Privacidad -II

6.3 Privacidad -II

§4 P3P

Debido a las inquietudes surgidas respecto a la privacidad, se creó en el seno del W3C ( A5.3). Una Plataforma para las Preferencias de la Privacidad, conocida abreviadamente como P3P. Se trata de proyectar un estándar para la Web, actualmente (1998) a nivel de borrador, mediante el cuál se puedan controlar dos aspectos: que los usuarios puedan informarse de la política seguida por los proveedores de contenidos en lo referente a privacidad, y que en lo referente a dichas prácticas, puedan ejercer sus preferencias, delegando las acciones oportunas en el ordenador cuando esto sea posible (que los navegadores tengan en cuenta cual es el nivel de intimidad que desea el usuario).

Nota: El 16 Abril del 2002, el W3C estableció oficialmente la especificación de la plataforma P3P como una recomendación que permite a sus usuarios definir y publicar su política de privacidad, ayudando a automatizar la forma en que estas políticas son interpretadas. P3P también permite a sus usuarios controlar el uso que hacen de su información personal, los sitios Web que visitan.

La teoría es que el cliente establece un "perfil de privacidad" (que datos permite sean conocidos y cuales no). El navegador comprueba cual es la política en materia de privacidad de cada servidor accedido, y proporciona información solo hasta el nivel determinado por el usuario. Si al llegar a un sitio, sus prácticas están de acuerdo con el perfil del usuario, la navegación sigue sin problemas. En caso contrario, es avisado y libre de seguir la navegación o no. Por supuesto se pretende que todo esto se realice de forma sencilla, de forma que los navegantes puedan tomar sus decisiones con independencia de su experiencia informática o de navegación.

En la figura adjunta se sintetiza el tipo de diálogo que podría establecerse entre cliente y proveedor en orden a un acuerdo sobre las prácticas de privacidad del sitio visitado [7].

Aunque la mayoría de las "visitas" Web pueden ser anónimas, en otras puede ser necesario proporcionar cierta información al proveedor del servicio. A menudo esta información se requiere para completar una transacción iniciada por el cliente. Por ejemplo, pueden requerirse datos sobre medios de pago (tarjeta de crédito); información fiscal (para emitir una factura), e información postal (para el envío) de un artículo adquirido por el cliente.

A este fin, los protocolos P3P prevén la posibilidad de que se creen repositorios donde se guarden aquellos datos del cliente que sean preguntados frecuentemente. Entre estos datos estarían el nombre del usuario; fecha de nacimiento; dirección postal; número de teléfono; dirección de correo electrónico; medios de pago, etc. Por supuesto que dichos datos solo serán facilitados a aquellos proveedores de servicios con los que el cliente llegue a un acuerdo.

La idea de un repositorio de este tipo presenta ventajas y peligros, tanto para clientes como proveedores. En cuanto a los primeros, porque evita tener que repetir datos que pueden ser requeridos repetidamente. Los segundos porque obtienen respuestas homogéneas cada vez que el cliente vuelve a visitar el sitio. Por otra parte, mantener los datos en un único repositorio facilitará a los fabricantes de software implementar las técnicas de seguridad adecuadas para evitar que sean objeto de ataques de virus; husmeadores (Cookies o Applets), y cualquier procedimiento que pretenda conseguir accesos no autorizados.

Completando estas ideas, se pretende implementar un vocabulario armonizado para describir el tipo de información que se pretende obtener. De forma que cada uno de los datos anteriores se identificara un nombre y un formato estándar de Internet. Por ejemplo, los utilizados en las vCard (ver capítulo 2). Se podrán solicitar los elementos de este repositorio individualmente o en conjunto. Por ejemplo, un servidor puede requerir su fecha de nacimiento completa o simplemente el año de nacimiento. La estandarización evitará que se reduzca la posibilidad de confusiones y los errores resultantes de que diferentes servicios soliciten la misma información bajo diferentes nombres.

