Cómo poner una marca oculta Shaadow a los documentos IMPRESOS que entregas para saber quién lo filtró

Una de las ventajas del uso de Shaadow.io es que aquellos documentos marcados con esta plataforma permiten la trazabilidad de los mismos aunque hayan pasado del formato digital al físico. Es decir, podremos saber la identidad de la persona que lo ha filtrado porque la marca y la información insertada en ellos con la tecnología de Shaadow.io se mantendrá aunque dicho documento sea impreso, escaneado, fotografiado o se le haga una captura de pantalla.

Figura 1: Cómo poner una marca oculta Shaadow.io a los documentos

IMPRESOS que entregas para saber quién lo filtró

Hasta ahora, la mayoría de soluciones de trazabilidad documental se basaban en la inserción de una serie de metadatos que se perdían en cualquiera de los escenarios anteriores. Si atendemos a las últimas noticias de filtraciones, observaremos que además son los más comunes: el contrato de Messi que destapaba El Mundo el año pasado había sido claramente impreso y, posteriormente, escaneado. Más reciente es el caso de los documentos filtrados acerca de las negociaciones entre Rusia y la OTAN, cuyos papeles fueron filtrados a El País por medio de fotografías (y/o una app destinada a escanear documentos con el teléfono móvil).

Figura 2: Contrato de Messi publicado por El Mundo

Actualmente, todo el mundo cuenta con esos dispositivos, y hacen falta tan solo unos segundos para que un tercero se haga con la información confidencial de otra persona si tiene acceso a esos documentos. Y por eso el artículo de hoy. Ya vimos en el primer artículo cómo utilizar Shaadow.io para localizar al miembro que filtra los documentos de una organización, y vimos cómo utilizar Shaadow.io para marcar la documentación que nos piden online las empresas y organizaciones con el objetivo de saber, si se filtra en el futuro, quién fue el responsable. Hoy vamos a ver el mismo proceso, pero con documentos impresos en papel.

Figura 3: Shaadow. Localiza al leaker que filtra los documentos confidenciales de tu empresa

Lo primero que haremos será seleccionar un documento, por ejemplo un CONTRATO DE ARRAS. Para este caso de uso protegeremos un contrato de arras tipo, empleados en operaciones de compra-venta de fincas. Una vez hecho esto, y habiendo creado un perfil en shaadow.io previamente, abrimos nuestro usuario y nos vamos a la zona de “Marcar” del menú lateral izquierdo, pinchando en “Marcar y descargar”.

Figura 4: Marcar y Descargar para luego IMPRIMIR

En el formulario, seleccionamos dicho contrato e introducimos las marcas con las que queramos protegerlo. Cada una de estas marcas vinculará una copia del CONTRATO DE ARRAS original con el destinatario al que la enviaremos. En este caso y al tratarse de un contrato de arras, utilizaremos las siguientes:

• nombre.apellido@banco.com
• nombre.apellido@inmobiliaria.es
• nombre.apellido@bufeteabogados.com 
• nombre.apellido@notaria.com.

Figura 5: Marcas a poner en cada documento IMPRESO

Una vez introducidas pulsamos en “Subir” y el sistema procesará cada una de ellas. Cuando el proceso haya finalizado, podremos descargar un .zip que contendrá cada una de las copias protegidas.

Figura 6: CONTRATOS DE ARRAS marcados listos para imprimir

En este caso, el fichero ZIP contendrá cuatro carpetas, una por cada marca. En cada una de ellas encontraremos el PDF que hayamos procesado pero con su correspondiente marca invisible, listo para enviar al interesado.

Figura 7: Los cuatro CONTRATOS DE ARRAS marcados listos para IMPRIMIR

Ahora, imprimimos los contratos, nos sentamos en la mesa, y los firmamos con nuestros bolis o plumas. Son cuatro documentos impresos, con marcas Shaadow.io totalmente invisibles. Pongamos por caso que uno de esos documentos se filtrase, intencionadamente o no, porque la cadena de custodia del mismo ha fallado. Por ejemplo, si alguien que lo imprimió para firmarlo lo ha descuidado y un tercero ha aprovechado la circunstancia para tomar una fotografía con su móvil.

