ESTUDIO DE PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN

Transcripción

1 ESTUDIO DE PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN

2 ÍNDICE 1. Introducción Derecho a la privacidad y la seguridad en Internet Amenazas de Internet SPAM HACKER VIRUS Clases de virus VIRUS EN EL MÓVIL SPYWARE / MALWARE RFID SPYCHIPS La tecnología RFid La posible amenaza para la privacidad PHISING CARDING EN LA RED PHARMING COOKIES Tecnologías para incrementar la privacidad FIRMA ELECTRÓNICA CERTIFICACIÓN ELECTRÓNICA HERRAMIENTAS ÚTILES Antivirus Firewall IDS -Intrusion Detection System Buenas prácticas Impacto en el comercio electrónico Página 2 de 47

3 6.1. MITOS DEL COMERCIO ELECTRÓNICO ESTUDIO SOBRE COMERCIO ELECTRÓNICO (B2C) RAZONES DE COMPRA POR INTERNET PRODUCTOS Y SERVICIOS MÁS COMPRADOS POR INTERNET RAZONES PARA NO COMPRAR EN INTERNET Uso de internet por los Menores USO DE INTERNET POR PARTE DE LOS MENORES PELIGROS IDENTIFICADOS ACCIONES DE LA ADMINISTRACIÓN, LOS CUERPOS DE SEGURIDAD Y LA FAMILIA Recomendaciones para el uso seguro de Internet por los menores Marco y normativo OCDE EUROPA ESPAÑA ESTADOS UNIDOS LOS DERECHOS DE PROTECCIÓN DE LA PRIVACIDAD EN ESPAÑA AutoRregulación CONFIANZA ONLINE AGENCIA PARA LA CALIDAD DE INTERNET CONTENIDOS PARA MÓVILES OTRAS INICIATIVAS Referencias Nota: Las marcas usadas y referenciadas en este documento son propiedad de sus respectivos dueños. Página 3 de 47

4 1. INTRODUCCIÓN Nuestro mundo camina a grandes pasos hacia la Sociedad Digital del Conocimiento, donde Internet ocupa un lugar central. Ante este panorama, se hace indispensable conocer las enormes posibilidades de la red como medio de negocio, un medio vibrante y con un futuro más que prometedor. La Nueva Economía tiene mucho que ofrecer a quienes participen en ella, aunque existe también otra cara de la moneda: millones de correos no solicitados, de spam, llenan los buzones de correo de empresas y particulares, hackers, Virus, etc. El comercio electrónico plantea importantes retos que deben ser superados, como el de garantizar la seguridad de las comunicaciones. El carácter universal de la Red nos convierte en ciudadanos del mundo, pero también puede dejar expuesta, ante ese mismo mundo, nuestra privacidad. Todo esto hace necesario que exista una regulación equilibrada acompañada de planes de formación e información a los usuarios y empresas, que nos permita disfrutar de las ventajas de la Sociedad Digital del Conocimiento, y que nos proteja al mismo tiempo de sus peligros. La seguridad que debe podérsele ofrecer al usuario de Internet, como en el caso de la seguridad ciudadana, debe mantener un exquisito equilibro con el respeto a su privacidad y su intimidad, derecho éste fundamental entre los del ser humano. El derecho a la intimidad es el que debe permitir a cada individuo reservar un espacio que quede resguardado de la curiosidad ajena, pues a nadie se le puede exigir que soporte pasivamente la revelación de datos de su vida privada, personal o familiar. La privacidad, según el diccionario de la Real Academia de la Lengua, es el ámbito de la vida personal de un individuo que debe ser reservado y mantenerse confidencial. Puede también definirse como el poder para controlar lo que otros puede saber sobre uno mismo y para determinar las reglas de acceso al espacio privado. Las Tecnologías de la Información y las Comunicaciones han incrementado los riesgos contra la privacidad, dado que esta puede violarse de forma más sencilla y con un mayor grado de invisibilidad, de manera que su invasión no resulte obvia para quién la sufre si no es un experto en informática, tal y como ocurriría con una invasión física del hogar. En este estudio se repasa la situación actual de la seguridad del uso de Internet desde el punto de vista del usuario y de sus datos personales. También se revisa específicamente la problemática cuando el usuario es un menor de edad y, por otro lado, el impacto que la confianza del usuario tiene sobre el comercio electrónico. Página 4 de 47

