Identidad digital

Actualidad y futuro de la Identidad Digital

27 noviembre, 2018 by a.h. 1 Comment

Tras semanas escribiendo en este blog sobre la identidad digital, sus riesgos, los controles que implantar y hasta noticias de actualidad, ha llegado el día en el que escribo este, mi último post. Para la ocasión he elegido varios temas con los que me gustaría terminar que iré desglosando poco a poco.

En el mundo físico cuando nos comunicamos con un interlocutor tenemos evidencias de quién es la persona como puede ser la voz o el aspecto físico del individuo. Cuando la comunicación es escrita se usa el concepto de “firma” para reconocer al emisor del mensaje. ¿Pero qué pasa cuando el medio es el más abierto y menos confiado del Mundo? Sí, estoy hablando de Internet. Sorprendentemente la solución es usar el concepto que acabo de mencionar pero en la era digital, es decir, “firma digital”. Esta tecnología se lleva usando décadas con la finalidad de proteger mensajes de carácter sensible como en la Guerra Fría. Pero la noción de la tecnología de clave pública permite una identificación y autenticación económica de mensajes y personas en la red. Las firmas digitales usan una infraestructura de clave pública (PKI) en la que las autoridades de certificación actúan como terceros de confianza para tanto identificarte como autenticarte [1]. [Read more…]

Controles y auditoría en la identidad digital

25 noviembre, 2018 by a.h. 2 Comments

Para esta cuarta entrega de este fascinante tema, que no es otro que la identidad digital, voy a abordar los controles y auditorias que se pueden implantar para la gestión de riesgos. En el post anterior traté de mostrar los 5 mayores riesgos que tiene hoy en día el área que me compete, pero para contrarrestar estos peligros existen unas estrategias que deben ser implementadas en las organizaciones. La primera tanda de medidas se centran en tratar de prevenir que los riesgos sean materializados [1].

Definir estrategia de identidad corporativa. Para mantener una buena reputación online a nivel organizacional, se debe de tener una estrategia previa bien definida que contemple qué se desea transmitir. Se deben definir los objetivos en materia de identidad digital, diseñar una imagen de marca y seleccionar un nombre de dominio adecuado a su denominación social o marca. Además, se debe proteger este dominio con las herramientas existentes dentro de la propiedad intelectual e industrial para evitar el riesgo número 4 presentado en el post anterior (Registro abusivo del nombre de dominio). Para lograr esto se debe designar a un Community Manager y emplear los recursos materiales y humanos que sean necesarios.
Interacción con los usuarios. Hoy en día la interacción con los usuarios en un entorno como Internet es algo esencial para una empresa pero se debe tener en cuenta que esta comunicación expone a la organización a críticas que pueden ser muy perjudiciales. Es por ello que se debe definir qué modelos comunicativos se van a usar y reflexionar sobre cuestiones como las siguientes:
1. ¿Qué tono se va a utilizar en la interacción? (amigo, experto,…)
2. ¿En qué tipo de casos se va a responder a los usuarios?¿De forma pública, privada y/o personalizada?
Redes sociales. En este punto rescato el papel del Community Manager como parte fundamental a la hora de gestionar la identidad digital de una organización. El problema surge con el uso de estas redes por parte de los trabajadores de la entidad. Es por ello que en este punto se plantea la creación de una política interna de uso de redes sociales. En ella se establecen recomendaciones y obligaciones para hacer un buen uso de tan peligrosas redes y evitar así el riesgo número 5 del post anterior (fuga de información). Además se puede complementar esta política con un manual de buenas prácticas que aborde puntos como:
1. Se debe cambiar la contraseña cada un determinado tiempo y no reutilizar claves de otros servicios.
2. Si no se dispone de la autorización de la compañía, no dar a entender en RRSS que se habla en nombre de la misma.
3. Se debe evitar criticar productos de la competencia de manera irresponsable.
4. Se debe evitar entrar en debate con potenciales clientes.
Cumplimiento normativo. Es esencial cumplir con las normativas existentes en el sector que desempeñe la entidad su labor pero además debe de tenerse siempre en cuenta la RGPD como base para no infringir los derechos de los ciudadanos europeos en cuanto a protección de datos.
Implantar medidas de seguridad. Para tratar de evitar ciberataques es importante que las empresas estén preparadas. Para ello se deberían contemplar escenarios de crisis y procedimientos de respuesta como notificaciones de brechas de seguridad o de atención a peticiones. También es imprescindible contar con sistemas de recuperación ante desastres que no permitan que la identidad digital de la corporación se vea comprometida.

