“ESTUDIO DE PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN”
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
ÍNDICE
1.
Introducción ...................................................................................................................................................................................................... 4
2.
Derecho a la privacidad y la seguridad en Internet .......................................................................................................................................... 5
3.
Amenazas de Internet ...................................................................................................................................................................................... 6 3.1.
SPAM ....................................................................................................................................................................................................... 7
3.2.
HACKER................................................................................................................................................................................................... 7
3.3.
VIRUS....................................................................................................................................................................................................... 8
3.3.1.
Clases de virus ..................................................................................................................................................................................... 9
3.4.
VIRUS EN EL MÓVIL ............................................................................................................................................................................. 10
3.5.
SPYWARE / MALWARE......................................................................................................................................................................... 10
3.6.
RFID SPYCHIPS .................................................................................................................................................................................... 11
La tecnología RFid ......................................................................................................................................................................................... 11 La posible amenaza para la privacidad. ......................................................................................................................................................... 12 3.7.
PHISING ................................................................................................................................................................................................. 13
3.8.
CARDING EN LA RED ........................................................................................................................................................................... 15
3.9.
PHARMING ............................................................................................................................................................................................ 15
3.10. 4.
COOKIES ........................................................................................................................................................................................... 16
Tecnologías para incrementar la privacidad................................................................................................................................................... 18 4.1.
FIRMA ELECTRÓNICA .......................................................................................................................................................................... 18
4.2.
CERTIFICACIÓN ELECTRÓNICA ......................................................................................................................................................... 19
4.3.
HERRAMIENTAS ÚTILES...................................................................................................................................................................... 21
4.3.1.
Antivirus .............................................................................................................................................................................................. 21
4.3.2.
Firewall ............................................................................................................................................................................................... 21
4.3.3.
IDS -Intrusion Detection System......................................................................................................................................................... 22
5.
.Buenas prácticas ........................................................................................................................................................................................... 23
6.
Impacto en el comercio electrónico ................................................................................................................................................................ 25 Página 2 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
6.1.
MITOS DEL COMERCIO ELECTRÓNICO............................................................................................................................................. 26
6.2.
ESTUDIO SOBRE COMERCIO ELECTRÓNICO (B2C) 2005 ............................................................................................................... 27
6.3.
RAZONES DE COMPRA POR INTERNET............................................................................................................................................ 28
6.4.
PRODUCTOS Y SERVICIOS MÁS COMPRADOS POR INTERNET.................................................................................................... 29
6.5.
RAZONES PARA NO COMPRAR EN INTERNET................................................................................................................................. 30
Uso de internet por los Menores .................................................................................................................................................................... 31
7.
7.1.
USO DE INTERNET POR PARTE DE LOS MENORES........................................................................................................................ 31
7.2.
PELIGROS IDENTIFICADOS................................................................................................................................................................. 31
7.3.
ACCIONES DE LA ADMINISTRACIÓN, LOS CUERPOS DE SEGURIDAD Y LA FAMILIA. ................................................................ 31
8.
Recomendaciones para el uso seguro de Internet por los menores .............................................................................................................. 31
9.
Marco y normativo .......................................................................................................................................................................................... 31 9.1.
OCDE ..................................................................................................................................................................................................... 31
9.2.
EUROPA................................................................................................................................................................................................. 31
9.3.
ESPAÑA ................................................................................................................................................................................................. 31
9.4.
ESTADOS UNIDOS................................................................................................................................................................................ 31
9.5.
LOS DERECHOS DE PROTECCIÓN DE LA PRIVACIDAD EN ESPAÑA ............................................................................................ 31
10.
AutoRregulación ......................................................................................................................................................................................... 31
10.1.
CONFIANZA ONLINE......................................................................................................................................................................... 31
10.2.
AGENCIA PARA LA CALIDAD DE INTERNET. ................................................................................................................................. 31
10.3.
CONTENIDOS PARA MÓVILES ........................................................................................................................................................ 31
10.4.
OTRAS INICIATIVAS ......................................................................................................................................................................... 31
11.
Referencias ................................................................................................................................................................................................ 31
Nota: Las marcas usadas y referenciadas en este documento son propiedad de sus respectivos dueños.
Página 3 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
1. INTRODUCCIÓN Nuestro mundo camina a grandes pasos hacia la Sociedad Digital del Conocimiento, donde Internet ocupa un lugar central. Ante este panorama, se hace indispensable conocer las enormes posibilidades de la red como medio de negocio, un medio vibrante y con un futuro más que prometedor. La Nueva Economía tiene mucho que ofrecer a quienes participen en ella, aunque existe también otra cara de la moneda: millones de correos no solicitados, de spam, llenan los buzones de correo de empresas y particulares, hackers, Virus, etc. El comercio electrónico plantea importantes retos que deben ser superados, como el de garantizar la seguridad de las comunicaciones. El carácter universal de la Red nos convierte en ciudadanos del mundo, pero también puede dejar expuesta, ante ese mismo mundo, nuestra privacidad. Todo esto hace necesario que exista una regulación equilibrada acompañada de planes de formación e información a los usuarios y empresas, que nos permita disfrutar de las ventajas de la Sociedad Digital del Conocimiento, y que nos proteja al mismo tiempo de sus peligros. La seguridad que debe podérsele ofrecer al usuario de Internet, como en el caso de la seguridad ciudadana, debe mantener un exquisito equilibro con el respeto a su privacidad y su intimidad, derecho éste fundamental entre los del ser humano. El derecho a la intimidad es el que debe permitir a cada individuo reservar un espacio que quede resguardado de la curiosidad ajena, pues a nadie se le puede exigir que soporte pasivamente la revelación de datos de su vida privada, personal o familiar. La privacidad, según el diccionario de la Real Academia de la Lengua, es el ámbito de la vida personal de un individuo que debe ser reservado y mantenerse confidencial. Puede también definirse como el poder para controlar lo que otros puede saber sobre uno mismo y para determinar las reglas de acceso al espacio privado. Las Tecnologías de la Información y las Comunicaciones han incrementado los riesgos contra la privacidad, dado que esta puede violarse de forma más sencilla y con un mayor grado de invisibilidad, de manera que su invasión no resulte obvia para quién la sufre si no es un experto en informática, tal y como ocurriría con una invasión física del hogar. En este estudio se repasa la situación actual de la seguridad del uso de Internet desde el punto de vista del usuario y de sus datos personales. También se revisa específicamente la problemática cuando el usuario es un menor de edad y, por otro lado, el impacto que la confianza del usuario tiene sobre el comercio electrónico.
Página 4 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
2. DERECHO A LA PRIVACIDAD Y LA SEGURIDAD EN INTERNET Los problemas de privacidad en la evolución de las Tecnologías de la Información son preocupantes. La monitorización de e-mails, la recolección y difusión no autorizada de información confidencial y datos personales, la necesidad de protección de la información confidencial de las empresas, la falta de seguridad en terminales no protegidos y la venta o alquiler de listados de información personal de los usuarios sobre sus hábitos de consumo y otras prácticas, son sólo parte de la creciente lista de problemas. Las actividades que se pueden suponer privadas en realidad no lo son, ya que no existe ninguna actividad en línea que garantice la absoluta privacidad. Como ejemplo, encontramos los foros, donde cualquier persona puede capturar, copiar y almacenar todo lo que se escriba. Datos como el nombre, correo electrónico e incluso información sobre su proveedor de Internet, figuran en el mensaje mismo. O las listas de distribución, donde existen algunas funciones que permiten que los mensajes sean distribuidos a múltiples usuarios. Además, aunque la cuenta con un proveedor de Internet es privada, la mayoría de estos proveedores dan a conocer públicamente información sobre sus usuarios. Otro ejemplo seria el registro de los datos referentes a los nombres de dominio de un sitio Web, ya que muchas personas obtienen su propio dominio en Internet y estos registros son información pública. En el año 2005, las amenazas de virus, códigos maliciosos y spyware1 fueron mayores que en el 2004, y los métodos de robo de información confidencial son más avanzados2. La principal amenaza para los usuarios informáticos en el 2005 fue el phising5, que continúa siendo una de las principales amenazas a la seguridad de las empresas y usuarios, Situación que se agravará en el 2006 con el incremento de la complejidad de los programas3. McAfee2 anticipó que el adware1 y contenido no deseado, transmitido a través de correo electrónico e Internet, continuará aumentando en el 2006 con programas cada vez más complejos. En el 2005, los ataques de virus con una valoración de peligro intermedio o grave aumentaron "de forma drástica" con respecto al 2004, pasando de 20 en ese año a 46 en los anteriores 12 meses, según McAfee2. Las amenazas estarán combinadas con contenido como spam4 y phishing5 a medida que el año progresa. Se prevé que los esquemas de phishing exitosos seguirán aumentando debido a la falta de concienciación de los consumidores.
1
Spyware/adware. Software instalado en un ordenador, generalmente sin el conocimiento del usuario, que tarde enviarla por Internet a un servidor. 2 McAfee Inc. Líder en suites de seguridad y privacidad. 3 IBM Global Business Security Index (www.ibm.com/es/press/notas/2006/enero/seguridad.html) Página 5 de 47
recoge información de dicho usuario para más
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
3. AMENAZAS DE INTERNET Las vulnerabilidades del software que se están revelando en los últimos tiempos como uno de los mayores problemas de la informática de nuestros días. El desarrollo y uso masivo de Internet que tantos beneficios ha proporcionado, ha provocado que aparezcan problemas donde antes no los había. Esto se debe a que los ordenadores ya no son elementos individuales, sino que cuando se conectan a la Red, se convierten en una parte integrante de la misma, a la que otros usuarios, desde cualquier punto del planeta, pueden tener acceso. Una vulnerabilidad de software puede definirse como "un fallo o hueco de seguridad", se trata de un fallo de diseño de alguno de los programas que pueda haber instalados en el ordenador, que permite que un virus pueda realizar alguna acción maliciosa. Estos fallos de seguridad, abren las puertas a usuarios maliciosos que quieran introducirse en nuestro equipo. Pero el gran problema de los agujeros de seguridad reside en la forma en que son detectados. En la mayoría de las ocasiones de esto se encargan organismos o usuarios que nada tienen que ver con las compañías fabricantes del software afectado. Normalmente, los propios descubridores de los problemas se encargan de informar a los fabricantes que, por lo general, responden de forma eficaz publicando, poco tiempo después, las actualizaciones necesarias para resolver el fallo. Sin embargo, esto no siempre es así, y se han dado muchos casos en que el descubridor de algún importante problema no informa al fabricante sino que trata de sacar provecho de ello. En cualquier momento del día hay conectados a Internet miles de ordenadores, que posiblemente están infectados con virus, gusanos, spyware, malware, que han sido enviados por acciones de Spam4. La mejor manera de combatir estos códigos maliciosos, es estar informado.