5 2. DERECHO A LA PRIVACIDAD Y LA SEGURIDAD EN INTERNET Los problemas de privacidad en la evolución de las Tecnologías de la Información son preocupantes. La monitorización de s, la recolección y difusión no autorizada de información confidencial y datos personales, la necesidad de protección de la información confidencial de las empresas, la falta de seguridad en terminales no protegidos y la venta o alquiler de listados de información personal de los usuarios sobre sus hábitos de consumo y otras prácticas, son sólo parte de la creciente lista de problemas. Las actividades que se pueden suponer privadas en realidad no lo son, ya que no existe ninguna actividad en línea que garantice la absoluta privacidad. Como ejemplo, encontramos los foros, donde cualquier persona puede capturar, copiar y almacenar todo lo que se escriba. Datos como el nombre, correo electrónico e incluso información sobre su proveedor de Internet, figuran en el mensaje mismo. O las listas de distribución, donde existen algunas funciones que permiten que los mensajes sean distribuidos a múltiples usuarios. Además, aunque la cuenta con un proveedor de Internet es privada, la mayoría de estos proveedores dan a conocer públicamente información sobre sus usuarios. Otro ejemplo seria el registro de los datos referentes a los nombres de dominio de un sitio Web, ya que muchas personas obtienen su propio dominio en Internet y estos registros son información pública. En el año 2005, las amenazas de virus, códigos maliciosos y spyware 1 información confidencial son más avanzados 2. fueron mayores que en el 2004, y los métodos de robo de La principal amenaza para los usuarios informáticos en el 2005 fue el phising 5, que continúa siendo una de las principales amenazas a la seguridad de las empresas y usuarios, Situación que se agravará en el 2006 con el incremento de la complejidad de los programas 3. McAfee 2 anticipó que el adware 1 y contenido no deseado, transmitido a través de correo electrónico e Internet, continuará aumentando en el 2006 con programas cada vez más complejos. En el 2005, los ataques de virus con una valoración de peligro intermedio o grave aumentaron "de forma drástica" con respecto al 2004, pasando de 20 en ese año a 46 en los anteriores 12 meses, según McAfee 2. Las amenazas estarán combinadas con contenido como spam 4 y phishing 5 a medida que el año progresa. Se prevé que los esquemas de phishing exitosos seguirán aumentando debido a la falta de concienciación de los consumidores. 1 Spyware/adware. Software instalado en un ordenador, generalmente sin el conocimiento del usuario, que recoge información de dicho usuario para más tarde enviarla por Internet a un servidor. 2 McAfee Inc. Líder en suites de seguridad y privacidad. 3 IBM Global Business Security Index ( Página 5 de 47

6 3. AMENAZAS DE INTERNET Las vulnerabilidades del software que se están revelando en los últimos tiempos como uno de los mayores problemas de la informática de nuestros días. El desarrollo y uso masivo de Internet que tantos beneficios ha proporcionado, ha provocado que aparezcan problemas donde antes no los había. Esto se debe a que los ordenadores ya no son elementos individuales, sino que cuando se conectan a la Red, se convierten en una parte integrante de la misma, a la que otros usuarios, desde cualquier punto del planeta, pueden tener acceso. Una vulnerabilidad de software puede definirse como "un fallo o hueco de seguridad", se trata de un fallo de diseño de alguno de los programas que pueda haber instalados en el ordenador, que permite que un virus pueda realizar alguna acción maliciosa. Estos fallos de seguridad, abren las puertas a usuarios maliciosos que quieran introducirse en nuestro equipo. Pero el gran problema de los agujeros de seguridad reside en la forma en que son detectados. En la mayoría de las ocasiones de esto se encargan organismos o usuarios que nada tienen que ver con las compañías fabricantes del software afectado. Normalmente, los propios descubridores de los problemas se encargan de informar a los fabricantes que, por lo general, responden de forma eficaz publicando, poco tiempo después, las actualizaciones necesarias para resolver el fallo. Sin embargo, esto no siempre es así, y se han dado muchos casos en que el descubridor de algún importante problema no informa al fabricante sino que trata de sacar provecho de ello. En cualquier momento del día hay conectados a Internet miles de ordenadores, que posiblemente están infectados con virus, gusanos, spyware, malware, que han sido enviados por acciones de Spam 4. La mejor manera de combatir estos códigos maliciosos, es estar informado. 4 Spam. Correo electrónico no solicitado enviado por Internet 5 Phishing. Modalidad de estafa diseñada con la finalidad de robar la identidad de un usuario. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. Página 6 de 47

7 3.1. SPAM Actualmente se denomina Spam o correo basura a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por Spam cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva. El bajo coste de los envíos vía Internet (mediante el correo electrónico) o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades en el volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada. El correo basura hace honor a su nombre: es basura. La inmensa mayoría de los correos basura que son indiscriminadamente enviados por la Red anuncian, casi sin excepción, productos sin el más mínimo valor, engañosos y más o menos fraudulentos. Desde software para enviar correos basura, pasando por dietas y curas milagrosas, y llegando a componentes de ordenador sin marca; desde misteriosos métodos para hacerse rico en unos días, a sitios pornográficos. En general, se trata de material demasiado impresentable como para anunciarlo en medios respetables donde deberían pagar por anunciarse. Además, en muchas ocasiones los contenidos rozan la ilegalidad, si es que no son manifiestamente ilegales, como la pornografía infantil. En la mayoría de los cuerpos jurídicos nacionales se han incorporado normas que protegen específicamente el derecho del individuo a no recibir notificaciones comerciales directas, tanto por correo como por medios telemáticos HACKER El término "Hacker" es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con las Tecnologías de la Información y las Comunicaciones: Programación 6 Ver apartado 9 Página 7 de 47

