Upload
hanguyet
View
214
Download
0
Embed Size (px)
Citation preview
Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales
Pablo Pérez San-JoséGerente del Observatorio (INTECO)[email protected]
I Seminario Euro-Iberoamericano de Protección de Datos: “La protección de los menores”Riesgos para menores y adolescentes en InternetCartagena de Indias, 26-28 de mayo de 2009
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
2
Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online
Metodología
AnálisisCualitativo
35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc.
3 grupos de discusión: juristas, usuarios adultos y menores.
AnálisisCuantitativo
2.860 encuestas a usuarios habituales de Internet, mayores de 15 años. (error muestral: ±1,87%)
Colaboración con la Agencia Española de Protección de Datos
Informe disponible en:http://observatorio.inteco.esComentarios y sugerencias:
3
¿Qué son las redes sociales?
Plataformas online desde las que los usuarios una vez registrados con un perfil personal pueden utilizar herramientas que permiteninteractuar con otros usuarios mediante mensajes, imágenes o vídeos y localizar a otros usuarios en función de las características publicadas por éstos en sus perfiles
4
¿De cuántas personas estamos hablando?
Fuente: INTECO + Universal McCann + Tendencias Digitales (junio 2008)
5
36,5%
32,5%
21,0%
7,9%
2,2%
0%
5%
10%
15%
20%
25%
30%
35%
40%
15 a 24 25-34 35-49 50-64 >65
Segmentación por edad de los usuarios de redes sociales en España (junio 2008)
Uso de las redes sociales por menores
En España, 7 de cada 10 usuarios de redes sociales son menores de 35 años
Fuente: INTECO
6
Principales usos de las redes sociales
Usos de las redes sociales por los usuarios españoles (%). Octubre 2008
Fuente: INTECO a partir de Zed Digital
8,5
9,5
19,3
25,0
34,8
46,2
50,2
52,1
55,0
62,1
70,9
0 10 20 30 40 50 60 70 80
Buscar empleo/Recomendar profesionales
Descargar juegos/Buscar amigos
Descargar aplicaciones
Informarse sobre cosas que interesan al usuario
Etiquetar amigos en las fotos
Cotillear
Enviar mensajes públicos
Actualizar el perfil
Comentar las fotos de los amigos
Enviar mensajes privados
Compartir o subir fotos
7
Riesgos: 3 momentos clave
Alta como usuario1
Participación en la red social2
Baja del servicio3
Hay tres momentos clave en el uso de las redes sociales en los que es posible identificar riesgos para la seguridad y privacidad:
8
Riesgos para la privacidad y seguridad de la información
Alta como usuario1
Lagunas en la información legal y condiciones de uso
Fuente: www.facebook.com
9
Alta como usuario1
Formularios de registro con multitud de datos personales publicables de carácter sensible (nivel medio y alto)
Riesgos para la privacidad y seguridad de la información
10
1
Ausencia de sistemas efectivos para identificar la edad de los usuarios
Alta como usuario
Riesgos para la privacidad y seguridad de la información
“El Usuario garantiza que es mayor de 14 años y seráenteramente responsable de esta declaración y del acceso y correcto uso del Sitio Web”
“Este sitio está destinado únicamente a los usuarios que son trece (13) años de edad o más, y los usuarios del Sitio menores de 18 años que se encuentran actualmente en la escuela secundaria o la universidad”
“Soy mayor de 14 años…”
11
1
Ausencia de sistemas efectivos para identificar la edad de los usuarios
Alta como usuario
Riesgos para la privacidad y seguridad de la información
Art. 13 RD 1720/2007 LOPD
“Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento...”
“La información dirigida a los menores deberá expresarse en un lenguaje que sea fácilmente comprensible”
“Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.”
12
Alta como usuario1
Grado de publicidad del perfil de usuario demasiado elevado y máximo grado activado por defecto
Fuente: INTECO a partir de Ofcom. Office of Communications
Riesgos para la privacidad y seguridad de la información
13
Publicación excesiva de información personal (propia y de terceros).
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
14
Participación en la red social2
Indexación no autorizada por parte de buscadores
Riesgos para la privacidad y seguridad de la información
15
Participación en la red social2
Instalación y uso de cookies sin conocimiento del usuario
Riesgos para la privacidad y seguridad de la información
16
Recepción de publicidad hipercontextualizada
Fuente: www.facebook.com
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
17
Cesión de los derechos de propiedad intelectual de los contenidos publicados, incluyendo textos, imágenes, videos, etc.
