Este documento presenta tres medidas básicas de seguridad para prevenir ciberamenazas: 1) Entender los principales riesgos cibernéticos como malware, phishing, vulnerabilidades, y errores humanos; 2) Conocer y aplicar buenas prácticas de seguridad como usar contraseñas seguras y actualizaciones de software; 3) Desarrollar un manual de seguridad digital para proteger a una empresa. El documento enfatiza que aunque la seguridad completa no es posible, tomar medidas razonables puede reducir significativamente el ries
1. Cómo establecer las medidas
básicas de Seguridad para
prevenir y luchar contra las
ciberamenazas
Sesión CEBEK, 29 de abril de 2015
Material: bit.ly/cebek-seg-201504
3. Propuesta de sesión
1. Entender los riesgos
2. Conocer buenas prácticas
◦ (Cómo ser más seguro)
3. Manual de seguridad digital
◦ (Cómo hacer que la empresa sea más
segura)
4. Legalidad
5.Algunos recursos. Cierre
Comunidad digital cebek-seg
4. 1. Riesgos
Conozcamos al enemigo...
http://economia.elpais.com/economia/2015/03/31/actualidad/1427822629_728895.html
5. ¿Qué hay que proteger?
La caja fuerte en los 50...
◦ ...dónde está ahora la "caja fuerte"?
El dinero, las escrituras, los planos...
◦ ... todo es digital
6. Objetivo de la seguridad digital
Proteger la información
7. ¿De quién nos protegemos?
◦ Los ladrones - ciberdelincuentes
◦ Los hackers (más o menos éticos)
◦ Los malintencionados
◦ Los despistados
◦ Who watches the watcher?
8. ¿Por qué el cibercrimen?
Robos de bancos USA:
◦ 20M $ / 5-10 ladrones muertos
Phising USA:
◦ 2.000M $ / 0 muertos
Algunas estadísticas ponen a la par a nivel
mundial cibercrimen y mercado de droga
9. Algunos handicaps
Somos vulnerables en Internet
Estamos poco concienciados
◦ (somos muy imprudentes)
Crece la sofisticación de los ataques, su
frecuencia, los atacantes
◦ El cibercrimen tiene muchos recursos
Problemas de jurisdicción y vacíos legales
Toda la innovación tecnológica...
◦ ... permite mucha "innovación" del delito
10. Inseguridad Internet 2013
◦ + 91% en ataques dirigidos
◦ fugas de datos + 62%
552 M identidades expuestas
◦ 23 vulnerabilidades de día cero
◦ 38% de usuarios móviles víctimas cibercrimen
◦ 1 de cada 392 emails es un mensaje
fraudulento o phishing
◦ Ataques basados en la web + 23%
◦ 1 de cada 8 sitios web legítimos tiene
vulnerabilidades críticas
http://www.symantec.com/es/es/security_response/publications/threatreport.jsp
11. Daños en el Estado
(Fte: Incibe)
70.000 ciberataques
en 2014
12. ¿"Atacar" es cosa de expertos?
http://energyskeptic.com/2014/terrorism-and-the-electric-power-grid/
13. Tipos de atacantes?
Algunas estimaciones...
◦ Cibercriminales --1%
◦ Profesionales -- 5%
◦ Aficionados > 90%
Cualquier desaprensivo puede realizar un
ataque
14. ¿Por qué se ataca?
http://www.slideshare.net/Radware/ert-2011-annualreportfinal
15. Algunos principios
1. ¿Hay seguridad completa?
◦ No
2. ¿Cuánto nos tenemos que gastar?
◦ Cualquier importe es posible
16. Algunos principios (2)
¿Cuánto nos gastamos entonces?
◦ Riesgo = valor pérdida * prob. de ocurrir
Valor pérdida = coste recuperación +
tiempo perdido + negocio perdido
◦ Inversión en seguridad: disminuye la prob.
Relación coste riesgo / coste seguridad
18. Algunos principios (4)
¿Qué son las medidas de seguridad?
◦ Reducen la probabilidad del riesgo
◦ Requieren ser conocidas y utilizadas
Estorban, incomodan
Por acción (ej.: mejorar contraseñas) u
omisión (ej.: no instalar software
desconocido)
La persona es siempre el eslabón más
débil...
19. Elementos de la seguridad
Privacidad/confidencialidad
◦ Solo accede quien debe hacerlo
Integridad
◦ Siempre está todo y solo lo que debe estar
(no se puede modificar)
Disponibilidad
◦ Siempre se puede acceder
21. Navegación y privacidad
La web era anónima...
www.washingtonpost.com/blogs/comic-riffs/post/nobody-knows-youre-a-dog-as-iconic-internet-cartoon-turns-20-creator-peter-steiner-knows-the-
joke-rings-as-relevant-as-ever/2013/07/31/73372600-f98d-11e2-8e84-c56731a202fb_blog.html
23. Privacidad: cookies (1)
Textos que envía una web, que se guardan
en el navegador de un dispositivo
◦ Facilitan la navegación en un sitio web
Menos identificaciones
Recuerdo de opciones, configuración...
De sesión / persistentes (con caducidad)
◦ Peligro: acceso de otros a info. guardada
Información privada, previa, potencialmente
peligrosa
En inicio un sitio solo accede a "sus" cookies
24. ¿Cuánto dicen los cookies? (2)
Ejercicio:
◦ Accede a los cookies de tu navegador
◦ ¿Cómo sería de peligroso que se
comprometiera esta información?
◦ Firefox: Opciones | Privacidad | Eliminar
cookies de forma individual
◦ Chrome: Configuración | Mostrar opciones
avanzadas... | Privacidad | Configuración de
contenido | Todas las cookies ...
Combina con: www.stayinvisible.com/
25. Riesgos de los cookies (3)
Las cookies no son peligrosas en sí, son
solo datos. Pero sí hay riesgos:
◦ Robo de cookies
◦ Cross-Site Scripting (XSS)
(¿Y si se identifican como si fuera yo?)
◦ ¡Y ojo a los ordenadores compartidos!
Lo que facilita la vida a un usuario... puede
ser una bicoca para el siguiente
27. Otros peligros de las RRSS
"Linchamientos virtuales": el caso de
Justine Sacco
http://tecnologia.elpais.com/tecnologia/2015/03/27/actualidad/1427463790_681602.html
28. Malware (software malicioso)
◦ Se instala sin consentimiento
◦ Su intención es dañar/robar/estorbar...