8 Redes de comunicaciones Sistemas Operativos Hardware de red/voz, etc Su entendimiento es más sofisticado y profundo respecto a los sistemas informáticos, ya sea de tipo hardware o software. Se suele llamar hackeo y hackear a las obras propias de un hacker. Se dice que el término de "Hacker" surgió de los programadores del Massachusetts Institute of Technology (MIT), que en los 60, por usar hacks, se llamaron a sí mismos hackers. Con ello querían indicar que podían hacer programas mejores y más eficaces, o que hacían cosas que nadie había podido hacer. El término "Hacker" trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un "Hacker" es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. En definitiva, la versión actual del filósofo. También existen los llamados Cracker (que significa Rompedor) o "Black hat" (sombreros negros) que usan su conocimiento con fines maliciosos, antimorales o incluso bélicos, como intrusión de redes, acceso ilegal a sistemas gubernamentales, robo de información y otros crímenes informáticos, como distribuir material ilegal o moralmente inaceptable, fabricación de virus, herramientas de Crackeo y elementos de anarquismo como la distribución de manuales para fabricar elementos explosivos. El término actualmente es algo ambiguo, ya que también se utiliza para referirse a: Aficionados a la informática que buscan defectos, puertas traseras y mejorar la seguridad del software, así como prevenir posibles errores en el futuro. Delincuentes informáticos, o crackers, que es su uso más extendido, y que sería incorrecto, según los propios hackers VIRUS Un virus es un programa que ocupa una cantidad mínima de espacio en disco (el tamaño es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de sí mismo e infecta archivos, tablas de partición o sectores de arranque de los discos duros y disquetes para poder expandirse lo más rápidamente posible. Mientras el virus se replica intenta pasar lo más desapercibido que puede. Intenta evitar que el "huésped" se dé cuenta de su presencia... hasta que llega el momento de la "explosión". Es el momento culminante que marca el final de la infección y en algunos casos suele venir acompañado del formateo del disco duro o borrado de archivos. No obstante, el daño se ha estado ejerciendo durante todo el proceso de infección, ya que el virus ha estado ocupando memoria en el ordenador. Página 8 de 47

9 La gran mayoría de los creadores de virus lo ven como un hobby, aunque también otros usan los virus como un medio de propaganda o difusión de sus quejas o ideas radicales. En otras ocasiones es el orgullo o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez más destructivos y difíciles de controlar. Pero afortunadamente, también se están desarrollando mejores antivirus Clases de virus Clases de virus Definición Consecuencias Virus Gusanos Caballos de Troya o Troyanos Jokes Son diminutos programas que, una vez introducidos en el ordenador, se "pegan" a los programas que son ejecutados. Así se reproducen con facilidad. Si alguno de éstos llega a otro ordenador, bien a través de un disquete, un CD o por correo electrónico, comienza un nuevo proceso de infección. En el caso de una red de ordenadores conectados entre sí, la propagación es asombrosamente instantánea Son pequeños programas que se reproducen a sí mismos sin necesidad de estar adosados a otros programas Son unos programas que se camuflan malware. Son programas que simulan la destrucción de los datos del ordenador, con un formateo ficticio incluido Cuando se cumple una determinada condición, como una fecha, un número de veces actuando, o determinada secuencia de pulsaciones de teclado, por ejemplo, se alcanza su segundo objetivo después de la reproducción, que puede consistir en la inutilización total o parcial del sistema, una avería, un simple mensaje reivindicativo... O todo a la vez. Su objetivo inicial no era destructivo, si no más bien entorpecedor, llegando a colapsar el sistema bien por el espacio que ocupan, o bien por ralentizar el tránsito de información hasta llegar a pararlo por completo Su misión consiste en espiar o simplemente destruir su información. Ofrecen el acceso del ordenador infectado a otro ordenador que ejerce el control del primero. Es decir, el caballo de troya permite que otro usuario manipule a placer todo el PC mientras se está conectado a Internet. Estas bromas de mal gusto suelen ser enviadas por correo electrónico, no causan ningún daño al ordenador. Son bromas de muy mal gusto Página 9 de 47

10 3.4. VIRUS EN EL MÓVIL En la actualidad existen también virus que afectan a los móviles. Por ejemplo CommWarrior, que tras infectar un teléfono usa la agenda de contactos para reenviarse a todos los números de la agenda del usuario. Para expandirse, CommWarrior escanea la libreta de direcciones del teléfono y se autoenvía de forma periódica a los contactos de forma aleatoria, en un mensaje en el que se incluye un fichero adjunto animando al usuario a instalarlo como aplicación. CommWarrior intenta infectar a los dispositivos compatibles Symbian OS que se encuentren en las proximidades a través del protocolo Bluetooth. En un mensaje MMS puede incluirse audio, vídeo o imágenes estáticas y es recibido por el destinatario de forma casi instantánea al igual que un SMS. La tecnología MMS consiste en una extensión del estándar SMS (Short Message Service) desarrollada por el 3GPP (Third Generation Partnership Project) que permite a los usuarios intercambiar mensajes multimedia entre teléfonos móviles. Una vez que el usuario del móvil descarga el MMS CommWarrior, envía MMS automáticamente provocando un perjuicio económico al usuario SPYWARE / MALWARE Se denomina Spyware a los archivos o aplicaciones de software que son instalados en los ordenadores de los usuarios, la mayoría de veces sin su conocimiento o autorización. Estos archivos se ejecutan en "background" (en segundo plano, sin que el usuario lo perciba) utilizando la conexión con Internet del usuario para extraer datos e información sobre el contenido del ordenador o nuestro comportamiento. Todo ello, claro, sin avisarnos y sin solicitar nuestro consentimiento. Estas funcionalidades pueden venir incorporadas en software con licencia de uso legal, pero que ilegalmente están espiando en nuestro ordenador o informando del uso que realizamos del mismo. Básicamente, una aplicación de spyware lo que registra y envía es información sobre hábitos de navegación en la Red, las páginas Web que más frecuentemente se visitan, el tiempo de conexión a Internet, etc. También suelen capturar datos relativos al equipo en que se encuentran instalados: sistema operativo, tipo de procesador, memoria... Incluso hay algunos diseñados para informar de si el software instalado en el equipo es original o no. En algunos casos, puede llegar a dar el control del ordenador a un usuario remoto. Las motivaciones que guían a los promotores de este tipo de prácticas pueden ser comerciales o para hacer estudios de mercado, aunque, como es obvio, no existen pruebas acerca de para qué se recoge la información o qué se hace posteriormente con ella. En todo caso, la presencia de un programa de este tipo en el sistema supone una agresión a la privacidad de los datos personales que no debe ser consentida. Detectar una aplicación spyware en el ordenador no es nada sencillo. De hecho, como si de espías verdaderos se tratase, utilizan sofisticadas técnicas para convivir con el resto de programas. Las características que les permiten esta habilidad son: Página 10 de 47

