“Usa tu smartphone con inteligencia”

En ESET España llevamos bastante tiempo hablando de la necesidad de salvaguardar tanto la privacidad como la seguridad de toda la información y datos que guardamos en nuestros smartphones, un sector que se encuentra en pleno boom de crecimiento. Con el aumento del número de terminales móviles también se incrementan los riesgos: la pérdida o el robo son los principales, pero hay más, como el phishing, el sexting, el malware, etc…

Sin embargo, no hay concienciación del riesgo que puede conllevar perder nuestro smartphone, dado que siempre pensamos más en el valor económico del terminal que en el riesgo de que nuestra información caiga en manos ajenas. Entre los compañeros hemos comentado varias veces que esta situación nos recuerda a la de hace unos diez o doce años, cuando teníamos que hacer campañas de seguridad para concienciar a los usuarios de la necesidad de proteger su ordenador con un buen antivirus.

Y como sabemos que en materia de concienciación y educación el camino es largo y siempre necesitamos toda la ayuda que pueda darse desde diferentes organismos y empresas, hoy aplaudimos y apoyamos la campaña “Usa tu Smartphone con inteligencia”, lanzada por la Policía Nacional a través de las redes sociales.

El hecho de que en España seamos más de 20 millones de usuarios de estos teléfonos de última generación, el doble de hace un año, supone “que también hayan aumentado los riesgos asociados a su uso, como los intentos de fraude y prácticas peligrosas o inadecuadas para la privacidad del dueño del móvil y sus interlocutores”, según la Brigada de Investigación Tecnológica de la Policía Nacional. Además, somos el tercer país del mundo en número de usuarios de estos teléfonos, con una tasa de penetración del 35%, tras Singapur y Canadá. Los menores de 35 años son los usuarios mayoritarios  y el 89% de los usuarios utilizan diariamente sus prestaciones más avanzadas, como el acceso a redes sociales, por ejemplo.

La Brigada Tecnológica de la Policía Nacional, en base a las denuncias que reciben relacionadas con el uso de este tipo de terminales y de acuerdo a su experiencia, ha elaborado un decálogo de consejos y recomendaciones para contribuir a esta labor de concienciación y educación.

Consejos para un uso inteligente y seguro de los smartphones

  1. Los nuevos móviles tienen un gran valor económico y suponen una tentación para los “amigos de lo ajeno”. No lo pierdas de vista, como haces con tu bolso o cartera. Apunta el IMEI, la “matrícula” del terminal, para darlo de baja si lo necesitas. Si te lo roban, avisa a tu operadora. También puedes instalar un software que te permita su localización y el borrado de tus datos privados en caso de robo.
  2. Si compras un teléfono fuera de los circuitos oficiales de venta pide al vendedor la factura de compra para poder reclamar. Sé precavido, porque detrás de estas ventas pueden esconderse fraudes (teléfonos sustraídos bloqueados por IMEI, averiados, inexistentes…).
  3. Los terminales modernos permiten la protección de su contenido, teclado y aplicaciones y el desbloqueo del mismo, mediante una contraseña, numérica o táctil. Activa esa protección y no permitas a nadie utilizar tu móvil. Tampoco compartas la contraseña para proteger tu intimidad y la de tus comunicaciones. Evitarás hackeos o intrusiones de consecuencias desagradables. Si pierdes o te roban el smartphone cambia desde el PC las contraseñas de acceso al correo electrónico, redes sociales, aplicaciones de comercio electrónico, etc.,  que tuvieras instalados en el teléfono.
  4. Sé consciente de las posibilidades que dan estos teléfonos a sus poseedores y a los interlocutores. Y no conviertas en normales acciones que pueden suponer un control excesivo de tu intimidad o acarrearte un bombardeo comercial: usa con prudencia la geolocalización que permite la mensajería instantánea y las distintas redes sociales.
  5. Atención a hacerte, almacenar o enviar imágenes tuyas comprometedoras o, peor aún, de otros, así como redistribuir imágenes ajenas que  pueden dañar la imagen de los protagonistas. Antes de enviarla o compartirla de forma instantánea en redes sociales, asegúrate de que no va a suponer un problema para nadie, ni ahora ni en el futuro. Querer borrarla luego o pretender que otros lo hagan no es la solución.
  6. El sexting -hacerse fotos de carácter erótico y/o compartirlas- es un error garrafal. En el caso de los menores puede originar situaciones de chantaje o ciberacoso sexual o acoso en el entorno escolar (grooming y bullying). Conocemos muchos casos de gente que se ha arrepentido cuando ya era tarde. Redistribuir esas imágenes de otras personas con el fin de perjudicarlos es delito.
  7. Los smartphones y tablets sufren, como el resto de ordenadores y equipos que se conectan a Internet, ataques a través de lo que se conoce como técnicas de “ingeniería social”: correos electrónicos o mensajes colgados en perfiles en las distintas redes sociales, distribuidos de forma masiva a través de cuentas “secuestradas”, incorporan links con un contenido supuestamente muy atractivo… y que esconde, bajo un link acortado, spam o malware. No accedas a enlaces facilitados a través de SMS no solicitados: ignora esos mensajes y, en caso de posible intento de fraude, hazlo llegar a la Policía Nacional.
  8. Los nuevos móviles incluyen un sistema operativo y permiten instalar infinidad de aplicaciones. Éstas tienen el riesgo de ser vehículos muy eficaces de transmisión, tanto para el envío de spam publicitario como para infectar con troyanos smartphones y tablets.
  9. Los internautas están muy concienciados con la prevención y protección contra los virus en los ordenadores personales, pero sólo un 32% de los españoles poseedores de smartphones cuenta con un programa antivirus. Usa siempre plataformas, páginas, firmware y software oficiales y actualizados.
  10. Haz periódicamente copias de seguridad del contenido de tu móvil o tablet. Si es relevante, duplica ese contenido en distintos soportes informáticos (USB, ordenadores domésticos o profesionales…).
  11. No te conectes a redes WiFi de las que desconozcas su propiedad y sé prudente con las operaciones que realizas conectado a redes wireless públicas. Y, por supuesto, no crackees la clave de seguridad de redes protegidas ajenas.
  12. Si utilizas el smartphone para comprar por Internet sigue las mismas pautas de seguridad y prevención que con el ordenador, pero extrema la precaución en cuanto a las aplicaciones que utilizas y a la autenticidad y fiabilidad de la web vendedora (que la dirección web empiece por “https” que indica que es una conexión segura), así como a las condiciones de privacidad del vendedor o intermediario.
  13. Desconfía de correos o SMS pidiéndote que envíes un mensaje o llames a un número de tarificación especial. De igual forma, asume que al enviar un SMS puntual te puedes estar suscribiendo de forma automática a un servicio de pago constante. Lee siempre las condiciones de uso de los servicios que aceptas para saber lo que contratas en la letra pequeña.
  14. Evita ser utilizado para propagar el spam a través de mensajería instantánea en el móvil. Mensajes que advierten del fin de ese servicio gratuito si no se reenvía son falsos y no buscan más que la distribución masiva del mismo.
  15. Atención al phishing (páginas o links que se hacen pasar por banco, empresa o entidad oficial para que facilites tus datos y robarte dinero… o secuestrar tu cuenta). Además de este riesgo, también existente en los ordenadores, está el smishing (lo mismo, pero a través de un enlace que se envía vía SMS).
  16. Cuando instalas determinadas aplicaciones en tu teléfono inteligente en muchas ocasiones autorizas el acceso a tus datos privados, su uso para terceros o, incluso, la promoción de esa aplicación entre tus contactos. Cuando pulsas “aceptar” asegúrate de los permisos que concedes al instalar los programas.