◦ Diferentes tipos:
Virus
Gusanos
Troyanos
spyware
adware ...
◦ Se crean decenas de miles al día!
29. Virus y gusanos
Soft "infecciosos" que al ejecutarse se
copian en otros programas o equipos
◦ Primer objetivo: reproducirse
◦ Segundo objetivo: dañar (directa o indir.)
El virus se ejecuta por el usuario, el
gusano automáticamente
◦ (gusano: vulnerabilidades red/SO/equipos)
30. Puerta trasera (backdoor)
Método para evitar autenticación
Tras un ataque, se deja para facilitar el
acceso y ataques posteriores
31. Troyanos
Soft que hacen otra cosa que la q parece
Malware que permite la administración
remota del equipo, de forma oculta
◦ Efectos muy perniciosos
◦ Algunos tipos:
botnet
dialer
keylogger
password stealer
...
32. ¿Cómo llega un troyano?
Email, como fichero adjunto.
Programas p2p: emule, edonkey… en
películas, música, cracks, etc.
En chats, como demos, juegos, chistes...
Pop-ups anunciando falsos antivirus,
juegos online, …
En webs infectadas
34. Ejemplo de troyano:
CryptoLocker ("ransomware")
◦ Llega por email - adjunto que se ejecuta
◦ Rastrea discos y unidades de red
◦ Cifra los ficheros -con uno de los sistemas
más seguros-, y ya no se puede acceder
◦ Hay que pagar "rescate" para recuperarlos
35. Botnets
Redes "zombies"
◦ Industria en torno a los botnets
◦ Miles de equipos infectados sin notarlo
(troyanos)
◦ Se "alquilan" servicios desde la red
Posibles motivos:
◦ Envío de spam
◦ Ataques a servidores
◦ ...
Ejercicio: www.osi.es/es/servicio-antibotnet
36. Denegación de servicio
Buscan evitar que el servidor atacado
pueda dar un servicio normalizado
◦ Bloqueando-saturando el servidor
◦ Se suelen usar botnets
37. Vulnerabilidades
Software servidores/navegadores/SOs...
Fallos en software que permiten ataques
◦ Se descubre (suficiente una persona)
◦ Se explota (expertos) [exploit]
◦ Se revela y utiliza (técnicos)
◦ Se incluye en herramientas automáticas
(aficionados)
◦ Se publican los parches
◦ Se aplican los parches... poco a poco
39. Escaneo de puertos
Cada puerto de un servidor es un
servicio preparado para la conexión
◦ Cuantos más abiertos, más servicios
conocidos, más posibles vulnerabilidades
40. Deface
Se modifica la página web de una entidad
Afecta a la identidad y a la imagen pública
Se aprovecha alguna vulnerabilidad o
descuido del administrador
Historia... www.zone-h.org - archive
41. Sniffing
Por defecto las comunicaciones son
abiertas: emails, navegación... sin encriptar
Un sniffer es un programa que "olfatea"
(escucha) todas las comunicaciones que
ocurren, sin interferir
◦ Si están sin cifrar, puede entresacar
usuarios y claves
◦ Si están cifradas, no se entienden los datos
Gran problema en wifis "abiertas"
42. Ingeniería social
Aprovechar la buena voluntad o
desconocimiento para sonsacar
información de un usuario
◦ A veces el propio usuario la "regala"
◦ Orientada a conseguir contraseñas
43. I.S.: Phising
Suplantación de identidad
◦ Engaño por email, mensaje, teléfono
◦ Se entra en la web falsa
Que parece verdadera
Dominios similares, diferencias difíciles de
percibir, equívocos, símbolos parecidos...
Se pide identificación
Y el atacante se queda con los datos
◦ Sofisticación creciente
Suelen partir de spam: pequeño % - gran robo
44.
45. I.S.: Los timos aún existen
Muchos de los ataques tienen que ver con
"cebos" que se han usado siempre, desde
la estampita. Ejemplos:
◦ El príncipe africano
◦ El cheque regalo de amazon
◦ Las llamadas de voz gratis de whatsapp
◦ Desactivar el doble check azul whatsapp
◦ Apps espías
◦ ...
http://www.elcorreo.com/bizkaia/sociedad/201504/19/estafadores-tambien-usan-whatsapp-20150417130838.html
47. APT
Amenazas Persistentes Avanzadas
◦ Contra una empresa particular
◦ Utilizando I.S. y diversas técnicas
combinadas
48. SPAM
Correo no solicitado
> 70% del email mundial es SPAM
Los servidores filtran mucho
◦ Falsos positivos
49. Hoaxes (bulos)
Falsas alertas de virus
(1994) ¡Cuidado! Si llega un mensaje titulado 'Good
Times', simplemente leyéndolo, el virus malicioso actúa
y puede borrar todos los contenidos del disco duro
Falsos avisos - leyendas urbanas
Mensajes de cadena ...
Objetivos?
◦ Colapsar la red
◦ Recopilar emails
◦ Ataques personales
51. Movilidad, nuevos riesgos
Uso de canales inseguros (wifi abiertas)
Localización en apps
Fotos privadas, localización, protección
Malware para dispositivos móviles
◦ Ojo con el jailbrek/rooted
Área en expansión...
52. La nube: pros
Ordenador - digitalización - comunicación
CPD - Nube (CPD "fuera")
Pros:
◦ Menos inversión en CPD, backups, SAIs...
◦ Menos coste administración sistemas
◦ Simplificación de software + plataforma
◦ Accesible 24/7, fiable contra pérdidas
◦ Escalable en espacio y calidad de servicio
53. La nube: riesgos
Los datos "no están" aquí
◦ Incluso ilegal - convenios, contratos
Cada dato pasa por el canal de comun.
◦ Imprescindible la seguridad al máximo en
las comunicaciones
Dependencia tecnológica / comun.
Confianza máxima en el proveedor
◦ ¿Somos mejores gestores de seguridad
informática que... google?
54.
55. Y el mayor peligro de todos...
¡Nosotros!
◦ Dejadez, desconocimiento, falta de tiempo
◦ Cuentas abandonadas, desprotegidas
◦ Mala gestión de passwords
◦ Sesiones abiertas, equipos sin apagar
◦ ...
◦ Y si además hay mala fe...
