Privacidad y seguridad en Internet para todos

Total
0
Shares

En posts anteriores hemos hablado de la cantidad de datos que proporcionamos a las empresas sin siquiera darnos cuentas, y todo mediante el uso de sus servicios y la aceptación de sus términos. Muchas de estas actividades, cada vez, más las llevamos a cabo en nuestros teléfonos móviles, lo que convierte en algo crucial que protejamos nuestros dispositivos para evitar la pérdida de información (no solo nuestra, sino también la de nuestros contactos).

Una de las principales amenazas a las que nos enfrentamos mediante el uso de dispositivos son las apps maliciosas, que pueden eliminar o usar nuestros datos sin que lo sepamos. Junto con las apps maliciosas encontramos una amenaza que pocos conocen: las redes wifi públicas, como las de aeropuertos, cafeterías, etc. Algunas de estas redes no cifran la información por ellas transmitidas, por lo que un usuario con suficientes conocimientos podría acceder a ella.

Para evitar la pérdida y/o el robo de información debemos utilizar un método de bloqueo de la pantalla (código numérico o patrón) y cifrar la información para que, si un robo se produce, dificultemos el acceso a la persona que acabe con el dispositivo en sus manos. También podemos usar herramientas de seguridad que nos ayudarán a localizar el dispositivo, bloquearlo e incluso eliminar la información almacenada en él (los dispositivos de Apple cuentan con este tipo de aplicación ya integrada de fábrica, Find my iPhone/iPod). Es importante realizar copias de seguridad en otro soporte (por ejemplo, un disco duro externo o nuestro ordenador) para que, pase lo que pase, no perdamos la información almacenada en el dispositivo que hemos perdido.

De igual forma, seguro que muchos habéis escuchado que solo debemos descargar las aplicaciones a través de las tiendas de apps oficiales, pero además de esto es conveniente revisar las valoraciones y los comentarios, y recurrir a otros métodos como instalar un antivirus para detectar posibles apps maliciosas. No debemos bajo ningún concepto intercambiar información privada o confidencial en redes públicas, y sobre todo no conectarnos al servicio de banca online ni realizar compras.

Otra manera de proteger nuestra información es usando contraseñas diferentes para las distintas cuentas que tengamos, ya que, si en algún momento nuestra contraseña se viera comprometida, el riesgo para nuestra información personal sería mucho mayor, puesto que no solo podrían acceder a uno de nuestros servicios sino a todos aquellos en los que usemos esa contraseña.

Las recomendaciones más usuales para las contraseñas son:

  • Que la contraseña contenga al menos 8 caracteres y esté compuesta por mayúsculas, minúsculas, números y caracteres especiales ($, &…).
  • Evitar contraseñas como “aaaaa”.
  • No compartir las contraseñas con nadie.
  • Cambiarlas periódicamente.

Tener una contraseña para cada sitio puede parecer tedioso, pero hay técnicas que lo facilitan: podemos usar un gestor de contraseñas, o bien recurrir al uso de patrones, el cual consiste en lo siguiente:

  • Elegimos un símbolo especial (&), pensamos en una frase que no se nos vaya a olvidar nunca y nos quedamos con sus iniciales: “En un lugar de la Mancha” – EuldlM.
  • Seleccionamos un número cualquiera: 2.
  • Por último, concatenamos todo lo anterior: &EuldlM2.
  • Si a este patrón le añadimos un elemento diferenciador, como la inicial del sitio web, producto, aplicación, juego o servicio en cuestión, tendremos una contraseña para cada uno.

Sin embargo, a pesar de todas estas técnicas y recomendaciones, los ciberdelincuentes usan métodos como el phishing[1] o ingeniería social que vulneran la seguridad de nuestras cuentas.

Para protegernos podemos usar los sistemas de verificación en dos pasos, que puede consistir en facilitar un código que solo el usuario conoce y que generalmente se obtiene a través del dispositivo móvil (esto además de introducir el nombre de usuario y una contraseña). El método más común es el envío de un código a través de un mensaje SMS. Si configuramos nuestro dispositivo como “de confianza”, solo tendremos que introducir el código de vez en cuando.