11 - Normalmente los spyware se instalan en el equipo junto con alguna utilidad para el disco duro o incluso en software adquirido legalmente. - Los nombres de los archivos que se corresponden con este tipo de programas pueden no dar una idea de su verdadera naturaleza, por lo que pasan desapercibidos entre el resto de ficheros de una aplicación. - Al no tratarse de virus, ni utilizar ninguna rutina que pueda relacionarlos con ellos, los programas antivirus no los detectan, a no ser que hayan sido programados específicamente para ello. - No provocan ningún efecto visible en el ordenador, ni cuando son instalados ni cuando se encuentran en plena acción. Por ello, precisamente, los usuarios no suelen preocuparse de si algún programa de este tipo se encuentra instalado en su sistema. Eso conlleva que la estancia en el ordenador de una aplicación spyware sea larga RFID SPYCHIPS La tecnología de identificación por radiofrecuencia RFID (Radio Frequency IDentification) es una tecnología de captura de datos que utiliza diminutos chips rastreadores adheridos a los productos. Estos chips pueden ser utilizados para rastrear artículos a cierta distancia. Algunos de los mayores fabricantes del mundo quieren reemplazar el código de barras por estos "chips", siendo su principal aplicación su empleo en la gestión de la cadena de suministro. La tecnología RFid Todo sistema RFID se compone de un interrogador o sistema de base que lee y escribe datos en los dispositivos y un "transponder" o transmisor que responde al interrogador. 1. El interrogador genera un campo de radiofrecuencia, normalmente conmutando una bobina a alta frecuencia. Las frecuencias usuales van desde 125 Khz hasta la banda ISM de 2.4 Ghz, incluso más. 2. El campo de radiofrecuencia genera una corriente eléctrica sobre la bobina de recepción del dispositivo. Esta señal es rectificada y de esta manera se alimenta el circuito. 3. Cuando la alimentación llega a ser suficiente el circuito transmite sus datos. 4. El interrogador detecta los datos transmitidos por la tarjeta como una perturbación del propio nivel de la señal. Página 11 de 47

12 Las etiquetas RFID pueden ser activas, semi-pasivas o pasivas. Las etiquetas RFID pasivas no tienen fuente de alimentación propia. La mínima corriente eléctrica inducida en la antena por la señal de escaneo de radiofrecuencia proporciona suficiente energía al circuito de la etiqueta para poder transmitir una respuesta. Las etiquetas RFID pasivas, en la práctica tienen distancias de lectura que varían entre unos 10 milímetros hasta cerca de 6 metros dependiendo del tamaño de la antena del Tag y de la potencia y frecuencia en la que opera el lector. El dispositivo disponible comercialmente más pequeño de este tipo mide 0.4 milímetros 0.4 milímetros, y es más fino que una hoja de papel; estos dispositivos son prácticamente invisibles. Las etiquetas RFID semi-pasivas son muy similares a las pasivas, salvo que incorporan además una pequeña batería. Esta batería permite al circuito integrado de la etiqueta estar constantemente alimentado. Además, elimina la necesidad de diseñar una antena para recoger potencia de una señal entrante. Por ello, las antenas pueden ser optimizadas para la señal de respuesta. Las etiquetas RFID semi-pasivas responden más rápidamente, por lo que son más eficientes en el ratio de lectura comparadas con las etiquetas pasivas. Las etiquetas RFID activas, tienen una fuente de energía, y pueden tener rangos mayores y memorias más grandes que las etiquetas pasivas, así como la capacidad de poder almacenar información adicional enviada por el transmisor-receptor. Actualmente, las etiquetas activas más pequeñas tienen un tamaño aproximado de una moneda. Muchas etiquetas activas tienen rangos prácticos de diez metros, y una duración de batería de hasta varios años. La posible amenaza para la privacidad. Aunque esta tecnología no es en absoluto novedosa, el oscurantismo en torno a las circunstancias de su más que previsible despliegue, reside en que esta tecnología atenta contra la privacidad, motivo por el cual recientemente se está creando un movimiento anti RFID 7. Las razones principales por las que RFID resulta preocupante en lo que a refiere a la privacidad son: 1. El comprador de un artículo puede no saber de la presencia de la etiqueta o ser incapaz de eliminarla. 2. La etiqueta puede ser leída a cierta distancia sin conocimiento por parte del individuo. 3. Si un artículo etiquetado es pagado mediante tarjeta de crédito o conjuntamente con el uso de una tarjeta de fidelidad, entonces sería posible enlazar la ID única de ese artículo con la identidad del comprador. La mayoría de las preocupaciones giran alrededor del hecho de que las etiquetas RFID puestas en los productos siguen siendo funcionales incluso después de que se hayan comprado los productos y se hayan llevado a casa, y esto puede utilizarse para vigilancia, y otros propósitos 7 Como el patrocinado por diversos movimientos de derechos civiles en Página 12 de 47