56. 2. Buenas prácticas
Una larga lista... hablemos de algunas
Trasversal a todas:
◦ Formación básica
◦ Sentido común
◦ Protocolos (si existen)
57. Si te infectas...
Desconectar el equipo de la red
Apagarlo y acudir al servicio especializado
◦ Unos minutos pueden diferenciar miles de
ficheros contaminados o no
Notificar al servicio técnico
◦ Eliminar el virus con un arranque limpio
◦ En casos graves, formatear el equipo
58. Consejos básicos
Política de backup
◦ ¿En la nube? ¿En disco duro externo? ¿En
servidor de red?
Dos mejor que una
Backup con conexión y desconexión
dificulta infección a troyanos
◦ También con encriptado
Configuración de parches de seguridad
Mostrar extensión de archivos (confusión
ejecutables con los que no lo son)
59. Consejos básicos (2)
Protección de pantalla/suspensión rápida
◦ Protegida por contraseña
No dejar el equipo abierto
No instalar soft de origen desconocido
Cuidado con los pendrives (no pasan por
el control estándar que tenga la entidad)
Cuidado con P2P
60. Seguros pero educados: netiqueta
Del francés étiquette (buena educación) y
del inglés net (red)
Conjunto de pautas que se entienden por
buen comportamiento en Internet
◦ Una adaptación de reglas de etiqueta de la
realidad al ambiente virtual
Soberanía del autor
Complementariedad de los comentarios
Veracidad de la identidad del comentarista
Please do not feed the troll
61. Netiqueta (2)
NO ESCRIBIR GRITANDO!
No abusar de los colores
Educación! No insultos, saludar, despedir...
No enviar cadenas de mensajes
Elegir con cuidado receptores (el tiempo
es oro, el de los demás también)
◦ Ocultar los receptores en grupos! BCC
Pedir permiso antes de subir fotos/textos
...
62. Antivirus / antimalware
No protegen tanto como antes
◦ Ataques dirigidos - creciendo
Pero deben seguirse utilizando
◦ Evitan muchos "contagios"
◦ Función de cuarentena (heurísticas)
◦ A pesar de recursos, falsos positivos
◦ También en los móviles y en las tablets
◦ Siempre actualizado
63. Email
Nunca ejecutar adjuntos
◦ La importante diferencia entre datos y
código
◦ Ojo con las extensiones simuladas
Cifrar el correo si es posible
◦ ¡Y sobre todo si es necesario!
64. Passwords (1)
Las contraseñas más habituales de 2014...
123456 dragon
password football
12345 1234567
12345678 monkey
qwerty letmein
123456789 abc123
1234 111111
baseball ... (y el nombre)
http://gizmodo.com/the-25-most-popular-passwords-of-2014-were-all-doomed-1680596951
65. Passwords (2)
Contraseñas diferentes para servicios
diferentes
◦ Si no "robado uno, robados todos"
Algunas pautas:
Suficiente longitud (>8 cars... mejor 14)
Combinar may/min, nums, cars. especiales.
Con ninguna información personal
Sin palabras completas en ningún idioma
No obvia. No en postit. No en cartera
Cambiar cada cierto tiempo
66. Passwords (3)
Posible criterio para recordar:
◦ Juegos de palabras con frases completas
dcQéaytdéQée
◦ Cambio/inserción de algunos dígitos/símbolos
dc#1Qéaytdé#4Qée
◦ Subcódigos para categoría/sitio web
fBdc#1Qéaytdé#4QéeRS
(mejor si no son obvios)
feisdc#1Qéaytdé#4QéeRS
68. Passwords (5)
Servicios de gestión de contraseñas
◦ Ser especialmente cuidadoso
◦ Algunos servicios en la nube:
LastPass, Dashlane, 1Password, Mitro, LoginBox,
KeePass, Roboform, PassPack ...
◦ Gestor local? Doc? protección máxima!
◦ No está de más usar una codificación
adicional que solo sepamos nosotros
feisxdc#1Qéaywtdé#4QéeRS
◦ Passw empresa... ¡privacidad compartida!
Y de vez en cuando... ¡cambiemos passw!
70. Navegación
Desactivar cookies... más o menos
◦ Firefox: Opciones | Privacidad | Config.
personalizada para el historial
◦ Chrome: Configuración | Mostrar
opciones avanzadas | Privacidad | Config.
de contenido | Cookies
Ejercicio: ¿cómo se navega sin cookies?
71. Navegación (2)
Navegar con https si es posible (cifrado)
◦ ¿"El certificado no es de confianza"?
Entidad sospechosa
A veces las entidades no están pendientes y
se les caducan los certificados
Pero mejor extremar la precaución
72. Navegación (3)
Navegar de forma privada (modo
"incógnito", navegación "privada").
◦ Se navega con cookies pero se borran
automáticamente para la siguiente sesión
de navegación, no se mezclan con las
cookies del modo normal
◦ Tampoco se guarda el historial
◦ Ideal para equipos compartidos
73. Si compras mucho online...
Con tarjeta financiera:
◦ Bancos con clave adicional de seguridad
◦ Tarjetas con límite de pago
◦ Configurar SMS de aviso de cobro
(Alerta temprana)
◦ Vigilancia frecuente de tarjeta
Configurar otras cuentas con límite de
pago (paypal, google checkout)
74. Conexión a la red
Conectarse por cable preferiblemente
No conectarse a wifis abiertas
◦ Si no hay más remedio, evitar accesos con
usuario/password, especialmente a
servicios críticos. Desactivar cookies.
Si creamos wifis, usar siempre encriptado
◦ WEP muy débil. Mejor WPA, mejor WPA2
con cifrado AES
Con contraseña fuerte (> 15 cars.)
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf
75. Servicios electrónicos
Banca y otros servicios delicados
◦ Elegir siempre doble verificación (mejor
por móvil, tb por email, peor tarjs claves)
Login en google
Validación operación en banca electrónica
Limita el impacto del
phising y otros ataques
similares.Tb keyloggers...
Combinado con teclados
en pantalla
76. Certificados y DNI electrónico
Todavía no es fácil/accesible.
◦ Gran herramienta: firma digital, cifrado.
◦ España es de los países con + DNIe
◦ Pero se usa muy poco
Autenticación muy segura, si hay confianza
con el emisor:
◦ Autoridad certificadora
Hasta la biometría, es un gran paso...
77. Ingeniería social
Nunca...
◦ Dar contraseñas
◦ Hacer caso a cadenas de emails
En peticiones de información privada,
siempre verificar persona y uso
¡Sentido común!
82. Privacidad en redes sociales (3)
¿Cuántos amigos tienes?
