Blog de la Seguridad de la Información

Mini-SGSI

2010-07-16T11:42:52Z

Hay muchas organizaciones que piensan que implantar un SGSI es demasiado esfuerzo, o una tarea demasiado complicada para ellas. El problema de estas organizaciones es que acaban asumiendo que la gestión de la seguridad es algo inabordable para ellas, sin darse cuenta de que es posible aplicar unos pocos principios que permitan, sin el "esfuerzo" de montar un SGSI completo, obtener importantes mejoras en materia de seguridad con una dedicación asumible por la mayor parte de las organizaciones. La idea es, sencillamente, aplicar los principios que subyacen en una ISO 27001 y "olvidarse" de las exigencias y formalismos derivados de su cumplimiento estricto.

Las pautas que debería seguir una organización para "implantar" un "mini-SGSI" son las siguientes:

1. Nombrar a una persona (responsable de seguridad) encargada de lo siguiente:

Que se apliquen las medidas de seguridad definidas.
Que los problemas (incidentes) de seguridad se resuelvan.

2. Aplicar las siguientes medidas de seguridad informática:

Hacer backups al menos semanales.
Que todos los usuarios tengan un identificador de usuario personalizado.
Que las contraseñas sean robustas (al menos alfanuméricas de 8 caracteres) y se cambien trimestralmente.
Aplicar controles de acceso a las carpetas y aplicaciones.
Utilizar productos antivirus actualizados.
Que se realicen tareas de mantenimiento informático.

3. Aplicar las siguientes medidas de seguridad contractual:

Conseguir que el personal firme una cláusula de confidencialidad.
Incluir cláusulas de confidencialidad en los contratos con proveedores y clientes.

4. Realizar una revisión anual de la seguridad.

5. Reunir una vez al año al comité de dirección (u organismo equivalente) y al responsable de seguridad para tratar los siguientes temas:

Analizar los resultados de la revisión de seguridad.
Valorar la importancia de la disponibilidad y la confidencialidad de las actividades de negocio.
Analizar los problemas de seguridad potenciales que podrían tener las actividades de negocio valoradas, centrándose en las que se ha identificado que la disponibilidad y/o la confidencialidad son importantes.
Analizar los problemas (incidentes) de seguridad que ha habido y las soluciones adoptadas.
Definir, en función de los análisis y valoraciones anteriores, las nuevas medidas de seguridad que se consideren necesarias.

Siguiendo estas 5 simples pautas de actuación, cualquier organización está en condiciones de llevar a cabo una gestión eficiente y eficaz de su seguridad, y al mismo tiempo incorporará los elementos básicos sobre los que constituir, si en un futuro lo requiere, un completo sistema de gestión de la seguridad.

¿Está tu conexión Wi-Fi protegida?

2010-07-09T06:49:14Z

Son cada vez más los internautas que eligen las conexiones Wi-Fi para acceder a la Red. Precisamente por ello, debemos ser conscientes de los riegos de seguridad que pueden comprometerlas, para evitarlos y proteger nuestros equipos y nuestra información.

Las redes inalámbricas en el hogar nos permiten, por ejemplo, conectarnos a Internet desde cualquier punto de la casa sin necesidad de instalar cables o compartir con varios equipos una misma conexión o movernos por la vivienda a la vez que navegamos en Internet. Simplemente con disponer de un router inalámbrico con conexión a Internet y receptores Wi-Fi en nuestros dispositivos es suficiente.

Para evitar que otras personas accedan a nuestra red Wi-Fi y ocupen nuestra capacidad de ancho de banda o incluso seamos objeto de una intrusión con fines espurios (información privada, datos económicos, instalación de malware, etc.), el Observatorio de INTECO ofrece, a través de su Guía para proteger la red inalámbrica Wi-Fi de su hogar, unas pautas a seguir para una buena protección:

Cambiar la contraseña de acceso al router inalámbrico con cierta frecuencia.
Ocultar el nombre de la red, para que sólo los usuarios autorizados puedan entrar.
Usar protocolos de seguridad, como el protocolo WEP y el protocolo WPA, que permiten el cifrado de la información que transmite a través de una contraseña.
Apagar el router cuando no se esté utilizando.
No conectarse a redes Wi-Fi gratuitas que localicemos desde nuestro hogar, ya que son puntos calientes de problemas informáticos.