Para aportar nuestro granito de arena, además de participar en esta actividad de concienciación, os ofrecemos de manera gratuita una versión de prueba de nuestro ESET Mobile Security para Android, con el fin de aumentar ese número del 32% de usuarios que tienen programa antivirus instalado. Os la podéis descargar desde nuestra web.

Y os animamos a que nos ayudéis en la labor de difusión de esta información compartiéndola a través de redes sociales y utilizando el hashtag #movilseguro en Twitter para aportar vuestro granito de arena ;-) .

¡Feliz uso seguro de tu Smartphone!

Yolanda Ruiz

@yolandaruiz

Compartir |


Google patenta los “perfiles fantasma” y Pinterest cambia su política de privacidad

Categorias: General,Privacidad,redes sociales | 02 abr, 2012 | 1 Comentario » | Imprimir Imprimir

La recopilación de datos por parte del gigante Google y las abusivas cláusulas de seguridad y privacidad de algunas redes sociales han ocupado últimamente muchísimos titulares. Nosotros mismos hemos publicado varios temas al respecto, incluyendo la infografía de “Google y su mina de datos”. Parece que la generalizada protesta tanto de usuarios como de compañías que han denunciado el uso abusivo de autoridad del gigante de Internet o de prácticas un tanto desmesuradas de otras redes ha provocado que estas compañías tomen medidas que calmen los ánimos de alguna manera.

Y es que el tema es serio: Google se enfrenta a numerosas demandas por todo el mundo precisamente por motivos de privacidad. España misma ha llevado a Google al Tribunal de Justicia de la Unión Europea con 130 demandas de usuarios. El Tribunal de Luxemburgo tendrá que determinar “la actividad de los buscadores” en Internet y “su sometimiento a la normativa en materia de protección de datos”. Y es que en plena discusión sobre si la nueva política de privacidad que el buscador puso en marcha el 1 de marzo es conforme a la legislación europea, España reclama clarificar si el sistema de protección de datos de Google incluye el derecho del cibernauta al olvido. Es decir, si un usuario puede solicitar que las informaciones que considere perjudiciales para su personalidad, por más lícitas y exactas que sean, sean retiradas de la web.

“Perfiles fantasma”: ¿la solución de Google?

Quizá esta situación es lo que ha llevado a Google a patentar un nuevo sistema de perfiles que permitiría navegar a los usuarios de forma totalmente anónima por cualquier red social. La patente, con fecha de concesión 29 de marzo de este año, contempla que cualquier usuario pueda crearse a través de este sistema un perfil que le permitiría navegar e interactuar con numerosos servicios online de forma totalmente anónima y sin que nadie recogiera los datos de sus acciones en la Red.