4
Spam. Correo electrónico no solicitado enviado por Internet
5
Phishing. Modalidad de estafa diseñada con la finalidad de robar la identidad de un usuario. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. Página 6 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
3.1. SPAM Actualmente se denomina Spam o “correo basura” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por Spam cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva. El bajo coste de los envíos vía Internet (mediante el correo electrónico) o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades en el volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada. El correo basura hace honor a su nombre: es basura. La inmensa mayoría de los correos basura que son indiscriminadamente enviados por la Red anuncian, casi sin excepción, productos sin el más mínimo valor, engañosos y más o menos fraudulentos. Desde software para enviar correos basura, pasando por dietas y curas milagrosas, y llegando a componentes de ordenador sin marca; desde misteriosos métodos para hacerse rico en unos días, a sitios pornográficos. En general, se trata de material demasiado impresentable como para anunciarlo en medios respetables donde deberían pagar por anunciarse. Además, en muchas ocasiones los contenidos rozan la ilegalidad, si es que no son manifiestamente ilegales, como la pornografía infantil. En la mayoría de los cuerpos jurídicos nacionales se han incorporado normas que protegen específicamente el derecho del individuo a no recibir notificaciones comerciales directas, tanto por correo como por medios telemáticos6.
3.2. HACKER El término "Hacker" es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con las Tecnologías de la Información y las Comunicaciones: • 6
Programación
Ver apartado 9 Página 7 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
• Redes de comunicaciones • Sistemas Operativos • Hardware de red/voz, etc Su entendimiento es más sofisticado y profundo respecto a los sistemas informáticos, ya sea de tipo hardware o software. Se suele llamar hackeo y hackear a las obras propias de un hacker. Se dice que el término de "Hacker" surgió de los programadores del Massachusetts Institute of Technology (MIT), que en los 60, por usar hacks, se llamaron a sí mismos hackers. Con ello querían indicar que podían hacer programas mejores y más eficaces, o que hacían cosas que nadie había podido hacer. El término "Hacker" trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un "Hacker" es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. En definitiva, la versión actual del filósofo. También existen los llamados Cracker (que significa Rompedor) o "Black hat" (sombreros negros) que usan su conocimiento con fines maliciosos, antimorales o incluso bélicos, como intrusión de redes, acceso ilegal a sistemas gubernamentales, robo de información y otros crímenes informáticos, como distribuir material ilegal o moralmente inaceptable, fabricación de virus, herramientas de Crackeo y elementos de anarquismo como la distribución de manuales para fabricar elementos explosivos. El término actualmente es algo ambiguo, ya que también se utiliza para referirse a: •
Aficionados a la informática que buscan defectos, puertas traseras y mejorar la seguridad del software, así como prevenir posibles errores en el futuro.
•
Delincuentes informáticos, o crackers, que es su uso más extendido, y que sería incorrecto, según los propios hackers.
3.3. VIRUS Un virus es un programa que ocupa una cantidad mínima de espacio en disco (el tamaño es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autorreplicarse, es decir, hace copias de sí mismo e infecta archivos, tablas de partición o sectores de arranque de los discos duros y disquetes para poder expandirse lo más rápidamente posible. Mientras el virus se replica intenta pasar lo más desapercibido que puede. Intenta evitar que el "huésped" se dé cuenta de su presencia... hasta que llega el momento de la "explosión". Es el momento culminante que marca el final de la infección y en algunos casos suele venir acompañado del formateo del disco duro o borrado de archivos. No obstante, el daño se ha estado ejerciendo durante todo el proceso de infección, ya que el virus ha estado ocupando memoria en el ordenador. Página 8 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
La gran mayoría de los creadores de virus lo ven como un hobby, aunque también otros usan los virus como un medio de propaganda o difusión de sus quejas o ideas radicales. En otras ocasiones es el orgullo o la competitividad entre los programadores de virus lo que les lleva a desarrollar virus cada vez más destructivos y difíciles de controlar. Pero afortunadamente, también se están desarrollando mejores antivirus.
3.3.1. Clases de virus
Clases de virus Definición
Consecuencias
Virus
Son diminutos programas que, una vez introducidos en el ordenador, se "pegan" a los programas que son ejecutados. Así se reproducen con facilidad. Si alguno de éstos llega a otro ordenador, bien a través de un disquete, un CD o por correo electrónico, comienza un nuevo proceso de infección. En el caso de una red de ordenadores conectados entre sí, la propagación es asombrosamente instantánea
Cuando se cumple una determinada condición, como una fecha, un número de veces actuando, o determinada secuencia de pulsaciones de teclado, por ejemplo, se alcanza su segundo objetivo después de la reproducción, que puede consistir en la inutilización total o parcial del sistema, una avería, un simple mensaje reivindicativo... O todo a la vez.
Gusanos
Son pequeños programas que se reproducen a sí Su objetivo inicial no era destructivo, si no más bien mismos sin necesidad de estar adosados a otros entorpecedor, llegando a colapsar el sistema bien por el programas espacio que ocupan, o bien por ralentizar el tránsito de información hasta llegar a pararlo por completo
Caballos de Troya Son unos programas que se camuflan malware. o Troyanos
Jokes
Su misión consiste en espiar o simplemente destruir su información. Ofrecen el acceso del ordenador infectado a otro ordenador que ejerce el control del primero. Es decir, el caballo de troya permite que otro usuario manipule a placer todo el PC mientras se está conectado a Internet.
Son programas que simulan la destrucción de los Estas bromas de mal gusto suelen ser enviadas por correo datos del ordenador, con un formateo ficticio incluido electrónico, no causan ningún daño al ordenador. Son bromas de muy mal gusto
Página 9 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
3.4. VIRUS EN EL MÓVIL En la actualidad existen también virus que afectan a los móviles. Por ejemplo CommWarrior, que tras infectar un teléfono usa la agenda de contactos para reenviarse a todos los números de la agenda del usuario. Para expandirse, CommWarrior escanea la libreta de direcciones del teléfono y se autoenvía de forma periódica a los contactos de forma aleatoria, en un mensaje en el que se incluye un fichero adjunto animando al usuario a instalarlo como aplicación. CommWarrior intenta infectar a los dispositivos compatibles Symbian OS que se encuentren en las proximidades a través del protocolo Bluetooth. En un mensaje MMS puede incluirse audio, vídeo o imágenes estáticas y es recibido por el destinatario de forma casi instantánea al igual que un SMS. La tecnología MMS consiste en una extensión del estándar SMS (Short Message Service) desarrollada por el 3GPP (Third Generation Partnership Project) que permite a los usuarios intercambiar mensajes multimedia entre teléfonos móviles. Una vez que el usuario del móvil descarga el MMS CommWarrior, envía MMS automáticamente provocando un perjuicio económico al usuario.
3.5. SPYWARE / MALWARE Se denomina Spyware a los archivos o aplicaciones de software que son instalados en los ordenadores de los usuarios, la mayoría de veces sin su conocimiento o autorización. Estos archivos se ejecutan en "background" (en segundo plano, sin que el usuario lo perciba) utilizando la conexión con Internet del usuario para extraer datos e información sobre el contenido del ordenador o nuestro comportamiento. Todo ello, claro, sin avisarnos y sin solicitar nuestro consentimiento. Estas funcionalidades pueden venir incorporadas en software con licencia de uso legal, pero que ilegalmente están espiando en nuestro ordenador o informando del uso que realizamos del mismo. Básicamente, una aplicación de spyware lo que registra y envía es información sobre hábitos de navegación en la Red, las páginas Web que más frecuentemente se visitan, el tiempo de conexión a Internet, etc. También suelen capturar datos relativos al equipo en que se encuentran instalados: sistema operativo, tipo de procesador, memoria... Incluso hay algunos diseñados para informar de si el software instalado en el equipo es original o no. En algunos casos, puede llegar a dar el control del ordenador a un usuario remoto. Las motivaciones que guían a los promotores de este tipo de prácticas pueden ser comerciales o para hacer estudios de mercado, aunque, como es obvio, no existen pruebas acerca de para qué se recoge la información o qué se hace posteriormente con ella. En todo caso, la presencia de un programa de este tipo en el sistema supone una agresión a la privacidad de los datos personales que no debe ser consentida. Detectar una aplicación spyware en el ordenador no es nada sencillo. De hecho, como si de espías verdaderos se tratase, utilizan sofisticadas técnicas para convivir con el resto de programas. Las características que les permiten esta habilidad son: Página 10 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
- Normalmente los spyware se instalan en el equipo junto con alguna utilidad para el disco duro o incluso en software adquirido legalmente. - Los nombres de los archivos que se corresponden con este tipo de programas pueden no dar una idea de su verdadera naturaleza, por lo que pasan desapercibidos entre el resto de ficheros de una aplicación. - Al no tratarse de virus, ni utilizar ninguna rutina que pueda relacionarlos con ellos, los programas antivirus no los detectan, a no ser que hayan sido programados específicamente para ello. - No provocan ningún efecto visible en el ordenador, ni cuando son instalados ni cuando se encuentran en plena acción. Por ello, precisamente, los usuarios no suelen preocuparse de si algún programa de este tipo se encuentra instalado en su sistema. Eso conlleva que la estancia en el ordenador de una aplicación spyware sea larga.
3.6. RFID SPYCHIPS La tecnología de identificación por radiofrecuencia RFID (Radio Frequency IDentification) es una tecnología de captura de datos que utiliza diminutos chips rastreadores adheridos a los productos. Estos chips pueden ser utilizados para rastrear artículos a cierta distancia. Algunos de los mayores fabricantes del mundo quieren reemplazar el código de barras por estos "chips", siendo su principal aplicación su empleo en la gestión de la cadena de suministro.
La tecnología RFid Todo sistema RFID se compone de un interrogador o sistema de base que lee y escribe datos en los dispositivos y un "transponder" o transmisor que responde al interrogador. 1. El interrogador genera un campo de radiofrecuencia, normalmente conmutando una bobina a alta frecuencia. Las frecuencias usuales van desde 125 Khz hasta la banda ISM de 2.4 Ghz, incluso más. 2. El campo de radiofrecuencia genera una corriente eléctrica sobre la bobina de recepción del dispositivo. Esta señal es rectificada y de esta manera se alimenta el circuito. 3. Cuando la alimentación llega a ser suficiente el circuito transmite sus datos. 4. El interrogador detecta los datos transmitidos por la tarjeta como una perturbación del Página 11 de 47
propio nivel de la señal.
