Riesgos y criterios de seguridad en el uso de las TIC (en el mundo educativo)

1. Uso ético y seguro de las TIC
En el mundo educativo

2. Presentación
 Andoni Eguíluz
◦ UD / DeustoTech Learning
◦ gizer.net
◦ andoni.eguiluz@deusto.es
 Diapos: http://bit.ly/seged201505

3. Propuesta de sesión
 Seguridad en las TIC
◦ 1. Entender los riesgos
◦ 2. Conocer buenas prácticas
 (Cómo ser más seguro)
◦ 3. Legalidad
◦ 4.Algunos recursos

4. 1. Riesgos
 Conozcamos al enemigo...
http://economia.elpais.com/economia/2015/03/31/actualidad/1427822629_728895.html

5. ¿Qué hay que proteger?
 La caja fuerte en los 50...
◦ ...dónde está ahora la "caja fuerte"?
 El dinero, las escrituras, los planos...
◦ ... todo es digital

6. Objetivo de la seguridad digital
 Proteger la información

7. ¿De quién nos protegemos?
◦ Los ladrones - ciberdelincuentes
◦ Los hackers (más o menos éticos)
◦ Los malintencionados
◦ Los despistados
◦ Who watches the watcher?

8. ¿Por qué el cibercrimen?
 Robos de bancos USA:
◦ 20M $ / 5-10 ladrones muertos
 Phising USA:
◦ 2.000M $ / 0 muertos
 Algunas estadísticas ponen a la par a nivel
mundial cibercrimen y mercado de droga

9. Algunos handicaps
 Somos vulnerables en Internet
 Estamos poco concienciados
◦ (somos muy imprudentes)
 Crece la sofisticación de los ataques, su
frecuencia, los atacantes
◦ El cibercrimen tiene muchos recursos
 Problemas de jurisdicción y vacíos legales
 Toda la innovación tecnológica...
◦ ... permite mucha "innovación" del delito

10. Inseguridad Internet 2013
◦ + 91% en ataques dirigidos
◦ fugas de datos + 62%
 552 M identidades expuestas
◦ 23 vulnerabilidades de día cero
◦ 38% de usuarios móviles víctimas cibercrimen
◦ 1 de cada 392 emails es un mensaje fraudulento o
phishing
◦ Ataques basados en la web + 23%
◦ 1 de cada 8 sitios web legítimos tiene
vulnerabilidades críticas
http://www.symantec.com/es/es/security_response/publications/threatreport.jsp

11. Daños en el Estado
 (Fte: Incibe)
70.000 ciberataques
en 2014

12. ¿"Atacar" es cosa de expertos?
http://energyskeptic.com/2014/terrorism-and-the-electric-power-grid/

13. Tipos de atacantes?
 Algunas estimaciones...
◦ Cibercriminales --1%
◦ Profesionales -- 5%
◦ Aficionados > 90%
 Cualquier desaprensivo puede realizar un
ataque

14. ¿Por qué se ataca?
http://www.slideshare.net/Radware/ert-2011-annualreportfinal

15. Algunos principios
 1. ¿Hay seguridad completa?
◦ No
 2. ¿Cuánto nos tenemos que gastar?
◦ Cualquier importe es posible

16. Algunos principios (2)
 ¿Cuánto nos gastamos entonces?
◦ Riesgo = valor pérdida * prob. de ocurrir
 Valor pérdida = coste recuperación +
tiempo perdido + negocio perdido
◦ Inversión en seguridad: disminuye la prob.
 Relación coste riesgo / coste seguridad

17. Algunos principios (3)
 3. ¿Cuándo nos preocupamos?
◦ ¿No era mejor prevenir que curar?

18. Algunos principios (4)
 ¿Qué son las medidas de seguridad?
◦ Reducen la probabilidad del riesgo
◦ Requieren ser conocidas y utilizadas
 Estorban, incomodan
 Por acción (ej.: mejorar contraseñas) u
omisión (ej.: no instalar software
desconocido)
 La persona es siempre el eslabón más
débil...