Ahora bien, no sólo podemos conectarnos a estas redes en el hogar. En verano, cada vez más gente viaja con ordenadores portátiles o netbooks o smartphones y dispone de varias opciones para acceder a Internet: bien a través de los servicios de “Internet móvil”, bien conectándose a los hotspots o puntos Wi-Fi de libre acceso (como por ejemplo, en alguno aeropuertos, ciudades o restaurantes) o bien a las redes Wi-Fi de otros usuarios que voluntariamente deciden abrirlas a los demás. Así, podemos consultar información sobre el lugar que estamos visitando, comprar un billete electrónico para el próximo trayecto, consultar el estado de una transferencia bancaria o mandar mensajes a familiares y amigos con los detalles de las vacaciones.

Los riesgos asociados a estas conexiones fuera del hogar se multiplican: las redes de libre acceso permiten a otras personas acceder con relativa facilidad a nuestra información, los cibercentros no siempre disponen de soluciones de seguridad potentes, los robos de portátiles son cada vez más frecuentes, etc.

Para proteger la seguridad de nuestros datos en estas conexiones, la empresa G Data Security Labs también nos proporciona algunas claves:

Proteger nuestro portátil: antes de salir de viaje, podemos encriptar los datos y realizar una copia de seguridad. Para este fin, disponemos de las herramientas de protección y prevención del CERT de INTECO.
Crear cuentas de correo electrónico de uso específico durante las vacaciones y no publicar en nuestro perfil en redes sociales que estamos fuera del hogar.
¡Cuidado con las redes y puntos Wi-Fi! No debemos acceder a nuestras cuentas bancarias, descargar datos personales ni introducir contraseñas en los ordenadores de libre acceso, en cibercafés o si utilizamos la red Wi-Fi de otros usuarios. También es recomendable borrar los archivos temporales después de este uso. A cambio, los sistemas UMTS para navegación a través del teléfono móvil ofrecen mayor seguridad.

Para ampliar la información sobre la seguridad en Internet dentro y fuera de casa, podemos encontrar en la página web del Observatorio materiales que orientarán y facilitarán la comprensión sobre el tema, como por ejemplo:

Que el malware no te marque un gol

2010-06-16T12:54:37Z

Tal como se apuntaba en el análisis prospectivo sobre el estado de la seguridad de la información en 2010, incluido en el Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009), una de las principales amenazas de 2010 podía venir de la mano de acontecimientos de repercusión mundial y grandes temas de actualidad.

Los pronósticos se están cumpliendo, especialmente en el ámbito deportivo, como es el caso del triunfo de Rafael Nadal en Roland Garros o del Mundial de Fútbol en Sudáfrica 2010. En relación con este último, la aparición de los primeros ciberataques se produjo en los meses previos al evento, lo que hacía prever un recrudecimiento en las formas y en las consecuencias de estos ataques. Asimismo, ha favorecido una mayor atención por parte de las principales empresas de seguridad de la información y de los medios, en la provisión de consejos y herramientas de seguridad extra.

