Esta es la continuació de una primera entrada en el blog sobre ciberseguridad.

Internet: no todo es gratis

Hay un axioma extendido en un amplio porcentaje de la población: Internet nos permite hacer de todo, o casi de todo, y gratis. El boom de las apps móviles o de los servicios web que no piden un pago en dinero nos genera la percepción de que no estamos pagando por su uso o consumo. Y no es así. Pagamos con publicidad y, lo que es más importante, con información.

Nuestras búsquedas y visitas a Internet son registradas y analizadas. Proporcionan información estadística, de tendencias, que puede ser comercializada con servicios como Google Analytics. También permiten generar un perfil de cada usuario con datos más personales como el modelo de móvil, los intereses que tiene, los lugares que visita, las fotos que hace… Os recomiendo la lectura de este artículo de Yolanda Valery en com “Cómo averiguar todo lo que Google sabe de ti”.
Los correos electrónicos de servicios webmail como Gmail o Yahoo Mail son analizados buscando información útil que les permita ofrecernos un servicio “más personalizado” o comercializar publicidad por ejemplo. Una lectura de la Política de Privacidad de Yahoo y de Yahoo Mail puede ser muy ilustrativa.
Las apps gratuitas que descargamos en el móvil muchas veces nos piden permisos que poco tienen que ver con su funcionalidad. Es parte de su precio: información.

Importancia ciberseguridad — ©2017 Google. Fuente: Google PlayStore.

La lectura de este artículo de El País es muy esclarecedora al respecto: “Siete de cada diez apps comparten sus datos con otros proveïdores”.

Las conclusiones son fáciles:

Tenemos que descargar solo las apps que consideramos necesarias y confiables.
Tenemos que revisar los permisos que nos piden estas apps (revisando la ficha de la tienda de apps desde la que nos las descargamos o gestionando las opciones de privacidad de nuestro terminal).
Tenemos que leer las condiciones de privacidad de los servicios web que contratamos.
Tenemos que ser conscientes del escaneo que se hace de la información compartida en servicios webmail y valorar qué compartimos y qué no por estos medios.
Y en caso de duda… tenemos que renunciar al servicio web o a la app. Parece mentira, pero es posible vivir sin ellos.

Metadatos – La información invisible

No solo hay que ser consciente de la información sobre nuestras vidas que permitimos que recojan o que proporcionamos directamente. Tenemos que entender también cómo funcionan los dispositivos o aplicaciones que utilizamos. Este es el caso, por ejemplo, de los metadatos. Es una información de contexto utilizada para enriquecer el tratamiento de ficheros. No la vemos a no ser que la busquemos, porque no está visible, pero es una información que puede ser relevante. Los metadatos pueden contener la siguiente información:

Geolocalización (por ejemplo, información relativa al lugar donde físicamente se hizo una foto). Mediante apps como GeoSetter o como las relacionadas en este artículo de Gersón Beltrán, “5 mapas para ver fotos geolocalizadas de Instagram”, podemos tratar los metadatos de las fotos para geolocalizarlas dibujándolas en un mapa. Eso nos permite identificar dónde estuvo y a qué hora la persona que las hizo.

Información relativa al autor del fichero, cuándo lo creó, si lo modificó, qué software utilizó para hacerlo… toda ella información incorporada en los ficheros ofimáticos de forma oculta por las aplicaciones como Word o Excel. Chema Alonso, en una entrada muy interesante de su blog Un informático en el lado del mal, nos relaciona toda una serie de casos en que los metadatos han aportado información relevante.

Como conclusiones:

Tenemos que gestionar los metadatos configurando, por ejemplo, nuestro móvil para no añadir datos de geolocalización si no lo consideramos necesario.
Tenemos que tener presente la exposición de la información contenida en los metadatos cuando proporcionamos un fichero a un tercero. Pensémoslo dos veces antes de hacerlo.
Tenemos que aprovechar las utilidades de los fabricantes para borrar los metadatos de los ficheros antes de compartirlos.

Suplantación de identidad

Nuestra actividad en Internet se realiza bajo una identidad digital. Se encuentra vinculada a nuestra identidad real, pero no tiene por qué ser la misma. Por ejemplo, Enrique Dans, conocido profesor de IE Business School, en Twitter es @edans.

Nuestra identidad digital normalmente está protegida por elementos como una cuenta de correo, unas credenciales (nombre de usuario y contraseña) o un terminal (teléfono móvil o tablet) que nos permiten actuar en el mundo digital de forma individualizada. Pero si perdemos el control de la clave de nuestra identidad digital, otra persona podría hacer acciones utilizándola como si fuera nosotros. Eso sería una suplantación de identidad.