19. Elementos de la seguridad
 Privacidad/confidencialidad
◦ Solo accede quien debe hacerlo
 Integridad
◦ Siempre está todo y solo lo que debe estar
(no se puede modificar)
 Disponibilidad
◦ Siempre se puede acceder

20. Concretando riesgos
◦ Hay muchas variantes y muchos tecnicismos...
veamos los más significativos

21. Navegación y privacidad
 La web era anónima...
www.washingtonpost.com/blogs/comic-riffs/post/nobody-knows-youre-a-dog-as-iconic-internet-cartoon-turns-20-creator-peter-steiner-knows-the-
joke-rings-as-relevant-as-ever/2013/07/31/73372600-f98d-11e2-8e84-c56731a202fb_blog.html

22. Navegación y privacidad (2)
 ... pero eran otros tiempos

23. Privacidad: cookies (1)
 Textos que envía una web, que se guardan
en el navegador de un dispositivo
◦ Facilitan la navegación en un sitio web
 Menos identificaciones
 Recuerdo de opciones, configuración...
 De sesión / persistentes (con caducidad)
◦ Peligro: acceso de otros a info. guardada
 Información privada, previa, potencialmente
peligrosa
 En inicio un sitio solo accede a "sus" cookies

24. ¿Cuánto dicen los cookies? (2)
 Ejercicio:
◦ Accede a los cookies de tu navegador
◦ ¿Cómo sería de peligroso que se
comprometiera esta información?
◦ Firefox: Opciones | Privacidad | Eliminar
cookies de forma individual
◦ Chrome: Configuración | Mostrar opciones
avanzadas... | Privacidad | Configuración de
contenido | Todas las cookies ...
 Combina con: www.stayinvisible.com/

25. Riesgos de los cookies (3)
 Las cookies no son peligrosas en sí, son
solo datos. Pero sí hay riesgos:
◦ Robo de cookies
◦ Cross-Site Scripting (XSS)
 (¿Y si se identifican como si fuera yo?)
◦ ¡Y ojo a los ordenadores compartidos!
 Lo que facilita la vida a un usuario... puede ser una
bicoca para el siguiente

26. Privacidad: webs/RRSS
http://backgroundchecks.org/infographic-how-facebook-google-and-apple-track-you-html.html

27. Otros peligros de las RRSS
 "Linchamientos virtuales": el caso de
Justine Sacco
http://tecnologia.elpais.com/tecnologia/2015/03/27/actualidad/1427463790_681602.html

28. Malware (software malicioso)
◦ Se instala sin consentimiento
◦ Su intención es dañar/robar/estorbar...
◦ Diferentes tipos:
 Virus
 Gusanos
 Troyanos
 spyware
 adware ...
◦ Se crean decenas de miles al día!

29. Virus y gusanos
 Soft "infecciosos" que al ejecutarse se
copian en otros programas o equipos
◦ Primer objetivo: reproducirse
◦ Segundo objetivo: dañar (directa o indir.)
 El virus se ejecuta por el usuario, el
gusano automáticamente
◦ (gusano: vulnerabilidades red/SO/equipos)

30. Puerta trasera (backdoor)
 Método para evitar autenticación
 Tras un ataque, se deja para facilitar el
acceso y ataques posteriores

31. Troyanos
 Soft que hacen otra cosa que la q parece
 Malware que permite la administración
remota del equipo, de forma oculta
◦ Efectos muy perniciosos
◦ Algunos tipos:
 botnet
 dialer
 keylogger
 password stealer
 ...

32. ¿Cómo llega un troyano?
 Email, como fichero adjunto.
 Programas p2p: emule, edonkey… en
películas, música, cracks, etc.
 En chats, como demos, juegos, chistes...
 Pop-ups anunciando falsos antivirus,
juegos online, …
 En webs infectadas

33. Ejemplo de infección

34. Ejemplo de troyano:
CryptoLocker ("ransomware")
◦ Llega por email - adjunto que se ejecuta
◦ Rastrea discos y unidades de red
◦ Cifra los ficheros -con uno de los sistemas
más seguros-, y ya no se puede acceder
◦ Hay que pagar "rescate" para recuperarlos

39. Botnets
 Redes "zombies"
◦ Industria en torno a los botnets
◦ Miles de equipos infectados sin notarlo (troyanos)
◦ Se "alquilan" servicios desde la red
 Posibles motivos:
◦ Envío de spam
◦ Ataques a servidores
◦ ...
 Ejercicio: www.osi.es/es/servicio-antibotnet

40. Denegación de servicio
 Buscan evitar que el servidor atacado
pueda dar un servicio normalizado
◦ Bloqueando-saturando el servidor
◦ Se suelen usar botnets

41. Vulnerabilidades
 Software servidores/navegadores/SOs...
 Fallos en software que permiten ataques
◦ Se descubre (suficiente una persona)
◦ Se explota (expertos) [exploit]
◦ Se revela y utiliza (técnicos)
◦ Se incluye en herramientas automáticas
(aficionados)
◦ Se publican los parches
◦ Se aplican los parches... poco a poco

42. Vulnerabilidades (2)
 ¡Es una carrera contra el tiempo!

43. Escaneo de puertos
 Cada puerto de un servidor es un
servicio preparado para la conexión
◦ Cuantos más abiertos, más servicios
conocidos, más posibles vulnerabilidades