Como apuntan las firmas de seguridad de la información, las principales amenazas detectadas son las siguientes:

Por un lado, ataques SEO (Search Engine Optimization, u Optimización para motores de búsqueda), o posicionamiento de páginas que incluyen contenido malicioso en los primeros puestos de los principales motores de búsqueda. Recientemente, estos ataques ya han demostrado gran protagonismo en el final de la serie Perdidos.
Por otro lado, las redes sociales proporcionan una nueva forma de compartir las experiencias a los internautas, pero también son una fuente creciente de ataques de fraude online: determinados contenidos en estas redes (como ofertas, apuestas o las últimas novedades de las estrellas), se pueden hacer irresistibles para el internauta, así como compartir con otros los detalles del viaje. Sin embargo, detrás de estas acciones puede residir la amenaza de phishing o de otros códigos maliciosos que roban la información confidencial en busca de un lucro fraudulento.
El spam ocupa un lugar destacado en la cita mundialista, registrándose ya en los meses previos a la misma un aumento en el tráfico de spam del 27%. La reventa de entradas o las ofertas o sorteos falsos suelen ser el contenido de estos correos, aunque las posibilidades crecen con fórmulas novedosas o basadas en un “grupo objetivo”. Así, www.2010netthreat.com se ha hecho eco de un tipo de spam que incorpora un archivo Excel (inusual en este tipo de ataques) con la plantilla de partidos. Al abrir este archivo, un código malicioso se instala en el ordenador, transmitiendo al ciberatacante la información de la víctima o proporcionándole acceso a otros sistemas.
Por último, las empresas de seguridad señalan la proliferación de scareware, o notificaciones de alerta falsas, que aparecen como irritantes pop-ups o ventanas emergentes que anuncian la infección del equipo, ofreciéndonos un remedio a cambio de un pago. Este código malicioso es descargado inmediatamente por el usuario, al no percatarse éste de la autenticidad del mismo.

Para prevenir vulnerabilidades y/o combatir estos ataques, las recomendaciones que debe tener en cuenta cualquier “ciberforofo” son:

En primer lugar, tener actualizados el sistema operativos y las aplicaciones informáticas del equipo, evitando instalar software no original.
En segundo lugar, ser prudente y precavido a la hora de navegar a través de Internet: es importante comprobar la procedencia de los correos o la autenticidad de los sitios web que visitamos.
Por último, revisar la configuración de seguridad y privacidad de los servicios online que utilicemos (correo electrónico, redes sociales, banca electrónica, etc.) para estar seguros de que la información que se comparte llega al destinatario adecuado.

INTECO-CERT pone a disposición de los usuarios, de forma gratuita, herramientas de protección y prevención, así como servicios de respuesta y soporte ante este tipo de incidencias, prestando una especial atención a las actualizaciones y alertas de seguridad.

Asimismo, la sección web del Observatorio de la Seguridad de la Información ofrece tanto estudios y estadísticas como material divulgativo (guías, artículos, videos) para informar y sensibilizar a los usarios de la importancia de estar protegido, y que hacerlo resulte sencillo. Algunos ejemplos de estos contenidos son: el Estudio sobre el fraude a través de Internet o las Guías de ayuda para la configuración de la privacidad y seguridad de las redes sociales.

Creemos que gracias a estos consejos y siguiendo estas buenas prácticas, será fácil ganarle este partido al malware… ¡y por goleada!

Tabnabbing: nueva forma de phishing a tus espaldas

2010-06-04T08:47:25Z

El término phishing es un concepto extendido actualmente, siendo relativamente frecuente que conozcamos casos de usuarios que introdujeron sus datos bancarios confidenciales en una página web que suplantaba el sitio web legítimo de su banco. Precisamente por ello desde el propio sector financiero, los cuerpos y fuerzas de seguridad y los poderes públicos se lucha contra el fraude online y se trata de sensibilizar y alertar a los usuarios para que sean prudentes y prevengan estos delitos.

Sin embargo, la pericia de los ciberdelicuentes hace que sus técnicas evolucionen y se vuelvan más sofisticadas, surgiendo nuevas fórmulas de fraude online. Un ejemplo de ello es el método tabnabbing, que aprovecha las pestañas que normalmente tenemos abiertas en nuestro navegador web. El fenómeno está provocando numerosos comentarios y noticias en blogs y páginas especializadas en seguridad informática.