13 sin relación alguna con sus funciones de inventario en la cadena de suministro. Aunque la intención es emplear etiquetas RFID de corta distancia, éstas pueden ser interrogadas a mayores distancias por cualquier persona con una antena de alta ganancia. En España estas etiquetas son usadas para el control antirrobo de las mercancías en los supermercados y tiendas. También se emplean para realizar inventarios de forma rápida y en la gestión de la cadena de suministro. Actualmente no hay constancia de que se estén utilizando estas etiquetas con otro propósito PHISING El Phising consiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales con el fin de obtener datos personales y bancarios de los usuarios para hacerse pasar por ellos en diversas operaciones on line. El procedimiento es el siguiente: el usuario recibe un mensaje de correo electrónico, aparentemente de instituciones financieras o de Websites haciéndole creer que es preciso verificar sus datos financieros personales, tales como números de tarjeta de crédito, nombre de usuario y contraseña de cuentas bancarias, número de seguridad social, etc.. El formato de estos mensajes suele ser un plagio de los utilizados habitualmente por bancos conocidos, Websites de venta online, compañías de tarjetas de crédito, etc.., y a menudo emplean estrategias como la de hacer creer al usuario que se sospecha que su tarjeta de crédito puede haber sido utilizada de manera fraudulenta, por lo que la entidad financiera se pone en contacto con el titular para validar los datos. Evidentemente esto no es cierto, y se trata de un intento de engaño. El Phishing en España era desconocido para la mayoría de los internautas. Los casos que se conocían eran de entidades bancarias extranjeras o de grandes empresas de subastas y de métodos de pago -Pay Pal ó ebay- todos ellos eran en lengua inglesa. Los primeros ataques importantes en España fueron detectados finales del 2004 pero en el 2005 su evolución y extensión han convertido al Phishing en una plaga casi imparable 8. Las malas traducciones con fallos ortográficos y gramaticales de los primeros intentos de Phishing han evolucionado en el 2005 a gran velocidad, los actuales tienen un alto grado de peligrosidad donde rozan la perfección, e incluso se emulan en algunos casos falsas ventanas de dirección con la dirección casi exacta de la entidad bancaria o empresa. Todos los especialistas en seguridad informática coinciden en señalar que en la actualidad el Phising es uno de los grandes peligros de Internet, seguido de los virus 8. 8 Asociación de Internautas el Página 13 de 47

14 Según las conclusiones de un estudio realizado por Bufete de Marketing9; uno de cada tres españoles ya es usuario de banca por Internet y su grado satisfacción supera el de los clientes de la banca tradicional, que está viendo cómo estas entidades online crecen. El número de personas que optan por servicios en la red ha crecido cerca de un 50% en los últimos 12 meses, y de los poco más de dos millones de clientes en junio de 2004 se ha pasado de los tres millones en el mismo mes del Lo alentador es que las amenazas del Phising y otras estafas que proliferan a través de Internet no han frenado aún el avance del banco en casa. La Asociación de Internautas ha detectado casi 300 casos de Phising en el 2005 en España, de los cuales el 75% fueron entidades bancarias, el 20% empresas de subastas online y de intercambio de dinero, y el 5% restante a páginas Web falsas de recargas de móviles. La entidad mas atacada en el 2005 fue el BBVA, seguida de Bancaja y Caja Madrid 11. La mejor forma de combatir el Phising es que los clientes de banca online estén informados de este tipo de fraude, ya que este tipo de actuaciones genera confianza en los clientes. A finales de este año 2005 todas las Web bancarias españolas contienen ya alguna advertencia sobre que es el Phising. Otra forma de estafa muy ligada con el Phising es conocida como Scam. Este tipo de estafa trata de captar personas por medio de correos electrónicos, chats, irc, etc... Donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias). El procedimiento de captación de victimas consiste en la recepción de un correo electrónico o por medio de un anuncio en Internet, donde se ofrece un trabajo fácil y bien pagado. Una vez que la víctima contacta con los estafadores tiene que rellenar un formulario donde le solicitan su cuenta bancaria para realizarle un ingreso procedente de una cuenta bancaria de una víctima del Phising. Al conocer las claves de las víctimas de Phising y Scam, se realizan transferencias bancarias de los estafadores a la cuenta bancaria de la víctima de Scam conocido como mulero al cual le informan que debe enviar el dinero por medio de Money Gram o similares a un destino indicado por el estafador, excepto un porcentaje que el mulero obtiene por el trabajo. En el apartado de buenas prácticas se incluye las formas de identificación y recomendaciones para combatir el Phising y el Scam Nielsen NetRatings 11 Diario EL MUNDO viernes 30 de diciembre de 2005 Página 14 de 47