§5 Protección de datos

En general existe bastante concienciación popular y gubernamental en lo que a la protección de datos se refiere (al menos en teoría; algo menos en la práctica). En España se han promulgado leyes relativas a las medidas de protección, seguridad y responsabilidad, que deben mantener los administradores de sistemas que contengan datos con información personal de terceros [3].

La Agencia de Protección de Datos www.ag-protecciondatos.es, un Ente de Derecho Público (español) con personalidad jurídica propia y plena capacidad pública y privada, actúa con plena independencia de las Administraciones Públicas. Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales informatizados y controlar su aplicación. En especial en lo relativo a los derechos de información; acceso; rectificación, y cancelación de datos. Esta Web incluye un Registro de Protección de datos; una lista de las bases de datos que contienen información personal y sobre las que la Agencia mantiene un seguimiento especial.

§6 Terapia y profilaxis

Conscientes del problema, algunos miembros de la comunidad Internauta han alzado la voz de alarma y preparado contramedidas que tratan de neutralizar la amenaza. Además de las herramientas de seguridad que ofrece el propio navegador, que comentaremos en el apartado correspondiente, existen varios tipos de ayuda: programas que detectan cualquier actividad no autorizada en el ordenador [9] y/o ficheros sospechosos; sitios que mantienen bases de datos con información respecto de programas convictos o sospechosos de contener spyware o adware; filtros que se instalan en el navegador ("Browse filters"), y que previenen determinadas acciones hostiles desde Webs maliciosas, o sencillamente evitan que se envíe información sobre nosotros mismos. De forma que nuestra navegación sea lo más "anónima" posible (dentro de esta última categoría de software de protección están los anonimadores).

§6.1 Anonimato

Existen varias formas de conseguirlo, una es mediante el software indicado anteriormente (anonimizadores). Otra iniciativa para proteger la privacidad son los servicios de anonimato ("Anonymizers"). Se trata de servidores que hacen de tampón o conexión entre los sitios que queremos visitar y nosotros. El anonimador trae las páginas que queremos ver y nos las devuelve, actuando como un filtro, de forma que el proveedor no puede recabar información sobre nosotros (técnicamente su comportamiento es parecido al de un servidor Proxi A4.6 ).

Se trata de sitios que, a cambio de un canon, ofrecen el servicio no solo para la navegación, también proporcionan correo anónimo (nadie sabe quién es el remitente) e incluso de publicidad. Uno de los más conocidos es Anonymizer.inc www.anonymizer.com

§6.2 Cifrado

Esta técnica se refiere a los contenidos. Es una forma de evitar que nuestras comunicaciones por Internet (principalmente correo electrónico) puedan ser leídas en caso de ser interceptadas.

Los métodos de cifrado pueden ser muy variados, el más utilizado a nivel popular es un sistema denominado PGP ("Pretty Good Privacy"), desarrollado en USA. También se ha utilizado la estenografía, un procedimiento por el que se ocultan mensajes en el interior de documentos aparentemente inocentes como imágenes o archivos de audio. Este último tiene el inconveniente de la gran cantidad de basura (el continente, imagen o fichero de audio) que hay que enviar para un contenido pequeño (el mensaje).

Cuando comenzaron a desarrollarse estos productos, y a pesar que las versiones disponibles por el gran público pueden tardar solo unas 24 horas en ser descifrados [11], el gobierno norteamericano comenzó a poner inconvenientes para su desarrollo y exportación.

Nota: La limitación llegó al extremo de que hasta 1999 los programas de encriptación dura ("strong encryption") como PGP no podían ser exportados fuera de USA en formato electrónico. Esto motivó que cada vez que se lanzaba una nueva versión, PGP Internacional adquiría e importaba a Europa la versión impresa del código fuente, que era escaneada para reconstruir el programa original (la historia en detalle www.pgpi.org).

PGP ha sido adquirido por Network Associates [12], de forma que el sitio USA redirecciona a una página de esta empresa ( www.pgp.com ). Sin embargo, la FSF ("Free Software Foundation") ha desarrollado una versión equivalente GnuPG ("GNU Privacy Guard"). Una versión de descarga libre que es distribuida bajo licencia GNU [5]. Puede obtenerse en: www.pgpi.org. Volveremos a referirnos a esta utilidad al tratar de la seguridad en el correo electrónico ( 8.1.5).

