Diagnóstico sobre la seguridad de la información y la ... de la Informacion en... · y la...

Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales

Pablo Pérez San-JoséGerente del Observatorio (INTECO)[email protected]

5ª Jornada de la IIª Edición de la Cátedra de Riesgos en Sistemas de Información (IE)Web 2.0 y SeguridadMadrid, 31 de marzo de 2009

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

2

Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online

Metodología

AnálisisCualitativo

35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc.

3 grupos de discusión: juristas, usuarios adultos y menores.

AnálisisCuantitativo

2.860 encuestas a usuarios habituales de Internet, mayores de 15 años. (error muestral: ±1,87%)

Colaboración con la Agencia Española de Protección de Datos

Informe disponible en:http://observatorio.inteco.esComentarios y sugerencias:

[email protected]

3

¿Qué son las redes sociales?

Plataformas online desde las que los usuarios una vez registrados con un perfil personal pueden utilizar herramientas que permiten interactuar con otros usuarios mediante mensajes, imágenes o vídeos y localizar a otros usuarios en función de las características publicadas por éstos en sus perfiles

4

¿De cuántas personas estamos hablando?

Fuente: INTECO + Universal McCann

272 millones de usuarios en el mundo(el 58% de los usuarios de Internet)

7.850.000 usuarios en España(el 44,6% de los usuarios de Internet)

5

36,5%

32,5%

21,0%

7,9%

2,2%

0%

5%

10%

15%

20%

25%

30%

35%

40%

15 a 24 25-34 35-49 50-64 >65

Segmentación por edad de los usuarios de redes sociales en España (junio 2008)

Uso de las redes sociales por menores

En España, 7 de cada 10 usuarios de redes sociales son menores de 35 años

Fuente: INTECO

En las franjas más jóvenes se concentra el uso de redes sociales de ocio, mientras que a partir de los 25 años aumenta el uso de redes de contenido profesional

6

Principales usos de las redes sociales

Usos de las redes sociales por los usuarios españoles (%). Octubre 2008

Fuente: INTECO a partir de Zed Digital

8,5

9,5

19,3

25,0

34,8

46,2

50,2

52,1

55,0

62,1

70,9

0 10 20 30 40 50 60 70 80

Buscar empleo/Recomendar profesionales

Descargar juegos/Buscar amigos

Descargar aplicaciones

Informarse sobre cosas que interesan al usuario

Etiquetar amigos en las fotos

Cotillear

Enviar mensajes públicos

Actualizar el perfil

Comentar las fotos de los amigos

Enviar mensajes privados

Compartir o subir fotos

Redes de Ocio

Redes

Profesionales

7

Riesgos: 3 momentos clave

Alta como usuario1

Participación en la red social2

Baja del servicio3

Hay tres momentos clave en el uso de las redes sociales en los que es posible identificar riesgos para la seguridad y privacidad:

8

Riesgos para la privacidad y seguridad de la información

Alta como usuario1

Lagunas en la información legal y condiciones de uso

Fuente: www.facebook.com

9

Alta como usuario1

Formularios de registro con multitud de datos personales publicables de carácter sensible (nivel medio y alto)


10

1

Ausencia de sistemas efectivos para identificar la edad de los usuarios


Alta como usuario


11

Alta como usuario1

Grado de publicidad del perfil de usuario demasiado elevado y máximo grado activado por defecto

Fuente: INTECO a partir de Ofcom. Office of Communications


12

Publicación excesiva de información personal (propia y de terceros).



13


Indexación no autorizada por parte de buscadores


14


Instalación y uso de cookies sin conocimiento del usuario


15

Recepción de publicidad hipercontextualizada




16

Cesión de los derechos de propiedad intelectual de los contenidos publicados, incluyendo textos, imágenes, videos, etc.