Recientemente señalado en su blog por el experto en diseño informático y seguridad Aza Raskin, de forma resumida, consistiría en suplantar una página por otra precisamente en el momento en el que ésta se encuentra en segundo plano, es decir, mientras el usuario está visualizando otro programa u otra página en otra pestaña del navegador. En ese instante, se altera el aspecto de la web primera, redireccionándonos a otro sitio web que solicita identificarnos para acceder a sus contenidos o servicios (correo electrónico, banco, etc). Así, los ciberdelincuentes explotan la falta de memoria o distracción de los usuarios sobre sus pestañas abiertas, puesto que estos introducen confiadamente sus datos confidenciales creyendo que la sesión ha expirado.

El proceso es el siguiente (tomando como ejemplo una página de servicio de correo electrónico, como Gmail):

El usuario navega con normalidad por las páginas que quiere visitar.
El atacante detecta que la página sobre la que va a operar está en segundo plano.
El atacante se vale del código JavaScript para modificar el favicón (esto es, el icono que aparece en las pestañas), el título y el texto del cuerpo de la página, de tal forma que visualmente vemos la página de acceso de Gmail. Es importante señalar que la URL de la página precisamente es lo único que no cambia.
Una vez se introducen los datos de acceso, eres redireccionado al sitio legítimo de Gmail. El atacante ha obtenido la información confidencial. Y la víctima cree que ha debido cometer algún error en el proceso de identificación, reintroduciendo sus datos y accediendo a dicha web con normalidad.

El ejemplo mostrado puede resultarnos no excesivamente peligroso (comparado con el robo de información bancaria), sin embargo una característica interesante en este phishing es que el atacante podría revisar el historial CSS para identificar los sitios que más frecuentemente visita el usuario o descubrir en qué páginas estamos autenticados, y así tomar apariencia del correo electrónico o la red social habitual de la víctima. Incluso se señala la posibilidad de incrustar estas páginas falsas sobre el dominio real, gracias a JavaScript.

El tabnabbing funciona en Firefox, Opera y Internet Explorer 8; incluso ya se han reportado ataques en el navegador Chrome sin ni siquiera tener que suplantar el favicón.

En conclusión, si bien la percepción general es que una pestaña no se transforma en otra, sin embargo ejemplos de este tipo deben alertarnos y movernos a reforzar nuestros buenos hábitos de seguridad a la hora de navegar en la Red. No es difícil detectar cuándo se inicia un ataque de tabnabbing. Simplemente se ha de estar atento y ser prudente. Si bien la metodología que lo sustenta se basa en suplantar un sitio web habitual, sin embargo no modifica la dirección web (URL) ni el código fuente de la página web que el usuario estaba utilizando anteriormente. Así, a la hora de rellenar formularios simplemente se ha de estar pendiente de estas dos características para evitar el robo de información sensible.

INTECO pone a disposición del público internauta a través de su CERT, de forma gratuita, herramientas de protección y prevención, así como servicios de respuesta y soporte ante este tipo de incidencias, prestando una especial atención a todos los tipos de fraude electrónico.

Asimismo, la sección web del Observatorio ofrece tanto informes y estadísticas como material divulgativo sobre este fenómeno: el Estudio sobre el fraude a través de Internet, la Guía sobre la respuesta jurídica a los ataques contra la seguridad de la información, que cuenta con un apartado específico relativo al phishing, o la Guía legal en materia de identidad digital y dni electrónico, que pretende dar a conocer las ventajas que su uso genera desde el punto de vista de e-confianza y la seguridad en las transacciones económicas en Internet.

La privacidad en Facebook, a debate

2010-05-21T10:34:30Z

Con más de 400 millones de usuarios, Facebook es indudablemente, la red social más extendida en la actualidad, lo que se traduce en más de 400 millones de perfiles que comparten gustos, ideas, información personal, etc. La preocupación por asegurar una cierta privacidad y seguridad en la información compartida en las redes sociales es creciente, e implica cambios en la actuación de Facebook en este ámbito.

Un buen ejemplo de ello podemos encontrarlo en el post que el Observatorio publicaba en este blog el pasado 16 de abril, en el que se recogía la noticia de que Facebook reforzaba la seguridad a través de la herramienta Safety Center.

