menu MENÚ
MALDITA TECNOLOGÍA

Guardar datos personales de terceros en nuestro ordenador, páginas web institucionales poco seguras y Facebook Wi-Fi: llega el 67º consultorio de Maldita Tecnología

Publicado
Comparte

¡Hola, malditas y malditos! En vuestra cita semanal con el consultorio de Maldita Tecnología respondemos las nuevas preguntas que nos habéis planteado: cuál es la mejor forma de guardar archivos con datos personales de terceros en nuestro ordenador personal, por qué hay páginas institucionales, como las de los ministerios, que nos avisan de que no son seguras y qué es Facebook Wi-Fi y para qué sirve.

Si tenéis más dudas tecnológicas, estamos encantados de resolverlas. Nos las podéis enviar mandando un correo a [email protected], un mensaje a nuestro Twitter, a Facebook o completando este formulario. Vamos a por ello.

¿Qué es Facebook-Wifi y para qué sirve?

Es posible que hayas recibido un correo electrónico de Facebook ofertando su servicio Facebook Wi-Fi, pero que ni siquiera supieses que la compañía contaba con un producto de redes inalámbricas. Es el caso de uno de nuestros malditos, que nos ha reenviado uno de esos mensajes para preguntarnos en qué consiste y para qué sirve exactamente esta función.

Facebook Wi-Fi es una herramienta que la compañía pone a disposición de las empresas y los negocios para que puedan ofrecer wifi gratis a los clientes en sus locales. Así, en vez de proporcionar una contraseña para acceder a la red privada, los usuarios se conectan a la red a través de su cuenta en la red social. De esta manera, Facebook también acumula más datos sobre nosotros.

¿Cómo funciona exactamente? Como propietario del negocio, es necesario tener un router que sea compatible con el servicio (puedes consultar cuáles lo son en su página web). Cada fabricante de router tiene su propia guía de configuración, por lo que para integrar la aplicación de Facebook Wi-Fi se deberán seguir las instrucciones de cada marca, también recogidas en el sitio web de Facebook. Una vez completado el proceso, cuando un cliente se conecte a la red, tras acceder con su cuenta, le aparecerá el perfil de tu empresa en la red social para empezar a navegar.

Según la propia información que ofrece Facebook en la web del producto, las ventajas de este servicio frente a los métodos tradicionales son varias. Por ejemplo, la red social añade el negocio en cuestión a la sección “Redes Wi-Fi gratis” de la aplicación, lo que genera más visitas a la página oficial del sitio. También habilita estadísticas anónimas sobre los visitantes del negocio, como el número de usuarios que se conectan por primera vez y el de los que repiten, así como datos demográficos como la edad o el género.

¿A costa de qué nos compensaría usar este servicio? En términos publicitarios, Facebook puede hacer que la empresa que aproveche su servicio de wifi luego aparezca anunciada en otros sitios web para la gente que se ha conectado a la red inalámbrica a través de la plataforma. Al negocio en cuestión esto le beneficia, pero para el usuario significa que Facebook puede registrar que ha frecuentado un local en particular.

En otras ocasiones os hemos hablado del precio que pagamos al iniciar sesión en aplicaciones o servicios a través de nuestras cuentas de Facebook o Google. Cuando accedemos a otros portales a través de ellas, se cede información sobre nuestra actividad online a estas empresas, que pueden lucrarse vendiendo publicidad a otras compañías. Si iniciamos sesión con nuestra cuenta de Facebook, la red social añadiría cada vez más datos sobre nuestros gustos e intereses (el llamado perfilado) y también sabría por qué sitios nos solemos mover con mayor exactitud, como al conectarnos a una red wifi a través de Facebook Wi-Fi.

Junto a las dudas sobre el servicio, también nos habéis preguntado si Facebook sabe a qué páginas accedemos mientras estamos conectados a través de Facebook Wi-Fi. Hemos preguntado a la compañía pero no hemos obtenido respuesta en el momento de cerrar esta publicación.

¿Por qué tantas páginas de ministerios te avisan de que no son seguras? 

Cuando navegamos por internet, ya sea para consultar las noticias, por ocio o para realizar alguna gestión, lo solemos hacer a través de nuestro navegador. Es el encargado de mostrarnos las páginas web y de gestionar nuestra conexión a ellas, por lo que nos puede mostrar información y advertencias técnicas sobre nuestra visita a la web. Sobre estos avisos nos habéis preguntado esta semana: concretamente los de algunas páginas institucionales, como la del Ministerio del Interior o la del Ministerio de Asuntos Exteriores, ya que nuestro navegador nos dice que “la conexión no es segura”. ¿Qué significa esto y a qué se refiere con esa notificación?