Más información: www.gnupg.org

§6.3 Otros recursos

Cualquiera de los sitios que se relacionan es buen punto de partida para ponerse al día de lo que ocurre en este lado oscuro de la Red (ver también la lista webográfica incluida al final ).

Ad-aware www.lavasoft.de

AD-aware permite escanear el PC en busca de ficheros "espía" y borrarlos de forma segura. Pueden elegirse los módulos a eliminar, guardar ficheros de registro, y personalizar el menú del programa. El programa permite detectar y eliminar los ficheros de spyware bien conocido, como Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000. También incluye la detección de publicidad de Webhancer, DSSAgent, y Alexa.

Spychecker www.spychecker.com

Este sitio contiene una base de datos con sitios e información respecto al software espía. Contiene una lista completísima de herramientas anti-espía freeware y shareware. Seguramente es el sitio por el que debería empezar su búsqueda si está preocupado por esta cuestión.

Comparitech www.comparitech.com

Página con información sobre cómo eliminar el spyware y qué herramientas gratuitas pueden utilizarse.

§7 Webografía

Existen en la Red bastantes sitios concernientes al tema de la privacidad, software espía y protección de datos.

Centre for Democracy and Technology www.cdt.org/
EFF Electronics Frontier Foundation www.eff.org/
Privacy Rights Clearinghouse www.privacyrights.org/

Esta organización sin ánimo de lucro radicada en San Diego (USA), se interesa por la divulgación de hábitos seguros de privacidad para el público (como un ejemplo de la penetración de nuestro idioma en USA, contiene unas "Página Informativas" en Español). De lectura muy recomendable.

Electronic Privacy Information Center EPIC www.epic.org

Esta organización se ocupa de los aspectos de la privacidad electrónica. En la página de recursos online sobre privacidad www.epic.org/privacy, encontrará una lista muy completa.

Privacy net http://privacy.net

Esta organización está dedicada a la privacidad de los consumidores. Especialmente interesante es la sección "Privacy Resources". También muy interesante de visitar la sección "Privacy Analysis of your Internet Connection" http://www.privacy.net/analyze/, donde puede comprobar la cantidad de información que pueden obtener de usted los Webmasters.

Si desea tomar medidas activas contra el posible spyware instalado en su ordenador:

SpyBot http://spybot.safer-networking.de

PepiMK Software ofrece en sus páginas un programa para Windows en sus diversas versiones (desde W-95 en adelante), que puede identificar y destruir no solo el spyware instalado en su ordenador; también Trojans; Hijackers; dialers y otro Malware. Altamente recomendable si está interesado en estas cuestiones. Si navega mucho por la red y es algo "promiscuo" con programas y utilidades, quizás se encuentre sorprendido al enterarse de todo lo que tiene en su ordenador. Es un producto freeware, aunque el autor acepta donativos voluntarios.

Si quiere unos sitios más "técnicos":

Los foros de Becky: www.morelerbe.com
Web Securite: http://websec.arcady.fr

Web mantenida por Jean Balczesak, muy informativa y organizada. Adecuada si sabe leer francés.

Voiceofthepublic www.voiceofthepublic.com

Sitio bien mantenido que le mantendrá al día de las últimas noticias en seguridad.

Gibson Research Corporation www.grc.com

Steve Gibson mantiene este sitio en el que puede encontrar información sobre aspectos relativos a la seguridad.

Privacy Power http://accs-net.com/smallfish

Una buena referencia con bastante información, especialmente la página "Adware, Badware & Spyware".

IDcide www.idcide.com/

La compañía IDcide se ocupa de las cuestiones de privacidad a nivel privado y de empresa. Dispone de un software de descarga libre: Privacy Companion un add-on para el navegador MS I.Explorer que le permite detectar cuando está siendo espiado en la Red, y el nivel de privacidad que desea.