44. Deface
 Se modifica la página web de una entidad
 Afecta a la identidad y a la imagen pública
 Se aprovecha alguna vulnerabilidad o
descuido del administrador
 Historia... www.zone-h.org - archive

45. Sniffing
 Por defecto las comunicaciones son
abiertas: emails, navegación... sin encriptar
 Un sniffer es un programa que "olfatea"
(escucha) todas las comunicaciones que
ocurren, sin interferir
◦ Si están sin cifrar, puede entresacar usuarios y
claves
◦ Si están cifradas, no se entienden los datos
 Gran problema en wifis "abiertas"

46. Ingeniería social
 Aprovechar la buena voluntad o
desconocimiento para sonsacar
información de un usuario
◦ A veces el propio usuario la "regala"
◦ Orientada a conseguir contraseñas

47. I.S.: Phising
 Suplantación de identidad
◦ Engaño por email, mensaje, teléfono
◦ Se entra en la web falsa
 Que parece verdadera
 Dominios similares, diferencias difíciles de percibir,
equívocos, símbolos parecidos...
 Se pide identificación
 Y el atacante se queda con los datos
◦ Sofisticación creciente
 Suelen partir de spam: pequeño % - gran robo

49. I.S.: Los timos aún existen
 Muchos de los ataques tienen que ver con
"cebos" que se han usado siempre, desde
la estampita. Ejemplos:
◦ El príncipe africano
◦ El cheque regalo de amazon
◦ Las llamadas de voz gratis de whatsapp
◦ Desactivar el doble check azul whatsapp
◦ Apps espías
◦ ...
http://www.elcorreo.com/bizkaia/sociedad/201504/19/estafadores-tambien-usan-whatsapp-20150417130838.html

50. Blanqueo: Las mulas (drops)
http://www.muycomputerpro.com/2014/06/27/luuuk

51. APT
 Amenazas Persistentes Avanzadas
◦ Contra una entidad particular
◦ Utilizando I.S. y diversas técnicas combinadas

52. SPAM
 Correo no solicitado
 > 70% del email mundial es SPAM
 Los servidores filtran mucho
◦ Falsos positivos

53. Hoaxes (bulos)
 Falsas alertas de virus
(1994) ¡Cuidado! Si llega un mensaje titulado 'Good
Times', simplemente leyéndolo, el virus malicioso actúa
y puede borrar todos los contenidos del disco duro
 Falsos avisos - leyendas urbanas
 Mensajes de cadena ...
 Objetivos?
◦ Colapsar la red
◦ Recopilar emails
◦ Ataques personales

54. Muchos ataques técnicos...
 SQL injection
 Spoofing
 Hijacking
 ...
 La deep web, el mercado negro

55. Movilidad, nuevos riesgos
 Uso de canales inseguros (wifi abiertas)
 Localización en apps
 Fotos privadas, localización, protección
 Malware para dispositivos móviles
◦ Ojo con el jailbrek/rooted
 Área en expansión...

56. La nube: pros
 Ordenador - digitalización - comunicación
 CPD - Nube (CPD "fuera")
 Pros:
◦ Menos inversión en CPD, backups, SAIs...
◦ Menos coste administración sistemas
◦ Simplificación de software + plataforma
◦ Accesible 24/7, fiable contra pérdidas
◦ Escalable en espacio y calidad de servicio

57. La nube: riesgos
 Los datos "no están" aquí
◦ Incluso ilegal - convenios, contratos
 Cada dato pasa por el canal de comun.
◦ Imprescindible la seguridad al máximo en las
comunicaciones
 Dependencia tecnológica / comun.
 Confianza máxima en el proveedor
◦ ¿Somos mejores gestores de seguridad
informática que... google?

59. Y el mayor peligro de todos...
 ¡Nosotros!
◦ Dejadez, desconocimiento, falta de tiempo
◦ Cuentas abandonadas, desprotegidas
◦ Mala gestión de passwords
◦ Sesiones abiertas, equipos sin apagar
◦ ...
◦ Y si además hay mala fe...