Ese pequeño aviso significa que el contenido que muestra la página y los datos que tú rellenes en ella (como tu correo electrónico o tu contraseña) no están cifrados. Por tanto, cualquier persona que esté conectada a tu red, pero también tu proveedor de internet o un ciberdelincuente, podría acceder a ellos, tal y como hemos explicado en otras ocasiones en Maldita.es. 

¿Cómo sabemos si una página web cifra las comunicaciones que hacemos? Por ejemplo, cuando incluimos algún dato en ella para realizar un trámite. Normalmente, porque la dirección web que vemos en la barra superior del navegador empieza con las iniciales HTTPS, que indican que la conexión está cifrada entre el cliente y el servidor y no son tan fácilmente accesibles.

Recientemente, la comunidad informática PucelaBits puso en marcha el proyecto #websegura,  en el que analizan el grado de seguridad implementado por páginas web institucionales de España. Para ello, han empleado el servicio de análisis Mozilla Observatory, que califica de más (A+) a menos (F) las medidas de protección que posee una web. “Si la página no tiene una nota A o B, se considera una implementación deficiente y deben mejorarla”, explica a Maldita.es Rubén Martín, integrante del proyecto. 

Martín asegura que de las 776 páginas institucionales analizadas, “sólo un 3% implementa la configuración mínima para evitar la mayoría de problemas y ataques más básicos”. “Esto no es aceptable”, continúa.

Que una página web cifre sus conexiones es un componente de seguridad muy habitual a día de hoy y cada vez más sitios lo incluyen, pero tampoco es una garantía de que la web vaya a ser cien por cien segura. También hay que garantizar, por ejemplo, que nunca se pueda acceder a la web con una conexión insegura a través de HTTP, o que, aunque la página utilice HTTPS, no muestre imágenes y otros contenidos sin cifrar. Este es el caso de la web del Ministerio de Industria, Comercio y Turismo.

“Tras la campaña impulsada por #websegura, algunas instituciones (como la Policía Nacional o Hacienda) se han puesto a trabajar y sus páginas han subido a una nota B”,  comentan desde PucelaBits. No obstante, reclaman que todavía quedan muchas webs que no han implementado las mejoras de seguridad necesarias. 

En Maldita.es hemos preguntado a algunos de los ministerios que aparecen en la lista de webs analizadas por PucelaBits. Desde el Ministerio del Interior afirman ser “conscientes” de que su página web no cifra sus conexiones: “Los departamentos de sistemas y de desarrollo del ministerio han estado trabajando con nuestro gestor de contenidos para proporcionar un servicio HTTPS en los diferentes subdominios y aplicaciones web que recaen bajo el dominio interior.gob.es, que esperamos que vaya siendo visible para los ciudadanos y ciudadanas a corto plazo”.

Adaptar una página institucional a estos protocolos no es sencillo, como nos recuerda Marc Almeida, analista técnico: “No es fácil, no es simplemente dar un chasquido de dedos y ya: hay que dar el certificado de alta pero, sobre todo, adaptar los diferentes servicios que dependen de la web (muchos hechos a medida y por terceros en un momento concreto) y que algunos puedan no ser compatibles con este tipo de estándares de seguridad”.

Para que haya una conexión segura, un organismo autorizado tiene que expedir un certificado que la garantice, lo que se conoce como “certificado SSL/TLS” (del que te hablamos en este otro consultorio). En este sentido, tampoco hay unanimidad ministerial en torno a quién garantiza las conexiones seguras. Si bien la mayoría de certificados (el que garantiza la autenticidad de la web y de la conexión) los expide la Fábrica Nacional de Moneda y Timbre (FNMT), otros cinco ministerios los obtienen de otras firmas internacionales como GlobalSign o DigiCert.

¿Cómo debo guardar en mi ordenador personal archivos con datos personales de otras personas?

A diario, generamos y almacenamos mucha información personal sobre nosotros y otras personas, ya sea en redes sociales, a través de fotos, o guardando archivos en nuestro ordenador personal. Podemos elegir cómo queremos guardar nuestros datos y con cuántas capas de seguridad pero, ¿qué pasa cuándo manejamos información de otras personas? Por ejemplo, si hacemos una investigación en la que usamos datos confidenciales. Pues que somos responsables de ella, y si no la protegemos lo suficiente podemos estar comprometiendo la privacidad de esas personas.