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
Las etiquetas RFID pueden ser activas, semi-pasivas o pasivas. Las etiquetas RFID pasivas no tienen fuente de alimentación propia. La mínima corriente eléctrica inducida en la antena por la señal de escaneo de radiofrecuencia proporciona suficiente energía al circuito de la etiqueta para poder transmitir una respuesta. Las etiquetas RFID pasivas, en la práctica tienen distancias de lectura que varían entre unos 10 milímetros hasta cerca de 6 metros dependiendo del tamaño de la antena del Tag y de la potencia y frecuencia en la que opera el lector. El dispositivo disponible comercialmente más pequeño de este tipo mide 0.4 milímetros × 0.4 milímetros, y es más fino que una hoja de papel; estos dispositivos son prácticamente invisibles. Las etiquetas RFID semi-pasivas son muy similares a las pasivas, salvo que incorporan además una pequeña batería. Esta batería permite al circuito integrado de la etiqueta estar constantemente alimentado. Además, elimina la necesidad de diseñar una antena para recoger potencia de una señal entrante. Por ello, las antenas pueden ser optimizadas para la señal de respuesta. Las etiquetas RFID semi-pasivas responden más rápidamente, por lo que son más eficientes en el ratio de lectura comparadas con las etiquetas pasivas. Las etiquetas RFID activas, tienen una fuente de energía, y pueden tener rangos mayores y memorias más grandes que las etiquetas pasivas, así como la capacidad de poder almacenar información adicional enviada por el transmisor-receptor. Actualmente, las etiquetas activas más pequeñas tienen un tamaño aproximado de una moneda. Muchas etiquetas activas tienen rangos prácticos de diez metros, y una duración de batería de hasta varios años.
La posible amenaza para la privacidad. Aunque esta tecnología no es en absoluto novedosa, el oscurantismo en torno a las circunstancias de su más que previsible despliegue, reside en que esta tecnología atenta contra la privacidad, motivo por el cual recientemente se está creando un movimiento anti RFID7. Las razones principales por las que RFID resulta preocupante en lo que a refiere a la privacidad son: 1. El comprador de un artículo puede no saber de la presencia de la etiqueta o ser incapaz de eliminarla. 2. La etiqueta puede ser leída a cierta distancia sin conocimiento por parte del individuo. 3. Si un artículo etiquetado es pagado mediante tarjeta de crédito o conjuntamente con el uso de una tarjeta de fidelidad, entonces sería posible enlazar la ID única de ese artículo con la identidad del comprador. La mayoría de las preocupaciones giran alrededor del hecho de que las etiquetas RFID puestas en los productos siguen siendo funcionales incluso después de que se hayan comprado los productos y se hayan llevado a casa, y esto puede utilizarse para vigilancia, y otros propósitos
7
Como el patrocinado por diversos movimientos de derechos civiles en http://www.spychips.com Página 12 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
sin relación alguna con sus funciones de inventario en la cadena de suministro. Aunque la intención es emplear etiquetas RFID de corta distancia, éstas pueden ser interrogadas a mayores distancias por cualquier persona con una antena de alta ganancia. En España estas etiquetas son usadas para el control antirrobo de las mercancías en los supermercados y tiendas. También se emplean para realizar inventarios de forma rápida y en la gestión de la cadena de suministro. Actualmente no hay constancia de que se estén utilizando estas etiquetas con otro propósito.
3.7. PHISING El Phising consiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales con el fin de obtener datos personales y bancarios de los usuarios para hacerse pasar por ellos en diversas operaciones “on line”. El procedimiento es el siguiente: el usuario recibe un mensaje de correo electrónico, aparentemente de instituciones financieras o de Websites haciéndole creer que es preciso verificar sus datos financieros personales, tales como números de tarjeta de crédito, nombre de usuario y contraseña de cuentas bancarias, número de seguridad social, etc.. El formato de estos mensajes suele ser un plagio de los utilizados habitualmente por bancos conocidos, Websites de venta online, compañías de tarjetas de crédito, etc.., y a menudo emplean estrategias como la de hacer creer al usuario que se sospecha que su tarjeta de crédito puede haber sido utilizada de manera fraudulenta, por lo que la entidad financiera se pone en contacto con el titular para validar los datos. Evidentemente esto no es cierto, y se trata de un intento de engaño. El Phishing en España era desconocido para la mayoría de los internautas. Los casos que se conocían eran de entidades bancarias extranjeras o de grandes empresas de subastas y de métodos de pago -Pay Pal ó eBay- todos ellos eran en lengua inglesa. Los primeros ataques importantes en España fueron detectados finales del 2004 pero en el 2005 su evolución y extensión han convertido al Phishing en una plaga casi imparable8. Las malas traducciones con fallos ortográficos y gramaticales de los primeros intentos de Phishing han evolucionado en el 2005 a gran velocidad, los actuales tienen un alto grado de peligrosidad donde rozan la perfección, e incluso se emulan en algunos casos falsas ventanas de dirección con la dirección casi exacta de la entidad bancaria o empresa. Todos los especialistas en seguridad informática coinciden en señalar que en la actualidad el Phising es uno de los grandes peligros de Internet, seguido de los virus 8.
8
Asociación de Internautas el 26-12-2005 Página 13 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
Según las conclusiones de un estudio realizado por Bufete de Marketing9; uno de cada tres españoles ya es usuario de banca por Internet y su grado satisfacción supera el de los clientes de la banca tradicional, que está viendo cómo estas entidades online crecen. El número de personas que optan por servicios en la red ha crecido cerca de un 50% en los últimos 12 meses, y de los poco más de dos millones de clientes en junio de 2004 se ha pasado de los tres millones en el mismo mes del 200510. Lo alentador es que las amenazas del Phising y otras estafas que proliferan a través de Internet no han frenado aún el avance del banco en casa. La Asociación de Internautas ha detectado casi 300 casos de Phising en el 2005 en España, de los cuales el 75% fueron entidades bancarias, el 20% empresas de subastas online y de intercambio de dinero, y el 5% restante a páginas Web falsas de recargas de móviles. La entidad mas atacada en el 2005 fue el BBVA, seguida de Bancaja y Caja Madrid11. La mejor forma de combatir el Phising es que los clientes de banca online estén informados de este tipo de fraude, ya que este tipo de actuaciones genera confianza en los clientes. A finales de este año 2005 todas las Web bancarias españolas contienen ya alguna advertencia sobre que es el Phising. Otra forma de estafa muy ligada con el Phising es conocida como Scam. Este tipo de estafa trata de captar personas por medio de correos electrónicos, chats, irc, etc... Donde empresas ficticias le ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos. Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias). El procedimiento de captación de victimas consiste en la recepción de un correo electrónico o por medio de un anuncio en Internet, donde se ofrece un trabajo fácil y bien pagado. Una vez que la víctima contacta con los estafadores tiene que rellenar un formulario donde le solicitan su cuenta bancaria para realizarle un ingreso procedente de una cuenta bancaria de una víctima del Phising. Al conocer las claves de las víctimas de Phising y Scam, se realizan transferencias bancarias de los estafadores a la cuenta bancaria de la víctima de Scam conocido como “mulero” al cual le informan que debe enviar el dinero por medio de Money Gram o similares a un destino indicado por el estafador, excepto un porcentaje que el mulero obtiene por el trabajo. En el apartado de buenas prácticas se incluye las formas de identificación y recomendaciones para combatir el Phising y el Scam.
9
www.bufetedemarketing.com
10
Nielsen NetRatings
11
Diario “EL MUNDO” viernes 30 de diciembre de 2005 Página 14 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
3.8. CARDING EN LA RED El Carding es otro tipo de estafa que consiste, al igual que el Phising, en mensajes electrónicos no solicitados que ofrecen informes de crédito, algunos gratuitamente, con la finalidad de engañar a los consumidores para que revelen los números de sus tarjetas de crédito, datos de sus cuentas bancarias, contraseñas y demás información delicada. Esta información es vendida a terceros, quienes podrían utilizarla para cometer fraude o incluso robo de identidad. El Carding consiste entonces en usar un número de tarjeta de crédito -ya sea real o creado de la nada mediante procedimientos digitalespara realizar compras a distancia por Internet y efectuar pagos. A esta actividad debe agregarse la de generar números validos de tarjetas de crédito para luego usarlos en compras a distancias. Cuando una empresa de tarjetas asigna una tarjeta numerada a un usuario lo hace a través de un sistema automatizado de creación de número aleatorios. El Carding es sin duda la actividad de mayor riesgo de todas las entendidas como delitos informáticos, pues sí se quiere recibir lo que se compro en la red, hay que ordenar que lo envíen a un sitio determinado, ya que quien compro con un número de tarjeta que no es suyo se arriesga a que lo descubran a ser arrestado al ir a recoger lo comprado.
3.9. PHARMING El Pharming es un tipo de estafa, que consiste en que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Un DNS es un sistema de nombres que permite traducir de nombre de dominio a dirección IP y viceversa. Aunque Internet sólo funciona en base a direcciones IP, el DNS permite el uso de nombres de dominio que son bastante más simples de recordar, pero que también pueden causar muchos conflictos. Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. En los servidores DNS se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada ordenador conectado a Internet hay un fichero en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinadas direcciones. A través de la manipulación del DNS por medio de un malware, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online. La empresa Panda Software12 informó que los ataques “Pharming” pueden llevarse a cabo directamente contra el servidor DNS, de forma que el cambio de direcciones afecte a todos los usuarios que lo utilicen mientras navegan en Internet, o bien de forma local.
12
Empresa española líder en el desarrollo de antivirus. Página 15 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
El Pharming requiere que alguna aplicación se instale en el sistema a atacar (un fichero .exe, un script, etc.). La entrada del código en el sistema puede producirse a través de cualquiera de las múltiples vías de entrada de información que hay en un sistema: el e-mail (la más frecuente), descargas por Internet, copias desde un disco o CD, etc. El remedio para esta nueva técnica de fraude pasa, de nuevo, por las soluciones de seguridad antivirus que debe detectar el fichero con el código malicioso y eliminarlo. Estas amenazas no solamente afectan a los consumidores, sino también a las compañías de E-commerce e instituciones financieras que operan a través de Internet. Si los consumidores pierden su confianza en la seguridad de las transacciones, los negocios y las organizaciones que operan en Internet pueden sufrir serias pérdidas financieras.
3.10. COOKIES Las cookies constituyen una potente herramienta empleada por los servidores Web para almacenar y recuperar información acerca de sus visitantes. Dado que el Protocolo de Transferencia de HiperTexto (HTTP) es un protocolo sin estados, es decir, no almacena el estado de la sesión entre peticiones sucesivas, las cookies proporcionan una manera de conservar información entre peticiones del cliente, extendiendo significativamente las capacidades de las aplicaciones cliente/servidor basadas en la Web. Mediante el uso de cookies se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc. Entre las mayores ventajas de las cookies se encuentra el hecho de ser almacenadas en el disco duro del usuario, liberando así al servidor de una importante sobrecarga. Es el propio cliente el que almacena la información y quien se la devolverá posteriormente al servidor cuando éste la solicite. Además, las cookies poseen una fecha de caducidad que puede oscilar desde el tiempo que dure la sesión, hasta una fecha futura especificada a partir de la cual dejan de ser operativas. Cuando se crearon, las cookies tenían como objetivo favorecer al usuario. Al permitir que los sitios Web “recordasen” a los visitantes, se les podía ofrecer un servicio individualizado, informado las novedades y liberándolos de ciertas tareas engorrosas de identificación. Algo parecido a entrar en un restaurante y que el camarero nos llame por nuestro nombre. Hay que saber distinguir entre las amenazas reales y los rumores falsos, como que por medio de las cookies se puedan contagiar un virus. Para ello, sería requisito indispensable que la cookie contuviera código ejecutable y que, además, se le ordenase su ejecución. También se dice que el servidor consigue acceso a un disco duro gracias a las cookies. Esto no es exacto. En el caso de las cookies, no es el servidor el que lee o escribe en nuestro disco duro, sino el navegador; el servidor pide al navegador que lea o escriba las cookies, pero en ningún caso tiene a través de ellas acceso directo al disco duro.
