Ataques intencionados - DEFINICION DE AMENAZAS

7.1 DEFINICION DE AMENAZAS

7.1.2 Ataques intencionados

Suplantación de la identidad del usuario Tipos de activos:

• [D] datos / información • [keys] claves criptográficas • [S] servicios

• [SW] aplicaciones (software) • [COM] redes de comunicaciones

Dimensiones:

1. [C] confidencialidad 2. [A] autenticidad 3. [I] integridad

Descripción: cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organización o por personal contratado temporalmente.

Amenazas en la aplicación

En aplicaciones como Easy Taxi y Tappsi se han reportado casos en donde los taxistas están siendo suplantados por otros taxistas que intentan tomar los servicios que han sido pedidos a través de la aplicación.

Easy Taxi: En ocasiones hay usuarios taxistas sin foto en el aplicativo y no se puede dar certeza que corresponde al conductor que llegó

Tabla 7-9 Suplantación de la identidad del usuario

Interceptación de información (escucha) Tipos de activos:

• [COM] redes de comunicaciones Dimensiones: 1. [C] confidencialidad

Descripción: el atacante llega a tener acceso a información que no le corresponde, sin que la información en sí misma se vea alterada.

Amenazas en la aplicación

64 Revelación de información

Tipos de activos:

• [D] datos / información • [keys] claves criptográficas • [S] servicios (acceso) • [SW] aplicaciones (SW)

• [COM] comunicaciones (tránsito) • [Media] soportes de información • [L] instalaciones

Dimensiones:

1. [C] confidencialidad

Descripción: revelación de información Amenazas en la aplicación

Todas las aplicaciones explican en sus términos y condiciones que están en plena libertad de distribuir los datos sensibles con los terceros o aliados comerciales que consideren pertinentes.

En el caso de Uber, en la información que adquieren y que pueden compartir se incluye información de contactos, aplicaciones y configuración de los dispositivos móviles de sus clientes, adicionalmente esta información siendo un activo hace parte de cualquier negociación de transferencia o venta de activos de Uber.

Easy Taxi: Los Taxistas cuentan con la posibilidad de almacenar en favoritos las direcciones orígenes y destinos de los Pasajeros.

Los taxistas pueden aceptar un servicio de un pasajero y obtener la información de dirección origen, dirección destino, nombre, número telefónico, y luego rechazar el servicio, después de tener acceso a toda la información.

Tabla 7-11 Revelación de información

7.2 RIESGOS

Luego de analizar las amenazas y los eventos asociados a cada una de las aplicaciones, se obtienen los siguientes riesgos.

65 Causa Amenaza según

MAGERIT

Código

Riesgo Descripción del Riesgo Descripción eventos

Equivocaciones de las personas cuando usan los servicios, datos, etc.

Errores de los usuarios (E.1)

R1 Perdida de Disponibilidad por no prestación del servicio

Esta es una amenaza que afecta a todas las aplicaciones ya que es muy común que los usuarios comentan errores de digitación en sus datos, ingresen de manera errada la dirección en donde están ubicados o su dirección de destino o en el caso de UBER ingresan de forma errada la información de sus tarjetas o cuentas para el pago del servicio.

Sanciones legales por

desconocimiento de las leyes que reglamentan el tratamiento y protección de datos personales.

Taxis Libres: En su página web se nombra una ley diferente a la que aplica a la protección de datos. Mencionan la Ley 1580 de 2012-Referente a Pensión Familiar y la que debe ser es la Ley 1581 de 2012-Referente a Protección de datos personales.

Introducción de datos de configuración erróneos. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de

actividades, registro de actividad, encaminamiento, etc. Errores de configuración (E.4) R3

Perdida de confidencialidad por divulgación innecesaria de la ubicación de los conductores

Uber: En el caso de esta aplicación vemos que por errores de configuración se comparte a los conductores la ubicación de otros conductores que se encuentran cerca, conocen de primera mano quién es su competencia directa.

Daño de reputación al exponer datos no relevantes de los

conductores para la prestación de su servicio

Perdida de integridad ya que al efectuar la solicitud de un servicio no garantiza que sea la persona registrada, puesto que el dispositivo donde está la aplicación pudo haber sido robado.

Easy Taxi: Muestra el número celular de los pasajeros a los taxistas Ninguna de las aplicaciones gestiona el uso de la aplicación en diferentes dispositivos con el mismo usuario, si un dispositivo es robado, el nuevo poseedor del teléfono podría pedir servicios a nombre del usuario anterior.

En algunas ocasiones no corresponde el conductor del taxi con el registrado en la aplicación.

Easy taxi: Al efectuar la actualización de la aplicación no conserva la información personal del Usuario taxista y obliga a efectuar un nuevo registro.