Si esa fotografía llega hasta nosotros o se publica, tal y como aparece en la siguiente imagen, podremos determinar quién ha sido el culpable u origen de la filtración. Solo con una FOTO del documento IMPRESO, será suficiente.

Figura 8: FOTO del CONTRATO DE ARRAS IMPRESO y 

enviada por WhatsApp que queda pulibcada.

Cogemos la imagen y, como creadores de la marca, la procesamos en la plataforma de shaadow.io. Para ello entramos con nuestro perfil y nos vamos a la zona de “Extracción”, donde elegimos el documento (ya sea en formato PDF o JPG) y le damos al botón de “Subir”.

Figura 9: Extracción de marca de la foto de WhatsApp

Una vez hecho esto, la plataforma de Shaadow.io nos devolverá como resultado quién de las cuatro personas con acceso a ese documento ha sido la culpable de descuidar la cadena de custodia. En este caso, la marca que aparece en la imagen filtrada es nombre.apellido@bufeteabogados.com, lo que nos permitirá emprender acciones legales contra ellos por no proteger del modo más adecuado nuestra información.

Figura 10: De la foto del CONTRATO de ARRAS IMPRESO

y enviado por WhatsApp se puede extraer la marca Shaadow.io

Como ya se ha indicado anteriormente en este artículo, una de las formas más habituales de filtración de documentación confidencial de manera deliberada es a través de la ruptura de los medios de protección y trazabilidad digital más extendidos, aprovechando su vulnerabilidad o inefectividad en formatos físicos (Impresiones), ante capturas de pantalla (Screen-grabbing) o fotos robadas con el móvil.

Figura 11: Prueba gratis Shaadow.io

Hay métodos que no dan acceso a esos documentos o a su impresión si no se tiene una acreditación para ello, pero es adecuado complementar estas herramientas con otras que cierren los posibles agujeros que puedan surgir ante determinadas prácticas. Una de ellas es Shaadow.io, que nos protege en circunstancias y escenarios en las que otras tecnologías basadas en  Blockchain, que solo prevalecen en el formato digital, no tienen capacidad de acción. 

Un saludo,

Autor: Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz 

Do NOT sell my information (e-mail & phone number) @lushadata

Durante los últimos meses he estado sufriendo un acoso bastante fuerte mediante llamadas a mi número de teléfono personal. Llamadas de todos los países del planeta que me han estado intentando localizar. Atendí las dos o tres primeras, para descubrir que todas ellas eran llamadas comerciales de empresas que querían venderme algo, buscar una reunión conmigo u ofrecerme algo.

Figura 1: Do NOT sell my information (e-mail & phone number)

Después de las primeras llamadas, comencé a ignorarlas y bloquear los números de esas empresas. Suponía que habían conseguido mi número de alguna manera, y que serían las mismas empresas con diferentes números. Pero no. Todas eran empresas distintas que tenían mi número.

Figura 2: Más de 30 llamadas en un día de todo el mundo he tenido

En un momento, acepté a hablar con una de ellas, y le pregunté cómo tenían mi número de teléfono. A esa pregunta me dijeron "De LinkedIN". Por supuesto, yo tengo todas mis opciones de privacidad de Linkedin revisadas, y tengo bloqueado todo, pero por si acaso lo revisé. Y no tenía ninguna información de contacto habilitada.

Figura 3: Visualizaciones de mi perfil en 90 días

Al final, mi perfil recibe muchas visitas, y no podría gestionar tantos contactos. Por eso uso mi cuenta de MyPublicInbox como único contacto a través de Internet, y por eso en la descripción de mi perfil de Linkedin pone claro que es el canal para contactar conmigo. ¿Quieres tener un contacto conmigo para lo que sea? Estoy abierto a ello. Tengo mi buzón público en Internet para algo, pero solo si eres respetuoso con mi tiempo. Ni spam, ni llamadas de teléfono a mi número personal.

Figura 4: Información "About Me"

Sin embargo, siguieron llegándome esas llamadas, así que en una de ellas decidí investigar un poco más y volví a preguntar "¿Cómo has conseguido mi número de teléfono?" nada más comenzar la charla. Y volvieron a decirme... "A través de Linkedin". Entonces contesté "No, no es posible. Tengo bloqueada esa información en Linkedin". La respuesta fue la pista: "Es que nosotros tenemos una extensión que mapea los números de teléfono con los perfiles de Linkedin y nos salen". 