15 3.8. CARDING EN LA RED El Carding es otro tipo de estafa que consiste, al igual que el Phising, en mensajes electrónicos no solicitados que ofrecen informes de crédito, algunos gratuitamente, con la finalidad de engañar a los consumidores para que revelen los números de sus tarjetas de crédito, datos de sus cuentas bancarias, contraseñas y demás información delicada. Esta información es vendida a terceros, quienes podrían utilizarla para cometer fraude o incluso robo de identidad. El Carding consiste entonces en usar un número de tarjeta de crédito -ya sea real o creado de la nada mediante procedimientos digitalespara realizar compras a distancia por Internet y efectuar pagos. A esta actividad debe agregarse la de generar números validos de tarjetas de crédito para luego usarlos en compras a distancias. Cuando una empresa de tarjetas asigna una tarjeta numerada a un usuario lo hace a través de un sistema automatizado de creación de número aleatorios. El Carding es sin duda la actividad de mayor riesgo de todas las entendidas como delitos informáticos, pues sí se quiere recibir lo que se compro en la red, hay que ordenar que lo envíen a un sitio determinado, ya que quien compro con un número de tarjeta que no es suyo se arriesga a que lo descubran a ser arrestado al ir a recoger lo comprado PHARMING El Pharming es un tipo de estafa, que consiste en que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Un DNS es un sistema de nombres que permite traducir de nombre de dominio a dirección IP y viceversa. Aunque Internet sólo funciona en base a direcciones IP, el DNS permite el uso de nombres de dominio que son bastante más simples de recordar, pero que también pueden causar muchos conflictos. Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. En los servidores DNS se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinadas direcciones. A través de la manipulación del DNS por medio de un malware, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online. La empresa Panda Software 12 informó que los ataques Pharming pueden llevarse a cabo directamente contra el servidor DNS, de forma que el cambio de direcciones afecte a todos los usuarios que lo utilicen mientras navegan en Internet, o bien de forma local. 12 Empresa española líder en el desarrollo de antivirus. Página 15 de 47

16 El Pharming requiere que alguna aplicación se instale en el sistema a atacar (un fichero.exe, un script, etc.). La entrada del código en el sistema puede producirse a través de cualquiera de las múltiples vías de entrada de información que hay en un sistema: el (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. El remedio para esta nueva técnica de fraude pasa, de nuevo, por las soluciones de seguridad antivirus que debe detectar el fichero con el código malicioso y eliminarlo. Estas amenazas no solamente afectan a los consumidores, sino también a las compañías de E-commerce e instituciones financieras que operan a través de Internet. Si los consumidores pierden su confianza en la seguridad de las transacciones, los negocios y las organizaciones que operan en Internet pueden sufrir serias pérdidas financieras COOKIES Las cookies constituyen una potente herramienta empleada por los servidores Web para almacenar y recuperar información acerca de sus visitantes. Dado que el Protocolo de Transferencia de HiperTexto (HTTP) es un protocolo sin estados, es decir, no almacena el estado de la sesión entre peticiones sucesivas, las cookies proporcionan una manera de conservar información entre peticiones del cliente, extendiendo significativamente las capacidades de las aplicaciones cliente/servidor basadas en la Web. Mediante el uso de cookies se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc. Entre las mayores ventajas de las cookies se encuentra el hecho de ser almacenadas en el disco duro del usuario, liberando así al servidor de una importante sobrecarga. Es el propio cliente el que almacena la información y quien se la devolverá posteriormente al servidor cuando éste la solicite. Además, las cookies poseen una fecha de caducidad que puede oscilar desde el tiempo que dure la sesión, hasta una fecha futura especificada a partir de la cual dejan de ser operativas. Cuando se crearon, las cookies tenían como objetivo favorecer al usuario. Al permitir que los sitios Web recordasen a los visitantes, se les podía ofrecer un servicio individualizado, informado las novedades y liberándolos de ciertas tareas engorrosas de identificación. Algo parecido a entrar en un restaurante y que el camarero nos llame por nuestro nombre. Hay que saber distinguir entre las amenazas reales y los rumores falsos, como que por medio de las cookies se puedan contagiar un virus. Para ello, sería requisito indispensable que la cookie contuviera código ejecutable y que, además, se le ordenase su ejecución. También se dice que el servidor consigue acceso a un disco duro gracias a las cookies. Esto no es exacto. En el caso de las cookies, no es el servidor el que lee o escribe en nuestro disco duro, sino el navegador; el servidor pide al navegador que lea o escriba las cookies, pero en ningún caso tiene a través de ellas acceso directo al disco duro. Página 16 de 47