Son numerosos los comentarios de usuarios, tanto avanzados como inexpertos en seguridad, que se hacen eco de los cambios en las Condiciones de Uso de Facebook. Así, en los últimos años se observa una evolución tendente a proporcionar formas más fáciles de compartir y participar en grupos de interés y a ofrecer un mayor número de ajustes de privacidad en consonancia con las nuevas posibilidades. En sentido contrario, las mayores quejas de los usuarios se dirigen hacia el aumento de la permisividad de los ajustes de privacidad por defecto, a pesar de lo anterior, incidiendo en la conclusión de que Facebook pretende dar valor a su inmensa base de datos, con información de gran importancia para empresas externas.

Resulta interesante la infografía aportada por Matt McKeon, desarrollador del Laboratorio de Comunicación Visual del Centro de Investigación de Software Social de IBM, que, si bien hace una interpretación subjetiva de la evolución en la privacidad de los contenidos (y su propia experiencia), su aportación gráfica permite abordar más fácilmente este debate.

Dicha infografía recoge el sistema de clasificación de los datos personales por categorías (Gustos, Nombre, Foto, Género, Cumpleaños, Información de Contacto, Datos Ampliados de Perfil, Amigos, Redes, Fotos y Comentarios de Muro) y cómo la disponibilidad de gran parte de estas categorías ha pasado del entorno más cercano (Amigos) a círculos cada vez más globales (Amigos de Amigos, Usuarios de Facebook y, por último, a toda la red).

Tal como explica el experto, el objetivo de su propuesta es seguir participando en las redes sociales, pero comprendiendo la importancia de la privacidad de nuestros datos, para lo que recomienda la revisión de la configuración del perfil.

En este sentido, la Guía de ayuda para la configuración de la privacidad y la seguridad en la redes sociales-Facebook que hemos elaborado en el Observatorio de INTECO en colaboración con la Universidad Politécnica de Madrid, proporciona las claves para entender los riesgos y reforzar la protección de nuestros datos personales y nuestra seguridad en el uso de las redes sociales. Esta forma parte de una serie de 12 guías que abordan estos aspectos para cada una de las principales redes sociales.

La tecnología de prevención de pérdida de datos, clave en el desarrollo del negocio actual y futuro

2010-05-19T08:09:51Z

Un reciente estudio europeo de Cloud Academy Technologies (CA) revela los bajos niveles de implantación de tecnologías de seguridad a nivel de datos (como la tecnología de prevención de pérdida de datos o Data Loss Prevention, DLP), hecho que no se corresponde con el empuje de nuevos modelos de negocio orientados al cloud computing o a la gestión por terceros de la infraestructura de almacén de datos.

En el ámbito de las Tecnologías de la Información se ha desarrollado la arquitectura orientada al cumplimiento, que hace referencia a adopción de estándares y normas de seguridad de la información, como el estándar Payment Card Industry Data Security Standard (PCI DSS) y la norma ISO 27001. Este concepto de arquitectura abarca 3 elementos fundamentales: soluciones de gestión de identidades y accesos (que delimiten las funciones y responsabilidades de cada individuo), la localización y clasificación de datos, y el enlace entre las dos anteriores.

Sin embargo, a pesar de que las organizaciones estudiadas consideran que la regulación sobre la privacidad de datos sea el problema la que más les afecte en los próximos 5 años, con una puntuación de 3,2 sobre 5 (siendo 1 “disminuirá mucho” y 5 “aumentará mucho”), dicho estudio también arroja que únicamente el 28% de éstas utiliza herramientas de DLP.

¿Por qué utilizar estas herramientas? Los beneficios de este tipo de planteamiento en las organizaciones son múltiples, destacando:

La percepción de que la organización está preparada para proteger la propiedad intelectual y datos personales (90% de organizaciones con tecnología DLP).
La posibilidad de crear esta arquitectura a partir de estándares como la ISO 27001, con lo que se consigue igualmente el cumplimiento de las regulaciones.
El 41% de los que utilizan estas tecnologías no presenta problemas con la cancelación segura de los derechos de acceso de los empleados.