◦ Utilizar bien las listas de amigos en
facebook / círculos en google+
◦ Publicar con atención a la visibilidad
¿Qué información tenemos pública?
◦ Nunca publicar algo que no queremos que
no se conozca...
Confiamos en un amigo pero... ¿en quién
confía él? ¿cuál es su gestión de la seguridad?
86. Dispositivos móviles
No "rootear" el móvil/tablet
No usar wifis abiertas (aunque no
vayamos a hacer nada "peligroso")
No localización en (casi) todas las apps
◦ Ser restrictivos con los permisos
Mucho ojo con las fotos (metadatos)
https://preyproject.com/
87. Dispositivos móviles (2)
El robo en un móvil/tablet/portátil es más
posible que en un fijo
◦ Cifrado de la información (si es crítica la
confidencialidad)
Ej.Android: EDS Lite
Ej.Windows: BitLocker
Ej. iOS: Splash ID
Para uso en espacio permanente, pueden
instalarse sistemas físicos
89. Y los administradores...
Firewall (cortafuegos)
◦ Bloquear y permitir comunicaciones
Filtros antispam (tb. usuarios)
Configurar bien los permisos de usuario
Vigilancia / monitorización de recursos,
conexiones, servicio, logs
Bloqueo y control de puertos
Duplicación y backup de datos/servicios
Parches, foros, info vulnerabilidades/amenazas
https (SSL) en los servidores propios!
90. 3. Manual de seguridad digital
¿Cómo llevar todo esto a la empresa?
91. ¿Cuál es la clave de la seguridad?
¿Qué elementos han salvado millones de
vidas en la medicina?
◦ Los protocolos (check-lists)
¿Qué elementos han ocasionado pérdidas
de millones de vidas en la medicina?
◦ Las personas
Definamos check-lists
Eduquemos a las personas
92. Plan de Seguridad digital
1. Conocer la situación actual
◦ Análisis de riesgos
◦ Análisis técnico
2. Conocer la estrategia de la entidad
3. Definir acciones de seguridad
4. Planificarlas (corto, medio, largo plazo)
5. Implantación
◦ Comité de gestión / seguimiento
93. Más humilde: manual
de seguridad digital
1. Conceptos de seguridad
2. Consejos de seguridad (buenas prácticas)
3. Equipo de seguridad
4. Plan de contingencia
94. 1-2: Conceptos y consejos
Informe / enlaces / recursos
Checklists
Difundirlo por toda la organización
Revisar periódicamente las checklists
95. 3: Equipo de seguridad
Definir responsables
Tarea continua: revisar-actualizar manual
Tarea continua: formación y reciclaje en
seguridad
◦ Información interna de novedades-alertas-
incidencias
97. Compromiso por la seguridad
◦ Compartir la filosofía con empleados: la
seguridad es necesaria.
Todo mecanismo es poco si las personas no
funcionan de forma segura
La formación/concienciación es fundamental
◦ Adquirir compromisos, equilibrios entre
libertad, flexibilidad, y seguridad
◦ Que las barreras sean negociadas, o al
menos compartidas
◦ Doc. de compromiso adjunto al contrato
98. Ejemplo de compromiso
BYOD: BringYour Own Device
◦ Pros:
Menos coste
Satisfacción
Mejor enlace trabajo 24/7 / teletrabajo
...
◦ Contras
Inseguridad! (malware, privilegios, acceso...)
Mayor coste gestión: soft, actualizaciones
Mayor riesgo fugas de información
Caos gestión espacio y backups
...
100. Marco legal
Derecho al honor, a la intimidad personal y familiar y a la propia imagen
● Derecho al honor
o Puede definirse como el aprecio o estima que
una persona tiene en un contexto social
determinado
o En Internet este derecho protege a la persona
frente a agresiones como la publicación de
noticias u opiniones que lo hagan desmerecer
socialmente
Fuente: http://joserocanacion.blogspot.com.es/2013/07/derecho-al-honor-la-honra-buena.html
101. Marco legal
Derecho al honor, a la intimidad personal y familiar y a la propia imagen (II)
● Derecho a la intimidad
o El derecho protege una esfera privada de la
cual el individuo puede libremente excluir a
terceros, e impedir intromisiones en un ámbito
reducido de relaciones personales
o En el ámbito de servicios como las redes
sociales, la intimidad de los usuarios puede
verse fácilmente vulnerada, puesto que las
informaciones traspasan con frecuencia el
círculo de relaciones personales del titular,
saliendo del anonimato
102. Marco legal
Derecho al honor, a la intimidad personal y familiar y a la propia imagen (III)
● Derecho a la propia imagen
o Protege los atributos más característicos,
propios e inmediatos como son la imagen
física, la voz o el nombre
o El derecho a la propia imagen confiere un
poder de disposición respecto de cualquier uso
que terceros quieran realizar de estos
atributos, ya que se requiere el consentimiento
del afectado
o En la práctica, desde el momento que cualquier
información se publica en la Red, incluida la
imagen personal, el individuo pierde el control
sobre ella
103. Marco legal
Derecho de información y libertad de expresión versus derecho a la propia
imagen, a la intimidad y al honor
● Una de las aportaciones más significativas de
la Web 2.0 ha sido democratizar el ejercicio
del derecho a la información y la libertad
de expresión recogidos en el artículo 20 de
la Constitución
● Esto provoca la transferencia de una parte
sustancial de la reputación personal al resto
de usuarios a través de canales colaborativos
104. Marco legal
Derecho de información y libertad de expresión versus derecho a la propia
imagen, a la intimidad y al honor (II)
● La libertad de información permite a las
personas publicar noticias, siempre que las
informaciones sean ciertas, es decir, que hayan
sido verificadas o comprobadas y que tengan
relevancia pública, derivada de la importancia
social de la noticia
● La relevancia puede venir dada por el interés
de la persona objeto de la noticia
105. Marco legal
Derecho de información y libertad de expresión versus derecho a la propia
imagen, a la intimidad y al honor (III)
● Por su parte, la libertad de expresión:
o Se refiere a la publicación de pensamientos,
ideas u opiniones, que suponen una valoración
subjetiva de la realidad
Fuente: http://objetivismo.org/category/subjetivismo/
106. Marco legal
Comparación
● El ejercicio de estas libertades, especialmente
de la libertad de expresión, puede chocar
con los derechos de la personalidad (al
honor, intimidad y propia imagen) que asisten
a todos los individuos fuera y dentro de
Internet
o Con el factor añadido del poder de difusión de
los contenidos en este medio, que puede
ampliar los efectos negativos de un ataque a
estos derechos. Por ello, existen unos límites a
la publicación de información.