Todavía hay poca información publicada al respecto, pero según han publicado algunos medios parece que este “perfil fantasma” será visible para los amigos pero no para otros usuarios. El objetivo es que los usuarios participen en las actividades de redes sociales sin tener que proporcionar información personal. Parece que consistirá en una aplicación que permitirá crear este tipo de perfiles y que incluirá sistemas anónimos con un motor de invitación, un módulo de interfaz gráfica de usuario y un motor de búsqueda.

Utilizando este nuevo servicio, los usuarios podrán comentar en las imágenes y responder a mensajes privados e incluso recibir mensajes de correo electrónico.  Este nuevo método también generará estadística que son utilizadas por un administrador para medir cuántos perfiles fantasma hay registrados. Las estadísticas incluyen el número de perfiles fantasma que existen, cuántos usuarios crean perfiles fantasma, cuántas invitaciones y el número de comentarios que se recibieron de los perfiles fantasma.

Hasta ahora, toda la información que hay publicada al respecto apunta a la posibilidad de esta navegación y participación anónima en redes sociales (entendemos que se incluye la propia de Google), pero no se mencionaba nada acerca de su utilización para que el uso de estos perfiles sean también de aplicación para cualquiera de los servicios de Google. ¿Por qué? Sencillo: si un usuario puede elegir si darle sus datos a Google o no, la defensa contra las numerosas demandas en cuestiones de privacidad de los usuarios sería más sencilla.

Tendremos que esperar, de cualquiera manera, a que evolucionen tanto las demandas como los nuevos servicios para ver cómo resuelve el gigante de Internet este nuevo conflicto. Y también estaremos atentos a las respuestas de otras redes sociales, particularmente de Facebook, porque en un ámbito donde lo que realmente importa es la información de los usuarios (el gran negocio de Internet), el facilitar el uso universal de una herramienta que permite precisamente lo contrario es de esperar que no siente muy bien en algunos entornos. Seguiremos muy de cerca la evolución de este nuevo servicio y las diferentes reacciones al mismo.

Pinterest cambia su política de privacidad

Google no es el único que ha tenido problemas últimamente respecto a sus políticas de seguridad y privacidad. Hace poco nos hacíamos eco en este blog de las abusivas cláusulas de privacidad de la red social de moda, Pinterest. Según rezaba en la política de privacidad original, el usuario cedía su “material a la red con carácter universal, irrevocable, perpetuo, no exclusivo, transferible, libre de cualquier tipo de pago de propiedad intelectual, y además les otorgas el derecho a alquilar, utilizar, copiar, adaptar, modificar, distribuir, licenciar, vender, transferir, utilizar en publicidad, transmitir, etc.”

Pues bien, también fruto de las protestas que ha habido en la red, Pinterest ha decidido cambiar su política de privacidad y rectificar. Las modificaciones entran en vigor a partir del próximo 6 de abril y se centran en tres puntos sensibles:

  • Se ha eliminado la parte de la clausula que hacía referencia a la venta a terceros de las imágenes que el usuario guarde en su cuenta.
  • Se han cambiado los puntos relacionados con la divulgación de información que pueda causar daño moral o que incite a la violencia de alguna manera.
  • Y, por último, pero no por ello menos importante, van a incluir herramientas y mecanismos de denuncia que permita de forma sencilla que los usuarios notifiquen a la red infracciones de derechos de autor o de marca comercial.

Afortunadamente, los mecanismos de protesta que se están poniendo en marcha a través de la red están dando sus frutos. Desde el laboratorio de ESET España, Ontinet.com, seguiremos atentos a la evolución de estas modificaciones confiando en que siempre se tenga presente el derecho único y exclusivo de los usuarios al uso y disfrute de cualquier servicio online que garantice tanto su seguridad como su privacidad.

Yolanda Ruiz

@yolandaruiz

Compartir |


Crece la suplantación de identidad en Redes Sociales: la cuenta en Twitter de Justin Bieber, secuestrada de nuevo

Categorias: General,Privacidad,redes sociales | 28 mar, 2012 | Sin comentarios » | Imprimir Imprimir

A medida que somos más los que utilizamos las redes sociales, y que accedemos a ellas a través de dispositivos móviles, también crece la suplantación de identidad y los casos de hackeo o secuestro de cuentas, sobre todo de personajes conocidos y populares. Y si hay dudas, que le pregunten a Justin Bieber, que a raíz de presumir que tenía 19 millones de seguidores en Twitter, alguien consiguió vulnerar la seguridad de su cuenta y se hizo con ella, bloqueando a muchos de sus seguidores y publicando el siguiente Tweet:

Tweet corto y contundente que ha provocado la hilaridad de seguidores, pero sobre todo de detractores. Solo hay que hacer la búsqueda en Twitter para pasar un buen rato con los comentarios de los usuarios. La cuenta fue recuperada en un corto espacio de tiempo y no ha habido ningún tipo de declaración oficial sobre lo sucedido, por lo que no es posible saber cómo han accedido a su perfil.