Página 16 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
Las cookies son simplemente texto, que se puede editar perfectamente con cualquier editor de texto, y como tal son elementos pasivos que no pueden emprender ninguna acción. Sólo pueden ser leídos o escritos, pero no pueden ejecutarse ni mandar ejecutar ningún programa. Por lo tanto no representan ninguna amenaza para el ordenador, ni pueden infectarlo con ningún virus. Es importante comprender que, por diseño, las cookies poseen las siguientes limitaciones: •
Trescientas cookies en total en el archivo de cookies. Si llega la número 301, se borra la más antigua.
•
4 Kbytes por cookie, para la suma del nombre y valor de la cookie.
•
Veinte cookies por servidor o dominio (los hosts y dominios completamente especificados se tratan como entidades separadas y tienen una limitación de 20 cookies cada uno).
Ninguna máquina que no encaje en el dominio de la cookie puede leerla. Es decir, la información almacenada en una cookie no puede ser leída por una máquina distinta de la que la envió. Aún así, las cookies no son un buen elemento de seguridad, ya que cualquiera que conozca mínimamente su funcionamiento podría acceder físicamente a ellas, tal vez a través de red local, a los datos guardados en las mismas dentro de un ordenador, y utilizar todos los servicios a los que permiten acceder los nombres y contraseñas en ellas almacenados. Por otro lado, sí que es cierto que lo que inicialmente se creó como un mecanismo para beneficiar al usuario ha sido pervertido para beneficiar al anunciante, que husmea nuestras idas y venidas y almacena perfiles de usuario para luego dirigirnos su propaganda personalizada. Esta posibilidad abre las puertas a especulaciones acerca de su venta a terceros o su análisis, y ése es el riesgo real de las cookies.
Página 17 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
4. TECNOLOGÍAS PARA INCREMENTAR LA PRIVACIDAD 4.1. FIRMA ELECTRÓNICA Actualmente, la firma manuscrita permite certificar el reconocimiento, la conformidad o el acuerdo de voluntades sobre un documento por parte de cada firmante, aspecto de gran importancia desde un punto de vista legal. Para intentar conseguir los mismos efectos que la firma manuscrita en transacciones de comercio electrónico e intercambio de información online, se necesita una respuesta técnica segura, y la firma electrónica es una herramienta válida que requiere el uso de la criptografía y el empleo de algoritmos matemáticos. La firma digital consiste en la utilización de un método de encriptación llamado asimétrico o de clave pública. Este método consiste en establecer un par de claves asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el sector, y otro privada, sólo conocida por el sujeto en cuestión. De esta forma cuando se desea establecer una comunicación segura con otra parte basta con encriptar el mensaje con la clave pública del sujeto para que a su recepción, sólo el sujeto que posee la clave privada pueda leerlo. La firma electrónica es un paso importante para la seguridad en la Red, aunque no definitivo. Con ella los internautas disfrutarían de los cinco elementos básicos en el incremento de la privacidad que son: 1. Información sólo disponible para el usuario. 2. Un origen conocido. 3. Ninguna alteración previa. 4. Acceso a ella dónde y cuándo quiera el usuario. 5. No se puede negar su envío y su recepción. Para brindar confianza a la clave pública surgen las autoridades de certificación, que son aquellas entidades que merecen la confianza de otros actores en un escenario de seguridad donde no existe confianza directa entre las partes involucradas en una cierta transacción. Es por tanto necesaria, una infraestructura de clave pública (PKI) para cerrar el círculo de confianza, proporcionando una asociación fehaciente del conocimiento de la clave pública a una entidad jurídica, lo que le permite la verificación del mensaje y su imputación a una determinada persona. Esta infraestructura de clave pública consta de una serie de autoridades que se especializan en papeles concretos:
Página 18 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
•
Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente las avala.
•
Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.
•
Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos).
•
Estas autoridades pueden materializarse como entes individuales, o como una colección de servicios que presta una entidad multipropósito.
•
En consecuencia, la firma digital es un bloque de caracteres que acompaña a un documento (o fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que pueda después negar su autoría (no repudio). De esta forma, el autor queda vinculado al documento de la firma. Por último la validez de dicha firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor.
4.2. CERTIFICACIÓN ELECTRÓNICA Un certificado digital es un fichero digital intransferible y no modificable, emitido por una tercera parte de confianza (AC), que asocia a una persona o entidad una clave pública. Un certificado digital que siga el standard X509v3, utilizado por los navegadores, contiene la siguiente información: · Identificación del titular del certificado: Nombre, dirección, etc. · Clave pública del titular del certificado. · Fecha de validez. · Número de serie. · Identificación del emisor del certificado.
Página 19 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
En síntesis, la misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste siempre se acompaña del certificado del signatario, con el fin de que el destinatario pueda verificar la firma electrónica adjunta. Estos certificados permiten a sus titulares realizar una gran cantidad de acciones a través de Internet: acceder por medio de su navegador a sitios Web restringidos, a los cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pedirá que presente su certificado, posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en Internet, como applets de Java o controles ActiveX de Microsoft, de manera que puedan realizar acciones en el navegador del usuario que de otro modo le serían negadas; firmar cualquier tipo de documento digital, para uso privado o público; obtener confidencialidad en procesos administrativos o consultas de información sensible en servidores de la Administración; realizar transacciones comerciales seguras con identificación de las partes, con en SSL (Secure Socket Layer) que proporciona seguridad cifrando los datos intercambiados entre el servidor y el cliente. Secure Electronic Transatrions (SET) ha sido creada exclusivamente para la realización de comercio electrónico usando tarjetas de crédito. SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago. Actualmente, el estándar de uso en este tipo de certificados es el X.509.v3. Quienes conceden el uso de una firma electrónica y garantiza que cada firma corresponde a ese usuario y no otro, son las Autoridades de Certificación Digital, que necesitan cumplir con unos requisitos muy concretos impuestos por el Ministerio de Justicia. Todas ellas expiden tres tipos de certificados digitales: •
Certificados de servidor: destinados a establecer el protocolo SSL en una comunicación entre cliente (usuario) y el servidor (página 'Web'). Aplicado en el comercio electrónico, cifra la información que viaja entre el cliente y el servidor, (numero de la tarjeta de crédito, dirección personal, productos comprados).
•
Certificados de Firma de Código: con ellos se puede evitar la entrada de virus en él o establecer sistemas para el pago de licencias de un modo sencillo.
•
Certificados Personales: se utilizan para identificar las personas que acceden al sitio “Web” o que firman un determinado documento (firma de contratos a través de Internet, Visado Digital, facturación electrónica, Voto electrónico, etc).
Página 20 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
4.3. HERRAMIENTAS ÚTILES 4.3.1.
Antivirus
Un antivirus es un programa informático específicamente diseñado para detectar y eliminar virus. Utilizándolo correctamente éste se convertirá en un software infranqueable para los virus y demás códigos maliciosos. Proteger todas las entradas de información de su equipo, con especial atención a Internet y el correo electrónico. Se debe tener en cuenta que un antivirus debe incluir un completo conjunto de servicios, actualizaciones frecuentes (lo ideal es una vez al día), pero también soporte técnico, resolución urgente de nuevos virus y servicios de alerta. Estos servicios son imprescindibles, utilizándolos obtendrá el máximo rendimiento en seguridad antivirus. Una vez instalado, es muy recomendable que analice todo su PC de forma periódica para asegurarse de que su equipo está completamente libre de virus. El análisis debe incluir todas las unidades del disco duro, los disquetes, los CD's y unidades compartidas. Un antivirus inactivo no sirve para nada, comprobar que el antivirus tiene la protección permanente siempre activa. Así vigilará todas las operaciones realizadas por el ordenador y podrá detectar y eliminar cualquier virus que intente "colarse" dentro de él.
4.3.2.
Firewall
Un firewall es un dispositivo software o hardware que se complementa con los antivirus para ofrecer la máxima seguridad en sus comunicaciones vía Internet. Por ejemplo, evita que entren personas no autorizadas en su equipo (como los hackers) o bloquea las descargas de ficheros de páginas no seguras. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el Web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. De este modo un firewall puede permitir desde una red local hacia Internet servicios de Web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la Web, (si es que poseemos un servidor Web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local. Página 21 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
4.3.3.
IDS -Intrusion Detection System
El propósito de un sistema de detección de intrusos es identificar los accesos no autorizados o el uso incorrecto de un sistema. Estos sistemas son similares a las alarmas antirrobo. Hacen sonar una alarma y algunas veces toman acciones correctivas cuando un intruso es detectado. Estos, generalmente se dividen en dos categorías: •
Identificación de anormalidades en el sistema o uso incorrecto de los mismos.
•
Los detectores de anormalidades vigilan cualquier comportamiento que se desvíe del uso normal de los sistemas, mientras que los detectores de usos incorrectos hacen lo propio con cualquier comportamiento que coincida con un conocido escenario de ataque.
Como ejemplo de ello, algunos sistemas actúan como un programa de captura de paquetes de redes, interpretando actividad hostil reconociendo los patrones de tráfico en las redes que indiquen que se está produciendo un ataque. Una vez que la vulnerabilidad es identificada, el administrador es informado vía correo electrónico y una alarma es desplegada en la cónsola de administración. Adicionalmente, el ataque puede ser determinado automáticamente, al ser introducido a una base de datos o grabado para su posterior revisión.
Página 22 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
5. .BUENAS PRÁCTICAS La mejor manera de evitar ser víctima de algún fraude online, es el estar informado y sobre todo ser escéptico con los mensajes de correo electrónico o con las páginas de Internet que visite. Las siguientes precauciones son la mejor manera de evitar fraudes y problemas: •
Si recibe un correo electrónico de su banco y en este mensaje se le solicitan que ingrese información confidencial como su Número de Identificación Personal (NIP), no lo responda este mensaje ni mucho menos haga clic sobre el enlace incluido en el mensaje. En su lugar, comuníquese con la compañía citada en el mensaje utilizando un número de teléfono o dirección Web que le conste como genuino.
•
Sea escéptico con los mensajes electrónicos no solicitados. Sospeche de los mensajes electrónicos con remitentes atípicos o desconocidos.
•
Busque errores de ortografía y gramaticales. Frecuentemente, los errores tontos, torpes y evidentes — por ejemplo, un código de área telefónica que no coincide con el domicilio — son síntomas que revelan que el sitio Web es una estafa.
•
Controle si el correo electrónico coincide con el dominio del sitio Web. Es decir si escribe el dominio Web de la compañía en la barra de su navegador, éste lo lleva al sitio Web de la compañía que le envió el correo electrónico o lo redirige a un sitio Web diferente. Si lo redirige a otro sitio, tómelo como una luz roja que le está advirtiendo que debería suspender la transacción.
