Datos personales en Internet: ¿una cuestión de privacidad o de seguridad?
“Google nos conoce mejor que nuestra propia madre”. Éste es el comentario generalizado que todo el mundo hace cuando se habla del gigante americano. Y creo que literalmente es así.
Y no sólo Google tiene una cantidad ingente de información sobre cada uno de nosotros, sino también empresas como Facebook, LinkedIn, Whatsapp, Microsoft, etc. a las que cedemos gratuitamente nuestros datos personales a cambio de utilizar su servicio. Pero… ¿cuál es el precio de nuestros datos personales? Shawn Buckles se hizo exactamente la misma pregunta a principios de año y puso a la venta los suyos. Tras una subasta de varias semanas, obtuvo 350 euros, lo que nos da una idea del negocio que generamos para las grandes compañías de Internet. Sólo hay que hacer la multiplicación.
Otro claro ejemplo del valor de los datos personales se ha puesto de manifiesto con la compra de Whatsapp por parte de Facebook. Pero, ¿qué datos de nuestra identidad digital tienen las diferentes compañías que ofrecen servicios en Internet? He intentado hacer el ejercicio con alguna de ellas.
Por ejemplo, Linkedin conoce nuestra dirección de correo, la IP y geolocalización desde la que nos conectamos, la empresa en la que trabajamos y posiblemente la universidad en la que estudiamos. Whatsapp nuestro número de teléfono móvil, la IP y geolocalización desde la que nos conectamos y, en determinadas ocasiones. puede conocer nuestra posición GPS.
Pero dado que no estamos solos en el mundo, las grandes compañías de Internet no sólo tienen información de las diferentes identidades digitales que utilizan sus servicios, sino también de las relaciones existentes entre todas ellas:
Compañeros de trabajo:
Si hiciéramos zoom en alguna parte del mismo, podríamos
obtener algo similar al siguiente grafo, en el que los números
representan las identidades digitales y las líneas, las interrelaciones
entre ellas:
Si tenemos en cuenta que la Universidad de Milán ha realizado un estudio en el que asegura que la distancia entre dos personas cualesquiera del mundo se reduce a 4,74 pasos (3 si son del mismo país), ¿qué ocurriría si esta información cayera en manos de una persona u organización con fines “oscuros”? La respuesta es bien sencilla: en 4,74 pasos podría llegar a comprometer -hipotéticamente- a cualquier persona del planeta.
Si nos pusiéramos en el lugar del potencial atacante y tuviésemos en cuenta los diferentes tipos de relación, si quisiéramos realizar un ataque sobre la identidad digital 10 y ésta estuviera fuertemente protegida, lo más plausible sería atacar a 2, 11 o 16 y desde allí lanzar un ataque dirigido a 10. Y si estas tres identidades tampoco fueran vulnerables, podría probar el siguiente nivel (3, 15, 18, 21) y así sucesivamente ir bajando de nivel hasta encontrar un eslabón vulnerable que le permitiera progresar en el ataque. Esta metodología se puede observar gráficamente en la siguiente figura:
Aunque esta metodología de ataque es real, parece poco probable que un tercero se haga con toda esta información tan bien custodiada por las grandes compañías de Internet (o que éstas se la cedan voluntariamente a un tercero). Supongo que tan improbable como que alguien robe 110 millones de tarjetas de crédito a través de un simple TPV o como que las comunicaciones cifradas de medio mundo puedan ser espiadas por culpa de unas cuantas líneas de código mal tiradas.
Imagen apertura: stockmonkeys y primer gráfico: Jurvetson
Articulo publicado en http://www.aunclicdelastic.com/datos-personales-en-internet-una-cuestion-de-privacidad-o-de-seguridad/
Link: http://bit.ly/VDRmKa
Y no sólo Google tiene una cantidad ingente de información sobre cada uno de nosotros, sino también empresas como Facebook, LinkedIn, Whatsapp, Microsoft, etc. a las que cedemos gratuitamente nuestros datos personales a cambio de utilizar su servicio. Pero… ¿cuál es el precio de nuestros datos personales? Shawn Buckles se hizo exactamente la misma pregunta a principios de año y puso a la venta los suyos. Tras una subasta de varias semanas, obtuvo 350 euros, lo que nos da una idea del negocio que generamos para las grandes compañías de Internet. Sólo hay que hacer la multiplicación.
