Hoy traemos una colaboración de Luis Amigo. Él se define de la siguiente manera: “Con raíces sólidamente enterradas en el mundo Unix, me gusta definirme como estudiante en tránsito, gestor de proyectos, programador, devops… aún faltan muchas cosas por aprender. Cuando no estoy trabajando o estudiando disfruto leyendo, escribiendo o compartiendo artículos.”
Desde estas líneas agradecemos a Luis su participación.
Muchas compañías son conscientes de que la información es uno de sus principales activos y por ello invierten cada vez más en protocolos y medidas de seguridad. Los expertos en seguridad saben que el propio usuario es uno de los principales vectores de riesgo y por eso establecen medidas para evitar estos problemas en el entorno controlado de una oficina. Estas políticas entran en colisión directa con paradigmas cambiantes como el trabajo remoto o la posibilidad de llevar dispositivos personales a la oficina (BYOD). Aunque los expertos en seguridad establecen medidas de control para este tipo de casos, es importante que se fijen en otro problema que pasa desapercibido: la cantidad de datos personales que esos trabajadores van dejando en Internet y que pueden ser utilizados para generar vectores de ataque sobre sus compañías.
La ausencia de privacidad es un problema de seguridad
Durante años se ha ignorado el problema de seguridad que viene de la mano de la falta de privacidad. Los usuarios han ido realizando registros en multitud de emplazamientos, dejando respuestas a preguntas secretas, dejando información sobre sus hábitos, sobre su vida, sobre su infancia… sin ser conscientes de los problemas de seguridad derivados de esos problemas.
A lo largo de estos años se han producido pérdidas de información en diversos sitios web (que hayamos conocido) que han dejado expuestas cuentas de correo, contraseñas, respuestas secretas… que pueden ser utilizados para acceder a otras cuentas de los mismos usuarios, pero eso es solo la punta del iceberg.
Esos mismos usuarios han ido dejando huellas de su actividad en Internet (y fuera de Internet) durante años, en manos de compañías como Google, Facebook o Twitter; datos que pueden ser utilizados por terceros para lograr acceso a sus cuentas, o en los peores casos incluso para chantaje de altos ejecutivos.
Con los nuevos dispositivos, Google o Facebook pueden llevar una relación de lugares visitados y relacionarlos con información personal, de esta forma, alguien que pudiera acceder al historial del usuario podría identificar su presencia en lugares inadecuados o incluso compras inadecuadas y utilizarlos para realizar chantaje.
Sea cual sea el uso que más nos preocupe, o incluso si no nos preocupa ninguno de ellos, es importante comenzar a educar a los usuarios, sobre todo en el ámbito de la empresa, ya que personas que actualmente pueden considerar que su información no es importante no saben en qué situación van a estar en unos años.
Cómo se produce la captación de datos
Hay multitud de compañías que realizan este tipo de captación de datos, pero la forma en la que captan los datos no varía mucho de unas a otras, así que nos centraremos en la más relevante: Google.
Google tiene todo un ecosistema de servicios gratuitos cuyo principal objetivo es atraer a los usuarios a un entorno en el que pueda captar información y esa captación de información se hace mediante cookies de rastreo.
Las cookies son pequeñas piezas de información que se guardan en el navegador del usuario y a las que solo se puede acceder desde el mismo dominio que la creó. En este momento es cuando la oferta de aplicaciones y servicios gratuitos cobra valor, ya sea utilizando el buscador, o el correo o los mapas, Google asigna una ID de rastreo única a cada usuario (aunque no tenga una cuenta creada) y la guarda en una cookie. Posteriormente, cuando el usuario navega por Internet, visita páginas que incluyen código de Google (Analytics, Ads, Captcha, Mapas, …) este código se carga desde el mismo dominio raíz que creó la cookie de rastreo, por lo que puede acceder a la cookie de rastreo y añadir el ID único del usuario a todas las peticiones. De esta manera, Google puede relacionar al usuario con visitas a determinados sitios web, con determinadas búsquedas, con el contenido de sus mensajes de correo, con sus búsquedas en mapas o planes de viaje, información de vuelos… y todo sin contar con la ingente cantidad de datos (posición, actividad, registros de llamadas, …) que obtiene de los teléfonos móviles (aunque no sean Android).
