¿Son de fiar todas las WEB donde compramos?

Cada día más, la gente esta confiando en hacer sus compras a través de internet, lógicamente unos artículos son más fácil de vender que otros.

Llevo ya bastante tiempo visitando diferentes web y me llamaba mucho la atención la cantidad de web que solicitan tus datos para cualquier consulta y por ningún lugar de la pagina encuentro los textos "obligatorios" que deben aparecer haciendo referencia a la Protección de Datos, sobre como van a ser tratados mis datos, a que tipo de ficheros van a ser incluidos, y lo más importante donde debo dirigirme para hacer uso de mis derechos ARCO.

Ya de entrada cuando visites una web donde tú tampoco encuentres estos textos que en todo momento, o al menos antes de enviar tus datos, te deben de aparecer, mi consejo es que des un portazo y salgas de ahí rápidamente, pues una vez que tu les facilites los datos no tienes garantía alguna de que es lo que van a hacer con algo tan importante como son mis datos personales.

También en mis visitas por la red, me he encontrado con "numerosas" web en las que si que aparecían las clausulas que marca la Ley, pero ademas de esto, también disponen de numerosos certificados de calidad, de confianza en internet.....; ante esto me pregunté: Realmente cuando me encuentro ante una web de estas característica ¿puedo tener la total confianza que en esta ocasión mis datos SI van a estar totalmente seguros?. Fue entonces cuando decidí de hacer un pequeño estudio con paginas que están situadas en las primeras filas del buscador de Google, y de diferentes actividades empresariales ( venta de camisetas, ferreterías, perfumerías....).

En primer lugar entraba en un pagina y buscaba los textos  a los que anteriormente he echo mención. Bueno, en aquellas paginas que no aparecían, ya directamente sabía que estaban incumpliendo con lo que marca la Ley, pero cuando visitaba una pagina que sí aparecían las clausulas LOPD (Ley Orgánica de Protección de Datos), lo primero que buscaba es que las clausulas siguieran los pasos que marca la LOPD, como por ejemplo:
De conformidad con lo establecido por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, se informa al usuario que los datos consignados en el presente formulario serán incluidos en un fichero, cuya titularidad corresponde a Diego Sánchez Belchí, para que sean tratados con la finalidad de indicar la finalidad del tratamiento de los datos. El usuario podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición sobre sus datos, mediante escrito, acompañado de copia del documento oficial que acredite su identidad, dirigido a Diego Sánchez Belchí, a través de correo electrónico en la dirección dsbproteccionddatos@hotmail.com, indicando en la línea de Asunto el derecho que desea ejercitar; o mediante correo ordinario remitido a Carretera De la Estación, s/n 30840 Alhama de Murcia (Murcia).

Si esto tampoco se daba, otra pagina que no era de fiar para dejar mis datos.

Y por ultimo solo me quedaban las paginas que aparecían estas clausulas totalmente en condiciones y conforme marca la ley ¿estaba seguro que estas web sí tratarían mis datos como se merecen?, pues la respuesta es NO.

Cuando me dicen que mis datos son incorporados a un fichero, anteriormente este fichero ha debido ser inscrito en la Agencia de Protección de Datos y cuando me dice a quien pertenece ese fichero, ya me da las claves para ver si existe ese fichero. ¿como lo puedo comprobar?:  Es tan sencillo como ir a la web de la agencia: http://www.agpd.es

Una vez aquí, pincho en ficheros inscritos y titularidad privada:

Una vez pinchado aquí me aparecerá una pantalla donde puedo poner el nombre del responsable de la web y verificar que efectivamente tiene ficheros inscritos:

 Y aparecerá una pantalla que me dirá si existen esos ficheros o por el contrario donde me indique que no hay ficheros inscritos:

Ahora sí me quedo con la tranquilidad que no me están engañando, pero si quiero verificar de que tipo de archivo se ha inscrito, solamente tengo que pinchar sobre las flechas que aparecen junto al nº de archivos inscrito:

Cuando una web en la que aparecen las clausulas LOPD, correctamente redactadas y ademas comprobamos en la Agencia de Protección de Datos, que efectivamente tiene ficheros inscritos, es una Pagina TOTALMENTE SEGURA, para poder facilitarles los datos personales que soliciten.

Y a propósito del estudio del estudio que te he hablado, decir que el resultado fue que tan solo un 33% de las web que aparecen en primeras posiciones, son seguras para que traten mis datos personales, el otro 66% esta incumpliendo la Ley.

Así que si tu eres una de esas personas que tiene una web en la que solicitas los datos y estas incumpliendo con la LOPD, me pongo a tu disposición para cualquier consulta, tanto técnica como Jurídica que quieras hacerme y poder llevar a cabo la adaptación de tu organización  a la LOPD

dsbproteccionddatos@hotmail.com, confía solo en profesionales:

En otra ocasión te contaré el GRAN RIESGO que corres si estas incumpliendo con la LOPD, ya que las sanciones son muy elevadas.

