Ya hace 14 años que la Comisión Europea designó el 28 de enero como el día europeo de la protección de datos, con el objetivo de promover, concienciar e informar sobre los derechos y obligaciones que tienen los usuarios sobre sus datos personales en internet.
Se eligió este día porque coincide con la firma que realizó la Convención 108 (Convención de protección de datos) del Consejo de Europa, donde se aprobó la protección de las personas con respecto al procesamiento automatizado de los datos personales. Se celebra a nivel mundial y se conoce como el “Data Protection Day”.
Desde el grupo de seguridad del inLab FIB (esCERT) queremos aportar nuestro grano de arena ofreciendo una serie de consejos (buenas prácticas), información sobre actividades programadas para este día, y lecturas recomendables.
Buenas prácticas:
Para que no haya ninguna duda sobre qué se considera un dato personal, dejamos la definición que nos da el reglamento general de protección de datos (RGPD) del parlamento europeo:
Datos personales: toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. El nuevo reglamento contempla también otros tipos de identificadores como son los identificadores en línea facilitados por los dispositivos personales, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia.
1) ¿A quién cedo mis datos?
Cualquier aplicación o página web que pretenda recopilar algún dato que pueda identificarse como personal, , bien sea con formularios (Nombre, apellidos, DNI…) o de forma transparente (localización, IP, cookies…) debe explicar los motivos por los que necesita ese dato, que uso le va a dar y pedir explícitamente permiso para recopilarlo y usarlo. Por tanto, recomendamos:
- Desconfiad de aplicaciones o webs donde te pidan datos y no haya una petición explicita de consentimiento.
- Revisad con cierta frecuencia las aplicaciones a las que habéis dado permiso, por si los términos y condiciones de uso de vuestros datos han cambiado. Tienen la obligación de avisar en caso de que realicen cambios, pero a veces ignoramos esos mensajes. Es importante tenerlos en cuenta y sobre todo, en caso de no haber recibido mensaje de aviso de cambio de condiciones, si estas se han producido, se puede poner denuncia a la agencia de protección de datos correspondiente (APDCAT o AEPD).
- En la información que ofrecen sobre el uso, han de indicar también la forma de darse de baja en caso de que en algún momento quieras hacerlo.
Debido a que estas medidas son obligatorias desde que entró en vigor el RGPD, veréis que la mayoría de aplicaciones y webs os informan y solicitan vuestro consentimiento, es importante que lo leáis y no deis rápidamente al OK (Acepto las condiciones):
SI en lugar de dar el OK, pulsáis “Mas información”, podréis elegir si les dais acceso a los datos que piden o no, generalmente saldrá algo como esto:
2)¿Cómo evitar el robo de mis datos?
El robo de datos se puede producir de muchas maneras pero el más frecuente es el que conocemos como “Phishing”, engañar al usuario para conseguir sus credenciales y otros datos, con el consiguiente peligro del mal uso de los mismos. Según el último informe de APWG “Phishing Activity Trends Report, 3rd Quarter 2019”, el número de ataques de phishing aumentó en el tercer trimestre de 2019, a un nivel que no se alcanzaba desde finales de 2016. Las formas más habituales de realizar estos robos son:
- Inyectando un programa malicioso (malware) en el ordenador o dispositivo móvil de la víctima que capture las teclas pulsadas por el usuario (key-logger) para identificar nombres de usuario y contraseñas, y enviarlas al centro de control que las recopila.
- Enviando a la víctima a una página web falsa (con apariencia de la web cuyo acceso se quiere robar) en la que se le solicitan las credenciales de acceso (identificador y contraseña) y en algunos casos otros datos personales.
- También se realiza de forma más selectiva mediante llamadas telefónicas o correos electrónicos, por ejemplo, que llamen haciéndose pasar por alguien de soporte de Microsoft o alguien de tu oficina bancaria.
Los consejos que se han de seguir para evitar este tipo de ataques quedan muy bien reflejados en la infografía que nos ofrece APWG:
3) ¿Cómo proteger mis datos?
Dos son los puntos clave en cuanto a protección de los datos que todos debemos tener siempre en cuenta:
- ¿Cómo están protegidos mis datos?: Dónde y cómo guardamos nuestros datos de acceso (usuarios, contraseñas, certificados..) a los diferentes servicios y aplicaciones a las que podemos acceder identificándonos con ellos. ¿Les decimos a la aplicación que los recuerde?, ¿los apuntamos en un papel o en un fichero de texto?. Para proteger correctamente nuestros datos de accesos sólo hay que seguir 4 normas básicas:
- Las contraseñas han de ser seguras, mínimo de 10 caracteres, no usar datos personales para la contraseña, puede ser tan larga como quieras, cuanto más larga sea menos probabilidades de que la puedan acertar.
- No utilizar nunca las mismas contraseñas para diferentes servicios o aplicaciones.
- Intentar usar siempre segundo factor de autenticación en aquellos servicios o aplicaciones que lo implementan.
- Utilizar un gestor de contraseñas para guardar las contraseñas, estos gestores guardan toda la información relacionada con la cuenta (login, nombre de la aplicación, contraseña…). La ventaja de usarlos es que sólo has de memorizar una contraseña, la del gestor. Algunos gestores que os recomendamos:
- ¿Si los pierdo, puedo recuperarlos?: Los buenos gestores de contraseñas sólo permiten recuperarlas a través de copias de seguridad de los datos personales de acceso a las aplicaciones. Por tanto, debemos hacerlas con frecuencia. Estas copias han de estar en dispositivos externos o en almacenamiento en la nube y han de estar protegidas (cifradas o con contraseñas) para evitar accesos ilegítimos a ellos en caso de robo.
Conferencias y actividades programadas con motivo de la celebración de este día:
- Desde la NCSA (National Cyber Security Alliance) habrá un evento online y de libre Acceso, no es necesario registrase:
- La agencia de protección de datos de Catalunya:
