MENÚ
¡Hola, malditos y malditas! Nos reunimos una semana más para responder a vuestras dudas tecnológicas: hoy tenemos otra ronda de información sobre datos personales, esta vez relacionado con coles o institutos, sobre aplicaciones poco fiables y también sobre ciberestafas (si alguna vez has recibido un correo raro firmado por tu jefe pidiéndote un envío de dinero, quédate por aquí).
Ya sabéis que estamos disponibles en el correo electrónico [email protected], en Twitter y en Facebook para apuntar vuestras preguntas. Si no, también podéis dejárnoslas en este formulario. ¡Vamos allá!
¿Es seguro que los datos personales de los menores los manejen multinacionales como Google o Microsoft en colegios o institutos?
Para esta pregunta no es posible dar una respuesta de sí o no, ya que hay multitud de factores que intervienen y hay que tener en cuenta. Empezando por que en España cada comunidad autónoma es la encargada de decidir qué programas informáticos utilizan en los colegios o los institutos, así que cada una es libre de usar Google, Microsoft u otra. En Andalucía o la Comunidad Valenciana, por ejemplo, se promueve el uso de herramientas de software libre en la enseñanza.
Para pasar de un sistema presencial a uno totalmente online, como requirió la pandemia, hace falta una infraestructura potente, capaz de aguantar a muchos usuarios conectados a la vez y con una serie de herramientas que faciliten las clases. Por eso algunas comunidades optaron por usar sistemas que grandes tecnológicas ya habían creado para esa labor, los de Google y Microsoft.
Ahora bien, que sea “seguro” o no confiar los datos personales de los menores que utilizan los programas a estas multinacionales no es una cuestión de blanco o negro, ya que estas empresas tienen que comprometerse a garantizar una infraestructura segura para esos datos (que ningún tercero vaya a poder acceder a ellos por una brecha de seguridad) y a cumplir con las políticas de acceso a los datos.
“Imagina que tengo unos muebles que quiero llevar a un guardamuebles. Voy a uno que me garantiza que no va a ver lo que estoy guardando y además que nadie puede entrar, a verlos ni cogerlos ni nada: son dos garantías diferentes. Si tú no me ofreces la segunda garantía, me tendré que llevar mis muebles a otro sitio”, pone como ejemplo a Maldita Tecnología Ofelia Tejerina, abogada y presidenta de la Asociación de Internautas.
Con esto se refiere a que el debate en torno a si es “seguro” que estas multinacionales traten los datos personales de menores de edad no se basa tanto en pensar que van a usarlos para sus propios beneficios sí o sí, sino más bien en que tienen que ajustarse a unas cláusulas que aseguren que uno, no van a rebuscar entre nuestros datos y dos, van a asegurarse que nadie más pueda hacerlo.
Para Tejerina, un contrato que asegurara esa circunstancia tendría que especificar al menos que se usa como “una herramienta técnica, que no almacena datos, que solo los trata para una cuestión técnica y necesaria para la prestación del servicio y de forma temporal”. O sea, que cuando los chavales terminan su horario lectivo, se pausara esa prestación del servicio y no hubiese procesamiento de datos, por ejemplo.
Ya sabemos que estáis pensando en términos de privacidad y en las críticas que reciben estas empresas por cómo manejan nuestros datos. La cuestión es, como recuerda esta abogada especializada, que a nivel técnico tienen los medios para monitorizar los contenidos que se suben a sus plataformas, pero se comprometen a no hacerlo. Por tanto, es algo que no podemos saber con certeza sin conocer su funcionamiento.
En el Centro de Seguridad y Privacidad del paquete de educación de Google, G Suite for Education, la empresa asegura que no accede a los datos de los estudiantes cuando usan los servicios incluidos en el paquete (Gmail, Calendar, Docs, Forms, Slides, Meet y Classroom), que si son menores de 13 solo pueden abrirse cuentas con el consentimiento de los padres o que los documentos subidos a Drive se encriptan. En el Aviso de Privacidad de este paquete avisan, eso sí, que del resto de servicios de Google (como YouTube o Maps, por ejemplo) sí se recogen datos, ya que aplican las normas generales.
