1. Privacidaden internet
Recomendaciones básicas para proteger datos personales
1. Política de privacidad
Antes de introducir cualquier dato personal en internet, asegúrese de que la web o
servicio que está usando dispone de política de privacidad (normalmente, un enlace
ubicado en la parte inferior de la página)
2. Información personal
Si considera que la información personal que se le exige es irrelevante para el servicio
ofrecido, no acepte las condiciones. Cuando un servicio es gratuito, el producto es el
usuario).
3. Seguridad
La transferencia de datos financieros a través de internet se debe realizar a través de
servidores seguros. No hay que fiarse de los mensajes de correo electrónico de emisores
que se hacen pasar por bancos o empresas. Se trata de una estafa conocida como
“phishing”.
4. Foros, chats y blogs
El rastro que los textos dejan en estos sitios se puede asociar con su identidad real a
través de los motores de búsqueda. Cuando participe en este tipo de páginas use una
cuenta de creada únicamente con este fin, sin ninguna vinculación con sus datos
identificativos reales.
5. Contraseñas
Administre sus contraseñas de un modo responsable e inteligente. No use siempre la
misma. Tampoco use la misma contraseña en internet que utiliza para el PIN de su
tarjeta de crédito. Escoja contraseñas complejas, combinando aleatoriamente letras y
números.
¿Cómo puedo proteger mi información personal?
Usa controles de privacidad.
Protege tu información personal.
Piensa bien antes de publicar algo.
No pierdas de vista tu reputación digital.
¿CÓMO PROTEGER LA INFORMACIÓN EN INTERNET?
Partiendo por la premisa de que la preocupación por la Seguridad Informática de las
personas es algo perceptible y medible, se hace necesario comprender los diversos
factores que pueden comprometer la privacidad de una persona en Internet. Del mismo
modo, es fundamental conocer qué tecnologías permiten mitigar el impacto de esta
problemática. En esta línea, la siguiente tabla expone los distintos factores que pueden
comprometer la privacidad del usuario. También se enumeran de forma resumida, las
tecnologías y medidas de protección que se pueden adoptar para reducir tal impacto
2. Buscadores privacidad
Entre los buscadores que no guardan el IP de las consultas de los usuarios, podemos
destacar:
Ixquick
NoTrax es un navegador de Internet diseñado para no dejar trazas de la
navegación en el PC local donde se utiliza, no escribe en el registro, borra de
forma segura las cookies, cachés y ficheros temporales que utiliza (los cifra con
blowfich porsi se cuelga), no ejecuta Spyware, JavaScript or ActiveX y soporta
SSL en un único exe.
DuckDuckGo
Startpage permite combinar los resultados de google con la protección de la
privacidad de Ixquick, el motor de búsqueda con el máximo nivel de privacidad
del mundo.
Cuando se realiza una búsqueda con Startpage, eliminamos toda la información que
pueda permitir su identificación de la consulta y la enviamos de manera anónima a
Google. Obtenemos los resultados y se los reenviamos a usted con total privacidad.
Su dirección IP nunca queda grabada, su visita no queda registrada y no se colocan
cookies de seguimiento en su explorador.
3. Herramientas de la privacidad
HTTPS
HTTPS EVERYWHERE
TOR PROJECT
NAVEGACIÓN INCÓGNITO
ORBOT,ORWEB Y PROXYMOB EN DISPOSITIVOS MOVILES
HTTPS EVERYWHERE
https://www.eff.org/https-everywhere
HTTPS Everywhere es un plugin para los navegadores Firefox y Chrome que se
encarga de utilizar comunicaciones cifradas con las páginas web que visitas, dejándote
un alto nivel de defensa contra posibles interceptaciones.
En el caso que la página web no soporte comunicaciones cifradas o las soporte sólo en
parte, el plugin no podrá cifrar la comunicación y el envío y la recepción de datos será
vulnerable a interceptaciones.
Esta es una extensión para el navegador de Firefox y más recientemente también
se utiliza en Google Chrome
Consiste en forzar una navegación con el protocolo HTTPS aún cuando haya
páginas que no lo tengan por defecto.
Para obtenerla sólo se requiere tener estos navegadores instalados y buscar en las
opciones como extensión.