Spaceports http://mir.spaceports.com

Esta empresa dispone de Proxomitron ( http://mir.spaceports.com/~ptron/), un completo y potente filtro para navegador Web de descarga gratuita.

Webwasher www.webwasher.com

Webwasher ofrece otro potente filtro para navegador en dos versiones; una versión freeware y otra "Enterprise" shareware. También DynaBlocator, una base de datos para bloqueo de accesos a determinados contenidos desde los navegadores. La empresa lo ofrece a compañías y organismos públicos alegando el costo que supone el mal uso de Internet -navegación a sitios inadecuados- de los empleados.

Nota: de acuerdo con un estudio de Abril del 2002, elaborado por el FBI y el Computer Security Institute, en un 78% de las empresas encuestadas se detectó un uso indebido de los accesos a Internet por parte de sus empleados. Más sobre esta noticia y las medidas que suelen tomar los responsables de informática de las empresas en www.internetnews.com/.

Counterexploitation http://www.cexx.org

Sitio con cantidad de información sobre Spyware, Adware y Malware en general.

Inicio.

[3] El texto de esta Ley es de recomendada (diría obligada) lectura para todos los responsables de sistemas informáticos que contengan información de este tipo.

[5] GNU Sistema de software no propietario, de dominio público, que está a libre disposición en Internet de forma que cualquiera puede bajarlo, modificarlo y redistribuirlo (el SO LINUX es su mejor exponente). El concepto fue iniciado en 1984 por Richard Stallman en el MIT como un medio de conseguir software gratuito y soportado por la comunidad informática. Sus ideas, expuestas en un documento que se ha llamado "El manifiesto GNU" ha sido traducido a casi todas las lenguas ( www.gnu.org/gnu/manifesto.html). El proyecto está apoyado por la FSF ("Free Software Foundation"), que se encarga de recabar fondos para el proyecto.

Puede obtener más información sobre la vitalidad de este movimiento en OSDN ("Open Source Development Network") http://www.osdn.com

La "gratuidad" y "libertad" de uso del software GNU se entiende de la siguiente manera:

Primero. Libertad de realizar cuantas copias se desee y distribuirlas libremente.
Segundo: Libertad de cambiarlo a nuestro gusto, para lo que se dispone del código fuente.
Tercero: Libertad de distribuir libremente la versión modificada, de forma que se ayude a la comunidad.

En este último caso, deben ponerse los fuentes a disposición de la comunidad. Puede cobrarse una cantidad en concepto del acto de la copia y su soporte físico.

[7] PUID es un método por el que el usuario se identifica frente a un servicio bajo un acuerdo específico y durante un tiempo determinado. Estas identificaciones corresponden a un campo de interés ("Realm") determinado y a un acuerdo concreto. Son enviadas dentro de las cabeceras P3P como parte de la identificación de acuerdo (agreementID), que acompaña a cualquier petición a un servidor.

La identificación de acuerdo (agreementID) es un pequeño trozo información que señala que ambas partes (prestador y receptor) de un servicio, están de acuerdo para un propósito determinado, es como la rúbrica de aceptación de este propósito. La presencia de esta rúbrica en la cabecera P3P es la declaración definitiva de que el acuerdo es efectivo para un campo determinado.

[9] Estos programas, denominados genéricamente husmeadores de paquetes ("Packetsniffer"), detectan transmisiones no deseadas en Internet.

[11] Los sistemas de cifrado más avanzados necesitan un mes de plazo para ser descifrados por métodos normales, lo que les hace indescifrables a efectos prácticos. Sin embargo, entre estos métodos "Normales" no se encuentran por supuesto los métodos extraordinarios de computación con que cuentan los gobiernos como el Norteamericano ( Nota-10) o el Japonés ( Nota-15).

[12] En Enero de 1998 saltaba la noticia: "Network Associates adquiere PGP. Network Associates ha anunciado la compra de PGP, firma cuya tecnología utilizará para desarrollar una nueva gama de productos de seguridad en las empresas. El futuro de PGP, y sobre todo de sus versiones gratuitas, resulta todavía incierto..."

Prev.

Inicio