60. 2. Buenas prácticas
 Una larga lista... hablemos de algunas
 Trasversal a todas:
◦ Formación básica
◦ Sentido común
◦ Protocolos (si existen)

61. Si te infectas...
 Desconectar el equipo de la red
 Apagarlo y acudir al servicio especializado
◦ Unos minutos pueden diferenciar miles de
ficheros contaminados o no
 Servicio técnico
◦ Eliminar el virus con un arranque limpio
◦ En casos graves, formatear el equipo

62. Consejos básicos
 Política de backup
◦ ¿En la nube? ¿En disco duro externo? ¿En
servidor de red?
 Dos mejor que una
 Backup con conexión y desconexión dificulta
infección a troyanos
◦ También con encriptado
 Configuración de parches de seguridad
 Mostrar extensión de archivos (confusión
ejecutables con los que no lo son)

63. Consejos básicos (2)
 Protección de pantalla/suspensión rápida
◦ Protegida por contraseña
 No dejar el equipo abierto
 No instalar soft de origen desconocido
 Cuidado con los pendrives (no pasan por
el control estándar que tenga la entidad)
 Cuidado con P2P

64. Seguros pero educados: netiqueta
 Del francés étiquette (buena educación) y
del inglés net (red)
 Conjunto de pautas que se entienden por
buen comportamiento en Internet
◦ Una adaptación de reglas de etiqueta de la
realidad al ambiente virtual
 Soberanía del autor
 Complementariedad de los comentarios
 Veracidad de la identidad del comentarista
Please do not feed the troll

65. Netiqueta (2)
 NO ESCRIBIR GRITANDO!
 No abusar de los colores
 Educación! No insultos, saludar, despedir...
 No enviar cadenas de mensajes
 Elegir con cuidado receptores (el tiempo
es oro, el de los demás también)
◦ Ocultar los receptores en grupos! BCC
 Pedir permiso antes de subir fotos/textos
 ...

66. Antivirus / antimalware
 No protegen tanto como antes
◦ Ataques dirigidos - creciendo
 Pero deben seguirse utilizando
◦ Evitan muchos "contagios"
◦ Función de cuarentena (heurísticas)
◦ A pesar de recursos, falsos positivos
◦ También en los móviles y en las tablets
◦ Siempre actualizado

67. Email
 Nunca ejecutar adjuntos
◦ La importante diferencia entre datos y código
◦ Ojo con las extensiones simuladas
 Cifrar el correo si es posible
◦ ¡Y sobre todo si es necesario!

68. Passwords (1)
 Las contraseñas más habituales de 2014...
123456 dragon
password football
12345 1234567
12345678 monkey
qwerty letmein
123456789 abc123
1234 111111
baseball ... (y el nombre)
http://gizmodo.com/the-25-most-popular-passwords-of-2014-were-all-doomed-1680596951

69. Passwords (2)
 Contraseñas diferentes para servicios
diferentes
◦ Si no "robado uno, robados todos"
 Algunas pautas:
 Suficiente longitud (>8 cars... mejor 14)
 Combinar may/min, nums, cars. especiales.
 Con ninguna información personal
 Sin palabras completas en ningún idioma
 No obvia. No en postit. No en cartera
 Cambiar cada cierto tiempo

70. Passwords (3)
 Posible criterio para recordar:
◦ Juegos de palabras con frases completas
dcQéaytdéQée
◦ Cambio/inserción de algunos dígitos/símbolos
dc#1Qéaytdé#4Qée
◦ Subcódigos para categoría/sitio web
fBdc#1Qéaytdé#4QéeRS
(mejor si no son obvios)
feisdc#1Qéaytdé#4QéeRS

71. Passwords (4)
 Ser hábiles con las preguntas de
protección

72. Passwords (5)
 Servicios de gestión de contraseñas
◦ Ser especialmente cuidadoso
◦ Algunos servicios en la nube:
 LastPass, Dashlane, 1Password, Mitro, LoginBox,
KeePass, Roboform, PassPack ...
◦ Gestor local? Doc? protección máxima!
◦ No está de más usar una codificación adicional
que solo sepamos nosotros
feisxdc#1Qéaywtdé#4QéeRS
◦ Passw empresa... ¡privacidad compartida!
 Y de vez en cuando... ¡cambiemos passw!

73. https://xkcd.com/936/

74. Navegación
 Desactivar cookies... más o menos
◦ Firefox: Opciones | Privacidad | Config.
personalizada para el historial
◦ Chrome: Configuración | Mostrar opciones
avanzadas | Privacidad | Config. de contenido |
Cookies
 Ejercicio: ¿cómo se navega sin cookies?