66 R6

Perdida de confidencialidad por divulgación innecesaria de información

Easy Taxi: Muestra el número celular de los pasajeros a los taxistas

Perdida de disponibilidad por servicios solicitados en sitios diferentes a los del titular en la aplicación

Ninguna de las aplicaciones gestiona el uso de la aplicación en diferentes dispositivos con el mismo usuario, si un dispositivo es robado, el nuevo poseedor del teléfono podría pedir servicios a nombre del usuario anterior.

Perdida de integridad por posible modificación de los datos en más de un dispositivo que no está bajo el control del titular de los datos

Perdida de confidencialidad por permitir el acceso a la aplicación desde un varios dispositivos que no necesariamente están con el titular de los datos

R10

Daño en reputación de la aplicación al dar una impresión de no control sobre sus conductores

En algunas ocasiones no corresponde el conductor del taxi con el registrado en la aplicación.

R11

Daño en reputación ya que el transportador no puede saber con certeza si la persona que está a punto de recoger es quien dice ser

Taxis Libres: No obliga a la creación de una cuenta, favoreciendo el anonimato de los pasajeros. El usuario diligencia un sencillo formulario con su nombre, su teléfono, el sitio donde quiere que llegue el vehículo y su correo electrónico. La empresa le envía un email con el número de placa.

Cuando no está claro quién tiene que hacer exactamente qué y cuándo, incluyendo tomar medidas sobre los activos o informar a la jerarquía de gestión. Acciones descoordinadas, errores por omisión, etc.

Deficiencias en la organización (E.7)

R12

Sanción legal ya que no se define quien administra los datos personales según lo establecido en el artículo 17 de la ley 1581 de 2012

Easy taxi, Taxis Libres y Uber no establecen quien es el

responsable de los datos en la organización y del correspondiente tratamiento de información.

R13

Pérdida de imagen corporativa al dejar en evidencia que las aplicaciones con cumplen con lo establecido en el artículo 17 de la ley 1581 de 2012

Easy taxi, Taxis Libres y Uber no establecen quien es el

responsable de los datos en la organización y del correspondiente tratamiento de información.

R14 Sanción legal ya que la aplicación no se rige por la ley 1581 de 2012

Uber: No se ajusta a la legislación colombiana, el manejo de datos se hace con base a la ley que rige en el país de origen de la aplicación (Países bajos).

R15 Perdida de reputación por incumplimiento del taxista

Taxis Libres: Cuando se solicita el servicio no llega el vehículo, no te informan que no va a llegar, sólo te dejan esperando. No hay como quejarse o informar que el servicio no llegó, cancelas y ni te preguntan por qué.

Todas las aplicaciones aplican filtros para la selección de sus taxistas, pero estos no cuentan con ninguna evaluación psicológica (ni psicotécnica, ni perfiladora), se limitan a los antecedentes penales.

R16

Daño de imagen corporativa por no realizar procesos de selección de personal adecuados.

Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.

Difusión de software dañino

(A.8)

R17 Pérdida económica por no prestación del servicio

Todas las aplicaciones están expuestas a que su software descargable sea contaminado con malware, virus o cualquier tipo de

software maligno que pueden llegar a afectar el funcionamiento de la aplicación e impactar directamente a sus usuarios. R18

Perdida de confidencialidad de la información por robo de

información de la aplicación

R19

Perdida de integridad de la información por difusión de software dañino

La información llega accidentalmente al conocimiento de personas que

no deberían tener

Fuga de información

(E.14)

R20 Perdida de confidencialidad por fuga de información

Cuando las aplicaciones dan a conocer información privada o sensible de los pasajeros a los conductores o en el caso de Easy Taxi y Taxis Libres que les muestra a todos los conductores la

68 conocimiento de ella, sin que

la información en sí misma se

vea alterada. R21

Perdida de reputación por divulgación innecesaria de información

dirección exacta del usuario aun cuando ninguno de ellos ha aceptado tomar este servicio.

Defectos en el código que dan pie a una operación defectuosa

sin intención por parte del usuario, pero con consecuencias sobre la integridad de los datos o la capacidad misma de operar.

Vulnerabilidades de los programas (software) (E.20)

R22

Perdida de integridad de la información por vulnerabilidades del software

Ninguna de las aplicaciones verifica si el dispositivo desde el cual se utiliza se encuentra con el sistema operativo modificado (Jailbreak o Root), esto hace que se puedan instalar aplicaciones de terceros sin control de los fabricantes del dispositivo

R23

Perdida de disponibilidad por fallas en la aplicación causadas por vulnerabilidades del software

R24

Perdida de confidencialidad de la información por acceso no autorizado usando las vulnerabilidades del software

Defectos en los procedimientos o controles de

actualización del código que permiten que sigan utilizándose programas con

defectos conocidos y reparados por el fabricante.