Más aún, la seguridad de los datos es un elemento claro a la hora de adoptar cloud computing en una organización y las herramientas DLP ayudan en la toma de decisiones sobre la utilización de la información en el entorno cloud.
Por sectores, encontramos que la tecnología de DLP está más extendida en compañías de telecomunicaciones y medios de comunicación (37%), y en menor medida en la administración pública (26%) y en la industria (18%).

El Observatorio de la Seguridad de la Información de INTECO favorece el acercamiento y la comprensión de estos nuevos conceptos a través de sus publicaciones. Así, la Guía para empresas: cómo adaptarse a la normativa sobre protección de datos o la Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos, ofrecen información práctica y sencilla para diversos usuarios en relación con la protección de datos (en base a la normativa española Ley Orgánica de Protección de Datos, LOPD) y cómo ésta proporciona a las organizaciones seguridad, confianza y privacidad.

Nuevo estudio sobre la evolución y situación actual del fraude online y el cibercrimen

2010-05-12T11:06:47Z

El Informe sobre fraude online y cibercrimen, publicado por s21sec, incide sobre las principales amenazas de seguridad informática detectadas el pasado año, encabezadas de nuevo por los incidentes de phishing, dentro del fraude online. Por otro lado, amenazas más recientes como el cibercrimen aumentan la dimensión de los efectos de estos ataques, alcanzando a la seguridad de los gobiernos.

Dentro de las características de estos fenómenos, se resalta la dinamicidad y rapidez con la que se suceden, auspiciados por los avances tecnológicos o la dificultad de rastreo de su origen.

Este estudio, a su vez, realiza una comparativa de la situación con respecto al período 2005-2009, apuntando los principales cambios en esta evolución:

Reducción del 19% en el número de incidentes registrados y solucionados, que pasa de 3.127 a 2.534.
Mayor impacto en sus efectos, al afectar a un mayor número de destinatarios (tanto particulares como empresas e instituciones).
Incremento en la tipología de atacantes, que incluye desde bandas organizadas que disponen de tecnologías avanzadas, hasta jóvenes que desconocen la ilegalidad de sus acciones.
Los incidentes de phishing siguen ocupando el primer puesto en el ranking de amenazas de fraude online, con el 63% del total de incidencias registradas, seguidos de los códigos maliciosos, con el 30% del total.
Nuevos conceptos como la ciberseguridad, ciberguerra o cibercrimen, apuntan a nuevos objetivos de estos ataques: económicos, políticos, de propiedad industrial, religiosos, etc .
EEUU sigue ocupando el primer puesto en origen de los ataques, si bien España se ha posicionado en el último año en los primeros puestos en procedencia de ataques de phishing y códigos maliciosos.

De forma complementaria a la información anterior, el Estudio sobre el fraude a través de Internet, publicado recientemente por INTECO, sobre el impacto del fraude online en los usuarios españoles, ofrece cifras cuantitativas a partir del escaneo realizado por el programa iScan desarrollado por INTECO y de la realización de encuestas a usuarios desde 2007 a septiembre de 2009. Así, el 3,8% de los usuarios afirmaban haber sufrido una pérdida económica provocada por un fraude electrónico, si bien la cuantía de la pérdida es relativamente baja (el 74,3% son inferiores a 400 euros, cifra que determina la frontera entre falta y delito). Destaca el impacto en los sectores de los que parten las comunicaciones fraudulentas, ocupando las entidades bancarias el primer lugar (44%), seguidas de webs de loterías (33,7%), webs de compras online (29,3%), operadoras de telecomunicaciones (21,8%), redes sociales (20,9%) o páginas de subastas (16,5%).