75. Navegación (2)
 Navegar con https si es posible (cifrado)
◦ ¿"El certificado no es de confianza"?
 Entidad sospechosa
 A veces las entidades no están pendientes y se les
caducan los certificados
 Pero mejor extremar la precaución

76. Navegación (3)
 Navegar de forma privada (modo
"incógnito", navegación "privada").
◦ Se navega con cookies pero se borran
automáticamente para la siguiente sesión de
navegación, no se mezclan con las cookies del
modo normal
◦ Tampoco se guarda el historial
◦ Ideal para equipos compartidos

77. Si compras mucho online...
 Con tarjeta financiera:
◦ Bancos con clave adicional de seguridad
◦ Tarjetas con límite de pago
◦ Configurar SMS de aviso de cobro
 (Alerta temprana)
◦ Vigilancia frecuente de tarjeta
 Configurar otras cuentas con límite de
pago (paypal, google checkout)

78. Conexión a la red
 Conectarse por cable preferiblemente
 No conectarse a wifis abiertas
◦ Si no hay más remedio, evitar accesos con
usuario/password, especialmente a servicios
críticos. Desactivar cookies.
 Si creamos wifis, usar siempre encriptado
◦ WEP muy débil. Mejor WPA, mejor WPA2 con
cifrado AES
 Con contraseña fuerte (> 15 cars.)
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf

79. Servicios electrónicos
 Banca y otros servicios delicados
◦ Elegir siempre doble verificación (mejor
por móvil, tb por email, peor tarjs claves)
 Login en google
 Validación operación en banca electrónica
 Limita el impacto del phising
y otros ataques similares.Tb
keyloggers...
 Combinado con teclados en
pantalla

80. Certificados y DNI electrónico
 Todavía no es fácil/accesible.
◦ Gran herramienta: firma digital, cifrado.
◦ España es de los países con + DNIe
◦ Pero se usa muy poco
 Autenticación muy segura, si hay confianza
con el emisor:
◦ Autoridad certificadora
 Hasta la biometría, es un gran paso...

81. Ingeniería social
 Nunca...
◦ Dar contraseñas
◦ Hacer caso a cadenas de emails
 En peticiones de información privada,
siempre verificar persona y uso
 ¡Sentido común!

82. Privacidad en redes sociales
 Ser prudente

83. Privacidad en redes sociales (2)

86. Privacidad en redes sociales (3)
 ¿Cuántos amigos tienes?
◦ Utilizar bien las listas de amigos en facebook /
círculos en google+
◦ Publicar con atención a la visibilidad
 ¿Qué información tenemos pública?
◦ Nunca publicar algo que no queremos que no
se conozca...
 Confiamos en un amigo pero... ¿en quién confía él?
¿cuál es su gestión de la seguridad?

87. Fuga de información
https://www.elevenpaths.com/services/html_es/metashield.html

88. Dispositivos móviles
 No "rootear" el móvil/tablet
 No usar wifis abiertas (aunque no
vayamos a hacer nada "peligroso")
 No localización en (casi) todas las apps
◦ Ser restrictivos con los permisos
 Mucho ojo con las fotos (metadatos)
https://preyproject.com/

89. Dispositivos móviles (2)
 El robo en un móvil/tablet/portátil es más
posible que en un fijo
◦ Cifrado de la información (si es crítica la
confidencialidad)
 Ej.Android: EDS Lite
 Ej.Windows: BitLocker
 Ej. iOS: Splash ID
 Para uso en espacio permanente, pueden
instalarse sistemas físicos

90. Dispositivos móviles (3)
 Localización-desactivación tras robo
◦ preyproject.com / mobile me

91. Y los administradores...
 Firewall (cortafuegos)
◦ Bloquear y permitir comunicaciones
 Filtros antispam (tb. usuarios)
 Configurar bien los permisos de usuario
 Vigilancia / monitorización de recursos,
conexiones, servicio, logs
 Bloqueo y control de puertos
 Duplicación y backup de datos/servicios
 Parches, foros, info vulnerabilidades/amenazas
 https (SSL) en los servidores propios!

92. 3. Legalidad
 Referencias a algunas leyes
◦ más o menos relacionadas con seguridad y
privacidad

93. Marco legal
Derecho al honor, a la intimidad personal y familiar y a la propia imagen
● Derecho al honor
o Puede definirse como el aprecio o estima que una persona
tiene en un contexto social determinado
o En Internet este derecho protege a la persona frente a
agresiones como la publicación de noticias u opiniones que lo
hagan desmerecer socialmente
Fuente: http://joserocanacion.blogspot.com.es/2013/07/derecho-al-honor-la-honra-buena.html

94. Marco legal
Derecho al honor, a la intimidad personal y familiar y a la propia imagen (II)
● Derecho a la intimidad
o El derecho protege una esfera privada de la cual el individuo
puede libremente excluir a terceros, e impedir intromisiones
en un ámbito reducido de relaciones personales
o En el ámbito de servicios como las redes sociales, la
intimidad de los usuarios puede verse fácilmente
vulnerada, puesto que las informaciones traspasan
con frecuencia el círculo de relaciones personales del
titular, saliendo del anonimato