•
Cierre la página de cualquier sitio de Internet que le solicite información personal innecesaria, como por ejemplo el número de identificación personal (PIN) de su cuenta bancaria.
•
Utilice únicamente sitios Web seguros. Para garantizar que su información sea transmitida de manera segura busque el ícono del “candado” en la barra de estado del navegador y las iniciales “https” en el domicilio URL de un sitio Web. Todos los sitios auténticos son seguros.
•
Esté atento a su buzón de correo y a los resúmenes de cuenta de su tarjeta de crédito, si descubre cargos no autorizados, comuníquese inmediatamente con su institución financiera y con los emisores de la tarjeta de crédito.
Página 23 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
•
No atienda a correos electrónico escritos en idiomas que no hable: su entidad financiera no se dirigirá a Ud en ese idioma si antes no lo han pactado previamente.
•
Denuncie cualquier actividad sospechosa.
•
Tener un antivirus instalado en el ordenador y asegurarse de actualizarlo constantemente o tener activados los sistemas de actualización automática, de forma que no existan vulnerabilidades.
•
Jamás ejecute ningún software sin revisarlo antes por un antivirus (incluidos disquetes, CDs, adjuntos a e-mails, bajados por Internet, recibidos vía ICQ, Messenger, etc.).
•
Saber que existen programas altamente destructivos (caballos de Troya, gusanos, virus, etc.) que pueden ser enviados automáticamente vía e-mail, adjuntos a un mensaje amistoso, haciéndonos creer que es de alguien que conocemos, y que por lo tanto el archivo adjunto lo envía esa persona.
•
Instalar un firewall personal: con esta precaución se evita que un hacker pueda entrar en el ordenador a través de un puerto de comunicaciones desprotegido, y modifique el sistema.
La protección de la intimidad es un derecho reconocido constitucionalmente, con los medios de comunicación tradicionales, como el correo postal, los apartados de correo y el correo certificado, están más que garantizados. Sin embargo, con el uso de sistemas de comunicación electrónicos, la intimidad y el anonimato de las personas resultan crecientemente amenazados. Cada vez que alguien utiliza el correo electrónico, navega por la Web o interviene en los foros de conversación está revelando datos sensibles acerca de sí mismo. La mayoría de los usuarios no es consciente de la cantidad de información privada que de forma inadvertida e involuntaria está revelando a terceros. Estas, y otras muchas cuestiones, hacen que para sacar un provecho seguro de Internet, los usuarios deben mantenerse informados sobre los riesgos existentes en cada momento y conocer la forma de evitarlos.
Página 24 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
6. IMPACTO EN EL COMERCIO ELECTRÓNICO Cada vez más gente se conecta a Internet, pero este crecimiento no se aprecia en las compras ya que los usuarios no están dispuestos a dejar los números de sus tarjetas de crédito circulando por la Red, ya que estos pueden ser captados por cualquier sujeto sin escrúpulos para realizar algún fraude con estos datos. Hoy en día el principal problema del comercio electrónico es la falta de costumbre y seguridad. Las empresas deben crear un marco global que permita las transacciones seguras por Internet. Hoy en día el método de pago por excelencia en Internet es y será las tarjetas de crédito. El protocolo SSL que garantiza la creación de un canal seguro entre cliente y vendedor. Por este canal el cliente envía su número de tarjeta de crédito, y el vendedor hace pasar el número por TPV (Terminal Punto de Venta) que permite el cobro a distancia, así se realiza la transferencia. Aunque se garantiza la confidencialidad de las transmisiones, aun hay varios puntos muy importantes que SSL no garantiza: •
No hay recibos, una reclamación por parte del cliente quedaría a la buena voluntad del vendedor.
•
No hay autentificaron de tarjetas, cualquier persona que tenga acceso a un numero de una tarjeta de crédito podría realizar una transacción. El cliente puede realizar fraudes fácilmente.
•
El vendedor obtiene toda la información del cliente (número de tarjeta de crédito) y podría utilizarla fraudulentamente.
Un problema real de las empresas es que los métodos tradicionales de pago (contra reembolso, transferencia bancaria, etc,) son poco efectivos, ya que estas empresas aún no cuentan con la logística necesaria para ello, debido al gran coste que supone implantarla. Esta desconfianza surge de un gran desconocimiento porque realmente no supone más peligro que el dar la tarjeta de crédito en un restaurante al camarero, ya que por unos instantes, si no cobran en tu presencia, se pierde de vista y no se sabe realmente lo que hacen con ella. Pero sin embargo, todo el mundo confía en este método, y ahí está la clave, en la confianza.
Página 25 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
El incremento del comercio electrónico reside en poder contar con normas que protejan los derechos de los internautas en la Red, en la vida cotidiana contamos con ellas, y dejando a un lado su mayor o menor efectividad o el grado de satisfacción que suponga para cada ciudadano, son necesarias ya que incrementan la seguridad respaldando nuestros actos y los de los demás. La mejor manera de aprender a prevenirse de un fraude, es comenzando a comprar en sitios que estén asentados y bien reconocidos en el mercado de compra y venta por Internet, como www.amazon.com, www.ebay.com, www.renfe.es, RENFE, Alsa etc. Algunos de estos sitios tendrán links a muchas otras tiendas seguras online. También, la mayor parte de los negocios más reconocidos tienen sus tiendas online donde comprar sin temor.
6.1. MITOS DEL COMERCIO ELECTRÓNICO. Mito Número 1: No Hay Que Preocuparse por la Privacidad Aun cuando la protección de la privacidad de los clientes electrónicos se ha convertido en sujeto de un caluroso debate legal entre grupos de protección al consumidor, asociaciones empresariales y agencias gubernamentales, todavía muchos emprendedores ignoran la importancia de publicar una política de privacidad en sus sitios Web. Estas políticas pueden ser muy generales. Simplemente existen para informar a sus consumidores que usted está preocupado por su seguridad; que no pretende hacer negocios con sus direcciones electrónicas o su información personal y que no venderá dicha información a una tercera persona o asociación. Mito Número 2: Ya Es Tarde para Estar en Red Aunque muchos emprendedores creen -o se les ha hecho creer- que ya perdieron la oportunidad de subirse al "barco" del Internet, nunca es tarde para estar a bordo. La verdad es que todavía estamos en los umbrales de la Era del Internet y hay mucho más por venir en este nuevo mundo. Y aunque es difícil anticipar con seguridad cómo se desarrollará Internet en los próximos años, dos cosas sí son ciertas: La tecnología de banda ancha se va a expandir rápidamente, lo que va a permitir que las conexiones sean cada vez más rápidas y que la gente compre más por Internet; además, el Internet será tan popular en el resto del mundo que se convertirá en la mayor forma de comercio global. Mito Número 3: El comercio electrónico es una manera de construir un negocio sin tener empleados; el personal necesario es mínimo. A pesar de todo lo que se ha dicho sobre el poder de la tecnología para transformar el mercado, a final de cuentas todo radica en la gente, encontrar a los empleados adecuados es cada vez más difícil y para muchos ejecutivos de estas empresas Web la búsqueda de empleados es Página 26 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
su prioridad número uno. Debido a la escasez de empleados cualificados, los ejecutivos que sobreviven son aquellos que persisten y aplican el ingenio a los esfuerzos de contratación de personal. Mito Número 4: El comercio electrónico nos libera de los problemas relacionados con el servicio a clientes. Al construir un sitio Web para el comercio electrónico en vez de un punto de venta real pensamos que tendremos menos contacto directo con los clientes, pero no es así. Todos los días nos enfrentamos a los comentarios, las preguntas y recomendaciones de nuestra clientela. Responder a sus necesidades es una prioridad para nosotros porque así es como generamos negocios y nos ganamos recomendaciones. Los clientes tal vez sean "virtuales", pero su dinero es real, y también sus preocupaciones. Ignorarlos es como invitarlos a gastar su dinero en otra parte Mito Número 5: No es fiable Internet es un sistema de tal complejidad que nunca se estropea o deja de funcionar; de acuerdo con este principio no tiene mucho sentido afirmar que: “Internet no funcionó ayer durante toda la mañana”. En estas situaciones hay que recordar que una cadena se rompe siempre por el eslabón más débil, y en el caso que nos ocupa, nuestra conexión a la Red es el elemento más vulnerable. Ésta es un área en la que el usuario debería ejercer algún tipo de protagonismo, pues lo que se pone en juego es mucho, todo lo que se deriva de dejar sin servicio a nuestros clientes. No podemos echarle la culpa al maestro armero, si algo no funciona, no busquemos culpables en la Red sino fuera de ella; alguno de los elementos en conflicto podrían ser: nuestros empleados y el equipamiento instalado en la empresa, los circuitos que nos conectan al exterior, los servicios de nuestro Proveedor de Servicios de Internet (ISP), o el equipamiento del proveedor de servicios.
6.2. ESTUDIO SOBRE COMERCIO ELECTRÓNICO (B2C) 2005 La Asociación Española de Comercio Electrónico (AECE-FECEMD) realiza diversas actividades encaminadas a la promoción del comercio electrónico en España. Una de estas actividades es la realización de estudios, necesarios para dar a conocer cual es la situación del comercio electrónico en España, así como los hábitos de consumo de los españoles. En el 2005 la AECE-FECEMD presento los datos junto a la Entidad Pública Empresarial Red.es gracias a un acuerdo alcanzado entre estas dos instituciones. La Entidad Pública Empresarial Red.es, adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, tiene legalmente encomendadas una serie de funciones con objeto de contribuir al desarrollo de las telecomunicaciones y la sociedad de la información. Para estimular la demanda de servicios de Comercio Electrónico, hay que informar y promocionar datos para conseguir crear interés y desarrollar acciones encaminadas a generar confianza de Página 27 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
forma que los consumidores vayan modificado sus hábitos de consumo. De este Estudio se desprenden las barreras a la utilización por parte de los consumidores del canal de Internet.
6.3. RAZONES DE COMPRA POR INTERNET La comodidad y la existencia de mejores precios u ofertas son las principales razones que justifican la compra por Internet. Con una menor relevancia, señalan también la existencia de una mayor oferta de productos, la disponibilidad de los mismos y la rapidez de su obtención a través de este medio de adquisición. 58,90%
Comodidad 27,2%
Precio/promociones 18,1%
Mayor oferta/gama de productos 12,9%
Único medio disponible
10,4%
Rapidez 5,7%
Facilidad para comprar/ofertas
3,6%
Por probar
2,7%
Otras NS/NC
0,4% Estudio 2005 Fuente Red.es / AECE-FECEMD
Página 28 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
6.4. PRODUCTOS Y SERVICIOS MÁS COMPRADOS POR INTERNET En este gráfico se muestran los productos y servicios más comprados por los internautas. Los billetes de avión, tren y autobús son los productos más comprados en el 2005.