[Read more…]

Gestión de riesgos en la identidad digital

21 noviembre, 2018 by a.h. 1 Comment

La probabilidad de que ocurra un contratiempo o de que alguien o algo sufra algún tipo de perjuicio o daño es algo inevitable. Esta ineludible posibilidad se denomina «riesgo». Una vez comprendemos que el riesgo 0 es imposible, nuestra labor es tratar de reducir la probabilidad de que el contratiempo ocurra, disminuir sus efectos y saber qué hacer en caso de que pase. Y es de esto de lo que voy a hablar en este tercer post, dentro de la secuencia que estoy realizando sobre la identidad digital.

Primero de todo, mencionar que se debe actuar sobre 3 elementos diferentes a la hora de gestionar una buena reputación online y son los siguientes: el contenido online que yo genero, el contenido que se genera sobre nosotros por parte de terceros y el contenido que se genera en el marco de las relaciones con los demás.

Otra cosa que debemos tener en cuenta es que la identidad es contextual. Esto significa que puede generar un impacto negativo si se emplea en un contexto erróneo. Es por ello que mantener las identidades analógica y digital separadas entre sí es positivo [1].

Es el momento de volver a mencionar conceptos previamente citados en la introducción realizada en el primer post sobre Identidad Digital, pero esta vez explicando a fondo dichos riesgos.

Suplantación de identidad digital. Esto ocurre cuando una persona se hace pasar por otra con el fin de obtener un beneficio [2]. Una posible aplicación de este hecho delictivo podría ser que alguien se hiciera pasar por la organización COMIDA y que bombardeara a clientes habituales de esta empresa por email o RRSS. Estos emails o mensajes pedirán al cliente que done una cantidad simbólica a un número de cuenta determinado para colaborar con un comedor social. De esta forma, la entidad COMIDA se vería afectada a pesar de posiblemente no ser consciente del suceso.
Utilización de derechos de propiedad industrial por terceros no autorizados. Los derechos de propiedad industrial tienen una doble dimensión; permitir a su propietario su utilización e impedir a terceros usarlo. Si se infringe esto por un tercero, la entidad propietaria se convierte en víctima y deben denunciar a las autoridades. Esto puede ser cometido debido a la falsa sensación de que en Internet “todo vale” o por terceros malintencionados para divulgar elementos del negocio como patentes o secretos industriales.
Amenazas a la reputación online. Esta amenaza se refiere a las acciones que pueden crear una opinión negativa en el target sobre una determinada organización o persona. Esto puede ser producido por diferentes entes:
1. Por la empresa o persona en sí.
2. Por terceros que publican información del sujeto.
3. Por los internautas con los que nos relacionamos.

Estos tres puntos son los que he mencionado anteriormente que se debe actuar para lograr una buena reputación online, pero que también pueden hacernos lograr justo lo opuesto.

Registro abusivo del nombre de dominio. Hoy en día, la mayoría de las empresas cuenta con una página web. Esta página suele tener como nombre el de la marca en sí o el de sus productos. De esta forma, los usuarios pueden identificar de forma rápida la organización detrás de la página web. El problema está en que no existe ningún control a la hora de registrar el nombre del dominio. Por lo tanto, terceros pueden registrar de manera malintencionada nombres de dominio que coincidan con entidades reconocidas para confundir a los internautas. Esto se conoce como cybersquatting en el caso de que se extorsiona a la entidad target para vender el dominio por un valor mayor al real. Si el objetivo es que los usuarios entren por escribir mal el dominio (como por ejemplo, “facebok” en lugar de “facebook”) se denomina typosquatting. Este último ataque se realiza como base de phising.

Fuga de información. La imagen de una organización puede verse comprometida debido a una fuga de contenido sensible. El objetivo principal de esta práctica por parte del atacante suele ser extorsionar a la entidad. El origen de esta dañina fuga puede ser interno (insider threats) o externo (mediante malware o técnicas como la mencionada y popular phising) [3].

[Read more…]

Riesgos de la identidad digital

22 octubre, 2018 by a.h. 1 Comment

La Real Academia Española (RAE) define “identidad” como el “conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás” [1]. La necesidad de demostrar nuestra identidad es algo a lo que estamos acostumbrados, por ejemplo, cuando queremos depositar nuestro voto en una urna o hasta para comprar una bebida alcohólica en un establecimiento y demostrar nuestra mayoría de edad. El Documento Nacional de Identidad (DNI) actúa como “llave” o estándar de confianza para verificar que somos quien decimos ser. La identidad, además de ser algo básico, es un derecho contemplado en la Convención sobre los Derechos del Niño, más concretamente en el Artículo 8 donde los Estados Partes “se comprometen a respetar el derecho del niño a preservar su identidad…”[2].

Ahora bien, el tema que voy a tratar en este y los próximos posts va a ser la identidad digital y los riesgos que esta conlleva. Pero, ¿qué es la identidad digital? Este término se utiliza para referirse a todo lo que se manifiesta en el ciberespacio sobre un individuo u organización. Todas las actuaciones dentro del entorno digital (imágenes, comentarios, links visitados, etc.) conforman la denominada identidad o perfil digital [3].

