Articles guardats
Ciberseguretat (2a part)

Actualitat Banca digital

Ciberseguretat (2a part)

Aquest post és la continuació d’una primera entrada al blog sobre Ciberseguretat.

Internet: No tot és gratUIT

  1. Hi ha un axioma estès en un ampli percentatge de la població: Internet ens permet fer de tot, o gairebé de tot, i gratis. El boom de les apps mòbils o dels serveis web que no demanen un pagament en diners ens genera la percepció que no estem pagant pel seu ús o consum. I no és així. Paguem amb publicitat i, el que és més important, amb informació.
    1. Les nostres cerques i visites a Internet són registrades i analitzades. Proporcionen informació estadística, de tendències, que pot ser comercialitzada amb serveis com Google Analytics. També permeten generar un perfil de cada usuari amb dades més personals com el model de mòbil, els interessos que té, els llocs que visita, les fotos que fa… Us recomano la lectura d’aquest article de Yolanda Valery a comCómo averiguar todo lo que Google sabe de ti”.
    2. Els correus electrònics de serveis webmail com Gmail o Yahoo Mail són analitzats cercant informació útil que els permeti oferir-nos un servei “més personalitzat” o comercialitzar publicitat per exemple. Una lectura de la Política de Privacitat de Yahoo i de Yahoo Mail pot ser molt il·lustrativa.
    3. Les apps gratuïtes que descarreguem al mòbil moltes vegades ens demanen permisos que poc tenen a veure amb la seva funcionalitat. És part del seu preu: informació.

Importància Ciberseguretat

Importància Ciberseguretat
©2017 Google. Font: Google PlayStore

 

La lectura d’aquest article de El País és molt esclaridora al respecte: “Siete de cada diez apps comparten sus datos con otros proveïdores”.

Les conclusions són fàcils:

  1. Hem de descarregar només les apps que considerem necessàries i confiables.
  2. Hem de revisar els permisos que ens demanen aquestes apps (revisant la fitxa de la botiga d’apps des de la qual ens les descarreguem o gestionant les opcions de privacitat del nostre terminal).
  3. Hem de llegir les condicions de privacitat dels serveis web que contractem.
  4. Hem de ser conscients de l’escaneig que es fa de la informació compartida en serveis webmail i valorar què compartim i què no per aquests mitjans.
  5. I en cas de dubte… hem de renunciar al servei Web o a l’app. Sembla mentida, però és possible viure sense ells.

Metadades – La informació invisible

No només cal ser conscient de la informació sobre les nostres vides que permetem que recullin o que proporcionem directament. Hem d’entendre també com funcionen els dispositius o aplicacions que utilitzem. Aquest és el cas, per exemple, de les metadades. És una informació de context utilitzada per enriquir el tractament de fitxers. No la veiem si no és que la cerquem, perquè no està visible, però és una informació que pot ser rellevant. Les metadades poden contenir la següent informació:

  • Geolocalització (per exemple, informació relativa al lloc on físicament es va fer una foto). Mitjançant apps com GeoSetter o com les relacionades en aquest article de Gersón Beltrán, “5 mapas para ver fotos geolocalizadas de Instagram”, podem tractar les metadades de les fotos per geolocalitzar-les dibuixant-les en un mapa. Això ens permet identificar on va estar i a quina hora la persona que les va fer.

Importància Ciberseguretat

  • Informació relativa a l’autor del fitxer, quan el va crear, si el va modificar, quin software va utilitzar per fer-ho… tot informació incorporada als fitxers ofimàtics de forma oculta per les aplicacions com Word o Chema Alonso, en una entrada molt interessant del seu blog Un informático en el lado del mal, ens relaciona tot un seguit de casos en què les metadades han aportat informació rellevant.

Conclusions

  1. Hem de gestionar les metadades configurant, per exemple, el nostre mòbil per no afegir dades de geolocalització si no ho considerem necessari.
  2. Hem de tenir present l’exposició de la informació continguda en les metadades quan proporcionem un fitxer a un tercer. Pensem-ho dues vegades abans de fer-ho.
  3. Hem d’aprofitar les utilitats dels fabricants per esborrar les metadades dels fitxers abans de compartir-los.

 

Importància Ciberseguretat

Suplantació d’identitat

La nostra activitat a Internet es realitza sota una identitat digital. Es troba vinculada a la nostra identitat real, però no té perquè ser la mateixa. Per exemple, Enrique Dans, conegut professor d’IE Business School, a Twitter és @edans.

La nostra identitat digital normalment està protegida per elements com un compte de correu electrònic, unes credencials (nom d’usuari i contrasenya) o un terminal (telèfon mòbil o tablet) que ens permeten actuar en el món digital de forma individualitzada. Però si perdem el control de la clau de la nostra identitat digital, una altra persona podria fer accions utilitzant-la com si fos nosaltres. Això seria una suplantació d’identitat.

Podem tenir vàries identitats digitals o una única. Des del punt de vista de la facilitat d’ús, tenir una única és la millor opció: amb el mateix usuari i contrasenya puc accedir a tot (Facebook, Instagram, Gmail, Banca ONLINE…). Des del punt de vista de la seguretat, és més convenient tenir una segregació entre les diferents identitats de forma que separem les més crítiques (com poden ser les de serveis financers) de la resta. Així, si algú obté les credencials que controlen aquest segment d’identitats digitals, la resta no es veuen afectades i limitem el possible impacte.

