Privacidad y Secreto
“La tecnología y los
sistemas de información
amenazan los derechos
individuales de privacidad
al hacer que la invasión
de la misma sea algo
económico, redituable y
efectivo” (Laudon y
Laudon, 2012).
Un secreto, o también
información clasificada, es
información sensible que
debe ser restringida por ley o
regulación a diferentes tipos
de personas.
Para poder acceder a los
documentos clasificados
como secretos se necesita un
permiso de seguridad.
La seguridad se refiere a
políticas, procedimientos
y medidas técnicas que
se utilizan para evitar el
acceso sin autorización,
la alteración, el robo o el
daño físico a los
sistemas de información.
El control está vinculado a
los métodos, políticas y
procedimientos
organizacionales que
refuerzan la seguridad de los
activos de la organización, la
precisión y confiabilidad de
sus registros, y la
adherencia operacional a los
estándares gerenciales.
Seguridad y Control
Marco Legal Venezolano
Constitución de la
República Bolivariana de
Venezuela (2000)
Art. 48. Secreto e
inviolabilidad de la
comunicación.
Ley Orgánica de
Telecomunicaciones (2011)
Art. 12. #2. Derecho a la
privacidad y a la inviolabilidad
de telecomunicaciones.
Ley Especial Contra Delitos
Informáticos (2001)
Art.11. Espionaje Informático.
Art.13. Hurto.
Art.14. Fraude.
Art.16. Manejo fraudulento y uso
indebido de las tecnologías de la
información.
Art. 20. Violación de la privacidad.
Art. 21. Violación de la privacidad de
las comunicaciones.
Art. 26. Oferta engañosa mediante el
uso de tecnologías.
Desafíos de Internet para la Privacidad
• Cookies- obtener registros y desarrollar perfiles cruzando con otras fuentes
• Bugs Web- incrustados de manera invisible
• Google- Dirección de publicidad con base en historiales, venta de datos
Fuente: Laudon, K. y Laudon, J. (2012)
Desafíos de Internet para la Privacidad
Truste
La industria en línea en EEUU ha optado por la autorregulación y ha
desarrollado sellos digitales como el Truste que permite a los sitios Web
adherirse a políticas de privacidad con el fin de darle la opción a los
consumidores de no participar en los programas de redes de publicidad.
Uno de ellos fue DoubleClick de Google.
Otras empresas individuales como AOL, Yahoo y Google, adoptaron su
propia política acerca del rastreo de las personas en línea Google redujo
el tiempo de retención de los datos de rastreo.
Vulnerabilidades en Internet (desde lo corporativo)
• Dependencia. Vulnerables si fallan los
sistemas.
• Spam. Correo basura con fin comercial.
• Robo de identidad. Impostores.
• Fraude del clic. Anuncios fraudulentos y
debilitar a la competencia.
• Códigos maliciosos
En lo corporativo “Cuando Internet se vuelve parte de la red
corporativa, los sistemas de información de la organización son
aún más vulnerables”( Laudon y Laudon, 2012).
Tecnomeritocrática Hackers
Alternativa Empresarial
Internet como producción cultural (Castells, 2001)
Hackers
Craker, en la comunidad Hacker se denomina así al que tiene una
intención criminal. Sin embargo, ambos obtienen acceso sin
autorización al encontrar debilidades en los sistemas de seguridad.
Amenazas Globales. Ciberterrorismo y ciberguerra.
Por lo menos 20 países están desarrollando capacidades ofensivas y
defensivas de ciberguerra.
Amenazas Globales
En La Nube
• Verificar política de seguridad
• Consultar cómo responden ante la pérdida
accidental de la información
• Comprobar si están dispuestos a ser auditados
Plataforma Móvil
• Definir política de seguridad
• Proteger, controlar y bloquear (cuando sea
necesario) los dispositivos
• Mantener actualizados los teléfonos inteligentes con
los parches de seguridad en cuanto a
antivirus/antispam
• Vigilar las formas remotas
Seguridad en la Nube y en Plataforma Móvil (Visión Corporativa)
Caso Facebook
Sophos (2010) c.p. Laudon
y Laudon (2012) dice que
representa el riesgo más
grande de todos los sitios
de redes sociales, por su
alcance y fácil exposición.
Fácil propagación de virus
maliciosos.
Robo de identidad.
¿Cómo comparten tu información?
Servicios de publicidad, medición y análisis
(solo información que no permita la
identificación personal).
(...) usamos toda la información que tenemos
acerca de ti para mostrarte anuncios relevantes.
No compartimos información que te identifica de
forma personal (es decir, información, como tu
nombre o dirección de correo electrónico, que
pueda servir para contactarse contigo o revelar
tu identidad) con socios que prestan servicios
de publicidad, medición o análisis, a menos que
nos des tu permiso.
Caso Facebook
Proveedores generales, proveedores de servicios y
otros socios.