Desde Google insisten a Maldita Tecnología que si se usan estos servicios con las cuentas de G Suite for Education, pueden mostrar anuncios contextuales, pero no se utiliza la información personal de los alumnos de escuelas primarias y secundarias para segmentar anuncios. En Nuevo México (Estados Unidos), Google se enfrenta a una denuncia del fiscal general del estado por supuestamente acceder a los datos personales de menores de 13 años y usarlos para sus propios fines.
Ya que preguntáis por Microsoft, esta empresa aglutina todos sus servicios en su Política de Privacidad y sobre su paquete Microsoft 365 para Educación asegura que no se usan los datos de los estudiantes para crear perfiles ni se venderán a terceros.
Además de preguntarnos por la seguridad de los datos de los estudiantes, nos habéis consultado por una norma europea que supuestamente prohibiría que se usasen herramientas de multinacionales estadounidenses en centros educativos. Independientemente de los servicios que se utilicen en un colegio o instituto, con lo que tiene que cumplir la empresa en materia de protección de datos a ese nivel es con el Reglamento General de Protección de Datos (RGPD).
Jorge Campanillas, abogado especializado en protección de datos, explica a Maldita Tecnología que por ejemplo la Comunidad de Madrid se excusó de no utilizar Google en que hace unos meses se anuló el acuerdo de tratamiento de datos entre Europa y Estados Unidos (llamado Privacy Shield) y aún está congelado. Este acuerdo es el que fijaba las cláusulas por las que se podían mandar datos a Estados Unidos (que es donde estas multinacionales tienen su sede).
Este abogado nos recuerda que la imposición de estas empresas en los centros educativos al final tiene otro objetivo que no está relacionado con los datos, sino con una estrategia comercial: “Quieren que nos acostumbremos a sus herramientas ofimáticas para que cuando los chavales sean más mayores sigan utilizando sus servicios porque son los que mejor conoce, no hay que olvidar esa parte tampoco”.
¿Qué pasaría si como padres no diéramos nuestro consentimiento para que nuestros hijos usaran estos programas? “Es cierto que si te puedes negar como padre o madre a dar el consentimiento para que un menor de edad utilice esas herramientas, pero luego la situación en el colegio puede ser un problema”, asegura Campanillas. Entre otras cosas, podría suponer una situación de discriminación para el menor afectado.
En otras ocasiones os hemos hablado del consentimiento para que empresas usen tus datos y también de cuándo deja de ser ‘libre’: si al final no puedo usar o acceder al servicio porque no doy mi consentimiento para que se traten mis datos para fines con los que no estoy de acuerdo, ya no es libre porque no tengo otra opción.
¿Es fiable la aplicación “Cashzine” que promociona una cadena de WhatsApp?
Nos habéis preguntado por una cadena de WhatsApp que circula animando a la gente a “ganar dinero” a través de una aplicación llamada “Cashzine”. Es un tipo de aplicación que promete recompensas por realizar ciertas tareas y en las tiendas de aplicaciones hay muchas parecidas. Os contamos qué sabemos sobre ella y si es fiable lo que propone.
¿Lo que te ganas no te alcanza?
¿Necesitas ingresos extra?
¿No te sale nada por más que buscas trabajo?
Porque entendemos tu situación te traemos la siguiente propuesta, piénsalo *no tienes nada que perder*, solo revisa la información y si te interesa sigue los pasos.
*Cashzine* es una app que te paga por ver y compartir noticias en tus redes sociales.
*OJO* Antes de pensar que son estafas, que te vamos a robar tus datos y demás tonterías ten en cuenta lo siguiente.
*1* Cuando los medios hablan de robo de información se refieren a que tú ingresas a enlaces de páginas web dudosas para hacer alguna compra por internet y tú colocas tus datos personales incluyendo tus tarjetas de crédito y resultan robandote.
Ten presente que aquí *NO* vas a comprar *nada* y en ningún momento te vamos a pedir datos personales para *nada* así que puedes estar seguro o segura.