Lo cierto es que este tipo de problemas es cada vez más frecuente, y eso contando con que no se publica todo lo que sucede… De acuerdo con un estudio realizado por Javelin Strategy & Research, cerca de 12 millones de americanos sufrieron la suplantación de identidad en 2011, un 13% más que el año anterior. La culpa es principalmente de redes sociales y de los smartphones y tablets: no por los dispositivos en sí, sino por la falta de educación sobre cómo proteger la información sensible por parte de los usuarios y el bajo nivel de concienciación sobre la problemática en concreto.

De hecho, la pregunta más frecuente que nos suelen hacer es “¿para qué querría alguien tener acceso a mi información? Si no tengo nada interesante”. Pero como en nuestro país, y tal y como dice el refranero español que es muy sabio, “nos acordamos de Santa Bárbara cuando truena”, cuando tenemos un problema de este tipo es cuando recordamos que teníamos que haber adoptado medidas preventivas de seguridad y software apropiado que nos ayude en caso necesario.

Según este estudio, durante 2011, el 7% de los propietarios de smartphones fueron víctimas de suplantación de identidad. Los usuarios de Smartphone son un tercio más propensos a caer en este tipo de fraudes que el resto. El porqué es sencillo de explicar:

  • Por un lado, los smartphones y las tablets poseen mucha información personal de sus usuarios y no todos saben proteger este tipo de dispositivos.
  • Por otro, no existe realmente una clara conciencia de que los datos del teléfono o la tablet sean interesantes para alguien. Más bien se valora la cuantía económica del dispositivo en cuestión, sin reparar en la cantidad de accesos a redes sociales u otros servicios que solemos utilizar a diario y que guarda las claves memorizadas. Este hecho nos facilita mucho la vida cuando accedemos (no necesitamos introducir nuestra clave una y otra vez), pero supone un peligro si el teléfono o la tablet cae en manos de indeseables.
  • Cuando esto sucede, una de las cosas que solemos hacer es cambiar automáticamente nuestras claves de servicios online, incluyendo la de redes sociales. El problema lo encontramos cuando aún habiendo cambiado dichas claves, si accedemos desde el dispositivo móvil a través de un app que tuviera memorizado dicho acceso, podremos utilizar el mismo perfil con ambas claves. Es decir, solo cuando salimos de la app y tenemos que volver a hacer login nos encontraremos con que la clave antigua no vale. Pero mientras esto no suceda, el acceso desde el dispositivo móvil es total.
  • Este hecho no sería un problema si no estuvieran creciendo los datos de robos o pérdidas de terminal. Tal y como comentábamos en este post, 4 de cada 10 españoles afirman haber perdido el terminal o haber sido víctimas de un robo.
  • Y, por último, pero no menos importante, un 62% de los propietarios de smartphones no tienen puesta contraseña en sus dispositivos, por lo que cualquiera que encuentre o robe un terminal puede acceder a su información más personal sin ningún tipo de problema.

Un sencillo experimento

Hemos llevado a cabo un sencillo experimento para ver cómo se comportan realmente las apps y otras herramientas cuando cambiamos las claves de nuestros perfiles en redes. En este caso hemos cogido Twitter y hemos seguido la siguiente secuencia:

  1. Accedemos a Twitter a través del portal web. Cambiamos la contraseña de acceso. Lanzamos un primer tweet: “Experimento fase 1″.
  2. Con el programa TweetDeck con sesión abierta anteriormente, lanzamos otro tweet, “Experimento fase 2″, sin tener ningún problema y sin que la herramienta nos lance ningún tipo de mensaje que nos indique que debemos introducir nuestras nuevas claves.
  3. Hacemos lo mismo con la aplicación de Twitter a través del iPhone. Al lanzarla, tampoco nos solicita la introducción de nueva información de identificación. Lanzamos otro tweet, “Experimento fase 3″.
  4. Y repetimos la operación a través de la aplicación de Twitter del iPad. De nuevo, no tenemos ningún problema en hacerlo y lanzamos “Experimento fase 4″.
El resultado es que hemos lanzado 4 tweets: el primero, una vez cambiada la contraseña, desde el portal; los otros tres, desde una herramienta del ordenador y desde la app de Twitter, utilizando para ello mi iPhone y mi iPad. Todo ello, sin que se nos solicite ningún tipo de información adicional o nuevas claves.

Redes sociales y la suplantación de identidad

La suplantación de identidad en redes sociales puede producirse por el robo o la pérdida del dispositivo móvil que utilicemos, tal y como hemos descrito anteriormente, o por otras causas o factores: que obtengan acceso a nuestros datos porque nuestro ordenador está infectado por algún tipo de amenaza que registra este tipo de información, porque utilizamos ordenadores públicos y memorizamos las contraseñas o no limpiamos las cookies o el historial, porque utilizamos contraseñas débiles o fáciles de identificar, etc. También se puede dar la suplantación de identidad por la creación de perfiles falsos utilizando nombres verdaderos de personas que, evidentemente, no utilizan ni administran sus cuentas.