Protege de páginas con bajo nivel de seguridad
Configurar redes sociales de forma segura con Privacy Fix
Privacy Fix es un plugin disponible para chrome y firefox que nos avisa de posibles
opciones de privacidad y seguridad que podrían no estar configuradas correctamente en
nuestros perfiles de google + y facebook
La información que proporciona es:
Situación del perfil: Si está indexado en google o si el perfil se comparte
automáticamente
Publicaciones y me gusta: nos informa de quienes pueden ver nuestras
publicaciones, si la revisión de etiquetas está habilitada, si los widgets de la red
social pueden hacer un seguimiento en otros sitios, si se usan los "me gusta"
para publicidad
4. Navegación en modo seguro
Permite borrar la cache del navegador al cerrar la sesión
Deshabilita la caché a nivel de disco, dejando habilitado solamente la caché a
nivel de memoria del navegador.
TorBrowser se considera navegación en modo privado + VPN
PrivAware
Herramienta que permite medir los riesgos de privacidad y sugiere acciones para evitar
exponernos a dichos riesgos
Bloquear cookies
Disconnect y ShareMeNot son extensiones del navegador para no permitir la interacción
con los proveedores de servicios como google y facebook a menos que el usuario lo
haga de forma explícita.
Collusion es una herramienta para visualizar y bloquear las cookies ,en concreto,
cookies de terceros establecidos por los sitios que suelen ser las redes de anuncios de
seguimiento.
Firefox extension: PrivaCookie
http://icapeople.epfl.ch/freudiger
Proof of concept code
Compare original URL with current URL
Local cookie table
Link cookies with hidden server that caused its assignment and visible server
hosting ads( Cookie, visible server, hidden server )
Navegar con Tor Browser Bundle
https://www.torproject.org/projects/torbrowser.html.en
Tor es un sistema que anonimiza tus comunicaciones, haciendo rebotar los datos de la
comunicación entre diferentes nodos de la red Tor, que están distribuidos por todo el
mundo.
Tor Browser Bundle es un navegador (basado en Firefox) que te permite utilizar Tor sin
tener que instalar o configurar nada.
5. TOR
The Onion Router Project, major conocido como TOR.
Es un navegador anónimo que protege contra análisis de tráfico.
Al instalar TOR en tu equipo, cuando empieces a navegar éste te proveerá un
número de IP que no es el de tu equipo y así evitar que seas identificado.
También es muy útil para trabajar páginas web sin que se conozca su origen.
Para descargar: www.torproject.org
TOR esconde tu IP y te provee de la IP de un servidor proxy que sirve como
intermediario entre tu navegador y el servidor del sitio que buscas.
Navegación anónima
Puedes cambiar varias veces de IP para dificultar cualquier intento de identificación
Desventajas
Como la navegación está intermediada por servidores proxy, las páginas bajan más
lentamente que de costumbre. Tampoco puedes ver videos en YouTube
Tor project para móviles
La navegación anónima también es posible en equipos móviles.
Las versiones del Tor Project para móviles son Orbot, Orweb, ProxyMob y
Gibberbot. Protegen el anonimato, y conversaciones instantáneas.
La versión de Tor Project para móvil está disponible en la Tienda de Android y
puede descargarse como otra aplicación. Es recomendable asegurarse de tener
espacio en la memoria para instalar y ejecutar.
6. Anonimizar los ficheros
https://mat.boum.org
La mayoría de los ficheros multimedia (ficheros audio, vídeo, pdf, documentos, ...)
contienen muchos datos “escondidos” que podrían ayudar a identificar a quién creó,
modificó o utilizó el fichero. Por ejemplo, las fotos y los vídeos suelen contener la
información del modelo de cámara utilizado y la posición GPS. Para eliminar estas
informaciones existen diferentes herramientas que limpian los ficheros de manera muy
sencilla. En sistemas GNU/Linux aconsejamos Metadata Anonymisation Toolkit
Chatear con Pidgin y OTR
La mayoría de las mensajería instantáneas (Skype, GTalk, Facebook Chat, Yahoo!
Messenger, etc..) protegen las conversaciones con el cifrado SSL (o TSL) poniendo más
difícil a los compañeros de piso o a un colega leer tus conversaciones.