Figura 5: Una de las extensiones que venden los datos de contacto

asociados a perfiles de LinkedIN, Facebook o Twitter

Así que, misterio resuelto. Alguien, ilegalmente, ha metido mi número de teléfono personal, obtenido de cualquier lugar y los estaban monetizando. Algo que, han hecho de forma ilegal. Algunas compañías de las que se dedican al mismo tipo de negocio, ya tienen cuidado con esto.

Figura 6: "No Longer" for EU/UK Citizens

De hecho, alguna de esas plataformas ya ha tenido algún problema legal, porque como ya tiré del hilo, se han denunciado muchas de ellas, y en Europa, según el GDPR, si capturan un número de teléfono, deben capturar el consentimiento explícito para este caso de uso,  algo que sé que no he dado en ningún sitio.

Figura 7: Do Not Sell My Information

No me quedé con el nombre de la extensión, así que me dediqué a buscar por Internet, y lo cierto es que es una autentica avalancha la cantidad de sitios que venden datos asociados a perfiles de Facebook, Twitter, LinkedIN, etcétera. Con paciencia, fui buscando en cada uno de ellos la forma de ejercer mis derechos y eliminar mis datos, y en casi todos tenían esa opción de "Do not sell my information", que debe ser lo que dicen la mayoría de las personas que acaban siendo acosados por culpa de estas plataformas.

Figura 8: Les tuve que dar mis datos para borrar mis datos

Por supuesto, me parece muy peligroso que los números de teléfono o direcciones de e-mail estén emparejados con los perfiles de Linkedin de los empleados de una empresa que es un buen lugar para buscar una víctima propicia. De esta forma se lo ponen muy fácil a los atacantes para hacer APTs de todo tipo, así que si tienes un equipo de seguridad en tu organización, prueba estas apps y exige que se borren los datos de todos tus empleados.

Figura 9: A ver si está "removed" para siempre

Yo lo hice de los dos sitios en los que aparecía, pero si alguno de vosotros ve que salgo en algún sitio, por favor, avisadme por los comentarios con el nombre de la extensión o plataforma donde aparezco para que pueda eliminarme. 

Figura 10: Te piden todos tus datos.

Pero hay un caso muy especial, que es el caso de esta compañía: Lusha.

Lusha, una startup que hace un negocio feo con datos capturados ilegalmente

Curiosamente, después de hacer ese proceso en varios sitios, incluida la empresa LUSHA que dice que las relaciones B2B se basan en la confianza, y de recibir la confirmación de que ellos no tenían mis datos en su base de datos, como podéis leer aquí...

Figura 11: Respuesta de Lusha después de pedir el borrado de su BBDD

... recibí una llamada de la empresa Live Person. Hablé con ellos, y me confirmaron que habían obtenido mis datos desde Lusha, así que ya solo me quedó ponerle un Tweet a la empresa y al CEO, antes de pasar a ver cómo puedo denunciar a esta empresa.

@LushaData Hey, you put in your Database illegally, without having my GDPR consent. I did *your* online process to delete my personal data from your database. I put my phone number and you tell me "it´s not here" but... I double check with a new call that You have it illegally...

— Chema Alonso (@chemaalonso) April 12, 2022

Y basta mirar un poco qué tweets les han puesto para ver que no soy el primero, ni el único, que ha sufrido el mismo acoso por culpa del uso ilegal de mis datos por esta empresa.

Figura 13: Quejas de haber sido metido ilegalmente en Lusha

Y muchas más quejas de muchas personas, lo que deja muy a las calaras que esta empresa, LUSHA, no tiene prácticas de negocio transparentes ni éticas, por lo que si se te pasa por la cabeza utilizar estos servicios, que sepas lo que hay detrás.

Figura 14: Más personas metidas ilegalmente en Lusha

No es la única empresa que hace esta venta de datos, y algunas plataformas, los exhiben en su web, con la información de contacto de las personas parcialmente tapada, pero disponible para cualquiera que se registre en esa plataforma para ver las partes que faltan del e-mail o el número de teléfono.