A nivel personal y de manera general, los seres humanos tendemos al positivismo y a tratar de mostrar lo mejor de nosotros. La repercusión de esto con las redes sociales y la era digital crece de forma exponencial al mostrar nuestra información a más gente de la que a priori podemos pensar. Hoy en día publicamos prácticamente todo lo que hacemos y realizando una sencilla búsqueda en google se puede crear un perfil tipo de cualquier persona; tenemos en nuestro perfil de LinkedIn nuestra cara más profesional, con nuestra formación y experiencia laboral, usamos Instagram para mostrar nuestros viajes y pasión por la fotografía, en Facebook aglutinamos como “amigos” a todo aquel que pase por nuestra vida, Twitter nos sirve para desahogarnos y en YouTube vemos a nuestros cantantes favoritos o aprendemos cómo hacer el nudo de una corbata. Todo lo que realizamos en la red deja una huella imborrable que nos perseguirá de por vida y que, como mucho, podremos eliminar de los buscadores ejerciendo el polémico “derecho al olvido”.

El problema existente con la identidad digital a nivel personal no es que la gente comparta lo “mona” que puede parecer su tortuga nadando en la bañera, sino que hay otro tipo de perfiles en la red cuyos fines no son otros que realizar actos ilegales. Estos actos incluyen, por ejemplo, el ciberacoso y engloba otros como el grooming, sextorsión, sexting o hasta cyberbullying. Las infracciones con fines sexuales están regulados en el Código Penal en España desde 2013 con penas de entre seis meses a cuatro años de prisión en caso de que se atente contra la integridad sexual de un menor[4]. Otro delito común en la red es la suplantación de identidad, es decir, cuando una persona se hace pasar por otra con el fin de obtener un beneficio[5]. Esta práctica es muy común debido a lo accesible que están hoy en día los contenidos en la red. La identidad personal digital es tan importante como la física y debemos de prestar especial atención y denunciar en caso de que se infrinja la ley.

La evidente necesidad de identificarte en los diferentes servicios web se logra generalmente mediante el tradicional alias y contraseña. Según una encuesta realizada por Accenture a 24.000 consumidores de 24 países, el 60% de los internautas considera que el método usuario clave es incómodo y molesto[6]. En los últimos años se han dado pasos en este ámbito desarrollando diferentes maneras de iniciar sesión usando incluso, contraseñas biométricas, pero la seguridad de dicho sistema menoscaba la comodidad del mismo.

Dejando de lado la identidad personal en el ámbito digital, los próximos posts girarán en torno al riesgo de la identidad digital en el ámbito empresarial. De la misma manera que los individuos, las organizaciones deben también proteger su identidad para evitar problemas mayores y salvaguardar la reputación de la entidad. Analizaré las evidencias de la relevancia que tiene este aspecto en la industria y hablaré de los controles y la forma de auditar en torno a la identidad digital.

[1] «Diccionario de la lengua española», acceso el 22 de octubre de 2018. http://dle.rae.es/srv/search?m=30&w=identidad

[2] «Convención sobre los Derechos del Niño», acceso el 22 de octubre de 2018. http://www.un.org/es/events/childrenday/pdf/derechos.pdf

[3] Avendaño, Eduardo, David Pérez Lázaro, and Bárbara Queizán. 2016. MEDIOS DE PAGO, SEGURIDAD E IDENTIDAD DIGITAL. Papeles de Economía Española., https://search-proquest-com.proxy-oceano.deusto.es/docview/1920753615?accountid=14529 (acceso el 22 de octubre de 2018).

[4] «Ciberacoso, código penal y leyes al acoso», acceso el 22 de octubre de 2018. https://ciberintocables.com/ciberacoso-codigo-penal/

[5] «El delito de suplantación de identidad», acceso el 22 de octubre de 2018. https://juiciopenal.com/delitos/suplantacion/delito-suplantacion-identidad/

[6] «Los consumidores proclives a alternativas a contraseñas», acceso el 22 de octubre de 2018. https://www.accenture.com/es-es/company-alternativas-a-contrasena

Mobile Connect

2 noviembre, 2017 by Ana Brime Aparicio 1 Comment

En el post anterior hablaba de los diferentes riesgos y amenazas que existen y como afectaban a las organizaciones. Además, durante los anteriores posts hemos estado viendo como las contraseñas son una de las cosas más complicadas, ya que los usuarios pueden abandonar o dejar de utilizar los servicios que ofrece una compañía por el simple hecho del olvido de las mismas o por considerar que son poco seguras.