Errores de mantenimiento / actualización de programas (software) (E.21) R25 Perdida de integridad de la información Por vulnerabilidades generadas por aplicaciones desactualizadas

Ninguna de las aplicaciones verifica que se encuentre en la última versión para funcionar, esto hace que los clientes no estén todos con los mismas condiciones de seguridad

R26

Pérdida de imagen corporativa al publicar aplicaciones que no funcionan en todos los sistemas operativos

Taxis Libres: la app no funciona con Android 6.0.1 se detiene al abrirlo.

R27

Perdida de disponibilidad por mal funcionamiento en diferentes sistemas operativos

Ninguna de las aplicaciones verifica que se encuentre en la última versión para funcionar, esto hace que los clientes no estén todos con los mismas condiciones de seguridad

Cuando un atacante consigue hacerse pasar por un usuario

autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza

Suplantación de la identidad del usuario (A.5)

R28

Pérdida de confidencialidad debido a la suplantación de la identidad de los usuarios de las aplicaciones.

69 puede ser perpetrada por

personal interno, por personas ajenas a la Organización o por

personal contratado

temporalmente R29

Pérdida de imagen debida que las empresas de las aplicaciones no realizan seguimiento en la autenticidad de los conductores afiliados.

Easy Taxi: En ocasiones hay usuarios taxistas sin foto en el aplicativo y no se puede dar certeza que corresponde al conductor que llegó.

El atacante llega a tener acceso a información que no le corresponde, sin que la información en sí misma se vea alterada. Acceso no autorizado (A.11) R30 Daño en la confidencialidad de la información debido al acceso no autorizado ya que las aplicaciones no solicita un código de

verificación.

Ninguna de las aplicaciones solicita un código de verificación para corroborar la identidad del pasajero

revelación de información Revelación de información (A.19) R31 Pérdida de la confidencialidad de la información por parte de las aplicación al no cumplir con la Ley 1581 de 2012 Protección de Datos personales.

Todas las aplicaciones explican en sus términos y condiciones que están en plena libertad de distribuir los datos sensibles con los terceros o aliados comerciales que consideren pertinentes.

Revelación de información (A.19)

R32

Pérdida de la confidencialidad de la información por parte de las aplicación al no cumplir con la Ley 1581 de 2012 Protección de Datos personales.

Revelación de información (A.19)

R33

Pérdida de la confidencialidad de la información por parte de las aplicación al no cumplir con la Ley 1581 de 2012 Protección de Datos personales.

Easy Taxi: Los Taxistas cuentan con la posibilidad de almacenar en favoritos las direcciones orígenes y destinos de los Pasajeros.

Revelación de información (A.19)

R34

Pérdida de la confidencialidad de la información por manejo inadecuado de los transportadores al aceptar servicios

Tabla 7-12 Listado de riesgos

7.3 VALORACIÓN DE RIESGOS

Para este caso se utilizará una escala cualitativa para calcular el impacto y la probabilidad de ocurrencia de cada uno de los riesgos mencionados.

Para determinar la probabilidad de ocurrencia se utilizarán los siguientes parámetros

Categoría Escala Criterios

Muy Bajo 1 (0-5%) Prácticamente imposible que ocurra en un año Improbable 2 (6-15%) Poco probable que ocurra en el año

Posible 3 (16-39%) Es posible que ocurra en el año Probable 4 (40-75%) Muy posible que ocurra en el año Casi Cierto 5 > 75% Ocurrirá con alto nivel de certeza

Tabla 7-13 Parámetros de probabilidad de ocurrencia

En el caso del impacto, se utilizarán los siguientes parámetros

Escala Categoría Criterio

1 Reducido

Pudiera causar el incumplimiento leve o técnico de una ley o regulación Supondría pérdidas económicas mínimas de bajo interés para la competencia Pudiera causar la interrupción de actividades propias de la Organización Pudiera causar una merma en la seguridad o dificultar la investigación de un incidente

No supondría daño a la reputación o buena imagen de las personas u organizaciones

Pudiera causar molestias a un individuo

2 Moderado

Probablemente sea causa de incumplimiento de una ley o regulación Probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente

Constituye un incumplimiento leve de obligaciones contractuales para mantener la seguridad de la información proporcionada por terceros Probablemente sea causa una cierta publicidad negativa por afectar negativamente a las relaciones con otras organizaciones

71 3 Considerable

Probablemente afecte gravemente a un grupo de individuos

Probablemente cause un incumplimiento grave de una ley o regulación Probablemente sea causa de un serio incidente de seguridad o dificulte la investigación de incidentes serios

Causa de muy significativas ganancias o ventajas para individuos u organizaciones

Probablemente causaría una publicidad negativa generalizada por afectar de forma excepcionalmente grave a las relaciones a las relaciones con el público en general