Figura 15: Perfiles indexados en Google

Por si acaso, ya he decidido cambiarme de número de teléfono y avisar solo a los contactos cercanos, porque no me apetece que me estén acosando por llamadas. No sé a quién le parece una buena idea para hacer una introducción de una empresa con el objetivo de hacer negocios esto, pero es lo que publiqué en otro artículo: "Spam Comercial al CEO: ¡Ideaca!". No sé ni cuantos correos electrónicos comerciales borro al día.

Figura 16: Webs que venden e-mails y números de teléfono de CEOs

En mi caso, no es la forma de acceder a mí, y todos los que han conseguido mi número de teléfono sin que haya sido yo el que se lo ha dado o ha autorizado que se lo den, se han llevado una respuesta negativa de mi parte. Para mí, no es la forma de abordar a una persona, utilizando su teléfono móvil personal para una proposición comercial. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo poner una marca oculta Shaadow a la documentación que te piden las empresas para saber quién no la protegió bien

La globalización, la digitalización de las organizaciones y, por último, la pandemia han propiciado que la mayoría de gestiones que realizamos en nuestro día impliquen el envío de información y documentación personal por medio de medios telemáticos. A veces esto último implica que muchos datos y documentos personales nuestros pasan por esos canales y van a multitud de personas, sobre todo en ciertos trámites que implican de varios escalones el proceso. 

Figura 1: Cómo poner una marca oculta Shaadow

a la documentación que te piden las empresas

para saber quién no la protegió bien

El otro día hubo por aquí un debate sobre este tema, propuesto por Gerard Fuguet, que hablaba de cómo preparar un DNI para que no sea utilizable o por los cibercriminales, y el sábado se publicó el artículo de Luis Eduardo Álvarez para utilizar direcciones de e-mail marcadas para saber qué sitio no la protegió.  Pero nos piden muchos documentos, y cada uno de ellos necesita una media de protección.  Hoy veremos cómo podemos utilizar herramientas como Shaadow, que pone marcas invisibles y ocultas en los documentos, que nos permita proteger y defender esa información de los ojos de terceras personas no implicadas en ese proceso, ya que en caso de que eso pasase sabríamos dónde ha fallado el sistema.

Fallos en la cadena de gestión documental y su detección con shaadow.io

Publicó Chema Alonso hace un tiempo cómo utilizar Shaadow para detectar al miembro del equipo que filtra documentos confidenciales, pero hoy quería centrarme en un ejemplo de lo comentado previamente es cuando nos encontramos en un proceso de compra-venta de una vivienda. Hay muchos trámites y papeleo de por medio, teniendo que enviar continuamente y a varias personas gran cantidad de documentación con nuestros datos personales.

@chema_alonso Descubrir al traidor de tu equipo que filtra los documentos confidenciales al enemigo. https://shadow.io #leaks #ciberseguridad #hacking #privacidad ♬ Mistery (Mistery) - Yoko Tai

Debemos estar preocupados por si esos datos pudieran llegar a filtrarse, intencionadamente o fruto de un ciberataque, ya que incluyen copias de documentos importantes como nuestro nombre, DNIe, estado financiero, direcciones de domicilios, etcétera. Siendo conscientes de ello, veamos cómo proteger nuestros documentos mediante el marcado invisible de Shaadow.io.

Figura 3: Planes de Shaadow.io

Antes de nada, para poder comenzar a utilizar la herramienta, lo recomendable es ir a la sección de planes y elegir de las diferentes opciones que nos dan la que se adapte mejor a nuestras necesidades. En la parte de planes encontramos una prueba gratuita que nos permitirá poner hasta cinco marcas y realizar cinco extracciones. También se podrán adquirir créditos individuales tanto de marcado como de extracción, además de tres tipos de membresías mensuales.

Figura 4: Prueba gratis y membresías de Shaadow.io

Una vez seleccionado el plan que más se adecue a lo que queremos, nos pedirá crearnos una cuenta si no tenemos ya una previa. Tendremos que facilitar los siguientes datos y nos llegará un código a nuestro correo electrónico con el que confirmar nuestro perfil.

Una vez creado nuestro perfil, accedemos a la plataforma de shaadow.io y procesamos el contrato en la misma, insertándole las siguientes marcas identificativas para que, en caso de que la cadena de custodia se rompa, poder averiguar dónde ha sido y exigir explicaciones a los responsables. Como podemos ver, hay dos posibilidades de marcado. 