En el apuro por abrir nuevos canales digitales, las empresas no pueden darse el lujo de perder de vista la necesidad de identificar y conectarse con aquellos individuos que usan una enorme cantidad de dispositivos móviles. El dominio de las identidades digitales puede transformar la posición de una organización en la economía digital. La simple verdad es esta: las empresas que logren aprovechar el tema de la identidad podrán sacar poderosos productos y servicios con más rapidez y efectividad que las que no lo logren. Un estudio de Oracle descubrió que casi dos tercios (64%) de los encuestados dice que los canales digitales son altamente importantes para los ingresos de sus compañías (el 27% piensa que son fundamentales para la misión y el 37% que son muy importantes). 72% dice que el tema de la seguridad es el principal peligro para manejar la identidad personal y solo el 19% está muy bien preparado para cumplir con los requisitos de seguridad. Permitir que los clientes controlen sus propios datos de identidad es considerado como una medida altamente eficaz para el 48% de los adoptantes. [1]

Según diferentes líderes en seguridad biométrica, para 2020 las contraseñas desaparecerán en países que realicen altas inversiones en mecanismos robustos de seguridad. [2] Y según la Asociación de operadores móviles y compañías relacionadas (GSMA), actualmente los gobiernos y empresas están buscando una autenticación más fuerte para reducir los riesgos, especialmente en los dispositivos móviles. Cuentan con un programa llamado Vision 2020 que tiene como objetivo encontrar una solución de autenticación basada en la red móvil para abolir el uso de contraseñas y dar paso a la autenticación digital desde dispositivos móviles. [2] Según datos de GSMA, el 87% de las personas abandonan los sitios web cuando se les pide que se registren, el 40% admite haber utilizado la función de “recuperar contraseña” al menos una vez al mes, y el 83% de los usuarios están preocupados por el uso de su información personal cuando acceden a Internet o a las apps. [3]

El Grupo de Trabajo Técnico y Terminales (TECT) de GSMA Latino América se reunió en marzo del año pasado en Río de Janeiro, Brasil, y sirvió como catalizador para seguir actualizando a los operadores móviles en los temas técnicos que la GSMA impulsa a nivel global. El encuentro atrajo a más de 60 ejecutivos de las áreas de las operadoras y los principales fabricantes del ecosistema móvil latinoamericano. Se habló sobre distintos temas, pero el que a nosotros nos importa es el seminario de servicios de identidad, en el cual se dio a conocer el Mobile Connect. Se trata de un servicio de autenticación que los operadores han lanzado en todo el mundo que pretende dar una alternativa a los numerosos usuarios y contraseñas del mundo digital. Además, se revisaron las evoluciones del servicio para dar servicios de autorización, atributos, pagos o identidad. [4]

Hoy en día muchas compañías telefónicas ofrecen el uso de esta tecnología de una forma gratuita y segura, simplemente tendrás que recordar tu número de teléfono para poder loguearte en todo tipo de páginas webs y apps, sin necesidad de recordar contraseñas. [5]

La inquietud que me surge es que si los mecanismos de autenticación más seguros son los biométricos (huellas, voz, etc.) y los menos seguros los basados en “algo que tú sabes o tienes” (contraseñas, tarjeta de proximidad, etc.). ¿Cómo sabemos que este método es seguro, si se trata de un mecanismo de autenticación basado en algo que tú tienes (el móvil)? Es decir, si en algún momento pierdo el móvil o me lo roban, pierdo esa seguridad y cualquiera podría entrar a cualquier portal que pueda activar con mi dispositivo. ¿No debería tener una estrategia de doble autenticación? En cualquier caso, me parece una buena idea siempre que las páginas que necesiten un grado más elevado de seguridad lo combinen con otros mecanismos de autenticación.

Referencias

[1] Mercado. <<El gran problema de la identidad digital>>. Acceso el 31 de octubre de 2017. http://www.mercado.com.ar/notas/8019653

[2] Reporte digital. <<Autenticación digital, la tendencia que revoluciona la identidad digital>>. Acceso el 31 de octubre de 2017. http://reportedigital.com/seguridad/autenticacion-digital-identidad/

[3] El País. <<Movistar lanza el servicio que elimina las contraseñas para registrarse>>. Acceso el 1 de noviembre de 2017. https://elpais.com/economia/2016/04/14/actualidad/1460620789_925132.html

[4] GSMA. <<Reunión del TECT en Brasil: trabajo conjunto para traer la estrategia Vision 2020 de la GSMA a América Latina>>. Acceso el 1 de noviembre de 2017. https://www.gsma.com/latinamerica/es/reunion-del-tect-en-brasil-trabajo-conjunto-para-traer-la-estrategia-vision-2020-de-la-gsma-a-america-latina

[5] Orange. <<Mobile Connect: La solución universal, segura y cómoda para registrarse sin contraseñas>>. Acceso el 1 de noviembre de 2017. http://mobileconnect.orange.es/

Amenazas de la identidad digital

20 octubre, 2017 by Ana Brime Aparicio 1 Comment

En el post anterior explicaba qué era la identidad digital o identidad 2.0, cuáles eran sus características, etc. Llegue a la conclusión de que la buena imagen lograda tras años de duro trabajo podía venirse abajo por cualquier brecha en la huella digital y que por ello debíamos tener cuidado y poner precauciones al respecto. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud? A continuación, voy a explicar las diferentes amenazas que he ido encontrando y cómo afectan a la entidad.

