Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales Jornada: La protección del internauta europeo Centro Europeo del Consumidor en España Madrid, 2 de julio de 2009 Pablo Pérez San-José Gerente del Observatorio (INTECO) pablo.perez@inteco.es OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
Qué es INTECO y su Observatorio? 2
Qué es INTECO y su Observatorio? Línea estratégica de INTECO en Seguridad y e-confianza Inteco-CERT Centro Demostrador de Tecnologías de la Seguridad Observatorio de la Seguridad de la Información 3
Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online Metodología Análisis Cualitativo 35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc. Análisis Cuantitativo 2.860 encuestas a usuarios habituales de Internet, mayores de 15 años. (error muestral: ±1,87%) 3 grupos de discusión: juristas, usuarios adultos y menores. Informe disponible en: http://observatorio.inteco.es Colaboración con la Agencia Española de Protección de Datos 4
Qué son las redes sociales? Plataformas online desde las que los usuarios una vez registrados con un perfil personal pueden utilizar herramientas que permiten interactuar con otros usuarios mediante mensajes, imágenes o vídeos y localizar a otros usuarios en función de las características publicadas por éstos en sus perfiles 5
De cuántas personas estamos hablando? Fuente: INTECO + Universal McCann + Tendencias Digitales (junio 2008) 6
Usuarios de las redes sociales En España, 7 de cada 10 usuarios de redes sociales son menores de 35 años Segmentación por edad de los usuarios de redes sociales en España (junio 2008) 40% 35% 30% 36,5% 32,5% 25% 20% 21,0% 15% 10% 7,9% 5% 0% 15 a 24 25-34 35-49 50-64 >65 2,2% Fuente: INTECO 7
Principales usos de las redes sociales Usos de las redes sociales por los usuarios españoles (%). Octubre 2008 Compartir o subir fotos 70,9 Enviar mensajes privados 62,1 Comentar las fotos de los amigos Actualizar el perfil Enviar mensajes públicos Cotillear 55,0 52,1 50,2 46,2 Etiquetar amigos en las fotos 34,8 Informarse sobre cosas que interesan al usuario 25,0 Descargar aplicaciones 19,3 Descargar juegos/buscar amigos Buscar empleo/recomendar profesionales 9,5 8,5 0 10 20 30 40 50 60 70 80 Fuente: INTECO a partir de Zed Digital 8
Riesgos: 3 momentos clave Hay tres momentos clave en el uso de las redes sociales en los que es posible identificar riesgos para la seguridad y privacidad: 1 Alta como usuario 2 Participación en la red social 3 Baja del servicio 9
1 Alta como usuario Lagunas en la información legal y condiciones de uso Fuente: www.facebook.com 10
1 Alta como usuario Formularios de registro con multitud de datos personales publicables de carácter sensible (nivel medio y alto) 11
1 Alta como usuario Ausencia de sistemas efectivos para identificar la edad de los usuarios Art. 13 RD 1720/2007 LOPD Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento... La información dirigida a los menores deberá expresarse en un lenguaje que sea fácilmente comprensible Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales. 12
1 Alta como usuario Ausencia de sistemas efectivos para identificar la edad de los usuarios El Usuario garantiza que es mayor de 14 años y será enteramente responsable de esta declaración y del acceso y correcto uso del Sitio Web Este sitio está destinado únicamente a los usuarios que son trece (13) años de edad o más, y los usuarios del Sitio menores de 18 años que se encuentran actualmente en la escuela secundaria o la universidad Soy mayor de 14 años 13
1 Alta como usuario Grado de publicidad del perfil de usuario demasiado elevado y máximo grado activado por defecto Fuente: INTECO a partir de Ofcom. Office of Communications 14
2 Participación en la red social Publicación excesiva de información personal (propia y de terceros). 15
2 Participación en la red social Indexación no autorizada por parte de buscadores 16
2 Participación en la red social Instalación y uso de cookies sin conocimiento del usuario 17
2 Participación en la red social Recepción de publicidad hipercontextualizada Fuente: www.facebook.com 18
2 Participación en la red social Cesión de los derechos de propiedad intelectual de los contenidos publicados, incluyendo textos, imágenes, videos, etc. 19