Què poden fer si suplanten la nostra identitat? Dependrà d’allò que estigui vinculat a aquesta identitat:

  1. Webmail: podran enviar correus en el nostre nom (per exemple, a tots els nostres contactes dient que estem de viatge a l’estranger, que tenim un problema econòmic i que necessitem urgentment una transferència de diners) o llegir tots els correus que tenim guardats (esbrinant quina és la nostra entitat financera, l’escola dels nostres fills, les reserves de bitllets que hem fet…).
  2. Serveis financers: podran veure els diners que tenim estalviats, on hem fet despeses amb les targetes VISA o Mastercard, si tenim una hipoteca, els rebuts que paguem, les nostres dades personals… Fins i tot, si controlen també el segon factor d’autenticació (claus de coordenades o codi de verificació), podrien fer operacions en el nostre nom.
  3. Xarxes socials: podran modificar el nostre perfil, compartir fotos, fitxers o parlar com si fóssim nosaltres.

Què hem de fer si suplanten la nostra identitat digital?

  1. Recuperar-ne el control per evitar que se’n pugui fer un mal ús (canviant, per exemple, la contrasenya).
  2. Revisar els serveis afectats per identificar què han pogut fer amb la nostra identitat.
  3. Denunciar-ho a la policia:
    1. Ertzaintza. Pàgina web per a denunciar.
    2. Guàrdia Civil. Pàgina web per informar o denunciar: pàgina web de la Guardia Civil – Col·laboració Ciutadana.
    3. Mossos d’Esquadra. Adreça de correu electrònic per a denúncies relacionades amb Internet, internetsegura@gencat.cat, i per a d’altres denúncies, pàgina web de Mossos d’Esquadra – Denúncies.
    4. Policia Nacional. Denúncies de Delictes Tecnològics, pàgina web de la Policia Nacional – Denúncies de Delictes Tecnològics, i d’altres denúncies, pàgina web de Policia Nacional – Denúncies.
  4. Informar la nostra entitat financera quan es tracti de la identitat vinculada amb la prestació de serveis financers o si es tracta del servei web de correu electrònic des del qual ens comunicàvem amb l’entitat.
  5. Intentar identificar com han pogut fer-se amb la clau de la nostra identitat digital per facilitar la identificació dels responsables.
  6. Revisar que els dispositius que utilitzem habitualment com ordinador, tablet o mòbil es troben lliures de malware.

Els maldecaps que ens pot generar una suplantació d’identitat poden ser molt grans (imaginem, per exemple, que s’utilitza per compartir pornografia infantil) i paga la pena dedicar una mica de temps a protegir-nos per evitar-ho.

Serveis financers

A la pàgina web de Caixa d’Enginyers podeu trobar de forma detallada consells per gaudir de la prestació de serveis financers via Internet reduint els riscos. Només heu de visitar l’apartat Seguretat / Seguridad.

Bàsicament, es tracta de seguir, sempre que sigui possible, els següents consells:

  1. Revisar de forma freqüent els comptes i productes (com targetes VISA o Mastercard) per detectar de forma ràpida qualsevol operació fraudulenta que se n’hagi fet.
  2. Activar, quan sigui possible, notificacions d’operacions que ens ajudin a controlar la disposició (transferències o càrrecs de targeta) dels nostres diners.
  3. Protegir la informació que dona accés als serveis financers:
    1. No proporcionant-la a tercers (usuaris, contrasenyes, codis per poder fer operacions…).
    2. Protegint els ordinadors, tablets o mòbils d’infecció per part de malware (software que pot ser molt sofisticat i que cerca comprometre informació financera sensible) que té com a objectiu cometre frau en serveis com Banca ONLINE o Banca MOBILE: Gugi o RedAlert 2.0 són uns bons exemples de malware específic bancari.
  4. No utilitzar les credencials (usuari i contrasenya) de serveis financers en altres serveis com webmail o xarxes socials per exemple. Si alguna persona descobreix una credencial d’aquests serveis i estem utilitzant-la en serveis financers, podria accedir-hi posant en risc el nostre patrimoni.
  5. Evitar utilitzar serveis Wi-Fi públics per realitzar operacions bancàries; és millor utilitzar només els serveis de l’operadora (3G o 4G), ja que s’eviten intermediaris que poden ser no confiables, i el tràfic de dades que consumeixen aquestes apps no és molt alt, donat que consumeixen poques dades de la tarifa en comparació amb streaming o la navegació.
  6. Evitar utilitzar ordinadors, tablets o mòbils de tercers per fer ús de serveis financers. Poden contenir malware o interceptar les dades que hi escrivim, fet que posarien en risc les nostres credencials d’accés a aquests serveis.

Hem de ser prudents amb la utilització d’aquests serveis, igual que ho som quan tenim un bitllet de 500 € en les nostres mans. Les conseqüències d’un frau en aquests entorns són tan reals com la pèrdua d’aquest bitllet.

Leave a Comment

Utilitzant aquest lloc web, estàs acceptant l'ús de cookies Més informació

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close