Identificación de Amenazas a la Privacidad - Parte 2: "Identificación de Tipos Importantes de Ataques"

"Identificando los tipos de ataques importantes" proporciona una visión general concisa de las principales amenazas a la privacidad, como las violaciones de datos, la ingeniería social y el análisis de metadatos.


TIPOS DE AMENAZAS A LA PRIVACIDAD

Los tipos de amenazas a la privacidad LINDDUN le ayudan a razonar sobre posibles preocupaciones de privacidad de una manera sistemática y estructurada. Este conocimiento está estructurado según los 7 principales tipos de amenaza recogidos en el acrónimo LINDDUN.

image VINCULACIÓN
Asociar elementos de datos o acciones del usuario para conocer más sobre un individuo o grupo.

image IDENTIFICACIÓN
Aprender la identidad de un individuo, a través de filtraciones, deducciones o inferencias.

image NO REPUDIO
Poder atribuir una reclamación a un individuo.

image DETECCIÓN
Deducir la participación de un individuo a través de la observación.

image DIVULGACIÓN DE DATOS
Recoger, almacenar, procesar o compartir datos personales de forma excesiva.

image DESCONOCIMIENTO NO INTERVENCIONABILIDAD
Insuficiente información, participación o autorización de las personas en el tratamiento de sus datos personales.

image INCUMPLIMIENTO
Desviación de las mejores prácticas, normas y legislación en materia de seguridad y gestión de datos.


Vinculación

| CONECTANDO LOS PUNTOS

¿QUÉ? Aprender más sobre un individuo o un grupo asociando elementos de datos o acciones del usuario. Los enlaces pueden dar lugar a consecuencias no deseadas para la privacidad, incluso si no revelan la identidad de una persona.

Los elementos de datos o las acciones del usuario pueden vincularse mediante:

  • identificadores: nombre de usuario, dirección IP, modelo de teléfono, tipo de sensor,…
  • la combinación de elementos o conjuntos de datos: una huella del navegador, un seguimiento de la ubicación
  • elaboración de perfiles, derivación o inferencia

También la elaboración de perfiles de grupos es una forma de vinculación. En ese caso, los datos sobre un grupo de personas se combinan de una manera que puede afectar negativamente a la privacidad, p. ej., mediante perfiles extensos, recomendaciones, etc.

La vinculación se convierte en problemática cuando puede dar lugar a inferencias (es decir, aprender más sobre las personas), singularizar a los individuos, agregar datos adicionales para crear perfiles, etc. Esto puede dar lugar posteriormente a otras amenazas, como identificar, detectar y no repudiar. La vinculación se desencadena por las amenazas de [divulgación de datos]: cuantos más datos haya disponibles, mayor será la probabilidad de que se produzcan amenazas de vinculación.

image Ejemplo de amenazas

  • Individualización (seudónima) de un individuo.
    Una persona con la dirección de correo electrónico '[email protected]' ha publicado varios mensajes de odio en un foro de discusión en línea por lo que su cuenta está suspendida (pero no podemos identificar a esta persona).
  • Vinculación de las acciones 'anónimas' del usuario.
    Un sitio web de reservas de viajes puede rastrear las huellas dactilares del navegador y aumentar las tarifas si un usuario vuelve a visitar su sitio para los mismos detalles de vuelo/hotel.
  • Perfilar a una persona (por inferencia).
    Alice siempre está en la ubicación 'L' durante las horas de oficina. Sabemos que la compañía 'C' reside allí, por lo que Alice trabaja en 'C'.
  • Derivación de perfiles de grupo (basado en propiedades compartidas).
    Sobre la base de los datos del grupo, se determina que el 80% de las personas en el barrio 'N' tienen un mayor riesgo de enfermedad’D'. Carol que vive en 'N' tiene que pagar una tarifa más alta del seguro médico.


IDENTIFICACIÓN

| ¿QUIÉN ES QUIÉN?

¿QUÉ? Aprender la identidad de un individuo. Aunque muchos sistemas requieren la identificación de los sujetos de datos, las amenazas de identificación surgen cuando la identidad puede revelarse a través de fugas, deducción o inferencia en casos en que esto no es intencional o deseado.