Salu2 para todo el mundo.

Cómo se prepara una campaña de Spam

El spam es uno de los problemas que en mayor o menor medida nos toca soportar a los usuarios en el uso cotidiano de internet. Sus consecuencias van desde la simple molestia de ver nuestro email lleno de publicidad no deseada hasta el riesgo de infectar el ordenador a causa de adjuntos maliciosos, o acabar en páginas web fraudulentas a la que se llega a través de enlaces incluidos en los correos.

Las campañas de envío masivo de correos spam son claramente rentables para los que las organizan, y es evidente que tienen su trabajo y que no se preparan en una tarde. En Zscalerhan tenido ocasión de estudiar cómo se llevan a cabo estas campañas y qué preparativos tienen lugar en los días y semanas previos al inicio de las mismas:

1. Secuestro de sitios web 

Los spammers necesitan asegurarse de que sus correos no sean inmediatamente detectados y bloqueados por los filtros antispam. Una forma de evitar estos bloqueos es utilizar sitios web ya existentes y con buena reputación para redireccionar a los usuarios, y que son hackeados aprovechando las vulnerabilidades que presentan. Plataformas open-source como WordPresscontienen muchas vulnerabilidades, tanto en su código como en los plugins, que pueden ser fácilmente explotadas con este fin.

2. Ocultar la página maliciosa antes de la campaña

Mejor que modificar las páginas existentes los spammers prefieren añadir nuevas páginas a los sitios comprometidos. Frecuentemente se incluyen esos ficheros en directorios ocultos, carpetas temporales o carpetas de plugins.

3. Evitar los scanners de seguridad

Para evitar que las páginas de redirección sean detectadas y catalogadas como maliciosas por las herramientas de seguridad los spammers hacen que éstas páginas redireccionen a los visitantes hacia sitios seguros hasta el momento de comenzar la campaña de envío masivo de spam.

Cuando la campaña está en marcha las páginas de redirección continúan tratando de evitar los scanners de seguridad, intentando separar a éstos de los usuarios. Pueden comprobar la dirección IP del visitante, usar Flash o Javascript para llevar a cabo la redirección y usar las cookies o la IP para rastear a los visitantes y permitirles acceder una única vez, etc.

4. Abrir las cortinas

Una vez que los spammers han conseguido reunir suficientes sitios web legítimos y están listos para iniciar la campaña de envío masivo de emails, hacen que las páginas de redireccionamiento apunten hacia el sitio web malicioso en el que finalmente se llevará a cabo el fraude o la infección objetivo de la campaña de spam.

Texto original más completo: Zscaler

¡Ten cuidado donde haces clic!

Fuente:

En Internet, debemos tener mucho cuidado a la hora de hacer «clic» en un enlace, imagen, vídeo, botón... ya que podríamos ser víctimas de clickjacking.

El clickjacking es una técnica fraudulenta utilizada en Internet que tiene como objetivo robar información personal del usuario o acceder a su equipo o dispositivo. Consiste en esconder bajo una página web con apariencia inocente e inofensiva enlaces fraudulentos, que si son pulsados por el usuario son capaces, entre otras cosas de ejecutar código malicioso en su equipo. Todo ello aprovechándose de un fallo de seguridad que tienen la mayoría de los navegadores web.

¿Cómo consiguen hacer esto?

Vamos a explicaros la idea de una forma más sencilla, comparándolo con un cristal como ya hicieron en su momento desde Infospyware: Imaginaos que estamos viendo un escaparate de una tienda de relojes. Si intentamos coger uno de los relojes nos damos cuenta que no podemos, está el cristal por delante, que nos deja verlo pero nos impide tocarlo.

Pues bien, volviendo al clickjacking, el contenido falso (iframe, código script, etc.) sería como el cristal, nos deja ver lo que hay debajo de él -una página web con aspecto inofensivo- pero si intentamos hacer clic en los elementos de la página, no podremos, sólo tocaremos la capa transparente maliciosa que será la encargada de realizar el mal: enviar nuestros datos a un servidor remoto, redirigirnos a otra web, robar nuestras credenciales de acceso a un servicio, infectar el ordenador con algún tipo de virus, etc.

Para que os quede más claro, os dejamos un ejemplo práctico (vídeo de Youtube):

¿Cómo podemos protegernos de esta técnica maliciosa?

1. En primer lugar, configurando de forma correcta las opciones de seguridad que nos ofrecen los navegadores:
   • Internet Explorer
   • Firefox
   • Chrome
   • Safari
2. En segundo lugar, si utilizamos Firefox para navegar por Internet, podemos instalar el complemento (plugin) NoScript que incluye una funcionalidad llamada «ClearClick», que explicado de forma llana, consiste en lanzar una ventana al usuario alertándole si ha hecho clic sobre un elemento de la web que se encuentra escondido. Si queréis más información sobre esto, podéis consultar el siguiente enlace: What is ClearClick and how does it protect me from Clickjacking?.
   Para el resto de navegadores, también hay complementos disponibles que realizan una función similar a la de NoScript.
   