107. Marco legal
Comparación (II)
● El primero de los límites es respetar la
dignidad de las personas y no atentar contra
ella por medio de la calumnia o la injuria
● Estas figuras, que forman parte de los delitos
de prensa, se aplican igualmente en
Internet, teniendo en cuenta que quien
propaga una información se convierte en
"difusor" de la misma, pudiendo dañar la
imagen de una persona a la cual muchas veces
ni siquiera conoce
108. Marco legal
Comparación (III)
● La calumnia consiste en la imputación de un
delito hecha con conocimiento de su
falsedad o temerario desprecio hacia la
verdad (artículo 205 del Código Penal)
Fuente: http://laindependet.blogspot.com.es/2013/01/la-calumnia.html
109. Marco legal
Comparación (IV)
● La injuria es la acción o expresión que
lesionan la dignidad de otra persona,
menoscabando su fama o atentando contra su
propia estimación (artículo 208 del Código
Penal)
Fuente: http://derechopublicomd.blogspot.com.es/2014/07/libertad-de-expresion-injuria-y.html
110. Marco legal
Comparación (V)
● En segundo lugar, la intimidad de cada
usuario es una barrera cada vez más débil a
favor de lo público
● De hecho, el principio de las redes sociales
es animar a los usuarios a compartir
información sobre su vida privada y
generar conversación, redistribuyendo y
diluyendo informaciones privadas de otros
más allá del grupo de contactos directos del
titular de la información
111. Marco legal
Comparación (VI)
● Por último, a la hora de utilizar materiales de
terceros sin autorización el límite lo
constituyen los derechos de autor que
puedan afectar a la obra en cuestión, con el
consiguiente daño a la reputación online del
creador
Fuente: http://www.taringa.net/posts/info/15148561/Twitter-elimina-casi-6-mil-tuits-por-derechos-de-autor.html
112. Marco legal
Comparación (VII)
● Es lícito hacer alusión a noticias de terceros y
publicar referencias citando el origen
(reportaje neutral)
● Así, se puede elaborar un post sobre un tema
tratado en la prensa, pero no copiar
literalmente noticias sin permiso de sus
titulares
113. Marco legal
Comparación (VIII)
● Puede reproducirse parcialmente un texto,
por ejemplo como cita que ilustra un post,
siempre que se reconozca la autoría
o No se permite la reproducción íntegra de
materiales ajenos, salvo que no estén sujetos a
derechos de autor
o No está permitido reproducir libremente
cualquier fotografía obtenida en Internet, ya
que puede estar sujeta a derechos de autor
114. Marco legal
Derecho fundamental a la protección de datos
● A nivel europeo, la Directiva 95/46/CE es la
norma de referencia en materia de
protección de datos
● En España, la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter
personal (LOPD) y su reglamento de
desarrollo (Real Decreto 1720/2007, de 21 de
Diciembre
o Se aprueba el Reglamento de desarrollo de la
Ley Orgánica de Protección de Datos de
Carácter Personal, RDLOPD) conforman la base
legal para la protección de datos
115. Marco legal
Derecho fundamental a la protección de datos (II)
● Constituye un dato personal:
o Cualquier información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier tipo
concerniente a personas físicas identificadas o
identificables
o Según esta definición el nombre, la dirección,
los datos de contacto, el curriculum vitae, el
salario, una fotografía o un vídeo constituyen
datos de carácter personal
116. Marco legal
Derecho fundamental a la protección de datos (III)
● Derecho de [A]cceso
o En virtud del derecho de acceso, regulado en el
art. 15 de la LOPD, el ciudadano puede solicitar
y obtener gratuitamente información sobre sus
datos de carácter personal sometidos a
tratamiento, así como el origen de dichos datos
y las comunicaciones realizadas o que se
prevean realizar
Fuente: http://lopd-agpd.com/derecho-de-acceso-en-la-lopd/
117. Marco legal
Derecho fundamental a la protección de datos (IV)
● Derecho de [R]ectificación
o El art. 16 de la LOPD reconoce al ciudadano el
derecho a dirigirse al responsable de un fichero
o tratamiento para que rectifique sus datos
personales, en el caso de que éstos sean
inexactos o incompletos
o La solicitud de rectificación debe indicar el
dato que se estima erróneo y la corrección que
debe realizarse y debe ir acompañada de la
documentación justificativa de la rectificación
solicitada
118. Marco legal
Derecho fundamental a la protección de datos (V)
● Derecho de [C]ancelación
o Este derecho, regulado en el art. 16 de la LOPD,
ofrece al ciudadano la posibilidad de dirigirse
al responsable para solicitar la cancelación de
sus datos personales
Fuente: http://lopd-agpd.com/derecho-de-cancelacion-agpd/
119. Marco legal
Derecho fundamental a la protección de datos (VI)
● Derecho de [O]posición
o El ciudadano puede oponerse, mediante su
simple solicitud, a que sus datos sean tratados
con fines de publicidad y de prospección
comercial
o Este derecho de oposición se encuentra
regulado en los arts. 6.4, 17 y 30.4 de la LOPD
o Se ejercita mediante una solicitud por escrito
dirigida al responsable del fichero o
tratamiento, en la que se hagan constar los
motivos fundados y legítimos relativos a una
concreta situación personal del afectado, que
justifican el ejercicio de este derecho
120. Marco legal
Derecho al olvido
● En Internet se conforman de manera
constante biografías digitales que son
alimentadas por las aportaciones del sujeto en
cuestión que, de manera consciente, construye
su identidad digital
● A este componente consciente y responsable
del individuo hay que añadir las publicaciones
generadas por terceras personas, que en
ningún caso han sido consentidas por el
personaje
121. Marco legal
Derecho al olvido (II)
● Puede definirse el derecho al olvido como la
facultad que se atribuye al individuo de
obtener la eliminación de una determinada
información, particularmente en el
contexto de Internet
Fuente: http://eserplife.com/el-tribunal-de-justicia-europeo-respalda-el-derecho-al-olvido/
122. Marco legal
Derecho al olvido (III)
● En estos momentos, el ciudadano únicamente
tiene a su disposición las herramientas que le
facilita el derecho fundamental a la protección
de datos
● En ocasiones estas herramientas son
insuficientes, ya que existe un conflicto en los
siguientes ámbitos
123. Marco legal
Derecho al olvido (IV)
● Publicaciones oficiales
o Por su propia naturaleza están orientadas a
dotar de publicidad a determinadas situaciones
o Se trata, por ejemplo, de las contenidas en
boletines y diarios oficiales
● Buscadores en Internet
o Como servicios de la sociedad de la
información, en principio juegan un papel
neutral, y no responden por los contenidos de
terceros.