La identificación puede hacerse mediante:

  • datos identificados: cuando el sistema mantiene explícitamente el vínculo con la identidad o hace referencia a la identidad (por ejemplo, en los metadatos)
  • datos identificables: cuando la identidad puede derivarse indirectamente, p. ej., de seudónimos, contenido que revela la identidad o a través de un pequeño conjunto de anonimato

La identificación de las amenazas también está relacionada con la vinculación. La (re)identificación también puede dar lugar a problemas de falta de conciencia y incumplimiento.

image Ejemplos de amenazas

  • El tratamiento de la información identificada:
    Al suscribirse a un sitio web de un periódico, los usuarios se ven obligados a registrarse con su nombre completo y dirección, lo que permite la identificación de las páginas vistas. En consecuencia, el usuario ya no puede navegar por el periódico de forma anónima.
  • El interesado se distingue de los demás, por ejemplo cuando se utilizan consultas con un pequeño conjunto de resultados: consulta del salario medio de las mujeres en una pequeña empresa cuando solo hay una empleada.
  • Revelando atributos:
    Cuando un cliente envía un formulario de comentarios y proporciona información muy detallada para que puedan ser identificados de forma única. Por ejemplo, al comprar un coche en una concesionaria y enviar comentarios, incluyendo marca del coche, modelo, concesionario, código postal.


NO REPUDIO

| SÉ LO QUE HICISTE EL VERANO PASADO

¿QUÉ? Ser capaz de atribuir una reclamación, es decir, saber, haber hecho, haber dicho algo, a un individuo. Esto conduce a la pérdida de una desmentida plausible, p. ej., un denunciante que puede ser procesado.

El sistema retiene pruebas relativas a una acción o un hecho en particular, lo que afecta a las reclamaciones de denegación. P.e. archivos de registro, firmas digitales, metadatos de documentos, datos con marca de agua.
Esa prueba puede atribuirse a una persona.
Identificar (y vincular) las amenazas aumentará el riesgo de no repudio.

image Ejemplo de amenazas

  • Algunos procesadores de textos conservan los metadatos del autor y de la revisión en el documento, evitando así las reclamaciones de denegación. en relación con la autoría o revisión de los documentos.
  • Las notificaciones de lectura sirven como prueba de que el usuario ha abierto/leído el mensaje.
  • Los datos recopilados por una aplicación de seguimiento de la menstruación podrían usarse como evidencia para la persecución de las personas en el cumplimiento de las leyes sobre el aborto.


Detección

| NO ES LO QUE MIRAS LO QUE IMPORTA, ES LO QUE VES (HD THOREAU).

¿QUÉ? Deducir la participación de un individuo a través de la observación. La detección de amenazas no requiere ser capaz de leer los datos reales - simplemente saber que los datos existen, es suficiente para inferir más información (sensible).

La detección puede realizarse mediante:

  • observar los flujos de comunicación: interacciones con el sistema o servicio y comunicación entre sistemas
  • observar los efectos secundarios de la aplicación: por ejemplo, cuando las acciones también resultan en archivos temporales en el sistema de archivos
  • observar las respuestas del sistema: cuando el sistema revela la existencia de ciertos datos a través de sus respuestas
    La observación o la comprobación de la existencia puede ser suficiente para conocer información sensible sobre las personas. La detección de amenazas también facilita el enlace y la identificación, ya que la información deducida se puede utilizar para extraer más información sobre una persona.

image Ejemplo de amenazas

  • Las transmisiones inalámbricas son detectables por otros dispositivos cercanos.
  • Una aplicación eliminada en un teléfono inteligente puede dejar un rastro de archivos temporales y de configuración, que pueden ser utilizados por un adversario para aprender más sobre el propietario del teléfono.
  • Al intentar enviar un correo electrónico a un usuario de correo sospechoso y observar cualquier rebote, un adversario puede deducir que ciertas direcciones de correo electrónico están en uso y el destinatario es un usuario registrado.
  • Al intentar acceder al historial médico de una celebridad en un centro de rehabilitación y recibir una respuesta con 'derechos de acceso insuficientes', se puede inferir que la celebridad ha sido tratada por una adicción, incluso sin tener acceso al expediente real.


DIVULGACIÓN DE DATOS

| NO ES ASUNTO TUYO

¿QUÉ? Recoger, almacenar, procesar o compartir datos personales de forma excesiva. Las amenazas de divulgación de datos representan casos en los que la divulgación de datos personales hacia, dentro y desde el sistema se considera problemática.

La divulgación de información debe tener en cuenta los intereses de los interesados, y el principio de minimización de datos desempeña un papel crucial. El sistema debe estar diseñado para recoger, procesar, almacenar y compartir únicamente los datos estrictamente necesarios.