3. Y en tercer lugar:
   • Teniendo mucha precaución con las páginas que visitamos y con los enlaces que pulsamos. Sentido común.
   • Sospechando si alguna página web de las que frecuentamos, se comporta de forma extraña: solapa más de de una ventana cuando la abres, muestra elementos muy diferentes a lo habitual, etc.
   • Teniendo nuestros navegadores siempre actualizados.
   • Instalando herramientas de protección del ordenador: antivirus, analizadores de enlaces, etc.

10 consejos que adultos y menores deben conocer para gestionar la privacidad en Internet.

La privacidad y cómo gestionarla sigue siendo la asignatura pendiente del mundo de la red; por ello, a continuación verás algunos consejos para que nunca esté en "tela de juicio".

- En el especial caso de los menores y, además de los dispositivos que la tecnología pueda ofrecer, para evitar que sean víctimas de la Red, debe insistirse en la “precaución” como escudo por excelencia: evitar que se muestren sin límites en Internet, que tengan en cuenta el alcance que puede tener cualquier tipo de información que sea insertada en Internet. Como precauciones generales, debe insistirse en la “educación”

1 .- Como Internet retiene todo rastro de tráfico, toda la información que transporta puede ser rastreada.

2 .- Internet es un sistema de comunicación utilizado por personas: precaución y respeto por quien está al otro lado.

3 .- Internet se parece a la vida física más de lo que creemos, desconfía de lo que te haría desconfiar en la calle (por ejemplo, la imagen de una tienda o la personalidad de un desconocido).

4 .- Internet es información, para saber si es o no útil, si es o no verdad, siempre debe ser contrastada. Pide consejo a un adulto de confianza antes de actuar.

5 .- Internet dispone de todo lo que insertamos en sus redes, debemos evitar ofrecerle demasiada información sobre nosotros mismos, y ser conscientes de lo fácil que es perder el control sobre ello.

6 .- Internet no es ilegal, pero puede ser el escaparate de la comisión de un delito, presta atención a lo que te llega a través de sus redes y desconfía de lo que tenga un origen incierto.

7 .- Internet es paralela a la vida real, no ajena, lo que pasa suele tener un reflejo directo en el ámbito personal y físico de los implicados.

8 .- Internet permite manejar dinero sin necesidad de tocarlo, las transacciones que realices, que sean con permiso seguro del banco en que confías. Desconfía de los envíos de dinero que no pasan por una entidad bancaria o una administración pública estatal.

9 .- Internet pone a nuestra disposición más datos de los que podemos asumir y, al igual que ocurre en la vida real, necesitamos filtrar aquello que sobra para un desarrollo personal pleno, ya sea con el sentido común, ya lo sea con ayuda de dispositivos técnicos de filtrado.

10 .- Existen leyes que castigan las actividades ilícitas en Internet, y también hay leyes que protegen a sus usuarios de una mala utilización, especialmente cuando afecta a sus derechos fundamentales (intimidad, secreto de las comunicaciones, datos personales, libertad de expresión, etc.). Si eres víctima, denuncia.

La AEPD multa con 2.000 euros a la Fundación Santa María la Real

La Fundación realizó un envío masivo con más de 1.000 e-mails sin copia oculta

En mayo del pasado año la Agencia Española de Protección de Datos (AEPD) recibió un escrito de una antigua cliente de la Fundación Santa María la Real denunciando una posible infracción de protección de datos. Dicha Fundación natural de Palencia tiene como misión generar desarrollo basado en la valorización del patrimonio cultural, natural y social. En la denuncia, la demandante ha manifestado que anteriormente había adquirido una colección de DVDs a través de dicha Fundación y que en ese proceso de compra facilitó su correo electrónico. El motivo de dicha denuncia se ha dado a raíz de la recepción de un correo comercial en donde se podían visualizar los más de 1.000 destinatarios a través de sus direcciones de correo electrónico. De esta forma, la Fundación no había realizado la debida copia oculta de sus destinatarios publicando, por tanto, los datos de sus clientes. Y es que la LOPD establece que un e-mail puede ser considerado un dato de carácter personal, ya que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. De esta forma, existirán supuestos en los que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular que lo identifique, en los cuales dicha dirección se considera como dato de carácter personal, o supuestos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carácter personal (siempre y cuando no sea posible la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación). En este caso, la Agencia ha dictaminado que la denunciante recibió un correo electrónico remitido por el denunciado y donde se visualizaban datos personales de múltiples personas (direcciones de correo electrónico) por lo que queda demostrado que se ha vulnerado el deber del secreto (art. 10 de la LOPD). De esta forma, la AEPD ha resuelto dicho caso imponiendo una multa de 2.000 euros por una infracción grave de la LOPD.

Redes Sociales: Ventajas y Desventajas

Redes Sociales: Ventajas y Desventajas a través de Mónica Arenas, experta en Protección de Datos de nuestro departamento de LEGAL.