● Medios de comunicación
o Publican noticias de interés público
124. Marco legal
Derecho al olvido (V)
● En el debate público aparecen dos posiciones
enfrentadas
o Defienden un “derecho al olvido”: para borrar
de Internet determinada información personal
o Los que argumentan que todo lo que existe en
Internet pertenece a una especie de historia,
y que como hechos históricos no pueden ser
borrados ni desaparecer
125. Marco legal
Herencia digital
● Los prestadores de servicios de red social son
sensibles a este hecho y ofrecen diversas
opciones a las personas cercanas al fallecido
● Por ejemplo, Facebook permite denunciar el
perfil de una persona fallecida, o cerrar la
cuenta si un pariente del usuario realiza una
notificación formal
● Además, es posible mantener un perfil
conmemorativo de esta persona
126. Marco legal
Herencia digital (II)
● ¿Qué ocurre con la información personal
recogida en perfiles y páginas de Internet?
o Cada vez son más frecuentes los conflictos
relacionados con el acceso y la toma de decisiones
sobre estos datos, como parte de la herencia digital
del fallecido a sus descendientes
o El artículo 659 del C.Civil señala que la herencia
comprende los bienes, derechos y obligaciones de
una persona, que no se extingan por su muerte
o Por tanto nada impide que los herederos puedan
ejercer sus derechos ante quienes dispongan de
información relativa a la identidad digital del
fallecido
127. Marco legal
Herencia digital (III)
● Así, el cónyuge, los descendientes,
ascendientes y hermanos de la persona y en
última instancia el Ministerio Fiscal están
facultados para solicitar la protección de estos
derechos de la personalidad del fallecido
o Según establece el artículo 4 de la ley de
Protección Civil del Derecho al Honor, a la
Intimidad Personal y Familiar y a la Propia
Imagen
128. Marco legal
Suplantación de identidad
● La carencia de una regulación penal adecuada
se manifiesta con mayor intensidad en los
actos derivados de la suplantación
● De ahí que la doctrina penal considere aplicar
distintos tipos de delito, como la estafa
ordinaria (art. 248.1 CP); la estafa
informática (art. 248.2 CP), los delitos contra
la intimidad (art. 197 CP); o los delitos contra
la propiedad intelectual e industrial y las
falsedades documentales (arts. 270, 274 y
390 CP)
129. Marco legal
Responsabilidad prestadores de servicios
● La responsabilidad de estos proveedores
está delimitada por la Ley 34/2002, de 11 de
julio, de Servicios de la Sociedad de la
Información y de Comercio Electrónico (LSSI),
que traspone la Directiva 2000/31/CE de
Comercio Electrónico
● Ésta define un prestador como la persona
física o jurídica que proporciona un servicio
de la Sociedad de la Información y fija un
régimen de responsabilidad para éstos
130. Marco legal
Responsabilidad prestadores de servicios (II)
● Sin embargo, en lo relativo a las conductas
de los usuarios de sus servicios que dañan
la imagen o reputación de otros, la legislación
parte de ciertos principios básicos que
determinan, en su caso, una exención de
responsabilidad:
o El prestador no tiene ninguna obligación de
supervisión o monitorización
o El prestador no responde de contenidos o
hiperenlaces ilícitos siempre que no tenga
conocimiento efectivo de su existencia
131. Normativa de cookies
30/2012, se actualizó la LSSICE para
adaptarla a las directivas europeas
◦ Si tienes una web, debes cumplirla
Cookies técnicas: permitidas
Resto (widgets, analítica, anuncios...):
Aviso a los usuarios de forma clara y visible
Información de uso y tipos
Información de rechazo/bloqueo
Sanciones de hasta 600.000 €
132.
133. Otras leyes
Ley 32/2003, General de Telecomunicaciones, si hay prestación
de servicios de coms. electrónicas (correo electrónico)
Ley 59/2003, de firma electrónica
Ley 17/2001, de Propiedad Industrial (patentes y marcas)
Ley 11/2007, de acceso electrónico de los ciudadanos a los
Servicios Públicos, así como el Esquema Nacional de Seguridad
(R.D. 3/2010, de 8 de enero) y el Esquema Nacional de
Interoperabilidad (R.D. 4/2010, de 8 de enero) si trabajamos
habitualmente con la Administración Pública.
Ley 13/2011, de regulación del juego, si nuestra actividad tiene
relación con el sector del juego online.
Código de conducta para la prestación de los servicios de
tarificación adicional basados en el envío de mensajes
134. 5.Algunos recursos
Entidades:
◦ INCIBE (inteco): https://www.incibe.es/
◦ Oficina de seguridad del internauta:
http://www.osi.es/ Ejercicio: Cuánto sabes | test 1
http://www.ismsforum.es/ protegetuinformacion.com
http://www.kaspersky.es/
Algunos blogs:
http://www.elladodelmal.com/ http://s3lab.deusto.es/blog/
http://www.hacktimes.com/ http://epidemico.tumblr.com/
http://www.kriptopolis.com/ https://seguridadyredes.wordpress.com/
http://www.hacktimes.com/
thehackerway.com/2014/05/21/21-blogs-sobre-seguridad-informatica-que-deberias-conocer/
135. Algunas empresas
securizame (Lorenzo Martínez)
◦ www.securitybydefault.com
Panda
S21Sec
ITS
Enigmedia
Derten Sistemas
Operadoras
(HP, IBM, Cisco, Deloitte, PwC...)
136. Puesta en común
¿Dudas, ideas?
◦ ¿Algún consejo adicional?
◦ ¿El más útil?
◦ ¿Qué te propones hacer mejor en
seguridad las próximas semanas?
137. Cierre
¡Gracias por vuestra atención!
Cualquier cosa a
andoni.eguiluz@deusto.es
Email para invitación a comunidad
google+ para resto de dudas e incidencias
Notas del editor
No soy experto en seguridad!!!
Sesión introductoria - si algunos de aquí habéis tenido ya experiencias con la seguridad os animo a que me cortéis, completéis y acompañéis en el proceso. La seguridad es un camino que nunca se acaba...
