Artículos guardados
Ciberseguridad (2ª parte)

Actualidad Banca digital

Ciberseguridad (2ª parte)

Esta es la continuació de una primera entrada en el blog sobre ciberseguridad.

Internet: no todo es gratis

Hay un axioma extendido en un amplio porcentaje de la población: Internet nos permite hacer de todo, o casi de todo, y gratis. El boom de las apps móviles o de los servicios web que no piden un pago en dinero nos genera la percepción de que no estamos pagando por su uso o consumo. Y no es así. Pagamos con publicidad y, lo que es más importante, con información.

  1. Nuestras búsquedas y visitas a Internet son registradas y analizadas. Proporcionan información estadística, de tendencias, que puede ser comercializada con servicios como Google Analytics. También permiten generar un perfil de cada usuario con datos más personales como el modelo de móvil, los intereses que tiene, los lugares que visita, las fotos que hace… Os recomiendo la lectura de este artículo de Yolanda Valery en com “Cómo averiguar todo lo que Google sabe de ti”.
  2. Los correos electrónicos de servicios webmail como Gmail o Yahoo Mail son analizados buscando información útil que les permita ofrecernos un servicio “más personalizado” o comercializar publicidad por ejemplo. Una lectura de la Política de Privacidad de Yahoo y de Yahoo Mail puede ser muy ilustrativa.
  3. Las apps gratuitas que descargamos en el móvil muchas veces nos piden permisos que poco tienen que ver con su funcionalidad. Es parte de su precio: información.

Importancia ciberseguridad

Importancia ciberseguridad
©2017 Google. Fuente: Google PlayStore.

 

La lectura de este artículo de El País es muy esclarecedora al respecto: “Siete de cada diez apps comparten sus datos con otros proveïdores”.

Las conclusiones son fáciles:

  1. Tenemos que descargar solo las apps que consideramos necesarias y confiables.
  2. Tenemos que revisar los permisos que nos piden estas apps (revisando la ficha de la tienda de apps desde la que nos las descargamos o gestionando las opciones de privacidad de nuestro terminal).
  3. Tenemos que leer las condiciones de privacidad de los servicios web que contratamos.
  4. Tenemos que ser conscientes del escaneo que se hace de la información compartida en servicios webmail y valorar qué compartimos y qué no por estos medios.
  5. Y en caso de duda… tenemos que renunciar al servicio web o a la app. Parece mentira, pero es posible vivir sin ellos.

Metadatos – La información invisible

No solo hay que ser consciente de la información sobre nuestras vidas que permitimos que recojan o que proporcionamos directamente. Tenemos que entender también cómo funcionan los dispositivos o aplicaciones que utilizamos. Este es el caso, por ejemplo, de los metadatos. Es una información de contexto utilizada para enriquecer el tratamiento de ficheros. No la vemos a no ser que la busquemos, porque no está visible, pero es una información que puede ser relevante. Los metadatos pueden contener la siguiente información:

  • Geolocalización (por ejemplo, información relativa al lugar donde físicamente se hizo una foto). Mediante apps como GeoSetter o como las relacionadas en este artículo de Gersón Beltrán, “5 mapas para ver fotos geolocalizadas de Instagram”, podemos tratar los metadatos de las fotos para geolocalizarlas dibujándolas en un mapa. Eso nos permite identificar dónde estuvo y a qué hora la persona que las hizo.
Importancia ciberseguridad
© 2011 Friedemann Schmidt. Fuente: GeoSetter.

 

  • Información relativa al autor del fichero, cuándo lo creó, si lo modificó, qué software utilizó para hacerlo… toda ella información incorporada en los ficheros ofimáticos de forma oculta por las aplicaciones como Word o Excel. Chema Alonso, en una entrada muy interesante de su blog Un informático en el lado del mal, nos relaciona toda una serie de casos en que los metadatos han aportado información relevante.

Como conclusiones:

  1. Tenemos que gestionar los metadatos configurando, por ejemplo, nuestro móvil para no añadir datos de geolocalización si no lo consideramos necesario.
  2. Tenemos que tener presente la exposición de la información contenida en los metadatos cuando proporcionamos un fichero a un tercero. Pensémoslo dos veces antes de hacerlo.
  3. Tenemos que aprovechar las utilidades de los fabricantes para borrar los metadatos de los ficheros antes de compartirlos.

Importancia ciberseguridad

Suplantación de identidad

Nuestra actividad en Internet se realiza bajo una identidad digital. Se encuentra vinculada a nuestra identidad real, pero no tiene por qué ser la misma. Por ejemplo, Enrique Dans, conocido profesor de IE Business School, en Twitter es @edans.

Nuestra identidad digital normalmente está protegida por elementos como una cuenta de correo, unas credenciales (nombre de usuario y contraseña) o un terminal (teléfono móvil o tablet) que nos permiten actuar en el mundo digital de forma individualizada. Pero si perdemos el control de la clave de nuestra identidad digital, otra persona podría hacer acciones utilizándola como si fuera nosotros. Eso sería una suplantación de identidad.

Podemos tener varias identidades digitales o una única. Desde el punto de vista de la facilidad de uso, tener una única es la mejor opción: con el mismo usuario y contraseña puedo acceder a todo (Facebook, Instagram, Gmail, Banca ONLINE…). Desde el punto de vista de la seguridad, es más conveniente tener una segregación entre las diferentes identidades de forma que separemos las más críticas (como pueden ser las de servicios financieros) del resto. Así, si alguien obtiene las credenciales que controlan este segmento de identidades digitales, el resto no se ven afectadas y limitamos el posible impacto.