Por último, en la realización del Informe sobre fraude online y cibercrimen han colaborado empresas, organizaciones e instituciones públicas, tanto a nivel nacional e internacional. Dicha colaboración viene a reforzar la importancia de la implicación de los diversos usuarios y agentes en el desarrollo de herramientas de seguridad de las tecnologías de la información que se adapten a la rápida evolución de estas amenazas y minoren su impacto.

Facebook informa sobre seguridad en su “Safety Center”

2010-04-16T12:45:03Z

Esta semana la red social Facebook ha fortalecido su seguridad en la plataforma creando Safety Center (Centro de Seguridad). Mediante esta herramienta facilita consejos a los usuarios para mantener la seguridad en sus perfiles.

La propia red social presenta el Safety Center de la siguiente manera:

“Para Facebook, la seguridad es un tema muy importante y por ello hace todo lo posible por crear un entorno en el que los usuarios puedan relacionarse y compartir sin recelos. Si tienes preguntas acerca de este tema, te aconsejamos que leas el contenido de esta página.”

El Centro de Seguridad de Facebook ofrece información dividida en 5 puntos importantes:

Información general sobre seguridad.
Información para padres.
Información para educadores.
Información para adolescentes.
Información para fuerzas del orden.

Con esta herramienta, de fácil utilización y orientada a proporcionar consejos a padres, adolescentes, profesores y fuerzas del orden, Facebook pretende ofrecer recomendaciones acerca de cómo proceder ante determinadas situaciones de riesgo.

Estas medidas de seguridad en la red social se han ido sucediendo desde diciembre de 2009, momento en el cual se creó el Consejo Asesor de Seguridad elegido para fomentar las buenas prácticas en la plataforma. El consejo de Facebook está integrado por grupos de seguridad de Internet como la Common Sense Media, ConnectSafely, WiredSafety, Childnet International y The Family Online Safety Institute.

A esta medida le siguió, en febrero de 2010, el aumento de la edad mínima para compartir información en su plataforma a los 14 años adecuándose así a la legislación española, ya que hasta ese momento, Facebook fijaba en 13 años el mínimo a partir del cual los menores podían registrarse.

Mediante esta iniciativa, los usuarios pueden disponer de información útil para disfrutar de la red social con mayor seguridad en sus perfiles.

La mariposa zombi

2010-03-05T10:58:36Z

Una vez más oímos hablar de una macro operación. De la mayor y más grande. De que millones de ordenadores estaban teledirigidos y de que tenían información secuestrada que valía un potosí. Y ello resulta, informativamente, espectacular.

A partir de ahí, como cuando admiramos un cuadro, conviene echar el paso atrás y mirar con perspectiva. Dejando de lado el trabajo espectacular de los investigadores, siempre me asalta la misma inquietud. Y ésta no es otra que: ante la caída de una “red mundial” de ciberdelincuentes ¿por qué sólo se apresan a uno o a tres, como ahora?.

Es una pregunta muy poco profunda, lo sé. Pero es lo que se pregunta el común de los usuarios. No cabe duda que la Red es proclive a esto. A que lo virtual imponga como impenetrable el entramado de las mafias. Son, de hecho, tan impermeables que sus comportamientos estancan las investigaciones. La cadena, en este sentido, suele romperse sin establecerse que eslabón falta y que longitud tiene la trama. Aquí reaparece la inquietud del usuario. Y lo hace con fuerza ya que parece que el problema no se ataja. Soy de la opinión de que estas fabulosas investigaciones algún día tienen que desarmar totalmente al malhechor y, como resultado, ofrecer una pirámide completamente desarbolada del delito descubierto e indagado.

¿Estamos en el camino?. Sí, pero hay que dotar a los investigadores de una autonomía real que no les detenga en las fronteras físicas, para favorecer un país-Red. Esto es, precisan una fluidez adecuada como la que promociona Internet. La Policía se queja. Los investigadores de las compañías de seguridad también. Y todos topan con normativas contradictorias y regulaciones inexistentes que paralizan las pesquisas. ¿Se habría desarmado por completo la última “mariposa” con un panorama distinto?. Sí.