Transferimos información a proveedores generales,
proveedores de servicios y otros socios que nos
ayudan a mantener nuestro negocio en todo el mundo,
por ejemplo, prestar servicios de infraestructura
técnica, analizar el uso que se hace de nuestros
Servicios, medir la eficacia de los anuncios y servicios,
brindar atención al cliente, facilitar los pagos o realizar
investigaciones académicas y encuestas. Estos socios
deben cumplir con estrictos requisitos de
confidencialidad que se ajustan a esta Política de
datos y a los acuerdos que suscribimos con ellos.
Wikileaks - Silk Road
Wikileaks desarrolla una versión no censurable de Wikipedia para la
publicación masiva y el análisis de documentos secretos ,
manteniendo a sus autores en el anonimato y haciendo pública
alguna información sin contar con autorización o aprobación oficial.
Su principal interés se centra en los países con regímenes
totalitarios , y su meta es conseguir la mayor influencia política
posible. Por el momento han recibido más de 1,2 millones de
documentos provenientes de sociedades con regímenes críticos y de
fuentes anónimas.
Silk Road
Es un mercado negro en línea desde un sitio de internet operado
como uno de los servicios ocultos de la red, Tor, que es conocido en
términos informáticos como Internet profunda.
Soluciones Técnicas
P3P (Plataform for Privacy Preferences)
Es un estándar para comunicar la política de un sitio Web a los usuarios
y que estos puedan compararla con sus preferencias de privacidad, y
así rechazar cookies, y ciertos niveles de privacidad (solo para
miembros de World Wide Web).
Encriptación. Es la codificación la información de archivos o de un
correo electrónico para que no pueda ser descifrado en caso de ser
interceptado por alguien mientras esta información viaja por la red.
Firewalls. Evitan que usuarios sin autorización accedan a redes
privadas. Controlan el flujo de tráfico de red entrante y saliente, es un
portero que examina las credenciales de cada usuario antes de acceder
a la red.
Ataque a un sistema de computadoras o red que causa
que un servicio o recurso sea inaccesible a los usuarios
legítimos.
Saturación de los puertos
Servidor sobrecargado
“Denegación”
DDoS
Medios de Ataques
PC “Zombis”
Botnet
2010
Entre 6 y 24 millones
de computadoras
forman parte de
botnets en todo el
mundo.
Amenazas Internas: Los empleados
• Este ex-técnico de la CIA que trabajó como
consultor para la Agencia Nacional de Seguridad
está acusado de espionaje por los EE UU.
• Ha develado que el Gobierno de EEUU utiliza un
programa de espionaje para vigilar las
comunicaciones de millones de personas en todo
el mundo.
• Los documentos que Snowden sacó a la luz
pública se publicaron para uso interno en la
intranet de la Agencia de Seguridad Nacional
(NSA).
• La NSA cree saber cómo superó Snowden sus
controles para sacar los datos de la Agencia,
pero no ha revelado qué método utilizó.
Snowden y Venezuela
Un documento del ex analista
estadounidense Edward Snowden,
publicado por Telesur, afirma que
la Agencia de Seguridad Nacional
de EE UU (NSA) espió a cientos
de directivos de la petrolera estatal
venezolana PDVSA, entre ellos a
su ex presidente Rafael Ramírez.
Chelsea Manning
Ex-soldado y analista
de inteligencia del
ejército de los Estados
Unidos. Manning cobró
notoriedad internacional
por haber filtrado a
WikiLeaks miles de
documentos
clasificados acerca de
las guerras de
Afganistán.
FinFisher Spyware
Intercepción de tráfico de Venezuela hecho vía Lituania 32 países, incluyendo Venezuela, usan el software FinFisher para espiar a sus ciudadanos.
FinFisher es una suite de spyware, creada y comercializada por la empresa Gamma International, cuyo cliente exclusivo son los gobiernos. Es comercializado como un software con fines de inteligencia y seguridad nacional.
A pesar de que el software se presenta a sí mismo como una herramienta para la lucha contra el crimen, amplia evidencia existe de que es usado principalmente para investigar y atacar a disidentes.
FinFisher Spyware
Intercepción de tráfico de Venezuela vía Lituania
• Un número significativo de servidores de FinFisher que CitizenLab pudo detectar, usaron www.Yahoo.com como página de señuelo.
• De forma que un servidor ubicado en Lituania, sirve como "intermediario" o "proxy" para cierto servidor maestro ubicado en Venezuela. Ello significa que conexiones de usuarios en Venezuela hacia Yahoo.com, podrían ser reenviadas hacia Lituania, antes de ir a los servidores de Yahoo, con lo cual, la data (incluyendo contraseñas) puede ser interceptada y analizada sin que el usuario tenga conocimiento de ello.
• FinFisher no es detectable por los antivirus tradicionales. Una alternativa es usar el programa Detekt que, aunque no es infalible, puede ayudar a averiguar si en un ordenador existe software espía como el desarrollado por Gamma o por Hacking Team.
Detekt
DETEKT es la herramienta de Amnistía Internacional que permite averiguar si están espiando un ordenador.
La principal característica del software de espionaje usado por gobiernos es que es indetectable por programas antispyware tradicionales: es en base a este supuesto que compañías como FinFisher se posicionan como proveedores de este tipo de software. Amnistía Internacional, junto con las organizaciones Privacy International, Digitale Gesellschaft y la EFF decidieron desarrollar y liberar Detekt, una herramienta que escanea tu computadora en busca de huellas de spyware comúnmente empleado contra defensores de derechos humanos, periodistas y activistas.