17 Las cookies son simplemente texto, que se puede editar perfectamente con cualquier editor de texto, y como tal son elementos pasivos que no pueden emprender ninguna acción. Sólo pueden ser leídos o escritos, pero no pueden ejecutarse ni mandar ejecutar ningún programa. Por lo tanto no representan ninguna amenaza para el ordenador, ni pueden infectarlo con ningún virus. Es importante comprender que, por diseño, las cookies poseen las siguientes limitaciones: Trescientas cookies en total en el archivo de cookies. Si llega la número 301, se borra la más antigua. 4 Kbytes por cookie, para la suma del nombre y valor de la cookie. Veinte cookies por servidor o dominio (los hosts y dominios completamente especificados se tratan como entidades separadas y tienen una limitación de 20 cookies cada uno). Ninguna máquina que no encaje en el dominio de la cookie puede leerla. Es decir, la información almacenada en una cookie no puede ser leída por una máquina distinta de la que la envió. Aún así, las cookies no son un buen elemento de seguridad, ya que cualquiera que conozca mínimamente su funcionamiento podría acceder físicamente a ellas, tal vez a través de red local, a los datos guardados en las mismas dentro de un ordenador, y utilizar todos los servicios a los que permiten acceder los nombres y contraseñas en ellas almacenados. Por otro lado, sí que es cierto que lo que inicialmente se creó como un mecanismo para beneficiar al usuario ha sido pervertido para beneficiar al anunciante, que husmea nuestras idas y venidas y almacena perfiles de usuario para luego dirigirnos su propaganda personalizada. Esta posibilidad abre las puertas a especulaciones acerca de su venta a terceros o su análisis, y ése es el riesgo real de las cookies. Página 17 de 47

18 4. TECNOLOGÍAS PARA INCREMENTAR LA PRIVACIDAD 4.1. FIRMA ELECTRÓNICA Actualmente, la firma manuscrita permite certificar el reconocimiento, la conformidad o el acuerdo de voluntades sobre un documento por parte de cada firmante, aspecto de gran importancia desde un punto de vista legal. Para intentar conseguir los mismos efectos que la firma manuscrita en transacciones de comercio electrónico e intercambio de información online, se necesita una respuesta técnica segura, y la firma electrónica es una herramienta válida que requiere el uso de la criptografía y el empleo de algoritmos matemáticos. La firma digital consiste en la utilización de un método de encriptación llamado asimétrico o de clave pública. Este método consiste en establecer un par de claves asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el sector, y otro privada, sólo conocida por el sujeto en cuestión. De esta forma cuando se desea establecer una comunicación segura con otra parte basta con encriptar el mensaje con la clave pública del sujeto para que a su recepción, sólo el sujeto que posee la clave privada pueda leerlo. La firma electrónica es un paso importante para la seguridad en la Red, aunque no definitivo. Con ella los internautas disfrutarían de los cinco elementos básicos en el incremento de la privacidad que son: 1. Información sólo disponible para el usuario. 2. Un origen conocido. 3. Ninguna alteración previa. 4. Acceso a ella dónde y cuándo quiera el usuario. 5. No se puede negar su envío y su recepción. Para brindar confianza a la clave pública surgen las autoridades de certificación, que son aquellas entidades que merecen la confianza de otros actores en un escenario de seguridad donde no existe confianza directa entre las partes involucradas en una cierta transacción. Es por tanto necesaria, una infraestructura de clave pública (PKI) para cerrar el círculo de confianza, proporcionando una asociación fehaciente del conocimiento de la clave pública a una entidad jurídica, lo que le permite la verificación del mensaje y su imputación a una determinada persona. Esta infraestructura de clave pública consta de una serie de autoridades que se especializan en papeles concretos: Página 18 de 47

19 Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente las avala. Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA. Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos). Estas autoridades pueden materializarse como entes individuales, o como una colección de servicios que presta una entidad multipropósito. En consecuencia, la firma digital es un bloque de caracteres que acompaña a un documento (o fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que pueda después negar su autoría (no repudio). De esta forma, el autor queda vinculado al documento de la firma. Por último la validez de dicha firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor CERTIFICACIÓN ELECTRÓNICA Un certificado digital es un fichero digital intransferible y no modificable, emitido por una tercera parte de confianza (AC), que asocia a una persona o entidad una clave pública. Un certificado digital que siga el standard X509v3, utilizado por los navegadores, contiene la siguiente información: Identificación del titular del certificado: Nombre, dirección, etc. Clave pública del titular del certificado. Fecha de validez. Número de serie. Identificación del emisor del certificado. Página 19 de 47

20 En síntesis, la misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste siempre se acompaña del certificado del signatario, con el fin de que el destinatario pueda verificar la firma electrónica adjunta. Estos certificados permiten a sus titulares realizar una gran cantidad de acciones a través de Internet: acceder por medio de su navegador a sitios Web restringidos, a los cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pedirá que presente su certificado, posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en Internet, como applets de Java o controles ActiveX de Microsoft, de manera que puedan realizar acciones en el navegador del usuario que de otro modo le serían negadas; firmar cualquier tipo de documento digital, para uso privado o público; obtener confidencialidad en procesos administrativos o consultas de información sensible en servidores de la Administración; realizar transacciones comerciales seguras con identificación de las partes, con en SSL (Secure Socket Layer) que proporciona seguridad cifrando los datos intercambiados entre el servidor y el cliente. Secure Electronic Transatrions (SET) ha sido creada exclusivamente para la realización de comercio electrónico usando tarjetas de crédito. SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago. Actualmente, el estándar de uso en este tipo de certificados es el X.509.v3. Quienes conceden el uso de una firma electrónica y garantiza que cada firma corresponde a ese usuario y no otro, son las Autoridades de Certificación Digital, que necesitan cumplir con unos requisitos muy concretos impuestos por el Ministerio de Justicia. Todas ellas expiden tres tipos de certificados digitales: Certificados de servidor: destinados a establecer el protocolo SSL en una comunicación entre cliente (usuario) y el servidor (página 'Web'). Aplicado en el comercio electrónico, cifra la información que viaja entre el cliente y el servidor, (numero de la tarjeta de crédito, dirección personal, productos comprados). Certificados de Firma de Código: con ellos se puede evitar la entrada de virus en él o establecer sistemas para el pago de licencias de un modo sencillo. Certificados Personales: se utilizan para identificar las personas que acceden al sitio Web o que firman un determinado documento (firma de contratos a través de Internet, Visado Digital, facturación electrónica, Voto electrónico, etc). Página 20 de 47