2 Participación en la red social Código malicioso (malware) @facebookmail.com es un dominio usado por Facebook para contactar con sus usuarios Troyano en un.zip Este formulario realmente lleva al genuino Facebook.com para incrementar la legitimidad del engaño Fuente: http://securitylabs.websense.com 20
2 Participación en la red social Análisis ScanSafe: más 600 webs de redes sociales incluían código malicioso (spyware y adware). 80% Presencia de malware por categorías (% sobre total de ordenadores escaneados) 70% 60% 50% 40% 55,9 40,0 61,7 63,2 46,9 48,0 55,2 36,5 57,2 52,8 40,0 41,3 Troyanos Adware 30% 20,9 24,1 24,9 23,6 24,2 24,1 20% 10% Spyware 0% Enero Febrero Marzo Abril Mayo Junio Troyano Adware publicitario Herramienta Espías Gusanos Virus Heurístico Otros 21
2 Participación en la red social Suplantación de identidad de los usuarios de la red social para cometer fraude online: phishing y pharming 22
2 Participación en la red social Recepción de comunicaciones comerciales electrónicas no solicitadas (spam) Creación de grupos Perfiles falsos Aplicaciones que acceden a lista contactos 23
2 Participación en la red social Riesgos específicos para los menores de edad: 24
3 Baja del servicio Imposibilidad de realizar baja efectiva 25
3 Baja del servicio Conservación de datos y cumplimiento del principio de calidad de los datos Fuente: www.facebook.com 26
Recomendaciones INDUSTRIA Redes Sociales y plataformas colaborativas Fabricantes y proveedores de soluciones de seguridad Operadores y proveedores acceso Internet Actitud proactiva para el cumplimiento de la normativa: vigilancia de contenidos, mayores controles de acceso y autenticación, etc. Sistemas eficaces de verificación de edad para controlar el acceso a menores a los servicios y los contenidos. Sistemas mejorados de etiquetado y clasificación de contenidos. Configuración por defecto del máximo grado de seguridad en el perfil del usuario. Herramientas que limiten la posibilidad de que terceros publiquen información personal sobre el usuario, especialmente menores Control de la indexación y almacenamiento de los perfiles por buscadores; imposibilidad de buscar perfiles de menores Creación de plataformas de comunicación fehaciente y segura con las FCSE, Ministerio Fiscal y Autoridades Judiciales. Redacción de condiciones de uso y políticas de privacidad con un lenguaje comprensible Formación a los usuarios (adultos y menores) sobre configuración del perfil y control de la difusión de sus datos personales. 27
Recomendaciones SENSIBILIZACIÓN Y EDUCACIÓN Realizar campañas de concienciación y divulgación dirigidas a menores y adultos Elaboración de manuales y guías de carácter formativo Formación específica en Derecho Tecnológico destinada a jueces y fiscales Repositorio de riesgos, herramientas y estudios. AA.PP. FOMENTO ENTORNO SEGURO Difusión de la existencia de los canales de denuncia existentes Fomento de la comunicación periódica entre los diversos agentes Impulsar las buenas prácticas y la autorregulación del sector Promocionar acuerdos directos entre la industria audiovisual o musical y las plataformas de difusión de contenidos Derecho internacional homogéneo en materia de protección de datos personales y derecho al honor, intimidad y propia imagen (problema internacional) Dotar a los FCSE de herramientas tecnológicas: investigar, mantener la cadena de custodia de las pruebas electrónicas y bloquear situaciones delictivas o perjudiciales 28
Iniciativas INTECO para el uso seguro de las redes sociales Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online http://observatorio.inteco.es Guías y manuales Guía sobre las redes sociales, menores de edad y privacidad en la Red Guía sobre ciberbullying y grooming Guía práctica sobre cómo activar y configurar el control parental de los sistemas operativos. Sección en la Oficina de Seguridad del Internauta (OSI) http://osi.gob.es/econf/protegete/redes_sociales Herramientas de seguridad (antivirus, filtros de control parental, etc.) descargables gratuitamente en: http://cert.inteco.es/proteccion y http://osi.gob.es/econf/protegete Colaboración con otras instituciones y empresas 29
www.inteco.es http://observatorio.inteco.es