Relacionado en cierto modo con el phishing están los bulos y los timos. Los podemos identificar si recibimos mensajes de contactos desconocidos, enlaces a páginas webs (sobre todo si se trata de un enlace acortado), y mensajes en cadena (hay que poner especial atención si el mensaje es alarmista, solicita información privada, y/o contiene premios/cupones/sorteos).

Gestiones online

Para las gestiones online, primero hay que comprobar que la página es segura. Junto con esto, debemos instalar un antivirus en el dispositivo y mantenerlo actualizado, así como también hay que mantener actualizados los sistemas operativos y el resto de programas; además, debemos tenerlos correctamente configurados. Cada persona debe tener su propia cuenta de usuario, sobre todo si usan el mismo dispositivo.

Cuando visitemos un sitio, hay que comprobar que realmente es al que queremos acceder. Para esto nos fijamos en la URL; ésta empezará por HTTPS y mostrará un candado (generalmente de color verde) en la barra de direcciones. Cuando hagamos clic sobre dicho candado, la URL de la web también deberá estar bien escrita.

Para evitar fraudes, no debemos responder nunca a correos que nos soliciten nuestros datos personales y/o bancarios. Es siempre preferible que nos acerquemos a nuestro banco y nos aseguremos de que el email es real (debemos sospechar sobre todo si hay errores gramaticales en el texto, comunicaciones anónimas dirigidas a “Estimado cliente” o “Notificación a usuario”, si el mensaje nos obliga a tomar una decisión en pocas horas, o si recibimos correos de entidades con dominios de @gmail.com o @hotmail.com, ya que las entidades usan sus propios dominios).

En las compras online, antes de finalizar la compra es recomendable comprobar que el precio es el final o si hay que sumarle impuestos y/o cargos adicionales; deberíamos también averiguar las formas de pago, consultar las opiniones sobre el producto, y revisar las condiciones de envío y la política de devoluciones.

Antes de facilitar nuestros datos personales debemos analizar quien nos los está pidiendo, para qué los va a utilizar y si es necesario que disponga de esa información. En ocasiones, las páginas webs que requieren un registro para su uso piden demasiada información, y gran parte de ella puede que no la necesiten para los servicios que proporcionan. Dar más información de la necesaria puede conllevar recibir spam, ver comprometida nuestra privacidad e identidad, ser víctima de extorsión o chantaje, o que nos denuncien si damos datos de terceros (nunca debemos facilitar información personal de terceros, salvo que nos hayan dado su consentimiento, así seamos tutores o representantes legales). De hecho, cuando se nos solicitan datos personales, la persona o entidad debe informarnos sobre para qué van a utilizarlos, el tratamiento que les darán, cómo ejercer nuestros derechos (acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad), si con nuestros datos personales realizarán un perfil y luego toman decisiones que nos afectan, y, por último, sobre el tiempo que van a conservar dichos datos.

No obstante, debemos tener en cuenta que en determinadas ocasiones pueden tratarse nuestros datos personales sin nuestro consentimiento: cuando se protegen nuestros intereses vitales, cuando existe una ley que habilita a una entidad para hacerlo, etc.

Como último paso, siempre hay que cerrar sesión una vez terminado el trámite.

¿Cómo eliminar datos personales que aparecen en los resultados de un buscador?

Si queremos acceder, rectificar y/o suprimir nuestros datos o deseamos oponernos a que sean tratados con determinada finalidad o limitar su tratamiento, tenemos que ejercer nuestros derechos ante el titular de la web que aparece en el aviso legal.

Para eliminar nuestra información personal de los buscadores de Internet podemos ejercer tu derecho al olvido.

Si hemos ejercido nuestros derechos y no hemos recibido una respuesta o no estamos de acuerdo con lo que nos han contestado, podemos presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

¿Cómo podemos usar el navegador para que no almacene todos los pasos que damos por Internet?

Al navegar por Internet, por defecto toda la actividad que realizamos con el navegador se almacena directamente en la memoria del ordenador o dispositivo, de forma que es posible saber todos los pasos que dimos en un momento dado por Internet. Para evitar esto, los navegadores incorporan la opción “navegación privada”.

Para evitar que cualquier persona con acceso al ordenador pueda ver nuestro historial de actividad en Internet o que alguna sesión de un sitio web quede abierta y puedan suplantar nuestra identidad, es aconsejable:

  • Mantener el navegador actualizado.
  • Elegir complementos y plugins de confianza.
  • Habilitar las opciones de configuración del navegador que más ayuden a proteger nuestra privacidad.
  • Borrar el historial de navegación.
  • Eliminar las cookies.
  • Usar un gestor de contraseñas.
  • Cerrar siempre la sesión.