¿Por qué? Principalmente, porque alguien podría acceder a esos datos: nuestros ordenadores pueden verse amenazados por algún tipo de malware, ransomware, adware, etc., que pueden comprometer tanto nuestra información como la de terceros, en caso de que la tengamos.

El factor humano también puede ocasionar fallos que lleven a este robo de datos: “Existe un ‘vector de ataque’ (es decir, cosas que un atacante tiene en cuenta a la hora de comprometer un sistema) que consiste en que la víctima había guardado más información de la que necesitaba por ‘pereza’ o negligencia. Esto ocurre más de lo que uno pueda imaginarse”, afirma a Maldita.es Paula de la Hoz, cofundadora de la asociación ciberactivista Interferencias. Hay gente que acumula archivos sin parar y no es capaz de hacer limpiezas puntuales, por lo que experimenta lo que se conoce como un ‘síndrome de Diógenes digital”

Por eso, si tienes en tu poder información de otros, plantéate si realmente necesitas todos los datos y almacena sólo los que sean imprescindibles. Piensa, además, por cuánto tiempo te harán falta y nos los guardes más de lo necesario. Así te estarás quitando de encima una gran responsabilidad con la que ya no tienes por qué cargar.

Jorge Louzao, experto en ciberseguridad y uno de nuestros malditos que nos ha prestado sus superpoderes, también avisa de que el concepto de datos personales puede ser muy amplio: no es lo mismo hablar de un número de teléfono que de la dirección personal de alguien o su orientación política. Si hablamos de nuestra agenda personal de contactos, “cualquier aplicación conocida es perfectamente válida” para almacenarlos, asegura Louzao, pero no así para otros datos más sensibles.

Ya dedicamos una twitchería tecnológica a ver los pros y contras de los sistemas de almacenamiento en la nube más populares y en qué podemos fijarnos a la hora de elegir un servicio para guardar nuestros archivos: por ejemplo, comprobar qué garantías me da la empresa de que no pueden acceder a la información que guardamos y si cumplen con el Reglamento General de Protección de Datos (RGPD)

Algo en lo que coinciden tanto de la Hoz como Louzao es en la necesidad de cifrar la información. Esta opción está activada por defecto en los sistemas operativos móviles iPhone y Android, pero hay que activarlo en Microsoft, en algunos ordenadores macOS y en Linux, los sistemas operativos más comunes.

Para quienes quieran ser todavía más cautelosos o para quienes guardan información muy comprometida, como la que pueda poner en peligro la vida de otras personas (un confidente, por ejemplo, si estamos llevando a cabo una investigación), también “conviene añadir una capa extra de cifrado de datos”, afirma Louzao. 

¿Cómo? Si se tienen nociones de programación se puede hacer de manera manual. Para el común de los mortales existen herramientas digitales que permiten el cifrado de nuestros archivos y carpetas tanto en local como en la nube y que podemos proteger con claves seguras. Louzao nos pone como ejemplo la aplicación cryptomator.

Este es otro de los puntos imprescindibles a la hora de proteger la información que almacenamos: el de las contraseñas. Es preferible generar claves que no recordemos, pero que sean seguras. ¿Y de qué forma guardamos esas contraseñas, si no somos capaces de acordarnos de ellas? En Maldita.es os hemos hablado ya de los gestores de contraseñas: herramientas que guardan nuestras claves de forma segura para que no tengamos que acordarnos de todas.

Todo esto es aplicable también a las copias de seguridad que tengamos de esos datos, que deben estar cifradas y protegidas bajo claves seguras. Unas contraseñas que conviene ir cambiando de vez en cuando.

Paula de la Hoz nos da otras recomendaciones adicionales: no visites webs sospechosas desde el mismo ordenador en el que almacenas información sensible. Ten cuidado también con posibles casos de phishing y recuerda limpiar el contenido del ordenador de vez en cuando. Si tienes dos sistemas operativos instalados, también puedes tratar en uno las cuestiones más sensibles y el resto del trabajo hacerlo en el otro sistema.

En definitiva, almacenar datos de otras personas conlleva una gran responsabilidad y es recomendable cumplir una serie de requisitos para no comprometer esa información: guardar sólo la información que se necesite y no más del tiempo que sea necesario. Asegurarse de que el servicio de almacenamiento en la nube que se utilice cumple con el Reglamento General de Protección de Datos, que se cifre la información y se utilicen claves seguras.

Y para terminar...

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo han colaborado con sus superpoderes el maldito Jorge Louzao, especialista en ciberseguridad.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.