¿Qué pueden hacer si suplantan nuestra identidad? Dependerá de lo que esté vinculado a esta identidad:

  1. Webmail: podrán enviar correos en nuestro nombre (por ejemplo, a todos nuestros contactos diciendo que estamos de viaje en el extranjero, que tenemos un problema económico y que necesitamos urgentemente una transferencia de dinero) o leer todos los correos que tenemos guardados (averiguando cuál es nuestra entidad financiera, la escuela de nuestros hijos, las reservas de billetes que hemos hecho…).
  2. Servicios financieros: podrán ver el dinero que tenemos ahorrado, dónde hemos hecho gastos con las tarjetas VISA o Mastercard, si tenemos una hipoteca, los recibos que pagamos, nuestros datos personales… Incluso, si controlan también el segundo factor de autenticación (claves de coordenadas o código de verificación), podrían hacer operaciones en nuestro nombre.
  3. Redes sociales: podrán modificar nuestro perfil, compartir fotos, ficheros o hablar como si fuéramos nosotros.

¿Qué tenemos que hacer si suplantan nuestra identidad digital?

  1. Recuperar su control para evitar que se pueda hacer un mal uso (cambiando, por ejemplo, la contraseña).
  2. Revisar los servicios afectados para identificar qué han podido hacer con nuestra identidad.
  3. Denunciarlo a la policía:
    1. Ertzaintza: página web para denunciar.
    2. Guardia Civil. Página web para informar o denunciar: página web de la Guardia Civil – Colaboración Ciudadana.
    3. Mossos d’Esquadra. Dirección de correo electrónico para denuncias relacionadas con Internet, internetsegura@gencat.cat, y para otras denuncias, página web de Mossos d’Esquadra – Denuncias.
    4. Policía Nacional. Denuncias de Delitos Tecnológicos, página web de la Policía Nacional – Denuncias de Delitos Tecnológicos, y otras denuncias, página web de la Policía Nacional – Denuncias.
  4. Informar a nuestra entidad financiera cuando se trate de la identidad vinculada con la prestación de servicios financieros o si se trata del servicio web de correo electrónico desde el que nos comunicábamos con la entidad.
  5. Intentar identificar cómo han podido hacerse con la clave de nuestra identidad digital para facilitar la identificación de los responsables.
  6. Revisar que los dispositivos que utilizamos habitualmente, ordenador, tablet o móvil, se encuentran libres de malware.

Los quebraderos de cabeza que nos puede generar una suplantación de identidad pueden ser muy grandes (imaginemos, por ejemplo, que se utiliza para compartir pornografía infantil) y vale la pena dedicar un poco de tiempo a protegernos para evitarlo.

Servicios financieros

En la página web de Caja de Ingenieros podéis encontrar de forma detallada consejos para disfrutar de la prestación de servicios financieros vía Internet reduciendo los riesgos. Solo tenéis que visitar el apartado Seguretat / Seguridad.

Básicamente, se trata de seguir, siempre que sea posible, los siguientes consejos:

  1. Revisar de forma frecuente las cuentas y productos (como tarjetas VISA o Mastercard) para detectar de forma rápida cualquier operación fraudulenta que se haya hecho.
  2. Activar, cuando sea posible, notificaciones de operaciones que nos ayuden a controlar la disposición (transferencias o cargos de tarjeta) de nuestro dinero.
  3. Proteger la información que da acceso a los servicios financieros:
    1. No proporcionándola a terceros (usuarios, contraseñas, códigos para poder hacer operaciones…).
    2. Protegiendo a los ordenadores, tablets o móviles de infección por parte de malware (software que puede ser muy sofisticado y que busca comprometer información financiera sensible) que tiene como objetivo cometer fraude en servicios como Banca ONLINE o Banca MOBILE: Gugi o RedAlert 2.0 son unos buenos ejemplos de malware específico bancario.
  4. No utilizar las credenciales (usuario y contraseña) de servicios financieros en otros servicios como webmail o redes sociales por ejemplo. Si alguna persona descubre una credencial de estos servicios y estamos utilizándola en servicios financieros, podría acceder poniendo en riesgo nuestro patrimonio.
  5. Evitar utilizar servicios Wi-Fi públicos para realizar operaciones bancarias; es mejor utilizar solo los servicios de la operadora (3G o 4G), ya que se evitan intermediarios que pueden ser no confiables, y el tráfico de datos que consumen estas apps no es muy alto ya que consumen pocos datos de la tarifa en comparación con el streaming o la navegación.
  6. Evitar utilizar ordenadores, tablets o móviles de terceros para hacer uso de servicios financieros. Pueden contener malware o interceptar los datos que escribimos en los mismos, poniendo en riesgo nuestras credenciales de acceso a estos servicios.

Tenemos que ser prudentes con la utilización de estos servicios, igual que lo somos cuando tenemos un billete de 500 € en nuestras manos. Las consecuencias de un fraude en estos entornos son tan reales como la pérdida de este billete.

Leave a Comment

Utilizando este sitio, estás aceptando el uso de cookies Mas información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close