Figura 5: Opciones de Marcado en Shaadow.io

En este caso, donde vamos a MARCAR el documento de un CONTRATO que nos solicita una web bancaria, usaremos la opción de “Marcar y Descargar”, con que podremos marcar el documento y descargarnos el archivo con esas marcas. 

Figura 6: Subido el Conrato en PDF y seleccionadas las marcas invisibles a incluir

Le damos a “Subir”, justo después de haber puesto las marcas que queremos incluir. Como véis, hemos seleccionado 4 marcas diferentes para el documento, lo que genere varios documentos del mismo CONTRATO, con diferentes marcas. Cuando termine la subida del documento,  podremos ver que nuestro documento ha sido marcado con éxito.

Figura 7: Ya tenemos un CONTRATO con 4 marcas diferentes

Posteriormente, descargaremos una carpeta con cuatro documentos en formato PDF idénticos, excepto por la marca de agua invisible que se ha añadido a cada uno de ellos de manera imperceptible, que los asocia inequívocamente uno a uno con el destinatario de cada comunicación. 

Figura 8: Los documentos de CONTRATO con sus marcas invisibles

Ahora, procedemos a enviarles por email a cada interesado el documento con su respectiva marca de agua. De esta forma, con este proceso que hemos realizado, si se filtra ese contrato en la web, solo se habrá filtrado el de una marca de agua concreta.

Aparece el contrato filtrado

Supongamos que un tiempo después nuestros documentos privados aparecen “colgados en la red” fruto de un ciberataque, de manera que cualquiera puede verlo y usar nuestros datos para fines ilícitos. Habiéndolos protegido con shaadow.io, podremos saber quién de las entidades involucradas en el proceso descuidó su seguridad y custodia. Procedemos a hacer una simple captura de pantalla a la imagen del documento que hemos encontrado en la red para poder procesarlo en la plataforma de shaadow.io.

Figura 9: Captura de pantalla del documento filtrado en la red

Accedemos a la plataforma de shaadow.io con nuestro perfil de usuario y nos dirigimos hasta la sección de “Extracción”, en el menú lateral izquierdo. Subimos el archivo que hayamos podido obtener, ya sea el documento completo, un fragmento de este o incluso una fotografía o captura de pantalla.

Figura 10: Subimos la captura en la zona de Extracción de Marca

La plataforma procesará el archivo que hayamos subido y nos devolverá como resultado la marca que se insertó en el documento que ha sido filtrado. En este caso, la extracción de la marca invisible evidencia que el culpable de esta fuga de información ha sido la inmobiliaria. Gracias a esto, podremos emprender acciones legales contra los sujetos que descuidaron nuestros datos, ahorrando y centrando la larga investigación que habría supuesto delimitar quién fue exactamente la fuente u origen de la filtración (recordemos que en este caso, el documento fue enviado y revisado por varias personas).

Figura 11: Marca extraída de la captura del documento

A pesar de que en esta situación la fuga ha sido realizada por alguien externo a la inmobiliaria que detectó una brecha en su sistema de ciberseguridad y la aprovechó, la responsabilidad de no custodiar bien los datos personales de sus clientes sigue recayendo en ellos y en una estrategia de protección documental deficiente.

Comentarios finales

En el entorno empresarial, Shaadow.io puede ser también una barrera de defensa adicional ante este tipo de casos, permitiendo que los datos personales de un documento puedan ser anonimizados e incluidos en la marca invisible con acceso restringido. De esta forma se puede gestionar la documentación sin problema dentro de la organización asegurándonos de que, en caso de otro ciberataque, el responsable no podría filtrar y vender los datos privados de los clientes.

Esta sincronización entre entidades y sus clientes se puede hacer de un modo sencillo gracias a la opción de shaadow.io de integrarse a través de la API con los procesos y estrategias de seguridad ya existentes en las propias organizaciones.

Figura 12: Shaadow API para empresas

No debemos pensar que por enviar nuestra información a una entidad aparentemente segura nosotros no debemos preocuparnos por ella. Tenemos que ser los que coloquen la primera barrera de seguridad, ya que es algo que nos pertenece y que para terceras personas puede tener más valor del que nosotros le otorgamos. Shaadow.io es una herramienta que permite esto y es bastante sencilla, así que cualquiera puede hacer uso de ella sin ningún problema, desde una gran organización hasta el consumidor directo.