Creo que podemos concluir que el día en que leamos la noticia de la desarticulación de una trama internacional y detenidos 40 individuos, ese día algo habrá cambiado. Hoy por hoy nos vamos a seguir quedando en la punta del iceberg; grande y capaz de hundir un Titanic. Pero, ojo, un trozo de hielo avistado por unos profesionales de bandera capaces de llegar a todo. Pero con más medios... Por cierto, mientras escribo leo que tres detenidos en la “mariposa zombi” están en libertad; con cargos.

Éxito en la investigación; y enhorabuena. Del resto, a mejorar.

Menores y redes sociales

2010-02-23T15:23:31Z

El Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, es claro al establecer en su artículo 13 que, como regla general, para recabar los datos de cualquier menor de 14 años es necesario contar con el consentimiento de los padres o tutores.

Trasladando este mandato al ámbito de la redes sociales – plataformas en las cuales los usuarios interactúan con otros usuarios precisamente a partir de perfiles que contienen sus datos personales, se intercambian imágenes, videos, mensajes y se integran herramientas basadas en el tratamientos de datos – se debe interpretar que según la normativa española la edad mínima en España para que un menor pueda registrarse en una red social es 14 años. El criterio del legislador es que considera que es a partir de esa edad cuando una persona está suficientemente capacitada para comprender las implicaciones y consecuencias que conlleva ceder sus datos personales respecto a su derecho a la privacidad, a la intimidad, honor y propia imagen.

Desde la semana pasada, Facebook, una de las redes sociales más utilizadas por los usuarios españoles, ha elevado la edad mínima para compartir información en su plataforma de los 13 a los 14 años adecuándose así a la legislación española. Hasta ahora, y siguiendo las leyes estadounidenses, Facebook fijaba en 13 años el mínimo a partir del cual los menores podían registrarse.

El pasado mes de julio la Agencia Española de Protección de Datos (AEPD) había solicitado a Facebook esta medida, así como el requisito de instaurar herramientas de verificación de edad para evitar que menores de 14 años se registraran en el sitio web, por lo que la medida tomada por Facebook ha sido acogida con satisfacción por este organismo.

Del mismo modo, precisamente, esta recomendación estaba contenida en el Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online que INTECO y la AEPD publicaron en febrero de 2009, así como en la Guía legal sobre las redes sociales, menores de edad y privacidad en la Red que publicó también el Observatorio de INTECO en octubre de 2008.

Aunque con la ley en la mano los menores de 14 años no pueden crearse un perfil en una red social sin consentimiento de sus padres, la realidad es que son muchos los niños que tienen cuenta en redes sociales.

Esto es debido a que más allá de estos cambios en las condiciones legales de uso de estos servicios, deben instaurarse herramientas eficaces de verificación de edad y un verdadero protocolo de control de ésta.

En este sentido, dos ejemplos de buenas prácticas son las medidas llevadas a cabo precisamente por dos redes sociales españolas. Por un lado, Tuenti, una de las redes con mayor penetración en nuestro país, muy especialmente entre los jóvenes, viene aplicando desde el pasado verano un protocolo de control de edades entre sus usuarios, de tal modo que cuentan con un equipo de soporte al usuario de más de 20 personas para identificar y borrar los perfiles falsos o que incumplen las condiciones de uso del servicio. El segundo ejemplo es Comunidad Clan, red social infantil impulsada por RTVE, donde son los propios padres los que han de crear el perfil de sus hijos, por lo que se garantiza su consentimiento.

Otra alternativa, defendida desde INTECO, es la utilización del DNI electrónico como fórmula para que los jóvenes mayores de 14 años puedan demostrar fehacientemente que lo son y así poder registrarse y acceder a las plataformas.

En definitiva, mientras las redes sociales no hayan implementado este tipo de sistemas, se corre el riesgo de que el tratamiento de datos de menores pueda estar haciéndose bajo un consentimiento no válido.