95. Marco legal
Derecho al honor, a la intimidad personal y familiar y a la propia imagen (III)
● Derecho a la propia imagen
o Protege los atributos más característicos, propios e
inmediatos como son la imagen física, la voz o el nombre
o El derecho a la propia imagen confiere un poder de
disposición respecto de cualquier uso que terceros quieran
realizar de estos atributos, ya que se requiere el
consentimiento del afectado
o En la práctica, desde el momento que cualquier información
se publica en la Red, incluida la imagen personal, el individuo
pierde el control sobre ella

96. Marco legal
Derecho de información y libertad de expresión versus derecho a la propia
imagen, a la intimidad y al honor
● Una de las aportaciones más significativas de la Web
2.0 ha sido democratizar el ejercicio del derecho a
la información y la libertad de expresión recogidos
en el artículo 20 de la Constitución
● Esto provoca la transferencia de una parte sustancial
de la reputación personal al resto de usuarios a través
de canales colaborativos

97. Marco legal
Derecho de información y libertad de expresión versus derecho a la propia
imagen, a la intimidad y al honor (II)
● La libertad de información permite a las personas
publicar noticias, siempre que las informaciones
sean ciertas, es decir, que hayan sido verificadas o
comprobadas y que tengan relevancia pública,
derivada de la importancia social de la noticia
● La relevancia puede venir dada por el interés de la
persona objeto de la noticia

98. Marco legal
Derecho de información y libertad de expresión versus derecho a la propia
imagen, a la intimidad y al honor (III)
● Por su parte, la libertad de expresión:
o Se refiere a la publicación de pensamientos, ideas u
opiniones, que suponen una valoración subjetiva de la
realidad
Fuente: http://objetivismo.org/category/subjetivismo/

99. Marco legal
Comparación
● El ejercicio de estas libertades, especialmente de la
libertad de expresión, puede chocar con los
derechos de la personalidad (al honor, intimidad y
propia imagen) que asisten a todos los individuos
fuera y dentro de Internet
o Con el factor añadido del poder de difusión de los contenidos
en este medio, que puede ampliar los efectos negativos de un
ataque a estos derechos. Por ello, existen unos límites a la
publicación de información.

100. Marco legal
Comparación (II)
● El primero de los límites es respetar la dignidad de
las personas y no atentar contra ella por medio de la
calumnia o la injuria
● Estas figuras, que forman parte de los delitos de
prensa, se aplican igualmente en Internet,
teniendo en cuenta que quien propaga una
información se convierte en "difusor" de la misma,
pudiendo dañar la imagen de una persona a la cual
muchas veces ni siquiera conoce

101. Marco legal
Comparación (III)
● La calumnia consiste en la imputación de un delito
hecha con conocimiento de su falsedad o temerario
desprecio hacia la verdad (artículo 205 del Código
Penal)
Fuente: http://laindependet.blogspot.com.es/2013/01/la-calumnia.html

102. Marco legal
Comparación (IV)
● La injuria es la acción o expresión que lesionan la
dignidad de otra persona, menoscabando su fama o
atentando contra su propia estimación (artículo 208
del Código Penal)
Fuente: http://derechopublicomd.blogspot.com.es/2014/07/libertad-de-expresion-injuria-y.html

103. Marco legal
Comparación (V)
● En segundo lugar, la intimidad de cada usuario es una
barrera cada vez más débil a favor de lo público
● De hecho, el principio de las redes sociales es
animar a los usuarios a compartir información
sobre su vida privada y generar conversación,
redistribuyendo y diluyendo informaciones privadas
de otros más allá del grupo de contactos directos del
titular de la información

104. Marco legal
Comparación (VI)
● Por último, a la hora de utilizar materiales de terceros
sin autorización el límite lo constituyen los derechos
de autor que puedan afectar a la obra en cuestión,
con el consiguiente daño a la reputación online del
creador
Fuente: http://www.taringa.net/posts/info/15148561/Twitter-elimina-casi-6-mil-tuits-por-derechos-de-autor.html

105. Marco legal
Comparación (VII)
● Es lícito hacer alusión a noticias de terceros y publicar
referencias citando el origen (reportaje neutral)
● Así, se puede elaborar un post sobre un tema tratado
en la prensa, pero no copiar literalmente noticias
sin permiso de sus titulares

106. Marco legal
Comparación (VIII)
● Puede reproducirse parcialmente un texto, por
ejemplo como cita que ilustra un post, siempre que se
reconozca la autoría
o No se permite la reproducción íntegra de materiales ajenos,
salvo que no estén sujetos a derechos de autor
o No está permitido reproducir libremente cualquier fotografía
obtenida en Internet, ya que puede estar sujeta a derechos de
autor