Otro claro ejemplo del valor de los datos personales se ha puesto de manifiesto con la compra de Whatsapp por parte de Facebook. Pero, ¿qué datos de nuestra identidad digital tienen las diferentes compañías que ofrecen servicios en Internet? He intentado hacer el ejercicio con alguna de ellas.
Por ejemplo, Linkedin conoce nuestra dirección de correo, la IP y geolocalización desde la que nos conectamos, la empresa en la que trabajamos y posiblemente la universidad en la que estudiamos. Whatsapp nuestro número de teléfono móvil, la IP y geolocalización desde la que nos conectamos y, en determinadas ocasiones. puede conocer nuestra posición GPS.
Pero dado que no estamos solos en el mundo, las grandes compañías de Internet no sólo tienen información de las diferentes identidades digitales que utilizan sus servicios, sino también de las relaciones existentes entre todas ellas:
Compañeros de trabajo:
- Al pertener a la misma empresa, comparten localización, posición e IP durante el horario laboral.
- Están habitualmente conectados entre sí en redes profesionales
- Pueden hablar frecuentemente entre sí por teléfono durante el horario laboral, pero no fuera de ese horario ni durante el fin de semana.
- Se envían correos y whatsapps frecuentemente dentro del horario laboral, pero no fuera de ese horario ni durante el fin de semana.
- Al compartir universidad/instituto comparten también localización, posición e IP durante el horario lectivo.
- Comparten universidad/instituto
- Hablan frecuentemente entre sí por teléfono a cualquier hora del día, incluídos fines de semana.
- Tienen grupos comunes
- Son amigos en redes sociales
- Se envían correos y whatsapss frecuentemente y a cualquier hora del día.
- Desde las 22:00 a las 7:00 horas aproximadamente comparten localización, posición e IP
- Hablan frecuentemente entre sí por teléfono a cualquier hora del día, incluídos fines de semana.
- Tienen grupos comunes y son amigos y/o familiares en redes sociales
- Se envían correos y whatsapps frecuentemente y a cualquier hora del día
- Hablan frecuentemente entre sí por teléfono a cualquier hora del día, incluidos fines de semana.
- Tienen grupos comunes y son amigos en redes sociales
- Comparten posición durante los fines de semana.
- Se envían correos y whatsapps frecuentemente y a cualquier hora del día.
- Conector grueso para comunicaciones muy frecuentes
- Conector azul: relación de compañeros de trabajo
- Conector morado: relación de amistad
- Conector rojo: relación familiar
- Conector verde: relación de compañeros de universidad/instituto
Si tenemos en cuenta que la Universidad de Milán ha realizado un estudio en el que asegura que la distancia entre dos personas cualesquiera del mundo se reduce a 4,74 pasos (3 si son del mismo país), ¿qué ocurriría si esta información cayera en manos de una persona u organización con fines “oscuros”? La respuesta es bien sencilla: en 4,74 pasos podría llegar a comprometer -hipotéticamente- a cualquier persona del planeta.
Si nos pusiéramos en el lugar del potencial atacante y tuviésemos en cuenta los diferentes tipos de relación, si quisiéramos realizar un ataque sobre la identidad digital 10 y ésta estuviera fuertemente protegida, lo más plausible sería atacar a 2, 11 o 16 y desde allí lanzar un ataque dirigido a 10. Y si estas tres identidades tampoco fueran vulnerables, podría probar el siguiente nivel (3, 15, 18, 21) y así sucesivamente ir bajando de nivel hasta encontrar un eslabón vulnerable que le permitiera progresar en el ataque. Esta metodología se puede observar gráficamente en la siguiente figura:
Aunque esta metodología de ataque es real, parece poco probable que un tercero se haga con toda esta información tan bien custodiada por las grandes compañías de Internet (o que éstas se la cedan voluntariamente a un tercero). Supongo que tan improbable como que alguien robe 110 millones de tarjetas de crédito a través de un simple TPV o como que las comunicaciones cifradas de medio mundo puedan ser espiadas por culpa de unas cuantas líneas de código mal tiradas.
Imagen apertura: stockmonkeys y primer gráfico: Jurvetson
Articulo publicado en http://www.aunclicdelastic.com/datos-personales-en-internet-una-cuestion-de-privacidad-o-de-seguridad/
Link: http://bit.ly/VDRmKa
No hay comentarios:
Publicar un comentario