Las amenazas cibernéticas provienen de muchas fuentes, cada una de las cuales busca obtener información personal (IP) para beneficio o explotación. A medida que las intrusiones se vuelven más sofisticadas, se necesitan más salvaguardias internas y reglamentarias como respuesta.
La privacidad en Internet es un subconjunto del mundo más amplio de la privacidad de los datos que cubre la recopilación, el uso y el almacenamiento seguro de la IP en general. La privacidad en Internet se ocupa principalmente de cómo se expone la IP en la web, a través del rastreo, la recopilación de datos, el intercambio de datos y las amenazas de ciberseguridad.
Un estudio del Pew Research Institute descubrió que el control de la IP en línea es «muy importante» para el 74% de los estadounidenses. Según otro estudio de Pew, el 86% de los estadounidenses ha tomado medidas para mantener su privacidad: eliminar cookies, cifrar el correo electrónico y proteger su dirección IP.
Las huellas digitales están en todas partes. Cada vez que se visita un sitio web, se introducen los datos de la tarjeta de crédito o débito, se registra una cuenta, se facilita el correo electrónico, se rellenan formularios en línea, se publica en las redes sociales o se guardan imágenes o documentos en la nube, se está liberando información personal en el ciberespacio. ¿Quién, además del destinatario previsto, recibirá o tendrá acceso a la información que usted proporcionó? ¿Se compartirá con otras partes? Su IP puede ser compartida de maneras que usted no espera o desconoce. Su información puede correr cierto riesgo porque incluso los mejores programas de seguridad de la información no están garantizados al 100%.
Leyes de privacidad en Internet
El potencial de violaciones de la privacidad en línea ha crecido significativamente a lo largo de los años. No existe una única ley que regule la privacidad en línea. En su lugar, se aplica un mosaico de leyes federales y estatales. Algunas de las principales leyes federales que afectan a la privacidad en línea son:
- La Ley de la Comisión Federal de Comercio (FTC): regula las prácticas comerciales desleales o engañosas. La FTC es el principal regulador federal en el ámbito de la privacidad y emprende acciones de aplicación contra las empresas. Esto incluye el incumplimiento de las políticas de privacidad publicadas y la falta de protección adecuada de la información personal.
- Ley de Privacidad de las Comunicaciones Electrónicas (ECPA) – protege ciertas comunicaciones alámbricas, orales y electrónicas de la interceptación, el acceso, el uso y la divulgación no autorizados.
- Ley de Fraude Informático
- Ley de Protección de la Privacidad de los Niños en Internet (COPPA): exige a determinados sitios web y proveedores de servicios en línea que obtengan el consentimiento verificable de los padres antes de recoger, utilizar o revelar información personal de menores de 13 años. También exige que los sitios web publiquen una política de privacidad en línea, recojan sólo la información personal necesaria y creen y mantengan medidas de seguridad razonables.
- Ley de Control del Ataque a la Pornografía y el Marketing No Solicitados (Ley CAN-SPAM): regula el envío de correo electrónico comercial no solicitado y prohíbe la información de cabecera engañosa y las líneas de asunto engañosas. También exige a los remitentes que revelen cierta información, que incluyan un mecanismo válido de exclusión voluntaria y crea sanciones civiles y penales para las infracciones.
- Ley de Modernización de los Servicios Financieros (GLBA) – regula la recopilación, el uso y la divulgación de la información personal recopilada o en poder de las instituciones financieras y exige avisos a los clientes y un programa escrito de seguridad de la información.
- Ley de Transacciones Crediticias Justas y Precisas (FACTA) – exige a las instituciones financieras y a los acreedores que mantengan programas escritos de prevención del robo de identidad.
- Prácticas inseguras de navegación en la web
- Cookies y seguimiento web
- Seguimiento de la dirección IP
- Utilizar conexiones de servidor web cifradas HTTP en lugar de HTTPS
- La amenaza de la nube
- Averiguar con el proveedor quién está a cargo de cada control de seguridad en la nube.
- Formar a alguien en el uso de las herramientas de identidad y acceso proporcionadas por el proveedor para que pueda controlar usted mismo quién tiene acceso a los datos y a las aplicaciones.
- Asegurarse de que el proveedor tiene encriptados todos sus datos que se almacenan con ellos
- Los principales proveedores de la nube ofrecen todos ellos herramientas de registro. Utilícelas para habilitar el registro y la supervisión de la seguridad propia para controlar cualquier intento de acceso no autorizado y otros problemas.
& Abuso (CFAA) – hace ilegales ciertas actividades relacionadas con la informática que implican el acceso no autorizado a un ordenador para obtener cierta información, defraudar u obtener algo de valor, transmitir elementos dañinos o traficar con contraseñas informáticas. La ley ha sido modificada en seis ocasiones.
Muchos estados también han adoptado leyes que afectan a la privacidad en línea, por ejemplo, estatutos de protección del consumidor, leyes que protegen ciertas categorías de IP, leyes de seguridad de la información y leyes de notificación de violaciones de datos.
Además de cumplir con estas leyes e implementar sólidos programas de seguridad de la información, hay medidas que las organizaciones pueden tomar para ayudar a mitigar las amenazas de ciberseguridad.
Cómo se expone y cómo protegerse en línea
La información personal de clientes, consumidores y empleados en su posesión puede ser objeto de una violación de datos en una miríada de formas. Las direcciones de correo electrónico, los datos bancarios, las contraseñas, las direcciones físicas, los números de teléfono y otros datos pueden llegar inadvertidamente a manos de estafadores, piratas informáticos y vendedores no deseados, entre otros. La mayoría de los empleados del área legal y de cumplimiento tienen poca idea de cómo implementar la protección de datos contra las amenazas de Internet. ¿Qué hacer?