*2* *No tienes que invertir nada*
No te vamos a pedir que nos consignes ningún tipo de dinero para que puedas trabajar
*3* *
Es una plataforma legal que puedes descargar en la Play store o en la AppStore, está disponible en varios países e idiomas y además es vigilado por la *Superintendencia de sociedades* también puedes ver su comentarios y la calificación de los usuarios antes de descargar la app en tu celular
*4* *
Te mostraré evidencias de que si pagamos, de que si se *trabaja* de verdad y te vamos a enseñar cómo trabajar por si eres nuevo en esto.
En la cadena, Cashzine se describe “como una app que te paga por ver y compartir noticias en tus redes sociales”. Las siguientes líneas se ocupan de convencer al que la recibe de que no van a robarle sus datos personales y que no son una estafa, pero esto no indica tampoco que sea cien por cien segura o fiable.
En cuanto al uso de datos del usuario, su Política de Privacidad ni siquiera incluye los datos del fabricante o el titular de la aplicación, sino que se remite a un email genérico en el que se puede pedir información. Este es un signo de que una política de datos no es adecuada: necesitamos conocer quién nos vende un producto y a quién nos podemos dirigir si necesitamos ejercer nuestros derechos de protección de datos.
Además, la aplicación pide que se ingresen datos bancarios, ya que los supuestos pagos por consumir noticias se harían a través de PayPal. ¿Y por qué supuestos? Digamos que la aplicación te promete “ganar dinero”, pero haciendo un repaso por la experiencia de otros usuarios que la han instalado, se ve que el beneficio es de apenas unos céntimos tras varias semanas de uso.
Hemos preguntado a un maldito que nos ha prestado sus superpoderes especialista en tiendas de aplicaciones y que ha investigado anteriormente el funcionamiento de este tipo de programas, Iván Linares. Este periodista lleva varios años siguiéndole la pista a este tipo de aplicaciones y asegura que las ve con más frecuencia en la Play Store de Google.
En otras ocasiones os hemos contado que entre la tienda de aplicaciones de Android y la de Apple, la App Store, suele haber diferencias porque la segunda compañía es más restrictiva a la hora de dejar que se suban aplicaciones a la tienda. La primera es más laxa y por ello pueden encontrarse aplicaciones que al final no son tan seguras.
Linares asegura que las hay que piden leer noticias, como Cashzine, que realmente lo que buscan es generar tráfico para determinadas piezas de contenido, pero también que ofrecen fondos por resolver encuestas, descargar juegos o incluso hacer ejercicio.
En este análisis del medio especializado en tecnología Xataka se pone nombre a muchas aplicaciones similares a “Cashzine” que prometen recompensas a cambio de reproducir vídeos, descargar aplicaciones patrocinadas, registrarse en campañas o hacer encuestas. Algunas aumentan el premio si además metemos nuestros datos personales, por ejemplo una cuenta bancaria (ojo a las políticas de datos para ver qué hacen con ellos).
“Resulta realmente complicado obtener una cantidad suficiente como para retirar el dinero de la cuenta: las aplicaciones de estilo ‘earn money’ (ganar dinero) suelen establecer un mínimo poco asumible. Por tanto, lo habitual es que el usuario se canse de realizar acciones antes de que llegue a obtener un monto suficiente como para retirarlo”, nos explica Linares. Eso y que, normalmente, distinguir las que son un fraude de las que no suele ser una tarea muy difícil para un usuario no acostumbrado.
Bajo su experiencia analizando este tipo de aplicaciones, Linares nos recomienda tres pasos: que haya un equipo de desarrollo reconocible es siempre una garantía; es recomendable analizar con lupa los comentarios para comprobar qué opiniones tienen los usuarios (y ser escépticos, ya que puede haber algunos falsos y hay que andar con cuidado): y también vigilar que los permisos de la aplicación no sean abusivos. Con todo, su recomendación es abstenerse de usar estas aplicaciones: “El esfuerzo no acostumbra a compensar”.
¿Cómo funciona ‘el fraude del CEO’: la ciberestafa en la que se hacen pasar por un jefe para encargar transferencias de dinero?
Quizás habréis oído hablar en estos días de una estafa que ha sufrido un grupo farmacéutico con sede en Galicia: suplantaron el correo electrónico del jefe de la empresa para pedir que se transfiriesen varias sumas de dinero. El empleado que recibía los correos accedió a las operaciones creyendo que las órdenes las daba su jefe. Por muy torpe que parezca esta acción, es un ciberataque común llamado el ‘fraude del CEO’ (fraude del director ejecutivo) y se lleva cuantías millonarias por delante.