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
18
Fuente: www.elmundo.es (5 de diciembre de 2008)
Código malicioso (malware)
'Koobface' se extiende mediante el envío de notas a amigos de alguien que ha sido infectado. Los mensajes, con encabezados de materia como "te ves genial en esta nueva película", dirigen a los destinatarios a un sitio donde se les pide que descarguen lo que se afirma es una actualización del
reproductor Flash de Adobe Systems. Si descargan el software, los usuarios acabarán con su ordenador infectado
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
19
Análisis ScanSafe: más 600 webs de redes sociales incluían código malicioso (spyware y adware).
61,7 63,2
55,2 57,252,8
40,046,9 48,0
36,540,0 41,3
20,924,1 24,9 23,6 24,2 24,1
55,9
0%
10%
20%
30%
40%
50%
60%
70%
80%
Enero Febrero Marzo Abril Mayo Junio
Troyano Adware publicitario Herramienta EspíasGusanos Virus Heurístico Otros
Presencia de malware por categorías (% sobre total de ordenadores escaneados)
Troyanos
Adware
Spyware
Participación en la red social2
Riesgos para la privacidad y seguridad de la información
20
Fuente: http://securitylabs.websense.com (22 de septiembre de 2008)
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
Troyano en un .zip
Facebookmail es un dominio usado por Facebook para contactar con sus usuarios
Este formulario realmente lleva al genuino Facebook.com para incrementar la legitimidad del engaño
21
Suplantación de identidad de los usuarios de la red social para cometer fraude online: phishing y pharming
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
22
Recepción de comunicaciones comerciales electrónicas no solicitadas (spam)
Riesgos para la privacidad y seguridad de la información
Participación en la red social2
Perfiles falsos
Aplicaciones que acceden a lista contactos
Creación de grupos
23
Participación en la red social2
Riesgos para la privacidad y seguridad de la información
Riesgos específicos para los menores de edad:
24
Baja del servicio3
Imposibilidad de realizar baja efectiva
Riesgos para la privacidad y seguridad de la información
25
Baja del servicio3
Conservación de datos y cumplimiento del principio de calidad de los datos
Fuente: www.facebook.com
Riesgos para la privacidad y seguridad de la información
26
Recomendaciones
INDUSTRIA
Redes Sociales y plataformas
colaborativas
Operadores y proveedores
acceso Internet
Fabricantes y proveedores de soluciones de
seguridad
Actitud proactiva para el cumplimiento de la normativa: vigilancia de contenidos, mayores controles de acceso y autenticación, etc.Sistemas eficaces de verificación de edad para controlar el acceso a menores a los servicios y los contenidos.Redacción de condiciones de uso y políticas de privacidad con un lenguaje comprensible Aplicaciones desarrolladas conforme a estándares de calidad, seguridad y privacidad (funcionalidad - seguridad).Configuración por defecto del máximo grado de seguridad en el perfil del usuario.Herramientas que limiten la posibilidad de que terceros publiquen información personal sobre el usuario Control de la indexación y almacenamiento de los perfiles por buscadores.Creación de plataformas de comunicación fehaciente y segura con las FCSE, Ministerio Fiscal y Autoridades Judiciales.Informar a los usuarios sobre las políticas de seguridad y privacidad de la plataforma (códigos éticos).Formación a los usuarios sobre configuración del perfil y control de la difusión de sus datos personales.
27
Recomendaciones
AA.PP.
No basta con “prohibir” hace falta garantizar la protección.Impulsar las “buenas prácticas” y la autorregulación.Derecho internacional homogéneo en materia de protección de datos personales y derecho al honor, intimidad y propia imagen (problema internacional)Elaborar informes, recomendaciones y dictámenes públicos.Promocionar acuerdos directos entre la industria audiovisual o musical y las plataformas de difusión de contenidosDotar a los FCSE de herramientas tecnológicas que les permitan investigar, mantener la cadena de custodia de las pruebas electrónicas y bloquear situaciones delictivas o perjudicialesFormación específica en Derecho Tecnológico destinada a jueces y fiscalesRealizar campañas de concienciación y divulgación dirigidas a los usuariosElaboración de manuales y guías de carácter formativo
www.inteco.es
http://observatorio.inteco.es