Podemos tener varias identidades digitales o una única. Desde el punto de vista de la facilidad de uso, tener una única es la mejor opción: con el mismo usuario y contraseña puedo acceder a todo (Facebook, Instagram, Gmail, Banca ONLINE…). Desde el punto de vista de la seguridad, es más conveniente tener una segregación entre las diferentes identidades de forma que separemos las más críticas (como pueden ser las de servicios financieros) del resto. Así, si alguien obtiene las credenciales que controlan este segmento de identidades digitales, el resto no se ven afectadas y limitamos el posible impacto.

¿Qué pueden hacer si suplantan nuestra identidad? Dependerá de lo que esté vinculado a esta identidad:

Webmail: podrán enviar correos en nuestro nombre (por ejemplo, a todos nuestros contactos diciendo que estamos de viaje en el extranjero, que tenemos un problema económico y que necesitamos urgentemente una transferencia de dinero) o leer todos los correos que tenemos guardados (averiguando cuál es nuestra entidad financiera, la escuela de nuestros hijos, las reservas de billetes que hemos hecho…).
Servicios financieros: podrán ver el dinero que tenemos ahorrado, dónde hemos hecho gastos con las tarjetas VISA o Mastercard, si tenemos una hipoteca, los recibos que pagamos, nuestros datos personales… Incluso, si controlan también el segundo factor de autenticación (claves de coordenadas o código de verificación), podrían hacer operaciones en nuestro nombre.
Redes sociales: podrán modificar nuestro perfil, compartir fotos, ficheros o hablar como si fuéramos nosotros.

¿Qué tenemos que hacer si suplantan nuestra identidad digital?

Recuperar su control para evitar que se pueda hacer un mal uso (cambiando, por ejemplo, la contraseña).
Revisar los servicios afectados para identificar qué han podido hacer con nuestra identidad.
Denunciarlo a la policía:
1. Ertzaintza: página web para denunciar.
2. Guardia Civil. Página web para informar o denunciar: página web de la Guardia Civil – Colaboración Ciudadana.
3. Mossos d’Esquadra. Dirección de correo electrónico para denuncias relacionadas con Internet, internetsegura@gencat.cat, y para otras denuncias, página web de Mossos d’Esquadra – Denuncias.
4. Policía Nacional. Denuncias de Delitos Tecnológicos, página web de la Policía Nacional – Denuncias de Delitos Tecnológicos, y otras denuncias, página web de la Policía Nacional – Denuncias.
Informar a nuestra entidad financiera cuando se trate de la identidad vinculada con la prestación de servicios financieros o si se trata del servicio web de correo electrónico desde el que nos comunicábamos con la entidad.
Intentar identificar cómo han podido hacerse con la clave de nuestra identidad digital para facilitar la identificación de los responsables.
Revisar que los dispositivos que utilizamos habitualmente, ordenador, tablet o móvil, se encuentran libres de malware.

Los quebraderos de cabeza que nos puede generar una suplantación de identidad pueden ser muy grandes (imaginemos, por ejemplo, que se utiliza para compartir pornografía infantil) y vale la pena dedicar un poco de tiempo a protegernos para evitarlo.

Servicios financieros

En la página web de Caja de Ingenieros podéis encontrar de forma detallada consejos para disfrutar de la prestación de servicios financieros vía Internet reduciendo los riesgos. Solo tenéis que visitar el apartado Seguretat / Seguridad.

Básicamente, se trata de seguir, siempre que sea posible, los siguientes consejos:

Revisar de forma frecuente las cuentas y productos (como tarjetas VISA o Mastercard) para detectar de forma rápida cualquier operación fraudulenta que se haya hecho.
Activar, cuando sea posible, notificaciones de operaciones que nos ayuden a controlar la disposición (transferencias o cargos de tarjeta) de nuestro dinero.
Proteger la información que da acceso a los servicios financieros:
1. No proporcionándola a terceros (usuarios, contraseñas, códigos para poder hacer operaciones…).
2. Protegiendo a los ordenadores, tablets o móviles de infección por parte de malware (software que puede ser muy sofisticado y que busca comprometer información financiera sensible) que tiene como objetivo cometer fraude en servicios como Banca ONLINE o Banca MOBILE: Gugi o RedAlert 2.0 son unos buenos ejemplos de malware específico bancario.
No utilizar las credenciales (usuario y contraseña) de servicios financieros en otros servicios como webmail o redes sociales por ejemplo. Si alguna persona descubre una credencial de estos servicios y estamos utilizándola en servicios financieros, podría acceder poniendo en riesgo nuestro patrimonio.
Evitar utilizar servicios Wi-Fi públicos para realizar operaciones bancarias; es mejor utilizar solo los servicios de la operadora (3G o 4G), ya que se evitan intermediarios que pueden ser no confiables, y el tráfico de datos que consumen estas apps no es muy alto ya que consumen pocos datos de la tarifa en comparación con el streaming o la navegación.
Evitar utilizar ordenadores, tablets o móviles de terceros para hacer uso de servicios financieros. Pueden contener malware o interceptar los datos que escribimos en los mismos, poniendo en riesgo nuestras credenciales de acceso a estos servicios.