Lo que es cierto, es que este tipo de incidentes sigue pasando. Si nos fijamos en las redes sociales en particular, LinkedIn, considerada más de negocios que social, tienen un alto índice de fraudes de identidad en su haber, un 10% frente al 5% de la media del resto. Google+ tiene un 7% y Twitter alcanza el 6.3%. En Facebook, el porcentaje desciende hasta el 5,7%.

Yolanda Ruiz

@yolandaruiz

Compartir |


Google y su mina de datos

Categorias: General,Privacidad | 15 mar, 2012 | 22 Comentarios » | Imprimir Imprimir

¿Utilizas Google? Bueno, actualmente la verdad es que esta pregunta podría resultar un poco absurda si utilizas Internet, o un iPhone, o un teléfono con Android, o Kindle o un iPad, porque desde luego en este caso seguro que utilizas Google de alguna manera.

Como ya te informamos recientemente, desde el 1 de marzo de 2012, el mayor recolector de datos personales del mundo, Google, cambió la forma en cómo usa la información que tiene de ti. ¿Qué cambio supone esto? Y lo que es más, ¿qué debo hacer para proteger la información que Google está recopilando sobre mí?

Empecemos a contestar estas cuestiones fijándonos en la infografía, que representa potencialmente cuánta información es capaz Google de recopilar sobre nosotros a través de sus diferentes servicios.

La infografía, llamada “Google y su mina de datos”, muestra algunos –aunque no todos– de sus servicios, a través de los cuales Google podría, potencialmente, acceder para recopilar información y hacerse una imagen de ti y de tus intereses, según utilices dichos productos.

Para ser claros, no estoy diciendo que Google esté activamente recopilando todos estos datos para crear perfiles detallados de la gente que se compartan de forma inapropiada con terceros. Lo que digo es que los cambios que Google hizo el pasado 1 de marzo han levantado numerosas cuestiones que no tienen contestación, y no somos lo que se puede decir nuevos en esto de la privacidad de Internet.

El indicador más visible de los cambios realizados el pasado 1 de marzo es la “unificación de las políticas de privacidad”, que combinó unas 60 políticas de privacidad de diferentes productos de Google en una sola. Pero la aplicación de solo una política de privacidad de forma retroactiva es problemática. Es por esto que todo el mundo que ya utilizaba un servicio de Google ha tenido que dar de nuevo su consentimiento.

Vamos a ver un ejemplo práctico. Cojamos Gmail: empecé a utilizarlo hace muchos años (Google dice que tiene 350 millones de usuarios activos en Gmail). Aunque no utilizo la dirección de Gmail como mi correo principal, en la actualidad tengo como 47.000 mensajes en mi bandeja de entrada, lo que puede darte una imagen más o menos certera de qué ha pasado en los últimos siete años de mi historia, que han sido un montón de cosas.

¿Y qué pasa con el motor de búsqueda de Google? Si hago un cálculo rápido, es posible que haya realizado más de 47.000 búsquedas vía Google en estos últimos años. Bueno, con estos datos mi imagen puede estar mucho más completa. Y todavía podemos completarla más si tomamos en cuenta la cantidad de vídeos de YouTube que he publicado, comentado, buscado o visto.

Creo que el punto crítico de todo esto, es cuánto valgo para Google como un cliente potencial de sus anunciantes online, ya que Google se ha dado cuenta de que mi valor es más alto según va recopilando más información sobre mí. Como un montón de gente, incluyendo los fans de Google, ahora me pregunto qué podría llegar a pasar con todo el set de datos que Google tiene de mí.

¿Y cuáles son mis opciones si quiero impedir que Google utilice todos los datos que tiene míos? El sitio por donde debemos empezar, sitio que deberías visitar incluso si no estás preocupado sobre tus datos y Google, es el Dashboard.

El Dashboard de Google

Necesitas hacer login en Google para ver la información del Panel de Control o Dashboard, y seguramente te sorprenderás por la gran cantidad de información que el gigante tiene sobre ti.

(más…)

Compartir |


Érase una vez hace 20 años… ¿o fue ayer?

Categorias: General,Privacidad,telefonía | 05 mar, 2012 | Sin comentarios » | Imprimir Imprimir

Recuerdo perfectamente la situación en la que nos encontrábamos los fabricantes de antivirus hace 20 años. No era fácil que las empresas entendieran que es necesario tener una solución de seguridad en los ordenadores. Para ellos los antivirus eran una cosa extraña y poco necesaria.

Los comerciales que vendían antivirus se encontraban en una situación muy difícil, se les veía casi como unos potenciales estafadores que querían asustar a los usuarios para venderles sus productos, casi como los charlatanes del Far West vendiendo crecepelos.

Luego llegó Melissa, I Love You, Sircam, Blaster… y los usuarios se dieron cuenta de que sí, que era necesario proteger los equipos. Y a pesar de todo, muchísimos ordenadores siguen desprotegidos. El “NO-ANTIVIRUSING” se convertirá en un deporte de riesgo, y si no, al tiempo.