Suplantación de identidad.

La suplantación de identidad puede darse o bien creando o bien accediendo a un perfil no autorizado de una empresa o de una red social, es decir, se trata de la usurpación de los perfiles por terceros malintencionados. Los atacantes intentan aprovecharse de la reputación del atacado para sacar beneficios, como, por ejemplo, el robo de información sensible para el chantaje. Para ello, recurren a las técnicas Phishing y/o Pharming.[1] En la primera, el estafador (phisher) usurpa la identidad de una empresa o institución de confianza para enviar un email, SMS, etc. a los clientes, trabajadores, usuarios… y así conseguir engañarles para que revelen información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias.[2] En la segunda, sin embargo, el estafador redirige a sus víctimas hacia una página web fraudulenta que suplanta a la original, incluso si escriben correctamente la dirección Web de su banco o de otro servicio en línea en el buscador.[3]

Registro abusivo de nombre de dominio.

El nombre de dominio es la ‘dirección’ que utilizan las empresas para identificarse ante su público (por ejemplo deusto.es). Y el riesgo puede surgir al registrar este nombre, ya que, no existe ningún control o vigilancia durante este proceso, y en el caso de que se diese alguna infracción el único responsable sería el solicitante del registro. [1]

El ataque, conocido como cybersquatting, se produce cuando un tercero malintencionado registra un nombre de dominio existente con el propósito de extorsionarlo para que lo compre o bien simplemente para desviar el tráfico web hacia un sitio competidor o de cualquier índole.[4]

Ataques de denegación de servicio distribuido o ataque «DDoS».

El objetivo de los ataques de denegación de servicio distribuido consiste en dejar un servidor inoperativo. Se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia el mismo punto de destino, el cual acabará saturado y se colapsará. Todo esto le acarrea a la empresa un perjuicio a la identidad digital, ya que, ya no existe en la Red y la reputación online baja considerablemente al demostrar lo vulnerable que es.[1]

Fuga de información.

La fuga de información tiene dos posibles orígenes, por un lado, desde el interior de la organización, bien por error o bien por una acción consciente e intencionada. Y, por otro lado, desde el exterior, utilizando diferentes técnicas para robar información de los equipos y sistemas de la entidad.

El objetivo de este ataque suele ser el lucro, haciendo que la buena imagen y el prestigio de la entidad se vea comprometida por la publicación de información sensible y/o confidencial.[1]

Publicaciones por terceros de informaciones negativas.

Está claro que no solo se está en la red, sino que se conversa en ella, por lo que, las empresas obtienen sus feedback de los usuarios a través de los medios sociales. El hecho de que un mal comentario sea distribuido por las redes puede ser información valiosa para que la empresa sepa cómo mejorar, pero también puede perjudicar su honor y reputación. Hay que tener en cuenta que la información en Internet no desaparece con el tiempo, lo que hace que valoraciones negativas que posiblemente ya estén solucionadas sigan perjudicando gravemente a la entidad.[1]

Utilización no consentida de derechos de propiedad industrial.

La utilización no consentida de derechos de propiedad industrial es un riesgo para la identidad y la reputación de una empresa. Esta acción puede estar motivada por una falsa sensación de que en Internet todo vale y no se vulnera ningún derecho, o por un empleado descontento que divulga elementos fundamentales para el negocio, como patentes o secretos industriales. [5]

Naturalmente, una combinación de herramientas de seguridad y buenas prácticas son fundamentales para evitar muchas de estas amenazas, pero las consecuencias de la suplantación de identidad en Internet son cada vez más y más negativas. Por ello debemos tener una responsabilidad compartida entre distintas partes: los usuarios al tomar las medidas adecuadas de seguridad, las empresas responsables de la protección de los datos y los gobiernos a través de la legislación en la materia, así como con la creación de instituciones enfocadas en atender estas problemáticas.[6] Con estos últimos se puede contactar por medio de la página web http://www.agpd.es (Agencia Española de Protección de Datos), donde además de facilitar herramientas a las empresas para que cumplan con la protección de datos, si tú como individuo sientes una amenaza, puedes denunciarlo.

