Diagnóstico sobre la seguridad de la información y la privacidad en las redes sociales

Pablo Pérez San-JoséGerente del Observatorio (INTECO)pablo.perez@inteco.es

I Seminario Euro-Iberoamericano de Protección de Datos: “La protección de los menores”Riesgos para menores y adolescentes en InternetCartagena de Indias, 26-28 de mayo de 2009

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

2

Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online

Metodología

AnálisisCualitativo

35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc.

3 grupos de discusión: juristas, usuarios adultos y menores.

AnálisisCuantitativo

2.860 encuestas a usuarios habituales de Internet, mayores de 15 años. (error muestral: ±1,87%)

Colaboración con la Agencia Española de Protección de Datos

Informe disponible en:http://observatorio.inteco.esComentarios y sugerencias:

pablo.perez@inteco.es

3

¿Qué son las redes sociales?

Plataformas online desde las que los usuarios una vez registrados con un perfil personal pueden utilizar herramientas que permiteninteractuar con otros usuarios mediante mensajes, imágenes o vídeos y localizar a otros usuarios en función de las características publicadas por éstos en sus perfiles

4

¿De cuántas personas estamos hablando?

Fuente: INTECO + Universal McCann + Tendencias Digitales (junio 2008)

5

36,5%

32,5%

21,0%

7,9%

2,2%

0%

5%

10%

15%

20%

25%

30%

35%

40%

15 a 24 25-34 35-49 50-64 >65

Segmentación por edad de los usuarios de redes sociales en España (junio 2008)

Uso de las redes sociales por menores

En España, 7 de cada 10 usuarios de redes sociales son menores de 35 años

Fuente: INTECO

6

Principales usos de las redes sociales

Usos de las redes sociales por los usuarios españoles (%). Octubre 2008

Fuente: INTECO a partir de Zed Digital

8,5

9,5

19,3

25,0

34,8

46,2

50,2

52,1

55,0

62,1

70,9

0 10 20 30 40 50 60 70 80

Buscar empleo/Recomendar profesionales

Descargar juegos/Buscar amigos

Descargar aplicaciones

Informarse sobre cosas que interesan al usuario

Etiquetar amigos en las fotos

Cotillear

Enviar mensajes públicos

Actualizar el perfil

Comentar las fotos de los amigos

Enviar mensajes privados

Compartir o subir fotos

7

Riesgos: 3 momentos clave

Alta como usuario1

Participación en la red social2

Baja del servicio3

Hay tres momentos clave en el uso de las redes sociales en los que es posible identificar riesgos para la seguridad y privacidad:

8

Riesgos para la privacidad y seguridad de la información

Alta como usuario1

Lagunas en la información legal y condiciones de uso

Fuente: www.facebook.com

9

Alta como usuario1

Formularios de registro con multitud de datos personales publicables de carácter sensible (nivel medio y alto)

Riesgos para la privacidad y seguridad de la información

10

1

Ausencia de sistemas efectivos para identificar la edad de los usuarios

Alta como usuario

Riesgos para la privacidad y seguridad de la información

“El Usuario garantiza que es mayor de 14 años y seráenteramente responsable de esta declaración y del acceso y correcto uso del Sitio Web”

“Este sitio está destinado únicamente a los usuarios que son trece (13) años de edad o más, y los usuarios del Sitio menores de 18 años que se encuentran actualmente en la escuela secundaria o la universidad”

“Soy mayor de 14 años…”

11

1

Ausencia de sistemas efectivos para identificar la edad de los usuarios

Alta como usuario

Riesgos para la privacidad y seguridad de la información

Art. 13 RD 1720/2007 LOPD

“Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento...”

“La información dirigida a los menores deberá expresarse en un lenguaje que sea fácilmente comprensible”

“Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.”

12

Alta como usuario1

Grado de publicidad del perfil de usuario demasiado elevado y máximo grado activado por defecto

Fuente: INTECO a partir de Ofcom. Office of Communications

Riesgos para la privacidad y seguridad de la información

13

Publicación excesiva de información personal (propia y de terceros).

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

14

Participación en la red social2

Indexación no autorizada por parte de buscadores

Riesgos para la privacidad y seguridad de la información

15

Participación en la red social2

Instalación y uso de cookies sin conocimiento del usuario

Riesgos para la privacidad y seguridad de la información

16

Recepción de publicidad hipercontextualizada

Fuente: www.facebook.com

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

17

Cesión de los derechos de propiedad intelectual de los contenidos publicados, incluyendo textos, imágenes, videos, etc.