La seguridad digital a nivel de administrador de sistemas es una profesión muy especializada. Esta sesión está planteada a nivel de usuario, básico.
En DeustoTech hay investigadores y especialistas en seguridad... pero a veces los tecnólogos somos inescrutables, así que hoy vengo yo, en la comunidad digital invitaré a algunos compañeros por si queréis también apoyo más técnico.
La experimentamos unas semanas, si la usáis y veis que es un recurso útil la podemos mantener.
Comentar la digitalización del proceso
Agencias de inteligencia (NSA) - parking 18.000 vehículos. Se estiman más de 30.000 empleados. Es la empresa que más electricidad consume del estado de Maryland (20M$ al año). Tiene los ordenadores más potentes del mundo, y trabajan los mejores matemáticos del mundo. Pretenden capturar todo el tráfico de internet y comunicaciones de USA y gran parte del mundo.
Si tuviéramos una organización criminal... qué elegiríamos?
Es lo de siempre que la ley va por delante del delito... como en toda la historia...
1) Mucha información
2) Muchas herramientas automáticas de ataque
Línea roja: coste del riesgo reducido por la probabilidad de que ocurra ("riesgo residual" - coste de la "no seguridad")
Línea azul: coste de la inversión en seguridad
Línea verde: coste total -máximo- hipotético (inversión más riesgo residual)
En la práctica en una pyme es muy difícil hacer este cálculo de forma precisa, hay que llegar a un compromiso subjetivo entre inversión en seguridad y riesgo asumido [sentido común]
Ej: BD clientes en un disco. pérdida 100.000 euros. Probabilidad (rotura 4años) Riesgo (anual) = 100.000 * 25% = 25.000 euros de riesgo anual
En la otra parte: backup 500 euros al año / sistema redundante 1.000 euros… ¿me compensa?
Los efectos de preocuparse después suelen ser siempre catastróficos. Y las responsabilidades están para ejercerlas...
Entendamos los riesgos... los más significativos
Y esta publicidad?
Y estos "amigos"?
"Galleta"
same origin policy
Las cookies de tercero son las que se dedican a rastrear con fines comerciales
Mira los cookies y también la web... todo esto está visible y a veces está comprometido
XSS aprovecha vulnerabilidades sencillas de webs aparentemente seguras, para introducir en comentarios, posts o a través de peticiones engañosas, código html-javascript que permite tomar las cookies como si fuera el servidor correspondiente.
La mayor parte del riesgo es privacidad info de navegación
Pero también hay riesgo de suplantación de identidad en webs con mis cookies (con ataques más elaborados, sniffing, man in the middle y así)
Ver la infografía en el navegador
De Nueva York a Sudáfrica... despedida en 11 horas (trending topic mundial, estigmatizada).
Esto no tiene tanto que ver con la ciberdelincuencia sino con temas psico y sociológicos. Pero también puede convertirse en delito (acoso), o puede ser intencionado...
Originalmente había "travesuras"... cada vez menos
(Vemos ahora cómo llegan)
Botnet hablamos ahora
Dialer son troyanos antiguos que marcaban con el módem números de tarificación que dejaban suculentos beneficios
Keylogger - razón por la que en banca el pin hay que clickarlo en pantalla en lugar de teclearlo
Ejemplo de una empresa - un directivo se descargó un ebook pirata, que al abrirlo contaminó al equipo. Esta persona era un directivo y tenía acceso a casi toda la información con lo que se cifró su disco y la mayor parte de sus servidores. Era un fichero ejecutable, él pensaba que era un fichero de datos.
(OJO: icono y tipo de archivo que lo hacen parecer un archivo PDF, aprovechando el uso por defecto de Windows de ocultar la extensión de los archivos, que permite ocultar la extensión.EXE verdadera).
299 euros o más...
http://www.elcorreo.com/bizkaia/sociedad/201504/10/cuidado-recibes-mail-correos-20150410145725.html
VER WEB http://elpais.com/elpais/2015/03/24/album/1427214884_450942.html#1427214884_450942_1427215561
Atacar a un servidor desde un ordenador... te paran en seguida, pero cuando estás atacando desde miles a la vez...
Contar un poco toda la industria de alquiler de este tipo de servicios, a tanto por email...
Hay apaños técnicos, pero la única respuesta es policial (se desmantelan las máquinas de control zombies). Internacionalidad...
La actualización de los parches es sobre todo un tema de los administradores de sistemas, pero también de los usuarios de a pie (Actualización de windows, de algunos softwares críticos...)
Un % muy alto de los ataques se eliminan aplicando los parches de seguridad
Ejs: PP de Cataluña, presid. española UE
Son ataques se que suelen hacer de noche o los viernes a la tarde: hasta el lunes nadie se entera, o no se corrige. Se aprovechan vulnerabilidades, se accede al sistema, y se modifican las páginas.
Esta web recoge los ataques
Te pueden robar desde la calle (100 m pero ampliable a km con antenas)
Ejemplo: ataque en los 90 a la web de la Guardia Civil (llamada al proveedor DNS - para cambiar la IP del nombre de dominio). Relación humana: tipo especial de "ingeniería social" (convencer a alguien de que eres otra persona para que haga un cambio técnico que provoca un ataque).
Cualquiera puede sufrir esto: cuantos más privilegios técnicos, más peligroso eres.
La gente incluso manda la contraseña por email si se lo piden.
Hay que formar a los usuarios.
Phising viene de fishing - pescar, morder el anzuelo
Cada vez son mejores los ataques de phising... las webs son idénticas, no hay logins incorrectos, se redirige a la web correcta al final, se hacen sesiones paralelas (man-in-the-middle) para que toda la operativa sea visiblemente normal...
Spam: se mandan millones de mensajes. Con que "caiga" un 0,1%... se pueden robar millones. Se caen con mensajes mal redactados... imagina si se hace bien
Spear phising -> Phising orientado a una organización concreta, personalizando más los emails y la información interna que se utiliza en la ingeniería social para el ataque
Apps espías... cebos que pican lo que uno quiere tener o ganar... (la estampita) por ejemplo espiar a la pareja... y estás instalando un virus que te espía a ti (el cazador cazado)
Curiosidad... los correos de la droga ahora son digitales de dinero.
Se disimula poco ¿no?. Oferta de empleo real. Estos son las mulas (mueven el dinero que se consigue por phising y tal).