En estos tipos de mensajerías tu privacidad se queda en mano de las empresas, que con
toda probabilidad colaborarán con las autoridades para poderte interceptar y
identificarte.
En alternativa a estos servicios comerciales, aconsejamos los servidores
autogestionados de A/I [1] y Riseup [2] ofrecen a sus usuarios el servicio de mensajería
instantánea Jabber (XMPP) que, combinado con el sistema de cifrado OTR [3], nos
proporciona un alto nivel de seguridad contra las interceptaciones.
[1]http://www.autistici.org/es/stuff/man_jabber/index.html
[2] https://help.riseup.net/en/otr
[3] http://www.cypherpunks.ca/otr/
Borrar ficheros con Windows: eraser
Eraser es una herramienta para Windows que permite borrar con seguridad los ficheros
guardados en Windows y en otros dispositivos, rescribiendo encima de ellos más veces.
Para más información puedes visitar su página oficial [1] o este articulo en castellano
[2].
[1] http://eraser.heidi.ie
[2] https://securityinabox.org/es/eraser_principal
7. Ghostery
Ghostery permite analizar si la página web que se está visitando contiene algún tipo de
rastreador, lo que le permitirá controlar la forma en la que se realiza el seguimiento de
los datos del usuario.
Cuando Ghostery detecta rastreadores en una página que está visitando, le mostrará las
empresas que operan esos elementos en un cuadro de color morado situado en la
esquina superior derecha de la pantalla
El plugin detecta este tipo de situaciones e informa al usuario que acción quiere realizar
cuando encuentra un rastreador.
8. Con Chrome también es posible borrar los datos de navegación accediendo a la
siguiente url de configuración
chrome://settings/clearBrowserData
Otra característica interesante de Chrome es que permite la navegación en modo
incógnito ,de forma que las páginas visitadas en dicho modo no se guardarán en el
historial ni almacenarán cookies del usuario.
9. DuckDuckgo
https://duckduckgo.com/
https://chrome.google.com/webstore/detail/duckduckgo-for-
chrome/bpphkkgodbfncbcpgopijlfakfgmclao
http://www.emezeta.com/articulos/duckduckgo-guia-buscador-alternativo
1. Privacidad
El aspecto más destacable de DuckDuckGo es como se preocupa por garantizar al
usuario que los datos introducidos no serán guardados ni utilizados salvo para el
objetivo que el usuario quería: realizar una búsqueda.
La privacidad siempre ha sido uno de los temas más polémicos de Internet. Cuando
hablamos de datos personales, es muy importante tener en cuenta que Google y
Microsoft son empresas privadas que guardan y usan esos datos.
2. Bangs
Una de las características más interesantes de DuckDuckGo es su fuerte integración
con cientos de sistemas que le proporcionan información. Una de estas características es
la posibilidad de utilizar buscadores externos directamente, simplemente añadiendo a la
búsqueda un signo de exclamación seguido del motor de búsqueda que quieras utilizar
Algunos ejemplos de los motores de búsqueda externos que se pueden utilizar:
10. Ventajas
● No tiene recarga publicitaria
● Menos resultados pero más relevantes
● Cuenta con búsqueda por imágenes y videos
● Las búsquedas son anónimas
● Permite personalizar la interfaz
● No tiene historial de búsquedas
● Tiene comandos llamados IBangs que ayudan a enlazar con otros sistemas,
donde siempre se inicia con una “I” y se añade la abreviatura del sistema, más la
información que queremos buscar.
● Permite adaptarse según el navegador que estemos usando
Desventajas
● No tiene filtros para la búsqueda como fecha o idioma
● No ofrece búsqueda por blogs o noticias.
● No tiene la opción de búsqueda avanzada.
11. Escucha o rastreo de puertos (scanning)
Por una serie de programas es posible analizar el estado de puertos de una máquina
conectada a una red
Detecta si un puerto está abierto, cerrado o protegido estos programas se utilizan
para analizar los problemas de seguridad.
Pero también se utilizan con el fin de amenazar la integridad del ordenador o de
la red.