Marcando nuestros documentos, los estaremos protegiendo no solo ante posibles fugas de información, sino que reafirmaremos su autoría o los datos que en ellos aparecen (esto se denomina doble confirmación o "double check"). Además, Shaadow.io y su tecnología permiten que esas marcas de agua invisibles que hemos insertado aguanten hasta en los formatos físicos, es decir, aunque un documento se imprima o fotografíe, se podrá extraer aún la información enlazada al mismo. No dejes solo en manos de otros la seguridad de tus documentos personales.

Un saludo,

Autor: Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz 

Cómo la app “SaludAndalucía” generó y subsanó un problema de niveles de seguridad de acceso a datos

Adaptar la usabilidad y la universalidad de las apps que usan la mayoría de los ciudadanos es siempre un reto para la seguridad. Incrementar los mecanismos de seguridad implica aumentar la barrera de entrada y dejar atrás a los menos digitalizados, y al contrario, primar la facilidad de uso y el acceso universal, algunas veces puede llevar a tomar decisiones que, haciendo más fácil su uso y dando más acceso, generan problemas de seguridad.

Figura 1: Cómo la app “SaludAndalucía”  generó y subsanó un problema

de niveles de seguridad de acceso a datos

En este artículo os voy a contar cómo la app de "Salud Andalucía" tenía un problema de privacidad al permitir escalar desde el acceso a los datos de primer nivel a los datos de segundo nivel, y cómo lo han subsanado. 

Figura 2: Acceso a SaludAndalucia

Para poder acceder a la app, después de descargarla y abrirla en nuestro terminal, necesitamos autenticarnos haciendo clic en el botón de ClicSalud+ que está en el medio de la pantalla con forma de engranaje.

Figura 3: Acceso por Datos personales sin tarjeta sanitaria de Analucía

En esta segunda parte es donde viene la "usabilidad" frente a la "seguridad", ya que se ofrecen cuatro niveles de seguridad diferentes, y el último de ellos es simplemente "Datos Personales sin tarjeta de sanitaria de Andalucía", que es el que vamos a elegir para la prueba.

Figura 4: Acceso con Datos Personales

Los datos que se solicitan son DNI y Fecha de Nacimiento, información que por desgracia no es difícil de localizar en la red haciendo un poco de OSINT. Muchos de estos datos se encuentran directamente en el Boletín Oficial de la Junta de Andalucía, y la Fecha de Nacimiento en redes sociales con las felicitaciones de amigos y conocidos, en la propia Wikipedia, etcétera. Vamos, que no parecen datos difíciles de conseguir para muchas personas.

Figura 5: Accediendo con DNI y Fecha de Nacimiento

Para hacer esta prueba he usado datos personales míos, porque no necesitamos usar los de nadie para probar esta primera fase. Lo relevante es que este nivel de seguridad, con los datos que hay en la red, no es ninguna barrera para proteger la información y los datos de las personas, pero lo importante viene ahora, ya que si pulsamos en ClicSalud+ nos salen las opciones de seguridad avanzadas para acceder a datos más sensibles.

Figura 6: Para acceder a las citas nos piden aumentar el nivel de seguridad

Ahora, como vemos en la siguiente pantalla nos piden tres datos, que son el DNI y la Fecha de Nacimiento - que ya nos habían pedido antes - más el Número de la tarjeta sanitaria, que como vamos a ver, la propia app nos lo va a dar.

Figura 7: El único dato extra es el Número de Tarjeta Sanitaria

Como ya hemos entrado en la app, pulsando sobre el icono superior derecho, accedemos desde el mismo nivel en el que estamos a los datos del usuario, y como podemos ver, en ellos está el Número de la Tarjeta Sanitaria, así que resuelto la elevación de seguridad, lo que nos permite, con solo tener el número de DNI y la Fecha de Nacimiento llegar a información sensible.

Figura 8: En la información de usuario está el Nº de la tarjeta Sanitaria

Como el fallo parecía bastante sensible, decidí reportarlo y lo hice vía la Guardia Civil, y ahora la app de SaludAndalucía ha subsanado este fallo de seguridad. ¿Cómo lo ha hecho? Pues muy sencillo. El acceso de menor seguridad es para personas que "de verdad" no tienen tarjeta sanitaria. Así pues, si alguien que tiene tarjeta sanitaria de Andalucía utiliza este acceso con solo DNI y Fecha de Nacimiento recibe el siguiente mensaje.