17

Fuente: www.elmundo.es (5 de diciembre de 2008)

Código malicioso (malware)

'Koobface' se extiende mediante el envío de notas a amigos de alguien que ha sido infectado. Los mensajes, con encabezados de materia como "te ves genial en esta nueva película", dirigen a los destinatarios a un sitio donde se les pide que descarguen lo que se afirma es una actualización del

reproductor Flash de Adobe Systems. Si descargan el software, los usuarios acabarán con su ordenador infectado



18

Análisis ScanSafe: más 600 webs de redes sociales incluían código malicioso (spyware y adware).

61,7 63,2

55,2 57,252,8

40,046,9 48,0

36,540,0 41,3

20,924,1 24,9 23,6 24,2 24,1

55,9

0%

10%

20%

30%

40%

50%

60%

70%

80%

Enero Febrero Marzo Abril Mayo Junio

Troyano Adware publicitario Herramienta EspíasGusanos Virus Heurístico Otros

Presencia de malware por categorías (% sobre total de ordenadores escaneados)

Troyanos

Adware

Spyware



19

Fuente: http://securitylabs.websense.com (22 de septiembre de 2008)



Troyano en un .zip

Facebookmail es un dominio usado por Facebook para contactar con sus usuarios

Este formulario realmente lleva al genuino Facebook.com para incrementar la legitimidad del engaño

http://securitylabs.websense.com/

20

Suplantación de identidad de los usuarios de la red social para cometer fraude online: phishing y pharming



http://blogs.eset-la.com/laboratorio/wp-content/uploads/2008/06/hi5.png

21

Recepción de comunicaciones comerciales electrónicas no solicitadas (spam)



Perfiles falsos

Aplicaciones que acceden a lista contactos

Creación de grupos

22



Riesgos específicos para los menores de edad:

23

Baja del servicio3

Imposibilidad de realizar baja efectiva


24

Baja del servicio3

Conservación de datos y cumplimiento del principio de calidad de los datos



25

Recomendaciones

INDUSTRIA

Redes Sociales y plataformas

colaborativas

Operadores y proveedores

acceso Internet

Fabricantes y proveedores de soluciones de

seguridad

Actitud proactiva para el cumplimiento de la normativa: vigilancia de contenidos, mayores controles de acceso y autenticación, etc.Sistemas eficaces de verificación de edad para controlar el acceso a menores a los servicios y los contenidos.Redacción de condiciones de uso y políticas de privacidad con un lenguaje comprensible Aplicaciones desarrolladas conforme a estándares de calidad, seguridad y privacidad (funcionalidad - seguridad).Configuración por defecto del máximo grado de seguridad en el perfil del usuario.Herramientas que limiten la posibilidad de que terceros publiquen información personal sobre el usuario Control de la indexación y almacenamiento de los perfiles por buscadores.Creación de plataformas de comunicación fehaciente y segura con las FCSE, Ministerio Fiscal y Autoridades Judiciales.Informar a los usuarios sobre las políticas de seguridad y privacidad de la plataforma (códigos éticos).Formación a los usuarios sobre configuración del perfil y control de la difusión de sus datos personales.

26

Recomendaciones

AA.PP.

No basta con “prohibir” hace falta garantizar la protección.Impulsar las “buenas prácticas” y la autorregulación.Derecho internacional homogéneo en materia de protección de datos personales y derecho al honor, intimidad y propia imagen (problema internacional)Elaborar informes, recomendaciones y dictámenes públicos.Promocionar acuerdos directos entre la industria audiovisual o musical y las plataformas de difusión de contenidosDotar a los FCSE de herramientas tecnológicas que les permitan investigar, mantener la cadena de custodia de las pruebas electrónicas y bloquear situaciones delictivas o perjudicialesFormación específica en Derecho Tecnológico destinada a jueces y fiscalesRealizar campañas de concienciación y divulgación dirigidas a los usuariosElaboración de manuales y guías de carácter formativo

www.inteco.es

http://observatorio.inteco.es

Diagnóstico sobre la seguridad de la información y la ... de la Informacion en... · y la...

Documents

Transcript of Diagnóstico sobre la seguridad de la información y la ... de la Informacion en... · y la...