Un libro de jugadas sobre amenazas para su organización
Una cosa que su organización puede hacer es desarrollar un libro de jugadas de referencia rápida sobre la privacidad en Internet que esté fácilmente disponible para los empleados. Puede proporcionar las amenazas y las mejores prácticas a seguir para su área específica:
Aquí hay cinco de las amenazas en línea más significativas para la privacidad de los datos que provienen de la web y las mejores prácticas para manejarlas:
Muchos usuarios no escudriñan los sitios en los que encuentran información. A menudo hay indicios de que los sitios que visitan pueden ser maliciosos y pedir su IP: ofertas gratuitas, URLs acortadas, páginas diseñadas socialmente para engañar a los usuarios para que creen una cuenta y descarguen malware desde ellas.
Lo que puede hacer
Mantenga actualizado su antivirus. Utiliza el navegador de Internet más seguro: Google Chrome o Microsoft Edge son las dos mejores opciones. Analiza los archivos con tu antivirus antes de descargarlos. No reutilice las contraseñas para varios sitios web. Activa el bloqueador de ventanas emergentes de tu navegador.
Los cookies son archivos que un sitio web descarga en tu navegador y que contienen datos identificativos únicos sobre el sitio. Sin embargo, no contienen ninguna información personal ni código de software. Cuando un sitio web «ve» los datos que establece en una cookie, sabe que el navegador es uno que ha contactado con él anteriormente.
Pueden ser útiles para cosas como guardar su información de acceso a un sitio para que no tenga que introducirla de nuevo. Las cookies también pueden ser utilizadas para rastrear sus actividades y capturar sus hábitos de compra y luego ser compartidas con terceros no deseados afiliados al sitio.
Lo que puede hacer
Configure su navegador para que elimine las cookies cada vez que termine de navegar o configure las cookies «opt out» en su navegador para que las cookies no sean permitidas en absoluto en su navegador.
La Ley COPPA establece específicamente que las direcciones IP son información personal ya que son información sobre un individuo identificable asociado a ellas. Una dirección de Protocolo de Internet (IP) es una etiqueta numérica detrás de las conocidas direcciones web que vemos todos los días. Identifica un dispositivo en Internet. Los piratas informáticos suelen utilizar las direcciones IP como primer punto de ataque.
Las partes indeseables pueden rastrear su IP buscando la dirección de su sitio web si aparece en WHOIS, la base de datos central que contiene todas las direcciones web de Internet. La información sobre la propiedad está fácilmente disponible aquí.
Lo que puede hacer
Si crea un sitio web, puede solicitar un listado privado de WHOIS al gestor de la base de datos, Network Solutions. Su nombre, dirección y otros datos de propiedad aparecerán en lugar de los suyos.
Cuando trabaje en su ordenador personal, puede utilizar una herramienta de red privada virtual (VPN). Una buena es IP Vanish. Te conectas a la VPN como intermediario. Después de ese punto, tu dirección IP se encripta y pasa por el proveedor de la VPN a Internet.
Los empleados o clientes en casa tienen direcciones IP «alquiladas» con sus cuentas de módem de cable e ISP. Su IP no cambiará hasta que apague su módem. Apáguelo con la frecuencia que considere necesaria.
Los datos personales que fluyen entre la máquina de un usuario y un sitio web que utiliza el protocolo HTTP simple pueden ser supervisados por otras empresas o potencialmente interceptados y robados por piratas informáticos malintencionados (a menudo llamados «man-in-the-middle»). Ahí es donde entra en juego Secure Sockets Layer(SSL).
Lo que puede hacer
HTTPS o Secure Sockets Layer (SSL) encripta la información enviada entre un sitio web y la máquina de un usuario. Cuando compre o introduzca información personal en sitios web, busque siempre un «https://» o un icono de candado en la barra de URL de su navegador para verificar que un sitio es seguro antes de introducir cualquier información personal. Cuando vea HTTPS en lugar de HTTP en la barra de direcciones de su navegador, sabrá que se trata de un sitio seguro
Si aloja un sitio web, considere la posibilidad de implementar SSL en su servidor web para garantizar la privacidad de los datos entre usted y los clientes. También ayudará a mitigar las amenazas directas de hacking. Necesitará encontrar una autoridad de certificados digitales (CA) como Verisign para ayudar a configurarlo.
La computación en la nube es la última y más grande ola tecnológica que trae consigo nuevos problemas para la privacidad de los datos. Esto es especialmente cierto cuando se ceden los controles administrativos y tecnológicos a un tercero. Eso, en sí mismo, es una gran amenaza.
Un proveedor de la nube puede tener deficiencias en los procesos de copia de seguridad, en las prácticas de seguridad, en los controles de los empleados, en las interfaces de las aplicaciones & API, por nombrar sólo algunas. Además, nunca sabes quién tiene las «llaves del reino» para ver todos tus datos ahí dentro. Da miedo.
Lo que puedes hacer
Tanto tú como el proveedor de la nube estáis a cargo de la seguridad, no sólo este último. Si guardas datos en el almacenamiento en la nube o utilizas una plataforma en la nube para alojar un sitio web, hay algunas cosas que debes tener en cuenta:
Una combinación de regulaciones gubernamentales y prácticas individuales responsables solo puede frustrar las posibles ciberamenazas, no eliminarlas. Su área legal de compliance & puede hacer su parte implementando medidas integrales de análisis y respuesta a las amenazas.
0 comentarios