Existen diversos tipos de programas de escucha de puertos de red como Nmap
Husmear (sniffing)
Estos programas (sniffers) que observan los paquetes de datos pueden ser colocados en
una estación de trabajo conectada a la red con un equipo router (pasarela) o puerta de
enlace (gateway).
Cada máquina conectada a la red tiene una única dirección y verifica la
dirección del estilo del paquete.
Los snnifers actúan sobre la tarjeta de red del computador desactivando el filtro
que verifica las direcciones. Por ejemplo números de tarjetas de cerdito y correo
electrónico.
En los mensajes de correo electrónico puedes efectuar una copia y luego hacer
un análisis de la información capturada.
Cookies
Son unos archivos que almacenan información sobre un usuario y se usan para
identificar al usuario de modo que pueda ser reconocido .
Esta información es un ataque a la privacidad ya que la información contiene la
identificación del ordenador y del usuario.
La cookie puede tener un listado que incluya la última vez que se visitó una Web
, las páginas que se descargaron y cuánto tiempo permaneció.
Las cookies pueden ser los principales ataques de los piratas informáticos.
El software que trasmite información de las cookies sin que el usuario se percate
de ella es una forma de spyware.
12. Software de espionaje
Se utiliza para referirse a diversos tipos de programa que rastrean las actividades de un
ordenador y las envía a otra persona.
Algunos tipos de software al ser instalado y registrado pide al usuario que
rellene un formulario, luego envía esta información al suministrador del
software. Este tipo de software es legal
Es frecuente que el software de espionaje este instalado en un ordenador en la
que un pirata obtenga información sin consentimiento del usuario
Phishing
Tipo de delito que se comete al obtener de forma fraudulenta información confidencial.
Los trucos más usados son:
Escribir de manera incorrecta las URL
Empleo de subdominios: Se camuflan enlaces utilizando direcciones que
contengas el carácter @ para posteriormente, preguntar el nombre del usuario y
contraseña
Alterar la barra de direcciones: Este cambio se realiza poniendo una imagen de
la URL sobre la barra de direcciones ,o bien cerrando la barra de direcciones
original y abriendo una nueva que contiene la URL del usuario.
Utilización del propio código del programa de la entidad o servicio suplantado:
Esta amenaza es especialmente peligrosa , ya que emplaza al usuario a iniciar
una sesión en la propia página o entidad , donde la URL y los certificados de
seguridad parecen correctos .
Existen varias técnicas con las que podemos combatir el phishing:
Activación de una alerta para acceder a paginas sospechosas de phishing
Utilización de programas antiphishing
Utilización de filtros de spam
La introducción de preguntas secretas en la que se pide información del usuario
Añadir herramientas de verificación que permiten a los usuarios ver imágenes
secretas que han seleccionado y sino aparecen es que no es seguro
13. DoS(Denegación al Servicio)
Es el ataque sufrido por una red de ordenadores que inutiliza a sus usuarios. Algunos de
los ataques son:
Desactivación o saturación de los recursos del sistema
Bloqueo por esperas en las respuestas
Saturación del sistema por exceso de conexiones
Bloqueo por repetición de peticiones solicitando establecer una conexión
Bloqueo por errores en los protocolos para conseguir una red inestable
E-mail bombing
DDoS(Denegación de Servicio Distribuido)
Es un tipo de DoS en el que un equipo servidor es víctima de un ataque de un conjunto
de equipos.
El ataque proviene de distintas partes del mundo
Se produce en oleadas sucesivas
Consumen todo el ancho de banda del servidor atacado y así desbordan su
capacidad de procesamiento.
Robo de identidad
Se produce cuando una persona realiza una suplantación con el objetivo de realizar un
fraude o tareas de espionaje .
– IP: Sustituye la dirección de IP legal.
» Las respuestas del dispositivo de red (host) que reciba los
paquetes irán redirigidas a la IP falsificada.
– DNS: Falsea la relación existente entre el nombre y el dominio (DNS) y
la dirección IP.
– Web: Suplanta a una página Web real.
» Dirige la conexión de una víctima a través de una página falsa
hacia otras páginas Web, con el objetivo de obtener información
de dicha víctima.
– Mail: Suplanta la dirección de correo electrónico de otras personas o
identidades.
» Para protegerse , se debe comprobar que la dirección IP del
remitente y la dirección del servidor SMTP utilizado pertenece a
la entidad que figura en el mensaje.