Futuro de la seguridad/privacidad en Internet
De acuerdo con el equipo de Investigación y Análisis
de Kaspersky Lab para América Latina, las empresas y
usuarios finales tendrán que poner especial énfasis en
temas de seguridad por el incremento de ataques que
ahora no sólo serán de malware, sino híbridos (malware
y humanos) en donde “la participación de empleados
deshonestos serán parte para ayudar a evadir los
sistemas de seguridad de las empresas”
Obama propone una Declaración de derechos en Internet que proteja la privacidad
El Gobierno del presidente Barack Obama propuso la promulgación
por el Congreso de EE UU de una "Declaración de derechos" en
Internet para proteger la privacidad de los datos de los usuarios en
la red.
Edward Snowden ¿Qué podemos hacer?
• The first step that anyone could take is to encrypt your phone calls and their text messages.
• You should encrypt your hard disk, so that if your computer is stolen the information isn’t
obtainable to an adversary
• Use a password manager. One of the main things that gets people’s private information
exposed, not necessarily to the most powerful adversaries, but to the most common ones, are
data dumps.
• The other thing there is two-factor authentication. The value of this is if someone does steal
your password, or it’s left or exposed somewhere … [two-factor authentication] allows the
provider to send you a secondary means of authentication — a text message or something like
that.
Entrevista de Micah Lee a Edward Snowden.Oct.2015. Moscú.
Publicada en The Intercept 12/11/2015
Últimas tendencias en seguridad de la información empresarial
• Agentes de control de acceso a la nube.
• Control de acceso adaptable.
• Sandboxing (entorno seguro de ejecución acotado)
generalizado y confirmación IOC).
• Detección en el punto final y soluciones de respuestas.
• El análisis del Big Data en el corazón de las plataformas de
seguridad de próxima generación.
• Plataformas de inteligencia en las que se incluyen servicios de
reputación.
• El confinamiento y el aislamiento como estrategia de seguridad.
• Software-defined Security.
• Prueba interactiva de las aplicaciones de seguridad.
• Gatewatys, intermediarios y firewalls para afrontar el Internet de
las Cosas
Últimas tendencias en seguridad de la información empresarial
Impacto en la Economía y la Sociedad
Ventas y productividad
Riesgo de reputación
Espionaje
Relaciones diplomáticas
Económicos
Socio-políticos
Conclusiones
• Los datos digitales son vulnerables a la destrucción, el mal uso, el error, el fraude y las fallas de hardware o software.
• La falta de seguridad y un control sólido puede hacer que las empresas pierdan ventas y productividad. Los activos de información, como los registros confidenciales de los empleados, los secretos comerciales o los planes de negocios, pierden gran parte de su valor si se revelan a personas externas o si exponen a la empresa a una responsabilidad legal.
• Las empresas necesitan establecer un buen conjunto de controles, tanto generales como de aplicación, para sus sistemas de información y de esa forma asegurar la continuidad del negocio, tales como: cifrado, codificación, encriptación de mensajes.
Conclusiones
Los expertos en materia de seguridad empresarial y el mismo Edward Snowden, coinciden en que una de las recomendaciones de seguridad más importantes es la Autenticación de dos pasos, lo cual añade una capa de seguridad al tratar de acceder a una cuenta de red social o aplicación. • Tal como su nombre lo indica, verifica dos veces: Primero con una contraseña y luego con una forma diferente, es un segundo código de seguridad que llega a través de un mensaje de texto o aplicación, que se solicita para verificar que la persona realmente es quien dice ser.
Referencias
Castells (2001). La Galaxia Internet. Barcelona. Areté.
Díaz, M. (2015). Detekt. Averigua si alguien está espiando tu ordenador.
Disponible en http://hipertextual.com/2015/01/detekt .
Díaz, M. (2015). Intercepción de tráfico de Venezuela hecho vía Lituania:
32 países, incluyendo Venezuela, usan el software FinFisher para espiar a sus
ciudadanos. Citizen Lab. Disponible
http://www.aporrea.org/tecno/n280162.html
Eset Security. (2015). Informe Tendencias 2015: El mundo corporativo en la
mira. Disponible en www.eset-la.com.
Gellman, Barton; Blake, Aaron; Miller, Greg (2013) Edward Snowden
identificado como fuente de fuga de la NSA. El Washington Post.
Gutierrez, C.(2015). Kaspersky Lab nos ofrece sus predicciones en temas
de seguridad para el 2016. Disponible en
https://www.fayerwayer.com/2015/11/kaspersky-lab-nos-ofrece-sus-
predicciones-en-temas-de-seguridad-para-el-2016
Referencias
Institute Ponemon. (2014).Fourth Annual Benchmark Study on
Patient Privacy and Data Security. Disponible en
www.ponemon.org/blog/fourth-annual-benchmark-study-on-
patient-privacy-and-data-security
Laudon, K. y Laudon, J. (2012).Sistemas de Información
Gerencial. México: Pearson Educación.