Riesgos en las redes sociales y apps de mensajería instantánea

La información que publicamos en las redes sociales, aunque la borremos, quedará como mínimo registrada en los servidores de la red social y, además, cualquiera que la haya visto podría haber hecho uso de ella copiándola o difundiéndola. Las personas a quienes hemos dado acceso a nuestra información pueden, a su vez, dar acceso a terceros.

Por tanto, no deberíamos publicar más información de la necesaria ni datos que puedan comprometernos (contraseñas, datos bancarios, teléfono móvil, planes para las vacaciones[2], comportamientos inapropiados, etc), sobre todo en el caso de menores. Es importante también revisar las opciones de configuración de las redes sociales para conocer quién tiene acceso a nuestras publicaciones, quién nos puede etiquetar, si nuestro perfil está visible a los buscadores de internet, etc.

En cuanto a las apps de mensajería instantánea, no se debe difundir información personal en los chats ya que no sabemos lo que nuestros contactos harán con ella. Se recomienda buscar una foto de perfil que no sea muy comprometida[3], y no utilizar nuestro estado para facilitar información privada sobre nosotros.

Con estas apps existe el riesgo de suplantación de identidad, sobre todo si nos roban o perdemos el dispositivo, ya que normalmente no requieren usuario y contraseña.

No toda la información que circula en Internet es cierta, y muchas veces los enlaces que nos llegan por WhatsApp y otras redes avisando sobre posibles timos nos pueden dirigir a un sitio web infectado que está siendo utilizado para propagar software malicioso. En estos casos podemos estar facilitando información personal sobre nosotros o terceras personas a desconocidos.

Riesgos de que accedan a nuestra red Wifi sin permiso

El más obvio es la reducción del ancho de banda (la velocidad a la que navegamos), pero existen otros como el robo de la información transmitida debido a una configuración inadecuada del router, conexión directa con tus dispositivos, y/o responsabilidad ante acciones ilícitas.

Para evitar estas situaciones podemos tomar medidas como cambiar la contraseña que trae el router por defecto, configurar la wifi para que use cifrado WP2, etc.

Tampoco debemos conectar dispositivos extraíbles cuya procedencia y contenido ignoramos. Si nuestro dispositivo dispone de cámara, se recomienda taparla cuando no la estemos usando.

¿Qué puede pasar si alguien accede a nuestro correo electrónico?

Pérdida de privacidad: tendrán acceso a facturas, nóminas, DNI, fotografías, podrán suplantar nuestra identidad, etc. Podríamos perder el acceso a la cuenta si cambian la contraseña y/o los métodos de recuperación, así como otros servicios asociados se verán afectados.

La nube

Las ventajas que ofrece la nube pueden convertirse en un inconveniente si no tomamos las medidas de precaución adecuadas.

Ventajas: información accesible desde cualquier lugar con acceso a Internet y no la perderemos si nos roban el teléfono. Podemos compartir información fácilmente sin necesidad de, por ejemplo, pen drive. Se pueden sincronizar los dispositivos móviles con el ordenador para acceder a la información.

Consejos: asegurarnos de que el acceso al servicio sea HTTPS, configurar correctamente las opciones de privacidad y seguridad, cifrar los datos más confidenciales antes de subirlos, usar contraseñas robustas, hacer copias de seguridad, etc.

Cómo compartir información en Internet de manera segura

Si es posible, debemos usar utilizar ordenadores distintos para el ámbito profesional y el personal o de ocio, o al menos crear perfiles de usuario diferentes, así como cifrar la información confidencial, comprobar los permisos de acceso a una determinada información tanto si la compartimos desde nuestro dispositivo o desde la nube, o bien a través de servicios de transferencia de ficheros, y, por último, informar al receptor sobre la responsabilidad que tiene sobre los ficheros recibidos.

Precauciones sobre los wearables

Por último, vamos a hablar un poco de los wearables. Estos dispositivos permiten a otras personas obtener información sobre nosotros, como por ejemplo dónde estamos en un momento determinado, nuestra edad, estado físico, hábitos, e incluso variaciones sobre nuestro estado de ánimo. Esta información puede ser publicada en redes sociales.