Qué uso se da a esos datos
De acuerdo con Google, esos datos se usan de forma anonimizada para mejorar la experiencia de usuario y las aplicaciones. Aún creyendo lo que dice Google, el problema es que esos datos son tremendamente fáciles de desanonimizar y relacionar con el usuario real, bien sea a través de la cuenta de correo o a través de sus ubicaciones (la ubicación de la casa) o de la cuenta en el teléfono móvil o incluso el propio número de móvil.
El principal problema de esos datos es su persistencia y la dejación que hacemos al entregarlos ya que una vez entregados los datos no hay nada que podamos hacer para garantizar su seguridad, más allá de emprender un viaje a las solicitudes de derecho al olvido y pensar que ese olvido será total. En este punto no nos queda más remedio que confiar en las políticas de seguridad de Google y en la honradez de sus empleados y por eso es necesario educar a los usuarios para reducir la posibilidad de llegar hasta este punto.
Qué puede hacer un usuario para evitar esto
Básicamente lo único que puede hacer un usuario es dejar de dar información de manera gratuita. Hay muchas pequeñas acciones que reducirán la información que entrega a estas compañías, en algunos casos le será más fácil seguir unos consejos que otros pero cada consejo que se siga mejorará su privacidad y es decisión del usuario equilibrar la privacidad con la funcionalidad, pero siempre siendo consciente de los datos que está entregando.
En esta línea, lo primero que se puede hacer es empezar a utilizar navegación privada, navegadores orientados a la privacidad o extensiones para bloquear cookies de rastreo. Es importante saber que el modo incógnito de Google Chrome no entra en esta categoría pues se ha demostrado que continúa enviando información a los servidores de Google.
Todo lo anterior falla si utilizamos nuestra cuenta de Google en algún servicio. Si ese es el caso, deberíamos cerrar el navegador antes de continuar con nuestra actividad.
De este modo, cada vez que abramos el navegador seremos un usuario distinto de cara a los rastreadores y no podrán vincular la información. Si utilizamos además servicios alternativos a su buscador entonces no tendremos un punto de entrada en el que nos capten.
Adicionalmente hay que ser conscientes de que los servicios gratuitos en general no son proporcionados por organizaciones sin ánimo de lucro y que siempre hay un objetivo económico en dichas aplicaciones, por lo que siempre que sea posible es recomendable evitar su uso, sobre todo en entornos corporativos.
No todo el uso de datos se obtiene por parte de Google o similares. Nuestros operadores de telecomunicaciones y algunos gobiernos obtienen información de nuestras comunicaciones. En ese caso lo mejor que podemos hacer es utilizar una VPN para que el contenido de nuestras comunicaciones no sea accesible.
Conclusiones
Estamos ante un nuevo paradigma de seguridad personal y corporativa, el problema de la captación excesiva de datos no ha hecho más que comenzar y, desgraciadamente, no podemos prever qué va a pasar en uso años, por lo que es el momento de salvaguardar algunos datos personales, como por ejemplo datos biométricos antes de que descubramos que existe un problema con ellas. Las empresas necesitan comenzar a invertir en la concienciación de sus usuarios, sobre todo de aquellos con acceso a datos confidenciales o a datos sensibles de la compañía.
[*] Imagen utilizada de https://pixabay.com/photos/door-open-wooden-the-next-doorway-1089638/
La privacidad es uno de los valores más imás importantes a mi entender, ya que solo se comparten intimidades con quien se esta agusto . Muy buen artículo. Un sakudo