Figura 9: Se deshabilita el nivel de acceso de

menor seguridad si tienes tarjeta sanitaria

Este es un ejemplo donde querer dar universalidad de acceso rebajando el nivel de requisitos de seguridad, si no se hace correctamente, puede generar un problema de privacidad. Ahora se ha aplicado una corrección que fortifica la seguridad y sigue permitiendo la universalidad de acceso, lo que demuestra que no siempre hay que sacrificar seguridad para conseguir usabilidad o universalidad.

Saludos,

Autor: Vicente de la Varga (Contactar con Vicente de la Varga - Ch3nt3)  

Figura 10: Contactar con Vicente de la Varga (Ch3nt3)

GDPR y la captura de datos en la navegación Web un año después: "Seguir Navegando"

Estamos en Mayo de 2019, y el año pasado por estas fechas llegaba lo obligatoriedad de aplicar el Reglamento General de Protección de Datos Europeo (GDPR) para que los usuarios tuvieran un mayor control de sus datos dando consentimiento explícito para la cesión de datos a las empresas. Y ya ha pasado un año desde que se aplicó.

Figura 1: GDPR y la captura de datos en la navegación Web un año después: "Seguir Navegando"

En aquellos meses previos a la aplicación de las medidas técnicas para el cumplimiento del nuevo reglamento recuerdo haber dicho en una conferencia que tal y como veía las implementaciones que se estaban haciendo, GDPR tenía el mal presentimiento de que se podía convertir en la nueva Política de Cookies de la navegación web. Algo que no era lo que se esperaba ni mucho menos cuando se creaba la regulación. Hoy en día, un año después, podéis juzgar vosotros si es así o no.

Supongo que todos recordáis que había que avisar de que las webs utilizaban cookies, y como todas utilizaban cookies para algún propósito, los usuarios aprendieron a navegar haciendo "clic" sobre cualquier mensaje de Política de Cookies, dando lugar a que la gente utilizara su imaginación para estos mensajes.

Figura 2: Mensaje de aviso de "Esta web utiliza cookies"

Pero claro, con GDPR esto no vale, ya que hay que dar un Consentimiento Explícito de cada una de las cesiones de datos. Al final, hay que ceder datos para un uso concreto a una entidad concreta, por lo que hay que aceptar la cesión, una a una, de todos los datos y todos los usos que se van a dar, a todas las entidades a las que se va a ceder.  

También existe un caso en el que las empresas pueden utilizar los datos - y deben hacerlo - si hay un Interés Legítimo para el usuario. Es decir, si utilizar esos datos son en pro de un beneficio legítimo del usuario que los genera, y la empresa deberá dejar claro cuáles son y cómo se usan para que puedan ser revisados.

GDPR y la Captura de Datos en la navegación Web

En definitiva, entre los consentimientos que se solicitan y los datos que se utilizan en interés legítimo del usuario, son muchas las explicaciones que se deben dar del uso de los datos en todos los servicios que se consuman, incluidas, como no, las páginas web que se visitan.

Figura 3: Big Data y Privacidad [2014]

En las charlas de "You are where you are" que di hace ya tres años - en Mayo de 2016 - sobre el uso de los datos para identificar a las personas, o la charla de Big Data & Privacidad que di en el año 2014 en las que hablo de las técnicas de web browsing fingerprinting, el número de datos que se capturan de una navegación es enorme.

Figura 4: You are where you are [2016]

Si a esto le sumamos que el pago que se hace por anuncio es muy pequeño y que las webs y los intermediarios "venden o ceden" datos a muchos Data-Brokers, Ad-Exchangers, Data-Enrichment, etcétera, el número de datos que un usuario cede o debe ceder con un consentimiento, para el número de usos que se dan a esos datos, para el número de organizaciones que están involucrados es enorme.