107. Marco legal
Derecho fundamental a la protección de datos
● A nivel europeo, la Directiva 95/46/CE es la norma
de referencia en materia de protección de datos
● En España, la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter
personal (LOPD) y su reglamento de desarrollo (Real
Decreto 1720/2007, de 21 de Diciembre
o Se aprueba el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos de Carácter Personal, RDLOPD)
conforman la base legal para la protección de datos

108. Marco legal
Derecho fundamental a la protección de datos (II)
● Constituye un dato personal:
o Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier tipo concerniente a
personas físicas identificadas o identificables
o Según esta definición el nombre, la dirección, los datos de
contacto, el curriculum vitae, el salario, una fotografía o un
vídeo constituyen datos de carácter personal

109. Marco legal
Derecho fundamental a la protección de datos (III)
● Derecho de [A]cceso
o En virtud del derecho de acceso, regulado en el art. 15 de la
LOPD, el ciudadano puede solicitar y obtener gratuitamente
información sobre sus datos de carácter personal sometidos a
tratamiento, así como el origen de dichos datos y las
comunicaciones realizadas o que se prevean realizar
Fuente: http://lopd-agpd.com/derecho-de-acceso-en-la-lopd/

110. Marco legal
Derecho fundamental a la protección de datos (IV)
● Derecho de [R]ectificación
o El art. 16 de la LOPD reconoce al ciudadano el derecho a
dirigirse al responsable de un fichero o tratamiento para que
rectifique sus datos personales, en el caso de que éstos sean
inexactos o incompletos
o La solicitud de rectificación debe indicar el dato que se
estima erróneo y la corrección que debe realizarse y debe ir
acompañada de la documentación justificativa de la
rectificación solicitada

111. Marco legal
Derecho fundamental a la protección de datos (V)
● Derecho de [C]ancelación
o Este derecho, regulado en el art. 16 de la LOPD, ofrece al
ciudadano la posibilidad de dirigirse al responsable para
solicitar la cancelación de sus datos personales
Fuente: http://lopd-agpd.com/derecho-de-cancelacion-agpd/

112. Marco legal
Derecho fundamental a la protección de datos (VI)
● Derecho de [O]posición
o El ciudadano puede oponerse, mediante su simple solicitud, a
que sus datos sean tratados con fines de publicidad y de
prospección comercial
o Este derecho de oposición se encuentra regulado en los arts.
6.4, 17 y 30.4 de la LOPD
o Se ejercita mediante una solicitud por escrito dirigida al
responsable del fichero o tratamiento, en la que se hagan
constar los motivos fundados y legítimos relativos a una
concreta situación personal del afectado, que justifican el
ejercicio de este derecho

113. Marco legal
Derecho al olvido
● En Internet se conforman de manera constante
biografías digitales que son alimentadas por las
aportaciones del sujeto en cuestión que, de manera
consciente, construye su identidad digital
● A este componente consciente y responsable del
individuo hay que añadir las publicaciones generadas
por terceras personas, que en ningún caso han sido
consentidas por el personaje

114. Marco legal
Derecho al olvido (II)
● Puede definirse el derecho al olvido como la facultad
que se atribuye al individuo de obtener la
eliminación de una determinada información,
particularmente en el contexto de Internet
Fuente: http://eserplife.com/el-tribunal-de-justicia-europeo-respalda-el-derecho-al-olvido/

115. Marco legal
Derecho al olvido (III)
● En estos momentos, el ciudadano únicamente tiene a
su disposición las herramientas que le facilita el
derecho fundamental a la protección de datos
● En ocasiones estas herramientas son insuficientes, ya
que existe un conflicto en los siguientes ámbitos

116. Marco legal
Derecho al olvido (IV)
● Publicaciones oficiales
o Por su propia naturaleza están orientadas a dotar de
publicidad a determinadas situaciones
o Se trata, por ejemplo, de las contenidas en boletines y diarios
oficiales
● Buscadores en Internet
o Como servicios de la sociedad de la información, en principio
juegan un papel neutral, y no responden por los contenidos
de terceros.
● Medios de comunicación
o Publican noticias de interés público

117. Marco legal
Derecho al olvido (V)
● En el debate público aparecen dos posiciones enfrentadas
o Defienden un “derecho al olvido”: para borrar de Internet
determinada información personal
o Los que argumentan que todo lo que existe en Internet
pertenece a una especie de historia, y que como hechos
históricos no pueden ser borrados ni desaparecer

118. Marco legal
Herencia digital
● Los prestadores de servicios de red social son
sensibles a este hecho y ofrecen diversas opciones
a las personas cercanas al fallecido
● Por ejemplo, Facebook permite denunciar el perfil de
una persona fallecida, o cerrar la cuenta si un pariente
del usuario realiza una notificación formal
● Además, es posible mantener un perfil
conmemorativo de esta persona