La divulgación de datos puede ser explícita, es decir, intencionada o diseñada por el sistema, o implícita, es decir, no intencionada o indirecta (p. ej., a través de metadatos o derivada de otros datos).

Se centra en cuatro características de la amenaza:

  1. Tipos de datos innecesarios: esto se refiere a la sensibilidad del tipo de datos, la granularidad y la codificación que pueden ser demasiado detallados
  2. Volumen de datos excesivo: se refiere a la cantidad y frecuencia del tratamiento de los datos, y el número de sujetos de datos implicados que puede ser demasiado elevado
  3. Tratamiento innecesario: se refiere al análisis, propagación o retención de datos adicionales que puedan considerarse no estrictamente necesarios
  4. Exposición excesiva: se refiere a las diferentes partes con las que se comparten los datos, lo cual puede considerarse excesivo, y el grado de accesibilidad de los datos

image Ejemplo de amenazas

  • Las aplicaciones de vigilancia de la salud deberían limitar la recogida y el tratamiento de los parámetros médicos de un paciente a los estrictamente necesarios. Por ejemplo, una aplicación dietética no debe registrar las mediciones de la frecuencia cardíaca.
  • Cuando alguien publica en una red social, esta publicación a menudo también incluye información personal sobre otras personas.
  • Cuando un usuario se cancela de un boletín, el sistema ya no debe retener su dirección de correo electrónico.
  • Cuando un sitio web utiliza servicios de seguimiento y análisis de terceros, los datos personales sobre el usuario del sitio web y su uso del sitio se transfieren a terceros externos.


FALTA DE CONOCIMIENTO Y NO INTERVENIBILIDAD

| EL SISTEMA ES UN LIBRO ABIERTO.

¿QUÉ? Información, participación o capacitación insuficientes de las personas en el tratamiento de sus datos personales.

Estas amenazas pueden surgir cuando:

  • Transparencia insuficiente: los interesados no son conscientes de la recogida o el tratamiento de sus datos personales o de los datos personales de terceros
  • Información insuficiente: los interesados no están suficientemente informados sobre el impacto en la privacidad que pueden causar a otros al utilizar el sistema
  • Capacidad de intervención insuficiente: los interesados no pueden acceder a sus datos personales ni gestionarlos
    icono de desconocimiento

image Ejemplo de amenazas

  • Cuando las cámaras de tráfico recopilan y procesan datos personales utilizando técnicas de reconocimiento facial y reconocimiento de matrículas, sin informar a las personas.
  • Cuando se utiliza una plataforma de medios sociales, los usuarios no están informados sobre las implicaciones de compartir imágenes que incluyen a otras personas.
  • Cuando los interesados no puedan acceder a sus propios datos, modificarlos o (fácilmente) actualizar su configuración de privacidad.


INCUMPLIMIENTO

| PILARES PARA CONSTRUIR

¿Qué? El sistema se desvía de las mejores prácticas, normas y legislación en materia de seguridad y gestión de datos, lo que lleva a una gestión incompleta del riesgo. Se centra en el contexto de la gestión organizativa y operacional en que está integrado un sistema o servicio.

Las principales características de amenaza del incumplimiento son:

  • Ilegalidad del tratamiento de datos personales
  • Falta de gestión del ciclo de vida de los datos: esto se refiere a los principios de minimización de los datos, limitación del almacenamiento y controles de los sujetos de datos
  • La falta de una gestión adecuada del riesgo de ciberseguridad

LINDDUN se centra únicamente en los problemas de incumplimiento que derivan directamente de las amenazas a la privacidad de Vinculación, identificación, no repudio, detección, divulgación de datos y desconocimiento.

image Ejemplo de amenazas

  • El sistema no está protegido contra los problemas de ciberseguridad, p. ej., un ataque de denegación de servicio puede perjudicar la capacidad de un sujeto de datos para ejercer control, o una fuga de base de datos a gran escala aumenta la probabilidad de identificación o vinculación de un sujeto de datos.
  • La recogida o tratamiento se considera ilegal en el contexto de las regulaciones aplicables (GDPR, CSL, …).
  • Se aplica incorrectamente una política de retención de datos, lo que da lugar a un sistema que almacena los datos personales durante un período más largo que el realmente necesario para procesar los datos.

Artículo original en inglés: https://linddun.org/threat-types/


Complete and Continue