Figura 5: Acepto todo o "Más información" en pequeñito

Sin embargo, ¿os imagináis que vais navegando por una web y tenéis que activar - por cada noticia que veis en un blog - una lista de entre cien o doscientos botones de consentimiento? Pues así es, por lo menos para cada sitio que se visita. Pero para que sea más fácil se han creado los famosos "Botones Gordos" de "Habilitar Todo", "Seguir Navegando", "OK a Todo" o, simplemente, "Aceptar".

Figura 6: Mostrar más información (ojo a la barra de desplazamiento vertical)

Es decir, se ha convertido casi en el mismo botón de la Política de Cookies que teníamos antes. Eso sí, ahora puedes hacer una navegación para ver a qué nos estamos comprometiendo con ese "Habilitar Todo", y si no has perdido el tiempo en verlo va a ser una experiencia divertida que veas con que facilidad regalas todos los datos que generas a todo el mundo para todo.  En el caso que vemos en la primera imagen, es un Gestor de Consentimientos para Google Analytics y Google Ads de una web - son más o menos todas iguales -.

En este caso, que estoy enseñando por aquí, es un componente común para webs que hace, como os he dicho en el párrafo anterior, lo que se llama "Gestor de Consentimientos", y en el que se capturan los consentimiento necesarios para tener todos los datos y compartirlos con quién sea necesario en cualquier momento. Si entramos a ver los detalles, la cosa es divertida y puede tomarte casi una hora revisar todo.

Figura 7: Lista de empresas asociadas a uno de los consentimientos.
(¡Ojo a la barra de desplazamiento vertical de la derecha)

Es importante que os fijéis que si dais a la primera opción de "Más información" veáis que si entramos a ver los usos y los datos para los que se solicita consentimiento, tenemos una lista grande - barra de desplazamiento vertical, pero que para cada uno de ellos tenemos un botón que pone "ver empresas", donde podemos ver la lista de entidades a las que estamos accediendo a dar acceso a nuestros datos. Son empresas Data-Brokers, Data-Enrich, Ad-Exchangers, Data-Analytics, Ad-Personalization, y un largo etcétera de empresas a las que nuestros datos, o los de cualquier navegante están o pueden estar llegando en cualquier momento.

Figura 8: El consentimiento para Google

En el caso de Google, que es una importante aparece en el Consentimiento de Other, y en él tenemos también la opción de ver empresas. Como se puede ver la información dice que va a recoger los datos para "personalización de anuncios y mediciones", lo que puede significar "solo eso", o todos los datos del universo si tenemos en cuenta que la personalización es "Todo lo que pueda saber de ti" y las mediciones son "Todo lo que se pueda medir" en el universo.  Ver las charlas en vídeo que he puesto antes en el artículo.

Figura 9: Empresas socias del Consentimiento "Other" de Google

Y para ello, por supuesto, tenemos una lista de empresas a las que Google puede enviarle los datos con tu consentimiento, que son esa lista de unas ... ¿cien? ¿doscientas? Es difícil contarlas, son muchas.

Para Terminar

Al final, los usuarios hacen clic en "Habilitar Todo". Si eres de los que hacen clic en "Rechazar todo" y "Guardar y Salir",  puedes seguir navegando igual - normalmente - pero es un proceso para solo los datos de esa visita, porque cuando vuelvas a visitar anónimamente el mismo sitio - supuestamente de forma anónima, que ya sabéis que se  hace Web Browsing Fingerprinting y se sabe quién eres sí o sí - te va a volver a pedir lo mismo, con lo que lo habitual es que la gente haga clic en "Seguir Navegando".

No toméis este artículo como una queja contra nadie. Solo es la realidad de lo que tenemos. Nuestros datos fluyen con - ¿demasiada? - libertad por todo el mundo y es una especie de círculo vicioso. Como los datos los cedemos con facilidad, valen poco dinero, así que hay que hacer que los datos se sigan cediendo mucho y por poco dinero - el valor que cobra una web o un blog por los ads es muy poco hoy en día y el negocio está controlado por muy pocas empresas -.

Figura 10: Vídeo de exploración de Gestor de Consentimientos

Os he hecho un pequeño vídeo con la navegación por este componente, para que veáis de primera mano todos los consentimientos que se van con solo hacer clic en "Habilitar Todo".  Y esto, por cada web, blog, o sitio que visitéis que tenga anuncios basados en datos (Data-Driven Ads) o haga algo de negocio con vuestros datos.

Saludos Malignos!