cometre frau en serveis com Banca ONLINE o Banca MOBILE: Gugi o RedAlert 2.0 són uns bons exemples de malware específic bancari.
No utilitzar les credencials (usuari i contrasenya) de serveis financers en altres serveis com webmail o xarxes socials per exemple. Si alguna persona descobreix una credencial d’aquests serveis i estem utilitzant-la en serveis financers, podria accedir-hi posant en risc el nostre patrimoni.
Evitar utilitzar serveis Wi-Fi públics per realitzar operacions bancàries; és millor utilitzar només els serveis de l’operadora (3G o 4G), ja que s’eviten intermediaris que poden ser no confiables, i el tràfic de dades que consumeixen aquestes apps no és molt alt, donat que consumeixen poques dades de la tarifa en comparació amb streaming o la navegació.
Evitar utilitzar ordinadors, tablets o mòbils de tercers per fer ús de serveis financers. Poden contenir malware o interceptar les dades que hi escrivim, fet que posarien en risc les nostres credencials d’accés a aquests serveis.

Hem de ser prudents amb la utilització d’aquests serveis, igual que ho som quan tenim un bitllet de 500 € en les nostres mans. Les conseqüències d’un frau en aquests entorns són tan reals com la pèrdua d’aquest bitllet.

Tags:Banca digital Internet Ciberseguretat

POLÍTICA DE PRIVACITAT I DE PROTECCIÓ DE DADES

Les dades sol·licitades i recollides en aquest servei web són les necessàries per poder gestionar les teves sol·licituds a través dels formularis web que s’han habilitat. L’usuari haurà d’emplenar els formularis amb dades verdaderes, exactes, completes i actualitzades. Aquestes dades que ens has proporcionat seran les úniques utilitzades per atendre la teva sol·licitud, sense enriquir-les amb dades de fonts externes, i la base legal per al seu tractament serà el consentiment explícit que formalitza clicant la casella d’acceptació en el formulari web, sense la qual no és possible enviar la teva sol·licitud.

El tractament de les dades consistirà en el seu ús per gestionar les teves sol·licituds i donar-les una resposta. Aquestes dades seran tractades únicament i exclusivament amb la finalitat indicada en cada formulari web. A nivell general es pot resumir en que la finalitat serà la gestió de la subscripció a la Newsletter del blog de Caixa d’Enginyers. En cap cas se cediran les teves dades a tercers, tret d’obligació legal.

El responsable del tractament de les teves dades personals és la CAIXA DE CREDIT DELS ENGINYERS-CAJA DE CREDITO DE LOS INGENIEROS, S. COOP. DE CTO amb domicili social a Via Laietana nº 39, 08003 de Barcelona.

Caixa d’Enginyers ha adoptat els nivells de seguretat de protecció de les dades personals exigits en la legislació vigent de protecció de dades, instal·lant les mesures tècniques i organitzatives necessàries per evitar la pèrdua, mal ús, alteració, accés no autoritzat i demés riscos possibles. Igualment, Caixa d’Enginyers s’obliga a complir la obligació de secret respecte a les dades contingudes en el fitxer automatitzat, establerta en la legislació de protecció de dades aplicable.

El Delegat de Protecció de Dades és la persona designada per protegir les teves dades personals a Caixa dEnginyers i pots contactar amb ell, si consideres que no hem fet un ús adequat de les teves dades, a la següent adreça dpo@caixa-enginyers.com o escrivint a “DPO – Protecció de dades”, Via Laietana, 39, 08003, Barcelona.

Les teves dades personals es mantindran mentre estigui vigent la subscripció a la Newsletter, de la que et podràs donar de baixa clicant en l’enllaç que incorpora el correu electrònic que rebràs o exercint el teu dret a la supressió de les dades. Un cop formalitzada la baixa de la subscripció destruirem les teves dades.

Podràs exercir els teus drets d’accés, rectificació, supressió, oposició, limitació i portabilitat, i a no ser objecte d’una decisió basada únicament en el tractament automatitzat, quan concorrin les circumstàncies previstes en el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril del 2016, així com enretirar el consentiment prestat, sense efectes retroactius, en qualsevol moment.

Per exercir aquests drets únicament has de sol·licitar-ho presencialment en una oficina de l’entitat, telefònicament en el servei de Banca TELEFÒNICA (900 300 321) o mitjançant una sol·licitud escrita dirigida a Caixa d’Enginyers (Via Laietana, 39, 08003, Barcelona) o a l’adreça dpo@caixa-enginyers.com, acompanyant una còpia de teu DNI o document equivalent acreditatiu de la teva identitat.

L’exercici d’aquests drets és gratuït i si consideres que no han estat atesos de forma adequada, tens dret a presentar una reclamació davant d’una Autoritat de Control, com l’Agència Espanyola de Protecció de Dades.

Pots obtenir més informació sobre com seran tractades les teves dades personals a: https://www.caixaenginyers.com/privacidad.

Referències Legals

REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d’abril de 2016 relatiu a la protecció de les persones físiques en allò que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades

Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals

Cookie	Durada	Descripció
cookielawinfo-checbox-analytics	11 mesos	Aquesta cookie la defineix el complement de consentiment de cookies de GDPR. La cookie s’utilitza per emmagatzemar el consentiment de l’usuari per a les cookies de la categoria “Analytics”.
cookielawinfo-checkbox-necessary	11 mesos	Aquesta cookie la defineix el complement de consentiment de cookies de GDPR. Les cookies s'utilitzen per emmagatzemar el consentiment de l'usuari per a les cookies de la categoria "Necessàries".
JSESSIONID	sessió	Utilitzat per llocs escrits a JSP. Cookies de sessió de plataforma de propòsit general que s’utilitzen per mantenir l’estat dels usuaris en totes les sol·licituds de pàgina.
PHPSESSID	sessió	Aquesta cookie és originària d’aplicacions PHP. La cookie s’utilitza per emmagatzemar i identificar l’identificador de sessió únic dels usuaris amb la finalitat de gestionar la sessió d’usuari al lloc web. La cookie és una cookie de sessió i s’elimina quan es tanquen totes les finestres del navegador.
viewed_cookie_policy	11 mesos	La cookie la defineix el connector GDPR Cookie Consent i s’utilitza per emmagatzemar si l’usuari ha consentit o no l’ús de cookies. No emmagatzema cap dada personal.

Cookie	Durada	Descripció
_ga	2 anys	Aquesta cookie l’instal·la Google Analytics. La cookie s’utilitza per calcular les dades de visitants, sessions, campanyes i fer un seguiment de l’ús del lloc per a l’informe d’anàlisi del lloc. Les cookies emmagatzemen informació de forma anònima i assignen un número generat aleatòriament per identificar visitants únics.
_gid	1 dia	Aquesta cookie l’instal·la Google Analytics. La cookie s’utilitza per emmagatzemar informació sobre com els visitants utilitzen un lloc web i ajuda a crear un informe d’anàlisi de com funciona el lloc web. Les dades recopilades inclouen el nombre de visitants, la font d’on provenen i les pàgines visitades de forma anònima.

Ciberseguretat (2a part)

Internet: No tot és gratUIT

Conclusions

Suplantació d’identitat

Què hem de fer si suplanten la nostra identitat digital?

Serveis financers

Phishing, smishing, vishing: què són i com detectar-los

8 consells sobre seguretat en línia