Tenemos que ser prudentes con la utilización de estos servicios, igual que lo somos cuando tenemos un billete de 500 € en nuestras manos. Las consecuencias de un fraude en estos entornos son tan reales como la pérdida de este billete.

Tags:Banca digital Ciberseguridad

POLÍTICA DE PRIVACIDAD Y DE PROTECCIÓN DE DATOS

Los datos solicitados y recogidos en este servicio web son los necesarios para poder gestionar tus solicitudes a través de los formularios web que se han habilitado. El usuario deberá rellenar los formularios con datos verdaderos, exactos, completos y actualizados. Estos datos proporcionados serán los únicos utilizados para atender tu solicitud, sin enriquecerlos con datos de fuentes externas, y la base legal para su tratamiento será el consentimiento explícito que formaliza clicando la casilla de aceptación en el formulario web, sin la que no es posible enviar su solicitud.

El tratamiento de los datos consistirá en su uso para gestionar tus solicitudes y darles una respuesta. Estos datos serán tratados únicamente y exclusivamente con la finalidad indicada en cada formulario web. A nivel general se puede resumir en que la finalidad será la gestión de la suscripción a la Newsletter del blog de Caja de Ingenieros. En ningún caso se cederán tus datos a terceros excepto por el cumplimiento de las obligaciones legales

El responsable del tratamiento de tus datos personales es la CAIXA DE CREDIT DELS ENGINYERS-CAJA DE CREDITO DE LOS INGENIEROS, S. COOP. DE CTO con domicilio social en Via Laietana nº 39, 08003 de Barcelona.

Caja de Ingenieros ha adoptado los niveles de seguridad de protección de los datos personales exigidos en la legislación vigente de protección de datos, instalando las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y demás riesgos posibles. Igualmente, Caja de Ingenieros se obliga a cumplir la obligación de secreto respecto de los datos contenidos en el fichero automatizado, establecida en la legislación de protección de datos aplicable.

El Delegado de Protección de Datos es la persona designada para proteger tus datos personales en Caja de Ingenieros y puedes contactar con él, si consideras que no se ha hecho un uso adecuado de tus datos, en la siguiente dirección dpo@caja-ingenieros.es o escribiendo a “DPO – Protección de datos”, Via Laietana, 39, 08003, Barcelona.

Tus datos personales se mantendrán mientras esté vigente la suscripción a la Newsletter, de la que te podrás dar de baja clicando en el enlace que incorpora el correo electrónico que recibirás o ejerciendo tu derecho en la supresión de los datos. Una vez formalizada la baja de la suscripción destruiremos tus datos.

Podrás ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, cuando concurran las circunstancias previstas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril del 2016, así como retirar el consentimiento prestado, sin efectos retroactivos, en cualquier momento.

Para ejercer estos derechos únicamente tienes que solicitarlo presencialmente en una oficina de la entidad, telefónicamente en el servicio de Banca TELEFÓNICA (900 300 321) o mediante una solicitud escrita dirigida a Caja de Ingenieros (Via Laietana, 39, 08003, Barcelona) o a la dirección dpo@caja-ingenieros.es, acompañando una copia de tu DNI o documento equivalente acreditativo de tu identidad.

El ejercicio de estos derechos es gratuito y si consideras que no han sido adecuadamente atendidos, tienes derecho a presentar una reclamación ante una Autoridad de Control, como la Agencia Española de Protección de Datos.

Puedes obtener más información sobre cómo se tratan tus datos personales en: https://www.caixaenginyers.com/es/privacidad.

Referencias Legales

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 meses	Esta cookie la define el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie la define el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies de la categoría "Necesarias".
JSESSIONID	sesión	Utilizado para sitios escritos a JSP. Cookies de sesión de plataforma de propósito general que se utilizan para mantener el estado de los usuarios en todas las solicitudes de página.
PHPSESSID	sesión	Esta cookie es originaria de aplicaciones PHP. La cookie se utiliza para almacenar e identificar el identificador de sesión único de los usuarios con el fin de gestionar la sesión de usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	11 meses	La cookie la define el conector GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 años	Esta cookie lo instala Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y hacer un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_gid	1 día	Esta cookie lo instala Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes utilizan un sitio web y ayuda a crear un informe de análisis de cómo funciona el sitio web. Los datos recopilados incluyen el número de visitantes, la fuente de donde provienen y las páginas visitadas de forma anónima.

Ciberseguridad (2ª parte)