30,4%
Billetes avión, barco, autobús 14,0%
Electrónica 12,7%
Libros 10,9%
Ocio 6,6%
Música Reservas alojamientos Alimentación Software Hardware DVD
5,4% 5,3% 4,8% 4,5% 4,2%
Estudio 2005 Fuente Red.es / AECE-FECEMD
Página 29 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
6.5. RAZONES PARA NO COMPRAR EN INTERNET La mayoría de las demandas de los internautas en relación a lo que debería mejorar en las compras por Internet se relacionan con la seguridad para realizar los pagos. • Con menor fuerza reclaman mayor sencillez de los sitios de compra. • Hay un 25% de los internautas que consideran que el desarrollo actual de las compras por Internet es correcto y no necesitaría ningún cambio apreciable. 36,9%
Mayor Seguridad en los pagos 7,4%
Mas sencillo 5,4%
Mejor atención al cliente
5,1%
No pagar gastos de envío Más variedad de productos
3,7%
El control de los datos personales
3,6%
Precios más bajos Más garantías de devolución
3,4% 2,8% 24,2%
Nada, todo bien/sin problemas NS/NC
7,5%
Estudio 2005 Fuente Red.es / AECE-FECEMD
Página 30 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
7. USO DE INTERNET POR LOS MENORES 7.1. USO DE INTERNET POR PARTE DE LOS MENORES Los menores realizan un uso de Internet sustancialmente diferente al que realizan las personas mayores. Según un estudio realizado por el Defensor del Menor de la Comunidad de Madrid, un 66% de los menores concibe Internet como una herramienta de ocio; un 36% se conecta fundamentalmente para chatear; otro 17% para jugar; y, finalmente, otro 13% para buscar música13. Debe tenerse en cuenta que el porcentaje de menores de 18 años que se declaran usuarios de Internet es sólo del 25%, por lo que nos estamos refiriendo exclusivamente a la cuarta parte de la población menor de edad. Sin embargo, las estadísticas muestran que este porcentaje es creciente y la expectativa es que continúe creciendo. El mismo estudio nos indica que, en términos generales, hay un uso racional por parte de los menores. -
El 65% realiza un uso moderado de menos de 5 horas a la semana.
-
El 84% accede a Internet desde casa, que se puede considerar como la ubicación ideal.
-
7 de cada 10 menores usa un nick14 inventado que no facilita ninguna información sobre su identidad cuando participa en conversaciones de chat.
7.2. PELIGROS IDENTIFICADOS Pese a estos datos, el mencionado estudio sirvió para comprobar que existen riesgos significativos sobre los que la sociedad en general debe actuar en relación con la protección del menor. -
El 15% de los que se conectan habitualmente, superan las 10 horas semanales, lo que puede considerarse un uso abusivo para los menores. Este problema está acentuado en los menores de 15 a 17 años.
13
“Seguridad infantil y costumbres de los menores en Internet”. Estudio realizado por las asociaciones ACPI y Protégeles para el Defensor del Menor de la Comunidad de Madrid. 14 Un nickname, o abreviadamente nick, es un apodo que se utiliza en lugar del nombre real. Este apodo lo elige el usuario y es habitual que una persona utilice siempre el mismo nick, de manera que pasa a ser su forma de identificarse en internet ante otros usuarios. Página 31 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
-
El 11% de los menores que se conectan habitualmente a Internet está desarrollando características que ponen de manifiesto la posibilidad de sufrir lo que conocemos como Desorden de Adicción a Internet15. Entre el 28% y el 38% de menores acceden a contenidos inconvenientes o nocivos para su formación (contenidos pornográficos, especialmente violentos, racistas o xenófobos). El 86% de los menores navega sin sistema de filtrado alguno. El 18% de los menores visita chat de temática específica sexual. En estos chats es más fácil que se produzcan situaciones de abuso. El 40% e los menores ha facilitado datos personales a un desconocido. El 16% ha dado su dirección física a través de Internet y el 30% ha dado su teléfono a un desconocido. El 14% ha concertado citas a ciegas. De ellos, o El 70% fue solo. o El 50% no comentó con otras personas su intención de quedar con un extraño. o Una vez allí, - El 64% se encontró con una persona distinta a la que esperaba. El 14% se encontró con un adulto. - El 28% no encontró a nadie. - Sólo un 8 % se encontró con alguien que era como había dicho.
Atendiendo a estos datos, el porcentaje de usuarios que entra en los chats presentándose como quien realmente es, resulta ridículo con respecto al porcentaje de usuarios que miente sistemáticamente. El mismo estudio destaca los siguientes datos:
15
o
Algunos menores usuarios de las salas de chat reciben propuestas sexuales directas que pueden llegar al acoso. El 44% de los menores afirma haber sido víctima de una situación de este tipo. Este porcentaje se reduce al 15% entre los más pequeños y se eleva al 64% entre los más mayores.
o
El 55% de los menores no ha recibido ningún tipo de información sobre las normas básicas de seguridad que debiera respetar en su uso de Internet.
o
El 40% de los menores reconoce utilizar programas P2P16 para la descarga de música y películas, lo que les hace protagonistas de conductas habitualmente delictivas.
Se trata de un desorden de comportamiento generado por un tiempo de uso diario de Internet excesivo. Página 32 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
o
Un 23% de los menores afirma utilizar videojuegos por Internet en todas las conexiones que realiza, lo que puede considerarse claramente excesivo.
7.3. ACCIONES DE LA ADMINISTRACIÓN, LOS CUERPOS DE SEGURIDAD Y LA FAMILIA. Según un estudio de la Comisión Europea17 de diciembre de 2003, mientras que el 42% de los padres tienen establecidas normas para la utilización de televisión de sus hijos, sólo el 24% ha establecido reglas con respecto a Internet. Según el mismo estudio, menos de la mitad de los padres (47%) sienten que necesitan más información para poder educar a sus hijos en el uso seguro de Internet, aunque es interesante comprobar que dentro de los que declaran que sus hijos usan Internet, el porcentaje es algo mayor. Además del los peligros derivados del contacto con extraños a través de Internet, hay otros peligros identificados para los menores que usan Internet en relación con los contenidos a los que pueden acceder. Uno de los que se ha analizado con más profundidad es la apología de la bulimia y la anorexia que se realiza en determinadas páginas Web18. Diversas asociaciones y ONG´s realizan una labor de colaboración con las fuerzas de seguridad del estado para la prevención de la actividad criminal de explotación de menores en relación con Internet y, por tanto, de manera indirecta, para mejorar la seguridad del uso de Internet por los mismos. Existen páginas de denuncia donde los padres pueden reportar aquellas Webs cuyos contenidos sean perjudiciales para los menores, como la red de cibercentinelas19. Hay otros problemas relacionados con el uso de la tecnología por parte de los menores que preocupan a las administraciones y asociaciones de defensa del menor, como son los relacionados con la dependencia de la telefonía móvil y con el contenido violento o inapropiado de juegos de ordenador. Finalmente, cabe destacar que en algunas Comunidades Autónomas se ha creado la figura del Defensor del Menor. Éste es el caso de las Comunidades Autónomas de Madrid y Andalucía20.
16
Los programas P2P, o PeerToPeer, permite la conexión a redes de usuarios que intercambian directamente contenidos entre ellos en lugar de hacerlo a través de un servidor centralizado. Esta tecnología permite la difusión de contenidos con una celeridad mucho mayor que median el esquema de descargas centralizadas. 17 Estudio especial del eurobarómetro sobre contenidos ilegales y dañinos en Internet. “Illegal and harmful content on the Internet”, march 2004. Special Eurobarometer. Los datos se refieren a una encuesta de noviembre y diciembre de 2003. 18 La Web http://www.anaymia.com/ es una iniciativa de la ONG protégelos que ofrece información veraz y contrastada sobre estos temas para contrarrestar la acción perniciosa de gran cantidad de Webs que ofrecen información pro-bulimia y pro-anorexia. 19 Según un informe de la Brigada de Investigación Tecnológica de la Policía Nacional, durante el año 2003 se abrieron 62 expedientes relativos a un total de 374 individuos implicados como resultado de las informaciones facilitadas por las asociaciones ACPI y Protégeles. En el año 2004 el número de expedientes fue de 44, relativos a un total de 263 individuos implicados. 20
Defensor del Menor de la Comunidad de Madrid: http://www.dmenor-mad.es Página 33 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
8. RECOMENDACIONES PARA EL USO SEGURO DE INTERNET POR LOS MENORES Los padres deben tener en cuenta algunas normas básicas para poder estar tranquilos con respecto a los potenciales peligros que pueden afectar a sus hijos a través de Internet o por el mero hecho de usar la red. Estas normas son pautas de comportamiento que deben trasladar a sus hijos de forma que los menores sepan como comportarse en todo momento e identificar situaciones de riesgo en las que deben acudir a un adulto para pedir ayuda. Un resumen de los principios más básicos21 podría ser el siguiente: 1. Los padres deben establecer normas sobre el uso de Internet, en especial para los más pequeños, al igual que suele hacerse con el consumo de televisión. 2. Los menores no deben revelar nunca datos personales, como su nombre real, dirección o teléfono, cuando establezcan conversaciones con otras personas a través de la red. 3. Los menores no deben establecer citas con personas que sólo conocen por Internet o, en su caso, deben asistir acompañados por un adulto. 4. Los padres deben conocer el uso que sus hijos hacen de Internet e informarles de los peligros a los que pueden verse expuestos para que, en caso de darse alguna situación incómoda, el menor avise a sus padres.
5. Existen herramientas como los filtros de control parental, que
pueden ayudar a los padres a proteger a sus hijos cuando usan Internet.
Defensor del Menor del Pueblo Andaluz: http://www.defensordelmenor-and.es 21
El portal http://www.chaval.es ofrece amplia información actualizada sobre estas pautas de comportamiento y cómo los padres pueden enseñárselas a sus hijos. Este portal está promovido por la Entidad Pública Empresarial RED.ES, adscrita al Ministerio de Industria, Turismo y Comercio, y cuneta con el apoyo y la colaboración de muchas entidades, empresas y organismos relacionados con el mundo de los niños, como por ejemplo UNICEF, Save de Children o El Defensor del Menor de la Comunidad de Madrid, entre otros muchos. Página 34 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
9. MARCO Y NORMATIVO En este apartado se repasa el marco normativo actual y cómo se ha venido construyendo sobre la base del derecho a que toda persona pueda conocer y decidir sobre el uso que se hace de sus datos personales.
9.1. OCDE La Organización para la Cooperación y el Desarrollo es una organización internacional fundada en 1961 que establece principios rectores para la armonización normativa de los países que participan de ella, con el fin de maximizar el potencial de desarrollo económico. Sus actos y decisiones no son de aplicación directa sino que inspiran la acción normativa de sus miembros. En 1980, estableció ocho principios básicos para las políticas de privacidad: 1. Limitación en la recogida. Deben establecerse límites a la recogida de datos personales y dichos datos deben obtenerse por procedimientos justos y, cuando se requiera, con el conocimiento o consentimiento de la persona afectada. 2. Calidad de los datos. Los datos deben ser pertinentes para el objeto que motivo su recogida y, para dicho objeto, deben ser precisos y mantenerse actualizados. 3. Especificación del propósito. El motivo que justifica la recogida de datos debe especificarse de manera previa y el uso de los datos debe limitarse a dicho motivo. 4. Limitación de uso. En atención al principio de especificación del propósito, los datos no puede ser revelados o usados para otros propósitos salvo: a. consentimiento de la persona b. autorización expresa de ley. 5. Salvaguardas de seguridad. Los datos deben protegerse con medidas razonables de seguridad contra los riesgos de pérdida, destrucción, modificación o acceso, uso o revelación no autorizados.