¿En qué consiste exactamente? Es un fraude que mezcla técnicas de ingeniería social y phishing para conseguir que una persona con acceso a las cuentas de una empresa piense que su jefe le está encargando hacer un envío de dinero ligado a una operación. O en todo caso, que le proporcione datos bancarios de la empresa.
Para esto, los ciberatacantes tienen que contar con ciertos datos: al menos el nombre, correo electrónico y puesto de la víctima en la empresa, así como el nombre y correo electrónico del director ejecutivo. Este último dato es importante porque los ciberatacantes lo suelen copiar casi a la perfección para colar el engaño.
En muchos casos, el correo electrónico presenta algún pequeño fallo. Por ejemplo, que un caracter no se corresponda: en vez de una ‘l’ (letra ele), se utiliza una ‘I’ (una ‘i’ mayúscula). En otros, se suplanta directamente el dominio verdadero, una práctica llamada email spoofing. Sergio Carrasco, ingeniero de telecomunicaciones y especializado en ciberseguridad, nos explica que esto se consigue gracias a que algunos de los protocolos que hacen funcionar el envío de correos no tienen mecanismos de autentificación.
Este ingeniero nos pone un ejemplo: “Si tú usas un servidor ‘x’ para hacer un envío y dices que tu dirección es ‘[email protected]’, el servidor que recibe el mensaje revisa de qué servidor ha salido y hace un repaso por la lista de servidores que están autorizados para mandar correos desde direcciones con el dominio ‘maldita.es’. Piensa que puede haber varios: utilizas ese correo desde una cuenta de Google, a través de un servicio como Mailchimp para mandar listas, etc. y si no está en ninguna de esas, mirará los protocolos que ha establecido el dueño del dominio”.
Cuando esos protocolos no cuentan con los mecanismos de autenticación que comentábamos más arriba, el atacante puede hacer que el destinatario reciba un correo con un asunto o una dirección cambiada.
Una vez conseguido ese detalle, los ciberatacantes mandan un correo al empleado o empleada en cuestión pidiendo que lleve a cabo la operación. Suelen incluir motivos comunes: que es para “una operación muy importante en el extranjero”, que “requiere total confidencialidad” o que solo se puede “tramitar por mail”.
El éxito de la operación depende de varios factores, que van desde la perspicacia de los empleados que terminan siendo víctimas al grado de conocimiento de la dinámica de las empresas. Por ejemplo, el INCIBE cuenta en esta publicación el ejemplo real de una clínica de fisioterapia a la que intentaron engañar con este fraude. El ataque no dio resultado porque la persona que recibió el correo falso se dio cuenta de que su jefa nunca le pediría el número de cuenta bancaria para hacer una operación.
Algunas veces y dependiendo del proveedor de correo electrónico que se utilice, el mensaje falso puede acabar en la carpeta de Spam y el destinatario no se lo encontraría nunca. Sin embargo, esta técnica se va sofisticando con el tiempo y se busca que parezca lo más verídica posible, así que se van buscando nuevos formatos: por ejemplo, una invitación para Google Drive. El INCIBE también habla de esta técnica en este post.
Se ha hecho más frecuente en los últimos años. En España, por ejemplo, uno de los casos más sonados de ‘fraude del CEO’ es el de la Empresa Municipal de Transportes (EMT) de Valencia y ocurrió en 2019, con el que los ciberatacantes consiguieron que se transfiriesen hasta 4 millones de euros a una cuenta en Hong Kong
Por todo ello es conveniente formar a las personas para ser conscientes de esta posibilidad y que un error humano no les meta en un aprieto. El Instituto de Ciberseguridad da algunas recomendaciones: prestar atención a la ortografía del mensaje, verificar siempre el remitente del correo cuando pidan esta clase de transacciones por email, nunca abrir enlaces que nos manden desconocidos o descargar archivos adjuntos.
¡Un segundito más!
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo ha colaborado con sus superpoderes el maldito Iván Linares.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 08/12/2020.