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

18

Fuente: www.elmundo.es (5 de diciembre de 2008)

Código malicioso (malware)

'Koobface' se extiende mediante el envío de notas a amigos de alguien que ha sido infectado. Los mensajes, con encabezados de materia como "te ves genial en esta nueva película", dirigen a los destinatarios a un sitio donde se les pide que descarguen lo que se afirma es una actualización del

reproductor Flash de Adobe Systems. Si descargan el software, los usuarios acabarán con su ordenador infectado

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

19

Análisis ScanSafe: más 600 webs de redes sociales incluían código malicioso (spyware y adware).

61,7 63,2

55,2 57,252,8

40,046,9 48,0

36,540,0 41,3

20,924,1 24,9 23,6 24,2 24,1

55,9

0%

10%

20%

30%

40%

50%

60%

70%

80%

Enero Febrero Marzo Abril Mayo Junio

Troyano Adware publicitario Herramienta EspíasGusanos Virus Heurístico Otros

Presencia de malware por categorías (% sobre total de ordenadores escaneados)

Troyanos

Adware

Spyware

Participación en la red social2

Riesgos para la privacidad y seguridad de la información

20

Fuente: http://securitylabs.websense.com (22 de septiembre de 2008)

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

Troyano en un .zip

Facebookmail es un dominio usado por Facebook para contactar con sus usuarios

Este formulario realmente lleva al genuino Facebook.com para incrementar la legitimidad del engaño

21

Suplantación de identidad de los usuarios de la red social para cometer fraude online: phishing y pharming

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

22

Recepción de comunicaciones comerciales electrónicas no solicitadas (spam)

Riesgos para la privacidad y seguridad de la información

Participación en la red social2

Perfiles falsos

Aplicaciones que acceden a lista contactos

Creación de grupos

23

Participación en la red social2

Riesgos para la privacidad y seguridad de la información

Riesgos específicos para los menores de edad:

24

Baja del servicio3

Imposibilidad de realizar baja efectiva

Riesgos para la privacidad y seguridad de la información

25

Baja del servicio3

Conservación de datos y cumplimiento del principio de calidad de los datos

Fuente: www.facebook.com

Riesgos para la privacidad y seguridad de la información

26

Recomendaciones

INDUSTRIA

Redes Sociales y plataformas

colaborativas

Operadores y proveedores

acceso Internet

Fabricantes y proveedores de soluciones de

seguridad

Actitud proactiva para el cumplimiento de la normativa: vigilancia de contenidos, mayores controles de acceso y autenticación, etc.Sistemas eficaces de verificación de edad para controlar el acceso a menores a los servicios y los contenidos.Redacción de condiciones de uso y políticas de privacidad con un lenguaje comprensible Aplicaciones desarrolladas conforme a estándares de calidad, seguridad y privacidad (funcionalidad - seguridad).Configuración por defecto del máximo grado de seguridad en el perfil del usuario.Herramientas que limiten la posibilidad de que terceros publiquen información personal sobre el usuario Control de la indexación y almacenamiento de los perfiles por buscadores.Creación de plataformas de comunicación fehaciente y segura con las FCSE, Ministerio Fiscal y Autoridades Judiciales.Informar a los usuarios sobre las políticas de seguridad y privacidad de la plataforma (códigos éticos).Formación a los usuarios sobre configuración del perfil y control de la difusión de sus datos personales.

27

Recomendaciones

AA.PP.

No basta con “prohibir” hace falta garantizar la protección.Impulsar las “buenas prácticas” y la autorregulación.Derecho internacional homogéneo en materia de protección de datos personales y derecho al honor, intimidad y propia imagen (problema internacional)Elaborar informes, recomendaciones y dictámenes públicos.Promocionar acuerdos directos entre la industria audiovisual o musical y las plataformas de difusión de contenidosDotar a los FCSE de herramientas tecnológicas que les permitan investigar, mantener la cadena de custodia de las pruebas electrónicas y bloquear situaciones delictivas o perjudicialesFormación específica en Derecho Tecnológico destinada a jueces y fiscalesRealizar campañas de concienciación y divulgación dirigidas a los usuariosElaboración de manuales y guías de carácter formativo

www.inteco.es

http://observatorio.inteco.es