Página 35 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
6. Transparencia. Debe mantenerse una política general de transparencia sobre los desarrollos, prácticas y políticas referentes a datos personales. Deben existir medios que permitan conocer de la existencia y naturaleza de recopilaciones de datos personales, su propósito y la identidad del responsable de dichos datos. 7. Participación de la persona. Las personas tienen derecho a: a. Conocer si se disponen de datos personales referentes a ella. b. Tener acceso a los datos de manera razonable, en condiciones de plazo y coste razonables, y en formato inteligible. c. Conocer los motivos por los que, en su caso, se deniegan los derechos anteriores y poder recurrirlos. d. Recurrir los datos que le afectan y, si procede, que sean eliminados, corregidos o completados. 8. Responsabilidad: el responsable de los datos debe tomar medidas para asegurar el cumplimiento de los principios anteriores.
Estos principios rectores de la OCDE han inspirado el desarrollo normativo en la mayoría de países.
9.2. EUROPA La Unión Europea ha desarrollado un marco legal para garantizar la libre circulación de datos personales en el mercado interior europeo. Igualmente ha llegado a un acuerdo para que la circulación de estos datos hacia terceros países respete el marco legal vigente, como el caso de la iniciativa safe harbour con Estados Unidos22. Pese a este enfoque mercantil del desarrollo legislativo de la materia, los derechos fundamentales de la persona en materia de privacidad están igualmente reconocidos en los pilares básicos del cuerpo normativo europeo. La convención europea de derechos humanos y libertades fundamentales de 1950 recoge el derecho a la privacidad. Desde entonces el proceso de conformación del marco normativo referente a estos derechos se ha ido construyendo y concretando paulatinamente. En 1981, el Consejo Europeo adoptó la convención 108 para la protección de individuos con respecto al procesamiento automático de datos personales.
22
El acuerdo en la Unión Europea y los Estados Unidos de América, conocido como safe harbour (puerto seguro) y aprobado en julio de 2000, minimiza el posible impacto comercial que las multinacionales americanas podrían tener en su acción comercial con la transferencia internacional de datos personales. El Departamento de Comercio de los Estados Unidos, ofrece un servicio a las empresas exportadoras para facilitar la tarea de cumplimiento de la normativa aplicable (http://www.export.gov/safeharbour) Página 36 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
La Directiva 95/46/CE es la referencia normativa de protección de estos derechos. Esta directiva creó el grupo de trabajo formado por las autoridades nacionales de protección de datos, conocido por Grupo de Trabajo del artículo 29, por ser éste el que declara su creación. La Directiva 97/66/EC sobre protección de la privacidad y el procesamiento de datos personales en el sector de las telecomunicaciones, concreta de manera específica la directiva 95/46/CE en su aplicación al sector de las redes y servicios de telecomunicaciones. Posteriormente, en 2002, la Directiva 2002/58/EC sobre el procesamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas, generaliza la directiva 97/66/EC para cualquier red de comunicaciones pública independientemente de la tecnología que emplee. Además aumenta el alcance de la protección y regulación más allá de la confidencialidad de las comunicaciones, a la información guardada en los terminales, el tráfico generado, la ubicación del usuario, los directorios públicos (listines) y la comunicaciones comerciales no deseadas. El Parlamento Europeo ha aprobado el pasado 15 de diciembre de 200523 una propuesta de directiva sobre la retención de datos procesados en relación con la provisión de servicios de comunicaciones electrónicas públicas con el fin de asegurar la protección de datos personales y, a su vez, la disponibilidad de datos de tráfico de comunicaciones para la lucha antiterrorismo24. Dos directivas completan el ámbito normativo de las comunicaciones y el comercio online. La directiva 1999/93/CE estableció el marco comunitario para la firma electrónica y la 2000/31/CE el referente al comercio electrónico y los servicios de la Sociedad Digital del Conocimiento. Por último, cabe reseñar que el texto de la Constitución Europea25, en su título IV, exige la existencia de una autoridad independiente en cada Estado que vele por el respeto a la privacidad de los datos de carácter personal. En su parte II, en la Carta de Derechos Fundamentales de la Unión, el artículo 68 establece el derecho de protección de los datos de carácter personal.
9.3. ESPAÑA Las principales referencias normativas en el marco jurídico español son las siguientes Constitución Española 23
artículos 10, derecho a la dignidad de la persona
La Comisión aprobó dicha propuesta previamente el 21-9-2005.
24
La polémica en este caso no viene exclusivamente por la vía del respecto a la privacidad de las comunicaciones personales sino también por el impacto que el sobrecoste de la captación y almacenamiento de estos datos causará a la industria de telecomunicaciones, que finalmente, acabará pagando el consumidor. 25
Pendiente de completar su proceso de ratificación por los Estados miembros. Página 37 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
artículo 18.4, límite al uso de la informática para el tratamiento de datos personales
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Esta Ley derogó la ley anterior de 1992 cuyo alcance se limitaba a los ficheros informáticos en línea con lo previsto en el artículo 18.4 de la CE.
Real Decreto 994/1999 de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad.
Ley 34/2002 de servicios de la Sociedad Digital del Conocimiento y de certificación electrónica.
Otras referencias normativas, como las recogidas en la Ley General de Telecomunicaciones, varios reales decretos, sentencias de la Audiencia Nacional y del Tribunal Constitucional, así como diversas instrucciones de la Agencia Española de Protección de Datos, vienen a concretar el marco de protección jurídica de los datos personales.
Diversas Comunidades Autónomas han creados sus propias autoridades independientes en la materia. Así lo han hecho la Comunidad de Madrid en el año 2001, la Comunidad de Cataluña en el año 2002 y, más recientemente, la Comunidad del País Vasco en el año 2004. A la vista de la actividad de la Agencia Español de Protección de Datos, se observa una creciente concienciación sobre la materia por parte de las empresas. Hasta enero de 2006 se han registrado un total 662.000 ficheros, el 22% de los cuales se registraron durante el año anterior. En 2004 el importe de las sanciones establecidas duplicó al del año anterior, alcanzando los 16 millones de euros. El presupuesto de gastos de la Agencia ese mismo año fue de 5,4 millones de euros26. En el análisis segmentado territorial de los datos de actividad de la agencia no se aprecia ningún sesgo especial en las provincias de Castilla y León, tanto en lo que respecta a los denunciantes, como a las empresas denunciadas. Con respecto al sector público, puede señalarse que en 2004 se tramitaron 28 expedientes sancionadores a la Administración Pública, de los que 4 corresponden a la administración autonómica y 8 a la local.
9.4. ESTADOS UNIDOS La cuarta enmienda de la Constitución americana aborda el derecho a la privacidad en relación con un razonable equilibrio con la seguridad que debe ofrecerse al ciudadano a través de acciones que garantice el cumplimiento de las leyes (acción policial).
26
Fuente: Estadísticas mensuales de actividad del Registro General de Protección de Datos (publicado en www.agpd.es en febrero de 2006) y Memoria de actividad de la APD 2004. Página 38 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
La norma de referencia en materia de protección de datos se promulgó en aprobó en 1974 y se conoce como Privacy Act. Esta ley fue influenciada por el informe HEW27, que establece la obligación del gobierno de minimizar el uso de la información personal, así como asegurar que se utiliza para los fines para los que ha sido recogida y que se mantiene precisa. En 1988, el Computer Matching and Privacy Protection Act delimitó los casos en los que pueden realizarse cruces de información entre las distintas administraciones y las condiciones en las que los mismos deben ejecutarse, así como los derecho derivados para los ciudadanos a este respecto.
9.5. LOS DERECHOS DE PROTECCIÓN DE LA PRIVACIDAD EN ESPAÑA La Ley Orgánica 15/1999 regula el derecho fundamental a la protección de datos de los ciudadanos españoles. Este derecho puede considerarse como una condición preventiva para la garantía de otras libertades y derechos fundamentales. En la práctica, la protección de datos personales se estructura de manera específica en los siguientes derechos: -
Derecho de información en la recogida de datos. Se trata del derecho a conocer de manera previa a la entrega de los datos personales a una empresa si estos van a ser incluidos en un fichero, así como la clase de tratamiento a la que van a ser sometidos y el uso que de los mismos se hará. Si los datos no son entregados directamente por el ciudadano sino que son recogidos de otras fuentes.
-
Derecho de consulta al registro general de protección de datos. Este registro general está gestionado por la Agencia Española de Protección de Datos y puede ser consultado por cualquier ciudadano para conocer los datos de los responsables de los ficheros de datos personales al efecto de poder ejercitar sus derechos de acceso, rectificación y cancelación de datos. Las consultas pueden realizarse a través de la Web de la Agencia www.agpd.es
-
Derecho de acceso. Este derecho permite conocer por parte del interesado el tipo de datos registrado, su origen, los destinatarios de los mismos, las posibles transferencias de datos a otros países y, en especial, el contenido en sí de los datos recogidos para controlar su exactitud. De esta forma, en caso de detectar imprecisiones en los datos o no estar de acuerdo en su tratamiento o usos, podrían ejercerse los derechos de rectificación o cancelación. Para ejercer el derecho de acceso, el ciudadano debe dirigirse al titular del fichero acreditando su identidad (mediante copia del DNI por ejemplo) y utilizando cualquier medio que permita acreditar el envío y la recepción de la solicitud. El responsable del fichero tiene que resolver sobre la pertinencia de la solicitud en el plazo
27
El informe HEW, del Health, Education and Welfare Department del gobierno de los Estados Unidos, estableció los requisitos de un sistema de garantías de la privacidad de los datos personales, en especial, en relación con su tratamiento informático. Página 39 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
máximo de un mes y hacer efectivo el acceso en los diez días siguientes. La Agencia ofrece en su Web28 formularios y modelos de escritos para el ejercicio eficaz de este derecho. -
28
Derecho de rectificación y cancelación u oposición. A la vista de los datos registrado en un fichero, el ciudadano puede solicitar la rectificación de los datos inexactos, la cancelación de los mismos si estos han sido registrados ilegalmente o su oposición justificada mediante motivos fundados al uso y tratamiento que se los da. Cabe destacar dos casos singulares:
En muchos ficheros de titularidad pública no puede ejercerse el derecho de oposición, como en el caso de los ficheros de la Hacienda Pública, la Seguridad Social, los ficheros policiales, etc.