Continuará…

Referencias

[1] Incibe. <<Guia ciberseguridad online>>. Acceso el 17 de octubre de 2017, https://www.incibe.es/extfrontinteco/img/File/empresas/guias/guia_ciberseguridad_identidad_online.pdf

[2] Avast. <<Phishing>>. Acceso el 17 de octubre de 2017, https://www.avast.com/es-es/c-phishing

[3] Wikipedia. <<Pharming>>. Acceso el 17 de octubre de 2017, https://es.wikipedia.org/wiki/Pharming

[4] Wikipedia. <<Ciberocupación>>. Acceso el 17 de octubre de 2017, https://es.wikipedia.org/wiki/Ciberocupaci%C3%B3n

[5] Fernando Amaro. <<Identidad Digital y Reputación Online (III)>>. Acceso el 18 de octubre de 2017, http://fernando-amaro.com/identidad-digital-reputacion-online-iii/

[6] We live security. << 3 amenazas que buscan robar tu identidad: ¡cuídate de ellas!>>. Acceso el 18 de octubre de 2017, https://www.welivesecurity.com/la-es/2015/09/30/3-amenazas-robar-identidad/

Riesgos de la identidad digital: Introducción

10 octubre, 2017 by Ana Brime Aparicio 1 Comment

La identidad digital es todo lo que manifestamos en el ciberespacio e incluye tanto nuestras actuaciones como la forma en la que nos perciben los demás en la red.

(Aparici y Osuna Acedo, 2013)

El término de la identidad digital también llamada identidad 2.0, empieza a emplearse en la década de 1990 con la introducción de los ordenadores personales. Se trata de una revolución anticipada de la verificación de la identidad en línea utilizando tecnologías emergentes centradas al usuario.

En resumen, todas nuestras actuaciones dentro del espacio digital (imágenes, comentarios, etc.) conforman nuestra identidad o perfil digital. Por tanto, es imprescindible tener en cuenta que a través de esto los demás nos verán de un modo u otro en el ciberespacio. [1]

Para que nos sigamos situando en qué es la identidad digital, a continuación, menciono cuáles son sus características y propiedades:

Social: En ningún momento se llega a comprobar si una identidad es real o no.

Subjetiva: Depende del reconocimiento de los demás y de cómo perciban a la persona.

Valiosa: Se utiliza para investigar cómo es esa persona o empresa y así ayudar a tomar decisiones sobre ella.

Indirecta: No permite conocer a alguien personalmente.

Compuesta: La huella digital se construye por las aportaciones de la persona y de las demás personas que la rodean, sin necesidad de dar consentimiento.

Real: La información de la identidad puede producir efectos tanto positivos como negativos en la vida real.

Contextual: La divulgación de información en un contexto erróneo puede tener un impacto en nuestra identidad digital y, por tanto, en nosotros.

Dinámica: La identidad digital está en constante cambio o modificación. [2]

En el caso de las organizaciones, los riesgos de la identidad digital son una de las cuestiones más importantes. Al igual que cada individuo debe tener cuidado con la huella que deja, las compañías deben cuidar mucho su reputación. Por ello, aunque que la identidad digital ayude notablemente a mejorar las calidades de los negocios o a que las empresas contraten a personas a través de Internet, hay que tener en cuenta que obtener una información falsa o incluso hacer un mal uso de los datos, nos lleva a una vulnerabilidad, tanto personal como empresarialmente hablando.

En la mayoría de los casos, y sobre todo en las multinacionales, los empleados tienen que seguir la política global, es decir, existe una estrategia digital corporativa la cual ayuda a reducir los riesgos de la identidad 2.0. Pese a eso, he encontrado una encuesta hecha a varios trabajadores de distintas compañías, en la que los encuestados consideran que la huella digital sólo es parcialmente controlable. En su opinión, el principal factor de riesgo es el “empleado”, tanto para la imagen de la compañía como para la seguridad de la misma. [3]

Hoy en día existe una “fatiga de identidad”, es decir, los usuarios tienen demasiadas cuentas, con demasiados usuarios y contraseñas. Para intentar evitar dicha fatiga, algunas compañías han conseguido que la experiencia del usuario sea más cómoda, migrando dicha conexión a sitios que ofrecen un proceso más rápido y sencillo (Facebook, Google, LinkedIn…). A este proceso se le llama BYOI (Bring Your Own Identity), pero a pesar de que se puede obtener beneficio de ello, como, por ejemplo, reducir los costes administrativos al evitar el olvido de contraseñas y nombres de usuario, también tiene riesgos. Uno de ellos sería en el caso de que la identidad digital subyacente se viese comprometida, lo que le llevaría al usuario a realizar esfuerzos considerables para restablecerla. Sin embargo, se pueden reducir esos riesgos, por ejemplo, creando un proceso de autenticación basado en el riesgo. Este proceso evaluará una variedad de factores configurables como la hora del día, la ubicación geográfica, etc. [4]

Por lo tanto, he llegado a la conclusión de que la huella digital radica sobre todo en los comportamientos y acciones de los perfiles sociales de la propia organización y de los empleados. Lo que me lleva a reflexionar sobre la seguridad que existe en la red y como una violación de la privacidad o un robo de identidad podría dañar una reputación, ya sea de la organización como de la persona misma. Ante esta situación debemos tener cuidado con los riesgos que acarrea tener un perfil digital, y poner precauciones para evitar cualquier posible incidencia o problema. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud?