Exactamente la misma situación de hace 20 años la he vivido la semana pasada en el  Mobile WorldCongress. Ha sido una especie de “déjà vu” tecnológico con los móviles. Si antes no había conciencia de que había que proteger los PC, hoy pasa lo mismo con los móviles. Instalar una solución de seguridad se ve como una cosa rara, como si no hiciera falta.

Y no, no estamos metiendo miedo como pensaban los compradores hace años. Las mismas amenazas que se ciernen sobre un PC están ya revoloteando por encima de los móviles. Y de nuevo salta la frase… “si me infecto, formateo y vuelvo a instalar”.

No, señores, no. Ya no es cuestion de que el “Viernes 13″ esté en el móvil, estamos hablando de dinero, de muchísimo dinero que circula por nuestro móvil. De contraseñas, de contactos, de documentos o de fotos (preguntémosle a Scarlett Johansson).

Instalar una protección para nuestro Android, nuestro Windows Mobile o nuestro Symbian está al alcance de un solo click.

Fernando de la Cuadra

Compartir |


Los usuarios de Safari, espiados por Google

Categorias: Privacidad | 21 feb, 2012 | Sin comentarios » | Imprimir Imprimir

Llevamos tiempo abordando en este blog la grave problemática que sigue entrañando preservar la privacidad online de los usuarios. De hecho, hace muy poco hablábamos del anuncio que había hecho Google en cuanto a la unificación de todas sus políticas de privacidad y su intención de recopilar, con fines estadísticos y para ofrecernos contenidos personalizados, multitud de información sobre nuestras conductas en la Red.

Además, también recientemente, leíamos acerca del problema que había ocasionado la aplicación llamada “Path”, una especie de red social para dispositivos móviles que rastrea todos los movimientos del usuario (si lo consiente) construyendo algo así como un diario. Con la aplicación instalada, y cada vez que un amigo comenzaba a utilizarla, esta informaba de manera puntual de su incorporación a la red para que pudiéramos agregarlo a nuestra lista de amigos. De esta manera, accedía a toda nuestra lista de contactos y subía los datos a sus servidores sin el conocimiento ni el consentimiento de los usuarios.

Por otro lado, también Facebook fue acusado de incluir una cookie en el inicio de sesión que recopilaba datos de usuarios, y ahora nos encontramos con que Google está envuelto en un nuevo escándalo destapado por The Wall Street Journal: tanto ellos como otras grandes empresas de publicidad se han aprovechado de un código de seguimiento de Google que permite el rastreo de los hábitos de navegación y conductas online de los usuarios que utilizan el navegador Safari de Apple. Es decir, que los usuarios de Mac OS X e iOS han estado cediendo su información, de manera gratuita, tanto a Google como a otras empresas. Tras la denuncia pública, Google ha retirado su código, pero todavía no ha especificado qué ha hecho realmente con los datos obtenidos mediante esta maniobra.

Todos los navegadores están obligados a incorporar determinadas opciones de privacidad. En el caso concreto que nos ocupa, Safari, esta funcionalidad está siempre activada por defecto. Sin embargo, Google y algunas webs anunciantes han buscado la forma y el medio de conseguir saltarse esta configuración: determinados anuncios insertados mediante iframe en sitios web permite recoger datos de la cuenta de Google Plus si está conectada en la sesión, pero solo en el caso de que el navegador sea Apple Safari.

Apple ha confirmado que está trabajando en una solución que evite este tipo de conductas. Mientras, Google se enfrenta a la posibilidad de tener que pagar grandes multas de la Comisión Federal del Gobierno de Estados Unidos, en el caso de que el organismo dictamine que ha violado su acuerdo de privacidad.

Pero la realidad es que mientras el tráfico de información valiosa de los consumidores online siga siendo un negocio, cada día nos encontraremos con más casos de sitios web, redes sociales y aplicaciones que nos estarán espiando: muchas veces se tratará simplemente de una mala configuración, pero otras muchas se estarán lucrando de las ventas de nuestros datos sin nuestro conocimiento ni consentimiento.

Yolanda Ruiz
@yolandaruiz

Compartir |


Ali Baba & 4: Lo que se publica en Facebook, se queda en Facebook

Categorias: Facebook,Privacidad | 09 feb, 2012 | Sin comentarios » | Imprimir Imprimir

Facebook sigue siendo el foco de muchas miradas, y no solo por el éxito de la red social en sí y de sus novedades en cuanto a salida a Bolsa y demás, sino –y sobre todo- porque viene siendo habitual que sea el centro de polémicas controvertidas. Hace poco hablábamos del cambio al nuevo Timeline y sus nuevas configuraciones de privacidad, pero ahora el debate se traslada mucho más allá: ¿qué pasa con toda la información que intercambiamos a través de perfiles y páginas cuando estos son borrados o eliminados? Pues parece que lo que se publica en Facebook, se queda en Facebook…

Hace relativamente poco tiempo, tras descubrirse las identidades de los cinco cibercriminales que estaban detrás de la botnet Koobface, todos ellos comenzaron a borrar poco a poco todos los perfiles que tenían en las diferentes redes sociales, incluido el propio Facebook. Pero lo que no sabían los cinco componentes de la banda, llamada Ali Baba & 4 y formada por Stanislav Avdeyko (leDed), Alexander Koltysehv (Floppy), Anton Korotchenko (KrotReal), Roman P. Koturbach (PoMuc) y Svyatoslav E. Polichuck (PsViat y PsycoMan), es que la gran red social guarda mucha información de todos nosotros, incluso cuando borras tus perfiles.