14. HUSHMAIL
HUSHMAIL es un servicio de correo que tiene como función utilizar la
criptografía para los mensajes entre usuarios.
Este sistema nos provee de un formulario que nos indica la fortaleza de la
contraseña que ingresamos para crear la cuenta.
HUSHMAIL codifica los mensajes entre usuarios. También puedes codificar
mensajes para usuarios de otros servicios de correo electrónico a través de una
pregunta y respuesta secreta para decodificar el mensaje.
Crear cuenta
Accedemos a www.hushmail.com
Ingresamos nombre para usuario y en la contraseña será riguroso.
Es preferible crear esta cuenta utilizando el protocolo HTTPS y sin que nadie pueda
observar nuestras contraseña. La fuerza de la contraseña está en mezclar minúsculas,
mayúsculas, números y símbolos.
Mensaje secreto
Con HUSHMAIL elaboramos un correo común, pero a este le agregamos una pregunta
y respuesta secreta solamente conocidos por el receptor del mensaje. La protección de
HUSHMAIL está en codificar los mensajes para evitar robo de información en caso de
crackeo de cuentas.
Protector de chat
Gibberbot es otra aplicación disponible como parte del Tor Project.
Su función es cifrar los mensajes intercambiados por mensajería instantánea a
través de teléfonos inteligentes o tabletas.
Gibberbot evita el monitoreo de estas redes de chat por parte de los proveedores
del servicio de internet o de intrusos.
Posee una autenticación “Off The Record” que asegura la identidad de quienes
conversan.
15. Privacy-as-a-Service
PaaS: Architecture, Model and Algorithm
The service consists of the following eight components:
1. a Security Assistant (SA) that ensures that access to the information in the
PaaS server strictly follows the rules in the Security Policies repository;
2. a set of security rules that store the social utility's reference information,
their associated credentials, a list of the information that the utility can retrieve;
3. a directory of privacy principals, e.g., users;
4. a graph of relationships between principals;
5. a collection of data schemas shared between principals, e.g., profile data;
6. a collection of privacy index algorithms that can return the privacy index of a user for
any piece of data that the user is trying to view or expose. We will explain the concept
of a privacy index in the next few subsections;
7. a collection of privacy models that contain the means for users to make elections
between other users in their graphs (based on relationships, e.g., friend, friend of
friends, networks, and so on) as well as a specific privacy algorithm to be used;
8. a collection of Web APIs exposing the main functions of the privacy system such that
it can be remotely invoked and incorporated (in a secure manner) into existing systems
that do not have privacy concerns realized or solved.
16. Model
First, we define a model for an arbitrary social network, which we assume is a set of
interconnected entities and containers. Entities are the primary artifacts of a social
network, i.e., users, and containers are special structures formed around these entities to
foster a community, activity, or for greater purposes, e.g., a social network applications,
groups, and networks. We assume that entities may opt to be members of containers and
that entities interact with other entities and with containers.
Privacy Algorithm
The privacy index (or the privacy risk score) of a user quantifies the user’s privacy risk
caused by his privacy settings.
The basic premises of the definition of privacy risk are the following: 1) the more
sensitive information a user reveals, the higher his privacy risk, and 2) the more people
know some piece of information about a user, the higher his privacy risk.
The Privacy Risk Score
What is it?
It is a credit-score-like indicator to measure the potential privacy risks of
online social-networking users.
Why is the Privacy Risk Score (PRS) Useful?
It aims to boost public awareness of privacy, and to reduce the cognitive
burden on end-users in managing their privacy settings.
Active monitoring of privacy state, e.g., a PrivacyOmeter
Privacy Risk Monitoring & Early Detection system
Comparison with the rest of population and or with other populations
Privacy Recommendation & Propagation
Help sociologists to study online behaviors, information propagation, etc.
How is Privacy Score Calculated?
Sensitivity: The more sensitive the information revealed by a user, the higher
his privacy risk.
Visibility: The wider the information about a user spreads, the higher his
privacy risk.
Group Invariance: Privacy risk scores calculated within different social
networks are comparable.
Model fitness: The mathematical model used to compute the scores fit the
observed data well