Continuará…

Referencias

[1] Wikipedia. <<Identidad 2.0>>. Acceso el 5 de octubre de 2017, https://es.wikipedia.org/wiki/Identidad_2.0

[2] Gobierno de Canarias. <<Características y propiedades de la identidad digital>>. Acceso el 5 de octubre de 2017, http://www3.gobiernodecanarias.org/medusa/ecoescuela/seguridad/identidad-digital-profesorado/caracteristicas-y-propiedades-de-la-identidad-digital/

[3] Ben Ayed, G. (2011). Digital Identity Metadata Scheme: A Technical Approach to Reduce Digital Identity Risks. Advanced Information Networking and Applications (WAINA), 2011 IEEE Workshops of International Conference on, 607-612.

[4] ISACA. http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=321

Invadiendo la privacidad

23 octubre, 2016 by María Aldama Notario 1 Comment

En las últimas semanas he visto en los principales medios de comunicación noticias relacionadas con el robo de información, mediante ataques cibernéticos.

Amnistía Internacional alerta sobre la falta de seguridad de Snapchat y Skype

Esta es una de las noticias más reciente, exactamente del día 21 de octubre. [1] En un informe presentado por Amnistía Internacional, se deja seriamente en entredicho las medidas de seguridad que llevan a cabo varias de las más famosas apps de mensajería y redes sociales. El estudio asegura que algunas de éstas son vulnerables al ataque de los ciberdelincuentes o al espionaje por parte de las autoridades.

El fin de este primer post sobre la privacidad de la información es dar a conocer lo que significa el término, y poneros en situación adentrándome un poco en su historia, además de hablar de la importancia que tiene en la sociedad actual.

Comienzo con su definición. Veamos qué dice Wikipedia sobre el término… [2]

La privacidad en Internet se refiere al control de la información que posee un determinado usuario que se conecta a Internet, interactuando de diversos servicios en línea con los que intercambia datos durante la navegación.

Lo cierto es que ese control se hace de diversas formas a lo largo del mundo. Por ejemplo, en los Estados Unidos, la legislación relativa a la protección de datos se ha promulgado de manera sectorial, lo que significa que cada ley o regulación se ha creado en respuesta a las necesidades de una industria o sector de la población en particular. En España, este control está establecido por las normas de la Unión Europea, al igual que en todos los países pertenecientes a esta.

No quiero entrar en detalles sobre las leyes de estos países porque me adentraré más adelante en este tema en otro post. Así que os voy a dejar un poco con las ganas, queridos lectores.

Por lo que voy a pasar a contaros un poco de historia. Os voy a acompañar a recorrer la historia de la protección de los datos personales. Más que “historia”, digamos que son como los hitos y escándalos más relevantes en torno a la privacidad y seguridad de datos.

Los chicos de ESET Latinoamérica han hecho esta maravillosa infografía en la cual se presenta la historia de una forma muchos más visual y fácil de comprender. [3]

Como se puede observar, hay un largo camino que llevó a los hechos recientes que todos conocemos, y seguramente habrá muchos otros acontecimientos en el futuro que marcarán el rumbo de la privacidad. Es por eso que debemos ser conscientes de los riesgos para la privacidad y analizar el posible impacto de éstos.

El impacto que puede tener el robo de nuestros datos personales por parte de los cibercriminales es muy variado. Un claro ejemplo es el caso de las redes sociales. Las redes sociales son públicas, por lo que se debe cuidar todo lo que se escriba, publique y comparta, porque tal vez no hoy, ni mañana, pero dentro de un tiempo todo aquello que publicaste puede venir en tu contra. [4]

Otro ejemplo ya algo más importante es un ciberataque a una organización. El ataque puede llegar a generar millones de euros o dólares en pérdidas, y afectará a la reputación de las empresas generando posibles despidos de empleados, demandas millonarias, publicidad negativa entre otras cosas.

Acabo el post pidiéndoos un poco de vuestro tiempo. Sentaos cómodamente y pensad un momento. Suponed que alguien obtiene toda la información de vuestras cuentas bancarias, tarjetas de crédito, datos personales, etc. ¿Cuál sería el impacto que esto tendría en vuestras vidas? ¿Creéis de verdad que podéis estar tranquilos de qué vuestros datos no serán robados y utilizados en vuestra contra? ¿Creéis que la forma en como compartís vuestra información es la más adecuada?