Facebook ha anunciado recientemente que va a comenzar a hacer públicos detalles de la vida de los componentes de esta banda: información que habían publicado en sus perfiles personales, como fotos de sus viajes de lujo a Montecarlo, Bali y Turquía, detalles de sus coches… y otro tipo de datos. La razón que esgrimen es que las autoridades están siendo sumamente lentas en su labor de investigación, que comenzó en 2008, y que mientras tanto los que supuestamente han recaudado millones de dólares utilizando una red zombi compuesta por unos 800.000 ordenadores secuestrados siguen impunes.

Esta decisión, sin embargo, está causando más de una crítica: sean cibercriminales o no, lo cierto es que la información que compartieron a través de su perfil era privada. Y una cosa es que a requerimiento judicial la gran red social la comparta, y otra es que decida hacerla pública por su cuenta y riesgo. Pero aún hay algo peor: supuestamente, dichos perfiles habían sido eliminados… Lo que nos confirma lo que ya suponíamos: cualquier información que compartimos en Facebook, se queda en Facebook, aún después de haber borrado la cuenta.

En lo relativo a qué tipo de información de los usuarios guarda el gigante norteamericano (y cómo, dónde y durante cuánto tiempo) nunca ha quedado demasiado claro (debemos recordar que las leyes relativas a la privacidad en Estados Unidos son muy diferentes a las que se aplican a Europa, que a su vez también están sometidas a las regulaciones de cada país). O lo que es lo mismo: si cada vez que compartimos algo en Facebook realmente estamos alojándolo en servidores norteamericanos…, ¿qué legislación aplica?

Precisamente hoy conocemos que un estudiante austriaco, Max Schrems, lleva más de medio año interponiendo demandas (ya ha presentado 22) contra Facebook para que la red sea más transparente en cuanto a este tipo de información. Principalmente, acusa a la red social de tener recopilados datos personales que los usuarios pensaban que habían borrado, y exige saber exactamente qué está guardando Facebook en sus servidores.

Si vamos un paso más allá, nos preguntamos no solo qué información guarda en sus servidores, sino cuál es el propósito, para qué lo utiliza y en base a qué criterios deciden hacer públicos los datos.

Desde el laboratorio de Ontinet.com, distribuidor en exclusiva de ESET en España, recordamos a los usuarios que extremen las precauciones con el tipo de información que se comparte a través de las redes en general y de Facebook en particular, y que recuerden que más allá de que su contenido pueda llegar a manos indeseadas, también existe el riesgo de que el gigante norteamericano se quede para siempre con las fotos de nuestra Primera Comunión ;-) .

Yolanda Ruiz

@yolandaruiz

 

Compartir |


Miles de cámaras web permiten espiar a sus usuarios

Categorias: Privacidad | 27 ene, 2012 | 1 Comentario » | Imprimir Imprimir

Cuando hablamos de privacidad, muchas veces nos referimos a los datos que almacenan proveedores de servicios como Google o Facebook y el uso indebido que pueden hacer de estos. No obstante, no debemos olvidarnos de la privacidad en el más puro sentido de la palabra, es decir, que se nos observe en nuestra intimidad mientras trabajamos o estamos en nuestro hogar.

Todo esto viene en relación a un fallo descubierto por un investigador en ciertos modelos de cámara web de la empresa TRENDnet usados tanto en empresas como en domicilios particulares. Este fallo permite conectarse a una de estas cámaras remotamente sin introducir ninguna contraseña, por mucho que haya usuarios definidos con ella. Veamos una muestra.

Como vemos, solo con conocer la dirección IP pública de la webcam y apuntando a un directorio en concreto podremos visualizar lo que esa cámara esté grabando. El asunto es grave, no solo porque atenta contra nuestra intimidad, sino porque, poco después de publicarse este grave fallo, empezaron a aparecer miles de direcciones con cámaras activas en sitios como Pastebin. Pero otros sitios web más populares como Menéame también se han hecho eco de esta noticia, por lo que es muy probable que algunas cámaras estén siendo observadas por cientos de usuarios.

Desde el laboratorio de ESET en Ontinet.com consideramos que este grave error debería ser subsanado por la empresa fabricante lo antes posible, puesto que pone en peligro la intimidad de los usuarios que confiaron en sus productos.

Josep Albors
@JosepAlbors

Compartir |


Google unifica las políticas de privacidad de todos sus productos

Categorias: Privacidad | 25 ene, 2012 | 2 Comentarios » | Imprimir Imprimir

Google ha anunciado en su blog oficial que han tomado la decisión de unificar las 70 políticas de privacidad diferentes que tienen para sus productos. Según cuentan, cada una tiene una finalidad diferente y cubre multitud de aspectos relacionados con la privacidad y la seguridad de los usuarios. Así, han decidido unificar más de 60 en una única.