Cuando la finalidad del fichero sea el uso con fines publicitarios o de prospección comercial, la mera solicitud por parte del interesado obliga al titular del fichero a excluir del tratamiento los datos del solicitante. En otros casos el titular tiene un plazo máximo de un mes para dar respuesta a la solicitud.
http://www.agpd.es ; en el apartado DENUNCIAS Y RECLAMACIONES según la edición de la Web de diciembre de 2005. Página 40 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
10. AUTORREGULACIÓN Las iniciativas de autorregulación han tenido un papel más preponderante en los Estados Unidos que en Europa. En este país la legislación carece del enfoque comprensivo que se ha otorgado en Europa, de manera que hay un desarrollo sectorial y las empresas han tomado un papel más activo en generar un sentimiento global y mantenido de confianza en el consumidor. El objetivo principal de estas iniciativas es minimizar el posible retraimiento de las compras, y en especial, en el sector on-line.
10.1. CONFIANZA ONLINE En España, la Asociación Española de Comercio Electrónico y Marketing Relacional29 (AECEM) creó en 1998 el Código de Protección de Datos Personales en Internet, mientras que la Asociación para la Autorregulación de la Comunicación Comercial30 (AUTOCONTROL) creó el Código Ético de Publicidad en Internet. Tras la aprobación de la Directiva 2000/31/CE de Comercio Electrónico y posterior elaboración del la Ley 34/2002 de Servicios de la Sociedad Digital del Conocimiento y de Comercio Electrónico, ambos códigos se fundieron en un sistema de autorregulación integral para la publicidad interactiva y el comercio electrónico bajo el nombre de confianza online. A esta iniciativa se han sumando un importante número de las asociaciones empresariales más relevantes de los sectores de comunicaciones comerciales y telecomunicaciones. Este sistema tiene como objetivo aumentar la confianza de los consumidores en el comercio electrónico y la publicidad interactiva. Ofrece a las empresas que se adhieren al mismo un código de comportamiento31 que muestra el compromiso ético con la sociedad, así como un instrumento de resolución extrajudicial de controversias, de gran utilidad para consumidores y empresas. El sello de confianza de este sistema permite identificar a las empresas y compañías que se han adherido a este sistema de autorregulación. Con él, el internauta puede saber que la Web e la que es usuario es un entorno seguro para realizar su actividad en la red y la empresa que está detrás tiene un comportamiento ético acorde con un exigente código deontológico.
29
http://www.aecem.org
30
http://www.aap.es
31
Código Ético de Comercio Electrónico y Publicidad Interactiva http://www.confianzaonline.org/codigoetico/codigoetico.php (edición Web de diciembre de 2005) Página 41 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
10.2. AGENCIA PARA LA CALIDAD DE INTERNET. Otra iniciativa es el sello de la Agencia para la Calidad de Internet. Esta asociación creada en octubre de 2002 tiene como principales fines la promoción y fomento de la autorregulación en Internet, así como la implementación de un sistema de certificación de calidad bajo su sello IQUA. Actualmente tiene cuatro socios:
o o o o
El Consejo Audiovisual de Cataluña El Consejo Audiovisual de Navarra El Consejo Audiovisual de Andorra La entidad pública empresarial RED.ES
La obtención del sello de calidad requiere de una auditoria de la Web solicitante de la adhesión a la asociación en la que se verifica que sus contenidos respetan el código deontológico de IQUA. Éste código de conducta se hace referencia a principios éticos fundamentales sobre los cuales la asociación entiende que debe soportarse el desarrollo de la Sociedad Digital del Conocimiento. Los principios básicos32 son:
o LEGALIDAD: los servicios ofrecidos deben estar sometidos a la legalidad vigente y los miembros adheridos se comprometen a no realizar ni estimular prácticas ilegales.
o HONRADEZ: los proveedores tendrán que establecer una relación comercial competente, transparente, comprensible y razonable con los usuarios. Por ejemplo, el nombre de dominio no debe presentar confusión con otros Websites de forma intencionada.
o REPONSABILIDAD: los proveedores son responsables de la información que ponen a disposición del público y de la adecuación de los contenidos al públicos a quien van dirigidos.
o CONDIFENCIALIDAD: todos los sujetos que actúan a través de Internet han de ser identificables, pero en su actividad ordinaria en la red, tienen derecho a preservar el anonimato. En este sentido deben ofrecerse garantía de respeto a la confidencialidad de la actividad del internauta e informar debidamente cuando se solicita su identificación.
o PROTECCIÓN DE LOS MENORES: la protección de lo menores supone rechazar la utilización de estos, especialmente con fines sexuales, y la cautela en la difusión de contenidos potencialmente nocivos para la infancia. 32
Según el formulario de verificación de páginas Web de los miembros adheridos a la Agencia para la Calidad de Internet. Página 42 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
o PROTECCIÓN DE LA DIGNIDAD HUMANA: el respeto a la dignidad humana implica tutelar la vida, impidiendo cualquier tipo de discriminación social, religiosa, étnica, cultura, política o sexual. Además de no aceptar ningún contenido con este tipo de discriminación, deben tenerse en cuenta los criterios de accesibilidad y cumplirlos en la medida de lo posible.
o PROTECCIÓN DEL ORDEN PÚBLICO: de acuerdo con el respeto a las leyes que regulan el orden público, Internet no ha de ser vehículo de mensajes que inciten al uso de la violencia o a la participación en actividades delictivas.
o PROTECCIÓN DE LA VIDAD PRIVADA: el respeto a los derechos y libertades fundamentales obliga a la tutela de la vida privada de los datos personales y del secreto epistolar.
o PROTECCIÓN DEL CONSUMIDOR EN EL MARCO DEL COMERCIO ELECTRÓNICO: las actividades comerciales tienen que respetar los principios de transparencia y honradez, y se han de someter a las normativas de protección del consumidor.
o DERECHO DE PROPIEDAD NTELECTUAL E INDUSTRIAL: hay que tutelar el derecho de los autores a sus creaciones intelectuales e industriales, de acuerdo con la normativa vigente. En este sentido, no debe publicarse información sujeta a derechos de propiedad intelectual sin permiso expreso del autor ni incitar a lo respetar el derecho a la propiedad intelectual. Al ser los contenidos Web un producto vivo y cambiante en el tiempo, el sello se concede por periodos de un año tras los cuales debe renovarse mediante la correspondiente revisión. Las Web portadoras del sello pueden estar sometidas a auditorias aleatorias, o bien, a quejas o demandas de usuarios o asociados que identifiquen prácticas no conformes al código de conducta. A fecha 31 de Diciembre de 2004 esta agencia había entregado 354 sellos de calidad IQ, de los cuales, más de la mitad se habían concedido en los últimos 12 meses. Durante el mismo periodo, la agencia retiró el sello de calidad a tres páginas Web.
10.3. CONTENIDOS PARA MÓVILES La complejidad de asegurar la accesibilidad de contenidos cuando se accede desde dispositivos móviles se incremente geométricamente junto con el parque de terminales distintos. Las empresas de certificación de contenidos móviles, como SEGALA33 (cuya actividad a primeros de 2006 aún es incipiente) permiten asegurar que la experiencia del usuario es positiva para un portal determinado para una amplia base de terminales. SEGALA es una empresa que ofrece servicios de autoridad de certificación para terceros en materia de accesibilidad Web y de contenidos móviles. Los usuarios de este tipo de 33
http://www.segala.com Página 43 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
servicios esperan que sus Websites destaquen entre otras en los portales y buscadores gracias a tener el valor añadido de una certificación. Por una parte, facilita a los generadores de contenido el cumplimiento de toda la normativa nacional y específica de cada uno de los mercados a los que se dirige; y por otra, permite a los buscadores y de navegadores que tengan en cuenta esta certificación, ofrecer a sus usuarios la posibilidad de limitarse a contenidos certificados.
10.4. OTRAS INICIATIVAS Según el estudio de comercio electrónico B2C de RED.ES, uno de cada tres usuarios de Internet, manifiestan conocer algún sello de calidad o de confianza de Internet.
¿Ha oído hablar de los sellos de calidad o marcas de confianza de internet?
33,9% SI
35,2%
Estudio 2005 Estudio 2004 64,3% NO
63,1%
1,8% NS/NC
1,7%
Estudio 2005 Fuente Red.es / AECE-
Página 44 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
El proyecto Quatro34 agrupa a diversas asociaciones y entidades europeas (como la propia Agencia para la Calidad de Internet) en el objetivo común de facilitar la garantía de calidad mediante la descripción de contenidos. Para ello los participantes del proyecto han acordado un vocabulario común a emplear en la descripción de contenidos. En materia de autorregulación, la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece la posibilidad de crear códigos tipo de conducta que, mediante acuerdo sectorial, convenio administrativo o decisión empresarial, recojan las buenas prácticas en la aplicación de los principios y garantís de protección de datos de carácter personal. Estos códigos deben registrarse en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos35. Otros códigos de responsabilidad social corporativa, como la norma SGE21:2005 de Forética, hacen referencia en alguno de sus apartados a la seguridad de la información de los clientes pero sin entrar en detalles al respecto de la privacidad36.
34
http://www.quiatro-project.org
35
A fecha de 31 de enero de 2006, sólo 11 códigos tipo se recogen en el mencionado registro.
36
Apartado 6.2.g de la norma SGE21:2005 http://www.foretica.es Página 45 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIÓN
11. REFERENCIAS 1. Agencia de protección de datos de la Comunidad de Madrid. http://www.madrid.org/apdcm 2. Agencia Catalana de protección de datos. http://www.apdcat.net 3. Agencia Española de protección de datos. http://www.agpd.es. 4. Centre for Democracy and Technology. http://www.cdt.org/. Estados Unidos. Noticias y artículos sobre democracia y privacidad del consumidor. Estudios sobre SPAM y SPYWARE 5. e-privacy Directive 2002/58/EC.Directiva UE 6. general data protection directive 95/46/EC.Directiva UE 7. First report on the implementation of the Data Protection Directive.. 8. Future bottlenecks in the information society. http://www.jrc.es/FutureBottlenecksStudy.pdf. Institute for Prospective Technological Studies (Joint Research Centre UE) 9. Privacy Issues on the Internet. Proceedings of the 35th Hawaii International Conference on System Sciences 2002 10. Preserving Security and Privacy. IEEE Internet Computing July-August 2004 11. Estudio sobre comercio electrónico B2C..2005 12. Safe Harbour Policy US Department of Commerce. http://www.export.gov/safeharbour 13. Memoria Anual de la Agencia Española de Protección de Datos 2004. http://www.agpd.es. 14. Guía del derecho fundamental a la protección de datos personales. http://www.agpd.es.documento divulgativo 15. Recomendaciones para el uso de Internet por los menores. http://www.aeped.es/comunicado/decalogo.htm 16. Protegeles.com. http://www.protegeles.com 17. Illegal and harmful content on the Internet. Special Eurobarometer 18. Seguridad infantil y costumbres de los menores en Internet. http://protegeles.com/Internet.doc. Estudio del Defensor del Menor de la Comunidad de Madrid 19. Denuncia de contenidos ilícitos. http://www.cibercentinelas.org. ACPI Página 46 de 47
PRIVACIDAD EN LA SOCIEDAD DE LA INFORMACIร N
Pรกgina 47 de 47