Tabla 7-14 Parámetros de Impacto

Con base en los criterios anteriormente expuestos, se utilizará el siguiente mapa de calor ubicando cada riesgo en la casilla correspondiente. El mapa de calor fue calculado de la siguiente manera: Escala de la probabilidad de ocurrencia multiplicada por la escala del impacto; esto nos da como resultado valores posibles del 1 al 15

 Riesgos calificados como bajos están en el rango 1-5

 Riesgos calificados como medios en el rango 6-10

 Riesgos calificados como altos en el rango 11-15 El mapa de calor resultante es el siguiente

5 (Casi cierto) 5 10 15 4 (Probable) 4 8 12 3 (Posible) 3 6 9 2 (Improbable) 2 4 6 1 (muy Bajo) 1 2 3 1 (reducido) 2 (Moderado) 3 (considerable)

Tabla 7-15 Mapa de Calor

PR OB ABIL IDA D IMPACTO

Con la valoración clara, se procede a evaluar cada uno de los riesgos enunciados

Código Riesgo Impacto Probabilidad Valoración

R1 1 5 5 R2 3 3 9 R3 2 5 10 R4 1 3 3 R5 3 2 6 R6 2 5 10 R7 2 2 4 R8 2 2 4 R9 2 2 4 R10 2 4 8 R11 3 4 12 R12 2 3 6 R13 2 4 8 R14 3 5 15 R15 1 5 5 R16 2 3 6 R17 1 3 3 R18 3 3 9 R19 2 2 4 R20 2 5 10 R21 2 3 6 R22 2 3 6 R23 3 3 9 R24 2 3 6 R25 1 4 4 R26 3 3 9 R27 3 2 6 R28 3 3 9 R29 2 4 8 R30 3 1 3 R31 3 5 15 R32 3 5 15 R33 3 5 15 R34 2 4 8

73 El mapa de calor resultante es

5 (Casi cierto) R1 R15 R3 R6 R10 R20 R14 R31 R32 R33

4 (Probable) R7 R8 R9 R25 R13 R29 R34 R11

3 (Posible) R4 R17 R12 R16 R21 R22 R24 R2 R18 R23 R26 R28

2 (Improbable) R19 R5 R27

1 (muy Bajo) R30

1 (reducido) 2 (Moderado) 3 (considerable)

8 CONCLUSIONES

 Se identificaron un total de 34 riesgos provenientes de 11 amenazas, con los cuales se evidencia la variedad de riesgos referentes a tratamiento de datos, a los que estamos expuestos con el uso de estas aplicaciones, riesgos que afectan integridad, confidencialidad, disponibilidad e incluso pérdida de reputación por parte de la aplicación, y sobre todo la falta de regulación que hace falta sobre algunas de estas aplicaciones.

 El 70% de los entrevistados no tiene la disciplina de leer detenidamente los términos y condiciones al momento de realizar el registro de sus datos personales en dichas aplicaciones por lo que realmente no conocen las condiciones a las que se someten cuando se registran.

 Los usuarios tanto conductores como usuarios pasajeros que utilizan las aplicaciones estudiadas no tienen claro el concepto de datos personales y datos sensibles, por consiguiente, no lo aplican y no dimensionen la importancia del tema y los problemas que pueden ocasionar su mal uso de los entornos en la seguridad de la información.

 Por el desconocimiento de los términos y condiciones de cada aplicación y leyes de protección de datos, los usuarios de las aplicaciones están dando vía libre al acceso a sus datos sensibles como nombres, dirección, teléfonos los cuales podrán ser utilizados por las empresas poseedoras de los datos a su necesidad.

 Se evidenció que la aplicación Taxis Libres en sus términos y condiciones están referenciando otra ley muy diferente a la Ley 1581 de 2012 – Ley para la Protección de Datos Personales.

 En el estudio realizado, se encuentra que aplicaciones como Uber, en sus términos y condiciones no se rige por la normatividad colombiana.

 Las empresas de aplicaciones móviles no tienen la cultura de cifrar los datos y mucho menos tienen políticas fuertes de protección de datos de acuerdo a la ley 1581 de 2012.

 De la población entrevistada que usa frecuentemente el servicio de transporte individual en Bogotá más del 80% utiliza las APP para solicitar el servicio, y de este porcentaje un poco más de la mitad utiliza la APP de UBER, sin importar que actualmente tenga grandes inconvenientes con las leyes de nuestro país para su legalización.

 La población entrevistada que se inclina por el uso de las aplicaciones para solicitar el servicio de transporte individual, le atrae más su simplicidad y fácil uso que por su diseño.

 El pago del servicio de transporte individual en Bogotá por medio de tarjeta de

In document Identificación de riesgos en el tratamiento de datos personales a nivel de usuarios clientes de aplicaciones móviles en el sector de transporte público individual en Bogotá (página 63-80)