119. Marco legal
Herencia digital (II)
● ¿Qué ocurre con la información personal recogida en
perfiles y páginas de Internet?
o Cada vez son más frecuentes los conflictos relacionados con el
acceso y la toma de decisiones sobre estos datos, como parte de la
herencia digital del fallecido a sus descendientes
o El artículo 659 del C.Civil señala que la herencia comprende los
bienes, derechos y obligaciones de una persona, que no se
extingan por su muerte
o Por tanto nada impide que los herederos puedan ejercer sus
derechos ante quienes dispongan de información relativa a la
identidad digital del fallecido

120. Marco legal
Herencia digital (III)
● Así, el cónyuge, los descendientes, ascendientes y
hermanos de la persona y en última instancia el
Ministerio Fiscal están facultados para solicitar la
protección de estos derechos de la personalidad del
fallecido
o Según establece el artículo 4 de la ley de Protección Civil
del Derecho al Honor, a la Intimidad Personal y Familiar
y a la Propia Imagen

121. Marco legal
Suplantación de identidad
● La carencia de una regulación penal adecuada se
manifiesta con mayor intensidad en los actos
derivados de la suplantación
● De ahí que la doctrina penal considere aplicar
distintos tipos de delito, como la estafa ordinaria
(art. 248.1 CP); la estafa informática (art. 248.2 CP),
los delitos contra la intimidad (art. 197 CP); o los
delitos contra la propiedad intelectual e industrial
y las falsedades documentales (arts. 270, 274 y 390
CP)

122. Marco legal
Responsabilidad prestadores de servicios
● La responsabilidad de estos proveedores está
delimitada por la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y de
Comercio Electrónico (LSSI), que traspone la Directiva
2000/31/CE de Comercio Electrónico
● Ésta define un prestador como la persona física o
jurídica que proporciona un servicio de la Sociedad de
la Información y fija un régimen de responsabilidad
para éstos

123. Marco legal
Responsabilidad prestadores de servicios (II)
● Sin embargo, en lo relativo a las conductas de los
usuarios de sus servicios que dañan la imagen o
reputación de otros, la legislación parte de ciertos
principios básicos que determinan, en su caso, una
exención de responsabilidad:
o El prestador no tiene ninguna obligación de supervisión o
monitorización
o El prestador no responde de contenidos o hiperenlaces
ilícitos siempre que no tenga conocimiento efectivo de su
existencia

124. Normativa de cookies
 30/2012, se actualizó la LSSICE para
adaptarla a las directivas europeas
◦ Si tienes una web, debes cumplirla
 Cookies técnicas: permitidas
 Resto (widgets, analítica, anuncios...):
 Aviso a los usuarios de forma clara y visible
 Información de uso y tipos
 Información de rechazo/bloqueo
 Sanciones de hasta 600.000 €

126. Otras leyes
 Ley 32/2003, General de Telecomunicaciones, si hay prestación
de servicios de coms. electrónicas (correo electrónico)
 Ley 59/2003, de firma electrónica
 Ley 17/2001, de Propiedad Industrial (patentes y marcas)
 Ley 11/2007, de acceso electrónico de los ciudadanos a los
Servicios Públicos, así como el Esquema Nacional de Seguridad
(R.D. 3/2010, de 8 de enero) y el Esquema Nacional de
Interoperabilidad (R.D. 4/2010, de 8 de enero) si trabajamos
habitualmente con la Administración Pública.
 Ley 13/2011, de regulación del juego, si nuestra actividad tiene
relación con el sector del juego online.
 Código de conducta para la prestación de los servicios de
tarificación adicional basados en el envío de mensajes

127. 4. Algunos recursos
 Entidades:
◦ INCIBE (inteco): https://www.incibe.es/
◦ Oficina de seguridad del internauta:
http://www.osi.es/ Ejercicio: Cuánto sabes | test 1
 http://www.ismsforum.es/ protegetuinformacion.com
 http://www.kaspersky.es/
 Algunos blogs:
http://www.elladodelmal.com/ http://s3lab.deusto.es/blog/
http://www.hacktimes.com/ http://epidemico.tumblr.com/
http://www.kriptopolis.com/ https://seguridadyredes.wordpress.com/
http://www.hacktimes.com/
thehackerway.com/2014/05/21/21-blogs-sobre-seguridad-informatica-que-deberias-conocer/

128. Cierre: Retos y planteamiento
 ¿Cómo protegerme?
◦ Relación coste/beneficio
◦ Checklist de buenas prácticas
◦ Priorizar! (¿dónde está el mayor riesgo?)

129. Gracias!
 ¿Preguntas?
Andoni Eguíluz
andoni.eguiluz@deusto.es