Cuando se descubre el ataque de phising, se investiga y cuando se llega al mulo el dinero ya está en paradero desconocido (los intermediarios actúan rápido y hay muchos). Y el "pobre" mulo tiene que dar explicaciones a la policía de que pensaba que todo era legal…
Ejemplo: suplantación de directivos para envíos digitales o físicos de software malicioso (en sobres)
He visto estadísticas del 90%
Eran más problemáticas antes porque saturaban comunicación, ahora realmente son simplemente pierdetiempos (que es dinero, al fin y al cabo)
Un ejemplo especialmente dañino de hoax con ataque personal es - Añade tu nombre al final de la lista y manda este correo a todos tus contactos, y una copia a esta persona que va a gestionar la lista (y ese es alguien a quien quieres fastidiar): le pueden llegar miles de emails y durar mucho tiempo los ecos, y le has fastidiado su email.
No los comentamos pero hay muchas maneras tecnológicas de atacar
Spoofing - hacerse pasar por otro en la red-identificación (IP, MAC, DNS...)
Hijacking - robar una conexión tras que el usuario correcto se ha identificado (suplantar IP)
En la web profunda se negocian todos estos temas, se relacionan los ciberdelincuentes, se trafica con la información robada... moneda de cambio, el bitcoin (difícil de rastrear)
(W.P = internet fuera de los motores de búsqueda: webs no enlazadas, protegidas por códigos o formularios, bases de datos, media no convencional...)
Cuidado con los habilidosos. Lo mismo que te permite apps piratas ("liberarlo") también es una puerta a mucho peligro. Aplicaciones de pago en tienda de apple están piratas en otros repositorios. Ojo con esas apps piratas… porque ¿por qué alguien lo hace "altruistamente"? En fin. Lo mismo que el software pirata de toda la vida en ordenador
Es una de las áreas en las que están creciendo más los ataques
Evolución: ordenador a la nube
Confiar es un tema de planteárselo... nos da miedo "soltar" pero en el fondo nuestros datos pueden estar más seguros en google que en nuestras empresas... Además, hay servicios de nube de pago que tienen más compromiso de seguridad
Los trabajadores tienen acceso a información. ¿Cómo proteger a una empresa contra la mala fe o la torpeza de esos trabajadores? (pendrive, email, acceso a la nube y a discos duros virtuales… foto de la pantalla con un móvil…)
Hay empresas que llegan al extremo de hacer el man in the middle internamente en la red, para chequear las fugas de información incluso con información cifrada (discusión legal de si se puede hacer o no, si hay que informar… un tema delicado)
Backup conectado permanentemente podría ser afectado por cryptolocker
SOBERANIA - El autor tiene legitimidad para aprobar o denegar comentarios (es como su casa "derecho de admisión")
COMPLEM - Educación de no insistir, cebarse con un tema "vengo a hablar de mi libro"...
VERACIDAD - No a insultos, promocionales, identidades falsas, anónimos...
fotos/textos ajenos
Los ataques dirigidos están creciendo en los últimos años. Los antivirus siempre identifican amenazas conocidas: buscan códigos de virus que conocen y analizan. Obviamente a los primeros que recibían el virus no tenían protección - envían la alarma y el fabricante hace análisis y actualización de los ficheros de virus.
Los ataques dirigidos, a una empresa en concreto, desarrollan un virus-troyano concreto, específico para esa empresa. Pasa desapercibido porque nadie más que la empresa lo conoce.
- "recursos" que consumen (pérdida de eficiencia del equipo)
(normalmente antivirus incluyen antispyware -progs espía no virus, no se replican-)
Lo mismo que el nombre del usuario … el nombre del usuario al revés…
Ataques de diccionario - software - se prueban todas las contraseñas que vienen en un archivo (palabras válidas de español, p ej. También hay diccionarios descargables de lugares, temáticos -starwars-…). (buscar una utilidad ejemplo y probarla?).
Si no funciona, se ataca por fuerza bruta probando todas las combinaciones de contraseñas (estadística). A mano es imposible pero por ordenador se hace rápido.
Dime con quién andas y te diré quién eres / faceBook / Redes Sociales
¿Cómo es de fácil saberlo?
¡lo estamos poniendo en bandeja!
¡la contraseña más importante de toda tu vida!
- Mejor con autenticación de doble factor
Codificación adicional sencilla pero solo conocida por nosotros (ej: letras que no existen en ninguna clave - x w)
Otra propuesta
Que prueben en chrome a desactivar cookies y que entren a facebook por ejemplo
Los teclados en pantalla evitan a los keyloggers (además suelen tener los dígitos desordenados para que la posición no sea suficiente... aunque también se pueden procesar por troyanos muy avanzados con rec de imagen o con captura de pantalla)
Es un "smartcard"
Biometría más avanzada: retina, huellas, palma mano, voz... ¿caras?
Productos específicos para detectar fugas públicas de datos (las privadas son más difíciles)... metadatos en la información para poderla detectar después
WIFIS: Nuestro móvil a veces se conecta sin que lo hagamos explícitamente (leer el email cada x minutos, identificarse en facebook para otra app...)
Localización-desactivación - sutiles diferencias entre esto y apps espías... hijos, cónyuge... ojo. Lo mismo que ayuda a uno espía al otro...
Anécdota del americano que se encontró con el chino que robó su iphone porque seguían subiéndose las fotos a icloud
Mirar la web de prey
Spyware no es un virus (no se replica) pero es un troyano (se instala con otra cosa)
Hay un libro que tiene defensores y detractores “The Checklist Manifesto: How to Get Things Right”
Anécdota de un anestesista que le vio al paciente con síntomas y le dijo al médico que se cambiara de guantes que creía que tenía una alergia al látex y le dijo el cirujano que no, que no tenía razón. Se podría haber callado pero le dijo "si se cambia los guantes y no tengo razón, no tengo razón. Pero si no se los cambia y la tengo, el paciente se muere". Se los cambió.
Es más o menos el contenido de esta charla
Cookies técnicas: sesiones, carritos, preferencias de usuarios
"Claramente visible: no indica la forma de hacerlo"
"nos obligan a molestarte ..." es de menéame
Realmente se cumple regular, porque muchas cuando te lo preguntan... ya te han metido cookies
Muchas plataformas estilo wordpress y demás están metiendo cookies aunque pensemos que no lo hacen
Recorrer web incibe
La OSI está realizada por el INCIBE
ISMSforum es una asociación de 120 entidades españolas de seguridad