Nos vemos en el siguiente post 🙂

REFERENCIAS

[1] Zuriarrain, J. (2016). Amnistía Internacional alerta sobre la falta de seguridad de Snapchat y Skype. EL PAÍS. Disponible en: http://tecnologia.elpais.com/tecnologia/2016/10/21/actualidad/1477036260_191452.html [Consulta 22 Oct. 2016].

[2] Es.wikipedia.org. (2016). Privacidad en Internet. Disponible en: https://es.wikipedia.org/wiki/Privacidad_en_Internet [Consulta 21 Oct. 2016].

[3] Pagnotta, S. and Pagnotta, S. (2015). Infografía: 10 hitos en la historia de la privacidad -y por qué proteger tus datos. WeLiveSecurity. Disponible en: http://www.welivesecurity.com/la-es/2015/01/28/10-hitos-historia-privacidad-proteger-datos/ [Consulta 23 Oct. 2016].

[4] Duarte, A. (2012). La importancia de cuidar la privacidad en las redes sociales, infografía. Genbeta.com. Disponible en: http://www.genbeta.com/redes-sociales-y-comunidades/la-importancia-de-cuidar-la-privacidad-en-las-redes-sociales-infografia [Consulta 23 Oct. 2016].

Composición de la identidad digital

30 noviembre, 2015 by Xabier Ferrer Ardanaz 16 Comments

En sus orígenes, los componentes base de la identidad estaban disponibles por medios físicos o periodísticos tales como nombres, certificados de nacimiento, títulos universitarios o profesionales, cartas de no antecedentes penales o información de notas periodísticas, sin embargo, con la aparición de los instrumentos de digitalización, del impulso en el uso de computadoras personales y con el incremento en el uso de internet, los datos e información que componen la identidad de una persona no solamente se dispersaron con mayor facilidad, sino que se incrementaron, al grado que ahora no solo tenemos dispersada en internet información que corresponde a la identidad de las personas en lo individual, sino también de las empresas, autoridades, grupos de trabajo u organizaciones varias.

Además, con los nuevos sistemas informáticos y de comunicación, sobre todo los móviles, día a día estamos arrojando información que incrementa datos a nuestra identidad digital, tal es el caso de los datos que arrojan la geolocalización, aplicaciones que predicen nuestros gustos y deseos, las que involucran reconocimiento biométrico.

Actualmente el que cualquier persona pueda investigar y conocer nuestra identidad digital desde cualquier parte del mundo y con ello hacer un buen o mal uso de la información, es tan importante y al mismo tiempo conlleva un gran nivel de riesgo, lo cual nos lleva a la reflexión de que deberíamos cuidarla como uno de los aspectos más preciados de nuestra vida.

Sin embargo, es preocupante cuando nuestra identidad digital sale de nuestro control, ya que la misma se va construyendo además con la información y datos que otras personas vayan generando respecto de nosotros, incluso, nuestra identidad digital llega a ser alimentada con la percepción o comportamiento que las personas con las cuales nos relacionamos tienen. Por supuesto siempre hay quien se
beneficia de tanta información, de manera que incluso existen aplicaciones tales como “Lenddo”, que no solo hace uso de la información que las personas le pueden proporcionar para realizar un análisis de si son susceptibles de recibir un préstamo o crédito por ejemplo, sino que además tiene en cuenta la información que los familiares y amigos aportan en Facebook sobre nosotros, o incluso, la información que arroja el mero hecho de tener a ciertas personas como nuestros contactos, o la forma en la que interactuamos con ellos.

Es así que la identidad digital se compone por lo menos de información proveniente de tres grandes grupos; la generada por el propio individuo, la generada por terceros y la que se genera en el contexto de las relaciones del individuo.

Riesgos de la identidad digital

30 noviembre, 2015 by Xabier Ferrer Ardanaz 4 Comments

Uno de los problemas de la identidad digital es la posibilidad que tiene un solo individuo de generar una pluralidad de identidades, ya si bien es cierto que hay a quienes les conviene trabajar en la correcta construcción de su identidad digital para adquirir más impulso o reconocimiento social o político, también lo es que pueden existir motivos por los cuales una persona desee permanecer en el anonimato que brinda internet, por distintos motivos, tales como temas de seguridad, libertad de expresión, para ocultar o disfrazar los actos o consultas de información, o cuando simplemente se tenga el interés de que tales actos no afecten la identidad principal.

Es así que lo anterior puede representar un problema para las empresas, las autoridades o para quienes prestan servicios vía web, o cuando la contratación de los productos o servicios se realiza mediante estos medios, ya que es muy complicado saber quién es la persona que en realidad está realizando la transacción, quedando expuestos por ejemplo: a fraudes cometidos por el uso de identidades digitales falsas, los cuales en combinación con el uso de tarjetas de crédito clonadas o robadas, puede ser una herramienta muy peligrosa.

[Read more…]