Hay que verificar si los wearables usan mecanismos de cifrado, quién tiene acceso a nuestra información personal, qué permisos necesita la app que va a tratar nuestros datos personales, cuál es la información que compartimos en las redes sociales, si la información se almacena en la nube y quién accede a ella, y durante cuánto tiempo conservarán nuestros datos.

 

 

[1] Técnica usada para obtener información personal y bancaria de los usuarios suplantando a una entidad legítima como puede ser un banco, una red social, una entidad pública, etc.

[2] Esto puede resultarnos curioso ya que hoy en día una de las principales funciones de las redes sociales es publicar información y fotos sobre los viajes que hacemos. Sin embargo, si lo hacemos, siempre deberemos tener en cuenta que estamos dando a conocer nuestra localización, y si nuestra red social es pública o alguno de nuestros contactos comparte la información con terceros, ésta puede llegar a oídos de personas que no deseamos que sepan dónde estamos.

[3] No usar fotos de menores de edad. Las fotos de perfil de WhatsApp pueden ser descargadas por cualquiera que tenga acceso a nuestro número de teléfono, y no sabemos dónde ni en qué tipo de página web puede acabar la foto del menor.

 

Bigliografía:

  • Privacidad y seguridad en iNternet, por el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Protección de Datos y la Oficina de Seguridad del Internauta (OSI).
3 comentarios
  1. Varias aportaciones:

    * El bloqueo puede ser también por huella dactilar o mediante reconocimiento facial. En este último caso el mas seguro es eld e Apple o de Microsoft. En caso de otras versiones de Anroid se puede saltar con una cara del usuario impresa mediante una impresora 3D.

    * Respecto a las copias de seguridad, algunas marcas como Apple o Xiaomi disponen de copia automática e integrada en la Nube (logicamente el espacio gratuito es limitado y en caso de querer ampliarlo es necesario contratarlo de forma adicional).

    * Respecto al antivirus, si solo instalamos aplicaciones desde tiendas oficiales, se vuelve casi innecesario, pues las marcas ya escanéan dicho repositorio en busca de aplicaciones malignas. Para instalar además software desde otros repositiorios o directamente desde ficheros (APK en caso de android) es necesario desbloquear dicha opción en el dispositivo.

    * Respecto a las constraseñas, hay aplicaciones moviles que pueden utilizar el desbloqueo facial o de huella del dispositivo (por ejemplo la de la banca online de ING) y por tanto eliminan la necesidad de contraseña. También hay apps que permiten identificarse mediante la verificación de terceros como Google o Facebook.

    * Respecto al uso de URLS seguras y encriptadas, el indicativo HTTPS:// no es siempre sinónimo de seguridad, puesto que existen intranets donde primero se realiza una comunicación segura con el servidor y este hacía fuera (Internet). Si existe un capturador de datos (Sniffer) dentro de la propia red, los datos pueden ser facilmente capturados. Además en este caso los datos hacía fuera pueden viajar sin encriptación.

    * Las reclamaciones ante la AGPD pueden realizarse de forma online totalmente sencilla y rápida mediante certificado digital (FNMT) o similares.

    * Respecto de nuestra red interna, es importante saber que protocolo de comunicación utilizamos. Protocolos cifrtados como el WBS son fácilmente “rompibles” en cuestión de minutos con el software adecuado. Otros como el WPA2 son mucho mas seguros y casi imposibles de romper sin conocimientos avanzados.

    Y creo no me dejo mucho mas 🙂

  2. Hola Jesús, ¡muchas gracias!

    Lo que comentas sobre el indicativo HTTPS no lo sabía, así que gracias de nuevo, investigaré más sibre el tema. 🙂

    Por lo demás, a nivel personal el único inconveniente que le veo al uso de identificadores como el rostro o la huella digitial como método de desbloqueo es la privacidad del usuario, por lo que ya comentaba en un post anterior sobre que si no le damos nuestros datos más privados a un extraño, ¿por qué dárselos a una empresa? Pero lógicamente eso va en la persona, y soy consciente de que métodos como el Touch ID son bastante cómodos.

    ¡Saludos! 🙂

Deja un comentario
También puede interesarte