Errores y fallos no intencionados - DEFINICION DE AMENAZAS

7.1 DEFINICION DE AMENAZAS

7.1.1 Errores y fallos no intencionados

Errores de los usuarios Tipos de activos: • [D] datos / información • [keys] claves criptográficas • [S] servicios

• [SW] aplicaciones (software) • [Media] soportes de información

Dimensiones: 1. [I] Integridad 2. [C] Confidencialidad 3. [D] Disponibilidad

Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc.

Amenaza en las aplicaciones: Esta es una amenaza que afecta a todas las aplicaciones ya que es muy común que los usuarios comentan errores de digitación en sus datos, ingresen de manera errada la dirección en donde están ubicados o su dirección de destino o en el caso de UBER ingresan de forma errada la información de sus tarjetas o cuentas para el pago del servicio

59 Errores del administrador

Tipos de activos: • [D] datos / información • [keys] claves criptográficas • [S] servicios

• [SW] aplicaciones (software)

• [HW] equipos informáticos (hardware) • [COM] redes de comunicaciones • [Media] soportes de información

Dimensiones: 1. [D] disponibilidad 2. [I] integridad 3. [C] confidencialidad

Descripción: Equivocaciones de personas con responsabilidades de instalación y operación Amenaza en las aplicaciones:

Taxis Libres: En su página web se nombra una ley diferente a la que aplica a la protección de datos. Mencionan la Ley 1580 de 2012-Referente a Pensión Familiar y la que debe ser es la Ley 1581 de 2012- Referente a Protección de datos personales.

Tabla 7-2 Errores del administrador

Errores de configuración Tipos de activos:

• [D.conf] datos de configuración

Dimensiones: 1. [I] integridad

Descripción: introducción de datos de configuración erróneos. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc.

Amenazas en las aplicaciones:

Ninguna de las aplicaciones gestiona el uso de la aplicación en diferentes dispositivos con el mismo usuario, si un dispositivo es robado, el nuevo poseedor del teléfono podría pedir servicios a nombre del usuario anterior.

En algunas ocasiones el conductor que llega a tomar el servicio no coincide con el registrado en la plataforma por más que el taxi si es el reportado

Uber: En el caso de esta aplicación vemos que se comparte la ubicación de otros conductores que se encuentran cerca.

Easy Taxi: Muestra el número celular de los pasajeros a los taxistas

Al efectuar la actualización de la aplicación no conserva la información personal del Usuario taxista y obliga a efectuar un nuevo registro.

Taxis Libres: No obliga a la creación de una cuenta, favoreciendo el anonimato de los pasajeros. El usuario diligencia un sencillo formulario con su nombre, su teléfono, el sitio donde quiere que llegue el vehículo y su correo electrónico. La empresa le envía un email con el número de placa.

Tabla 7-3 Errores de configuración

Deficiencias en la organización Tipos de activos:

• [P] personal

Dimensiones:

1. [D] Disponibilidad

Descripción: Cuando no está claro quién tiene que hacer exactamente qué y cuándo, incluyendo tomar medidas sobre los activos o informar a la jerarquía de gestión. Acciones descoordinadas, errores por omisión, etc.

Amenazas en las aplicaciones:

Solo Tappsi establece quien es el responsable de los datos en la organización y del correspondiente tratamiento de información.

Ninguna de las aplicaciones se responsabiliza por la calidad del servicio que presta el taxista. Y gran mayoría de las quejas reportadas radican de la calidad del servicio recibido antes durante y después de utilizar el servicio.

Todas las aplicaciones aplican filtros para la selección de sus taxistas, pero estos no cuentan con ninguna evaluación psicológica (ni psicotécnica, ni perfiladora), se limitan a los antecedentes penales

Uber: No se ajusta a la legislación colombiana, el manejo de datos se hace con base a la ley que rige en el país de origen de la aplicación (Países bajos)

Easy Taxi: Las actualizaciones del aplicativo no contemplan las necesidades de los usuarios taxistas de la aplicación, como por ejemplo si el usuario no conoce de direcciones o del sentido vial, o de las vueltas que tenga que dar el conductor o de los tacos y de la hora pico, el aplicativo no estima el tiempo real.

Taxis Libres: Cuando se solicita el servicio no llega el vehículo, no te informan que no va a llegar, sólo te dejan esperando. No hay como quejarse o informar que el servicio no llegó, cancelas y ni te preguntan por qué.

61 Difusión de software dañino

Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1. [D] disponibilidad 2. [I] integridad 3. [C] confidencialidad

Descripción: Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.

Amenazas en las aplicaciones

Todas las aplicaciones están expuestas a que su software descargable sea contaminado con malware, virus o cualquier tipo de software maligno que pueden llegar a afectar el funcionamiento de la aplicación e impactar directamente a sus usuarios.

Tabla 7-5 Difusión de software dañino

Fugas de información Tipos de activos: • [D] datos / información • [keys] claves criptográficas • [S] servicios

• [SW] aplicaciones (SW)

• [COM] comunicaciones (tránsito) • [Media] soportes de información • [L] instalaciones

• [P] personal (revelación)

Dimensiones:

1. [C] confidencialidad

Descripción: revelación por indiscreción. Incontinencia verbal, medios electrónicos, soporte papel, etc. Amenazas en las aplicaciones:

Cuando las aplicaciones dan a conocer información privada o sensible de los pasajeros a los conductores o en el caso de Easy Taxi y Taxis Libres que les muestra a todos los conductores la dirección exacta del usuario aun cuando ninguno de ellos ha aceptado tomar este servicio.

62 Vulnerabilidades de los programas (software) Tipos de activos: • [SW] aplicaciones (software) Dimensiones: 1. [I] integridad 2. [D] disponibilidad 3. [C] confidencialidad

Descripción: defectos en el código que dan pie a una operación defectuosa sin intención por parte del usuario pero con consecuencias sobre la integridad de los datos o la capacidad misma de operar.

Amenazas en las aplicaciones:

Ninguna de las aplicaciones verifica si el dispositivo desde el cual se utiliza se encuentra con el sistema operativo modificado (Jailbreak o Root), esto hace que se puedan instalar aplicaciones de terceros sin control de los fabricantes del dispositivo.

Tabla 7-7 Vulnerabilidades de los programas (software)

Errores de mantenimiento / actualización de programas (software) Tipos de activos:

• [SW] aplicaciones (software) Dimensiones: 1. [I] integridad 2. [D] disponibilidad

Descripción: defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados por el fabricante.

Amenazas en las aplicaciones

Ninguna de las aplicaciones verifica que se encuentre en la última versión para funcionar, esto hace que los clientes no estén todos con las mismas condiciones de seguridad

Taxis Libres: la app no funciona con Android 6.0.1 se detiene al abrirlo

In document Identificación de riesgos en el tratamiento de datos personales a nivel de usuarios clientes de aplicaciones móviles en el sector de transporte público individual en Bogotá (página 58-63)