En la práctica, dicen, el principal cambio afecta a los usuarios de Google Accounts. La nueva política de privacidad deja claro que, si un usuario se da de alta en un servicio, Google recopila toda la información de la interacción del usuario con el sistema, pero también de otras utilidades que utilice, combinando toda la información (y almacenándola) para “mejorar la experiencia con Google”, dicen en su blog.

O lo que es lo mismo, si un usuario utiliza Gmail, YouTube, Analytics, Google+ y Docs, por ejemplo, Google no sólo guarda en la nube los datos de lo que almacenamos en dichos servicios sino que además “graba” todo lo que hacemos una vez dentro de su sistema.

La combinación de sus servicios es muy positiva para los usuarios, dado que permite interactuar entre ellos y compartir documentos, contactos, información, etc., mientras que antes cada servicio era estanco. Así, un contacto de Gmail se puede compartir en Google Calendar, un documento de Google Docs se puede leer desde Gmail y así sucesivamente. Hasta aquí, todo bien: sin duda un gran avance para los usuarios.

Pero además, todo el seguimiento y almacenamiento del comportamiento online del usuario se almacena y utiliza por el gigante de Internet para ofrecer resultados personalizados de búsqueda; anuncios orientados a sus gustos y aficiones; puede enviar un recordatorio de reuniones según la localización donde el usuario se encuentre y a dónde tenga que ir, en función de cómo está el tráfico, y un largo etcétera de posibilidades.

Recordamos cuando hace algunos años aparecía una nueva amenaza de Internet llamada spyware, que hacía exactamente lo mismo, pero en este caso sin el consentimiento o conocimiento del usuario. De hecho, las marcas antivirus seguimos detectando millones de ejemplares de este tipo de amenazas. Y aunque los tiempos han evolucionado y ahora se justifica el seguimiento y almacenamiento de esta información en aras de un mejor servicio al usuario, y que tenemos que aceptar una política de privacidad que nunca se lee, la intención sigue siendo la misma.

Eso sí, Google advierte que no vende nuestra información y que no la cede, salvo “causas mayores” como mandatos judiciales.

La iniciativa está muy bien: todo lo que mejore nuestra productividad es positivo. Pero desde el laboratorio de Ontinet.com, distribuidor en exclusiva para España de ESET, advertimos a los usuarios de que se lean la Política de Privacidad y sean conscientes de que toda su información va a ser almacenada en una nube llamada “Google”. Y el que avisa, no es traidor… ;-)

Yolanda Ruiz
@yolandaruiz

Compartir |


Cuidado con los scams y los engaños que pudieran intentan aprovecharse de SOPA

Categorias: Piratería,Privacidad,Scam | 18 ene, 2012 | Sin comentarios » | Imprimir Imprimir

Como ya sabéis, hoy, 18 de enero de 2012, decenas de webs muy populares dejarán su home page en blanco en protesta por la U.S. Stop Online Piracy Act (SOPA). Algunas de estas webs son muy conocidas, como la versión inglesa de la enciclopedia Wikipedia o el sitio Boing Boing. Otras son muy conocidas para jugadores (Red 5 StudiosRock, Paper, Shotgun), o para profesionales del Social Media (como Cheezburger NetworkImgur y Reddit) y otros sites de especial interés. El listado completo de los sitios participantes en esta iniciativa puede encontrarse en el sitio web SOPA Strike.

Por supuesto, no todas las compañías que se oponen a SOPA van a dejar sus websites en blanco. Así, eBay, Google, Twitter and Yahoo! son algunas de las compañías que van a mantener sus contenidos durante la protesta, y también ESET. 

Aunque la protesta no va a afectar a los usuarios en su quehacer diario, sí es una gran noticia. Y como cualquier otro hecho noticiable, es presumible que los cibercriminales intenten aprovechar el tirón mediático de esta iniciativa para posicionar resultados maliciosos en los motores de búsqueda (lo que conocemos como ataques Black Hat SEO), de los que hemos hablado frecuentemente en este blog.

No podemos saber exactamente qué tipo de scam nos podemos encontrar, teniendo en consideración que los sites listados anteriormente volverán a su actividad normal en el horario anunciado. Por lo tanto, no es presumible que vuelvan a la actividad antes de la hora convocada, y algunos pueden incluso retrasarse.

Si ves algún tipo de anuncio oficial sobre sitios que vuelven a operar de forma normal antes de la hora prevista o si te encuentras algún tipo de mensaje para visitar los sitios que se han sumado a la protesta intentando dirigirte a un nuevo web site, ignóralos y vuelve a visitar el sitio oficial a partir de la hora anunciada. El “nuevo” sitio puede ser claramente malicioso y contener diversos trucos para engañarte e infectar tu ordenador.

En vez de arriesgarte, quizá quieras aprovechar el tiempo para hacer una copia de seguridad de tu ordenador, o para desconectarte el resto del día: Internet estará ahí cuando vuelvas ;-) .

De nuestro compañero Aryeh Goretsky, MVP, ZCSE. Distinguished Researcher. ESET. Artículo original en inglés. 

Compartir |


Artículos Anteriores »