21 4.3. HERRAMIENTAS ÚTILES Antivirus Un antivirus es un programa informático específicamente diseñado para detectar y eliminar virus. Utilizándolo correctamente éste se convertirá en un software infranqueable para los virus y demás códigos maliciosos. Proteger todas las entradas de información de su equipo, con especial atención a Internet y el correo electrónico. Se debe tener en cuenta que un antivirus debe incluir un completo conjunto de servicios, actualizaciones frecuentes (lo ideal es una vez al día), pero también soporte técnico, resolución urgente de nuevos virus y servicios de alerta. Estos servicios son imprescindibles, utilizándolos obtendrá el máximo rendimiento en seguridad antivirus. Una vez instalado, es muy recomendable que analice todo su PC de forma periódica para asegurarse de que su equipo está completamente libre de virus. El análisis debe incluir todas las unidades del disco duro, los disquetes, los CD's y unidades compartidas. Un antivirus inactivo no sirve para nada, comprobar que el antivirus tiene la protección permanente siempre activa. Así vigilará todas las operaciones realizadas por el ordenador y podrá detectar y eliminar cualquier virus que intente "colarse" dentro de él Firewall Un firewall es un dispositivo software o hardware que se complementa con los antivirus para ofrecer la máxima seguridad en sus comunicaciones vía Internet. Por ejemplo, evita que entren personas no autorizadas en su equipo (como los hackers) o bloquea las descargas de ficheros de páginas no seguras. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el Web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. De este modo un firewall puede permitir desde una red local hacia Internet servicios de Web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la Web, (si es que poseemos un servidor Web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local. Página 21 de 47

22 IDS -Intrusion Detection System El propósito de un sistema de detección de intrusos es identificar los accesos no autorizados o el uso incorrecto de un sistema. Estos sistemas son similares a las alarmas antirrobo. Hacen sonar una alarma y algunas veces toman acciones correctivas cuando un intruso es detectado. Estos, generalmente se dividen en dos categorías: Identificación de anormalidades en el sistema o uso incorrecto de los mismos. Los detectores de anormalidades vigilan cualquier comportamiento que se desvíe del uso normal de los sistemas, mientras que los detectores de usos incorrectos hacen lo propio con cualquier comportamiento que coincida con un conocido escenario de ataque. Como ejemplo de ello, algunos sistemas actúan como un programa de captura de paquetes de redes, interpretando actividad hostil reconociendo los patrones de tráfico en las redes que indiquen que se está produciendo un ataque. Una vez que la vulnerabilidad es identificada, el administrador es informado vía correo electrónico y una alarma es desplegada en la cónsola de administración. Adicionalmente, el ataque puede ser determinado automáticamente, al ser introducido a una base de datos o grabado para su posterior revisión. Página 22 de 47

23 5..BUENAS PRÁCTICAS La mejor manera de evitar ser víctima de algún fraude online, es el estar informado y sobre todo ser escéptico con los mensajes de correo electrónico o con las páginas de Internet que visite. Las siguientes precauciones son la mejor manera de evitar fraudes y problemas: Si recibe un correo electrónico de su banco y en este mensaje se le solicitan que ingrese información confidencial como su Número de Identificación Personal (NIP), no lo responda este mensaje ni mucho menos haga clic sobre el enlace incluido en el mensaje. En su lugar, comuníquese con la compañía citada en el mensaje utilizando un número de teléfono o dirección Web que le conste como genuino. Sea escéptico con los mensajes electrónicos no solicitados. Sospeche de los mensajes electrónicos con remitentes atípicos o desconocidos. Busque errores de ortografía y gramaticales. Frecuentemente, los errores tontos, torpes y evidentes por ejemplo, un código de área telefónica que no coincide con el domicilio son síntomas que revelan que el sitio Web es una estafa. Controle si el correo electrónico coincide con el dominio del sitio Web. Es decir si escribe el dominio Web de la compañía en la barra de su navegador, éste lo lleva al sitio Web de la compañía que le envió el correo electrónico o lo redirige a un sitio Web diferente. Si lo redirige a otro sitio, tómelo como una luz roja que le está advirtiendo que debería suspender la transacción. Cierre la página de cualquier sitio de Internet que le solicite información personal innecesaria, como por ejemplo el número de identificación personal (PIN) de su cuenta bancaria. Utilice únicamente sitios Web seguros. Para garantizar que su información sea transmitida de manera segura busque el ícono del candado en la barra de estado del navegador y las iniciales https en el domicilio URL de un sitio Web. Todos los sitios auténticos son seguros. Esté atento a su buzón de correo y a los resúmenes de cuenta de su tarjeta de crédito, si descubre cargos no autorizados, comuníquese inmediatamente con su institución financiera y con los emisores de la tarjeta de crédito. Página 23 de 47