Escrito por Miguel Ángel Culiáñez
Índice
Algunos avances recientes en materia de seguridad
El pasado martes 5 de febrero tuvo lugar, como cada año desde 2004, el Día Internacional de la Seguridad en Internet, también conocido a nivel global como SID por sus siglas en inglés (Safer Internet Day). Se trata de un día promovido por la Comisión Europea con el fin de concienciar y generar debate en la sociedad sobre la necesidad de disfrutar de un Internet cada vez más seguro.
Desde su creación, el SID ha ido propagándose cada vez por más países gracias a la colaboración de diferentes entes de ámbito nacional, hasta llegar a ser tenido muy en cuenta en más de 100 países actualmente. En el caso de España este día está apoyado por el Instituto Nacional de Ciberseguridad (INCIBE).
Desde Human Level hemos considerado oportuno unirnos a esta iniciativa recordándote algunas de las más recientes novedades surgidas para lograr disponer de un Internet seguro y fiable.
Consideramos muy importante para el desarrollo económico y social el poder disfrutar de un acceso a la información a través de Internet de forma segura, logrando que se imponga la difusión de contenidos tan enriquecedores como veraces. Del mismo modo, ya nadie duda a estas alturas del enorme potencial que para el crecimiento económico representa el comercio online. Poder confiar en intercambios comerciales fiables y transparentes es un elemento clave para hacer posible que ésta y otras oportunidades vinculadas al desarrollo de Internet se afiancen en los próximos años y décadas.
A continuación, te mostramos algunos de los avances más significativos en relación con la seguridad y la confianza en el uso de Internet:
Protocolo HTTPS
Los esfuerzos de Google por contentar y por hacer sus servicios atractivos a ojos del usuario final son constantes, y ello incluye ofrecer una experiencia de búsqueda de información y navegación lo más fiable posible. Por ello, no es de extrañar que sean pocos los sitios Web que a estas alturas aún no han implementado una de las exigencias básicas del gigante tecnológico en materia de seguridad: el Protocolo de Transferencia de Hiper-Texto Seguro o HTTPS (HyperText Transfer Protocol Secure).
Mediante la implementación de dicho protocolo estaremos haciendo que la información transferida entre el dispositivo desde el cual navega el usuario y nuestro sitio Web sea confidencial, al tratarse de un intercambio de datos encriptados.
También estaremos autentificando que nuestro sitio Web se aloja en un servidor confiable al mostrar éste al navegador un certificado que lo acredita como proveedor seguro. En este sentido, el tipo de certificado más habitual es el denominado SSL (Secure Sockets Layer). Si deseas saber cómo implementar un certificado SSL de forma sencilla para tu sitio Web, te recomendamos que amplíes información leyendo el artículo Let’s Encrypt, certificados SSL libres y gratis para tu web con HTTPS de nuestra compañera María Navarro.
Por último, otra de las ventajas del protocolo HTTPS reside en el hecho de que los datos transferidos entre tu sitio Web y el usuario se mantendrán siempre íntegros, es decir, no solo estarán encriptados, sino que no podrán ser dañados ni modificados.
The Trust Project
Otro aspecto que no puede dejarse de lado cuando de generación de confianza se trata es la rigurosidad y veracidad de la información a la que podemos acceder a través de Internet. Como es lógico, algunos de los actores más concernidos en este sentido son los medios de comunicación, cuyo éxito o fracaso depende en buena medida de la confianza que hayan logrado construir ante su audiencia.
La red de redes ha supuesto un gran acceso a la información y ello ha traído consigo el surgimiento de fenómenos tan actuales como las denominadas fake news. El exceso de información y la facilidad para hacer posible su difusión ha permitido en ocasiones la infiltración de noticias no contrastadas. Noticias que sin haber pasado por los correspondientes filtros verificadores han logrado hacerse un hueco entre la opinión pública siendo asumidas como verdaderas.
Esta problemática ha llevado recientemente a la puesta en marcha de iniciativas tan interesantes como The Trust Project. Dicho proyecto consiste en la creación de un consorcio internacional de medios de comunicación, los cuales han puesto en común estándares para asegurar la fiabilidad de la información difundida en Internet. Conceptos como la transparencia, la precisión o la imparcialidad de la información componen la finalidad de este ambicioso proyecto.
En España, medios como El Pais o El Mundo ya están adheridos al compromiso que representa The Trust Project y, por su parte, colaboradores externos como Google, Facebook, Twitter o Microsoft también han puesto su grano de arena para lograr llevarlo a cabo.
La colaboración entre los medios de comunicación adheridos al proyecto y los “distribuidores” de información en la Red (motores de búsqueda y redes sociales) puede sintetizarse bajo la definición de una serie de indicadores de confianza, creados para establecer y acreditar de una forma automatizada la fiabilidad del medio que firma una determinada información.
Te animamos a descubrir más sobre The Trust Project a través de la página web oficial de El País destinada a ofrecer información detallada sobre dicho proyecto.
Medical Update de Google
Una de las actualizaciones del algoritmo de Google que más ha dado que hablar durante la segunda mitad del pasado año 2018 ha sido la denominada como “Medical Update”.
A comienzos de agosto de 2018 los de Mountain View anunciaban escuetamente (como suele ser habitual por otro lado) la tercera actualización en el algoritmo en lo que iba de año. Una actualización muy relacionada con aspectos de confianza en el uso de Internet, y más concretamente con el uso de la información proporcionada desde su buscador. El motivo de ello puede deducirse a través del propio nombre recibido por dicha actualización, y es que con este cambio Google implementó una revisión estricta sobre el posicionamiento de sitios Web relacionados con la salud (de ahí la denominación medical). Si bien, lo cierto es que la actualización del algoritmo fue más allá y afectó no sólo a sites dedicados a ofrecer información sobre salud, sino también a aquellos vinculados a aspectos financieros.
Cabe matizar que la realidad es que sitios con una vinculación no tan próxima a ambos sectores (salud y finanzas) también se han visto afectados en todo el mundo en mayor o menor medida, pero el foco del cambio en el algoritmo estaba puesto claramente en los dos sectores mencionados.
En síntesis, Google ha tenido en cuenta que la información ofrecida a través de su buscador puede incidir en aspectos tan importantes de la vida de sus usuarios como son la salud y el bolsillo, por lo que su algoritmo ha pasado a mirar con lupa qué información transmiten y con qué rigurosidad aquellos sitios Web que abordan temas tan sensibles y de tanta transcendencia. En palabras del propio Google se trata de sitios Web denominados como YMYL (Your Money or Your Life).
Estamos, por tanto, ante un claro ejemplo de responsabilidad y de implicación en materia de seguridad y confianza por parte de un actor tan importante en todo lo que rodea a la difusión de información en Internet como es Google.
Avances en materia de regulación (RGPD y PSD2)
Las iniciativas voluntarias de los diferentes participantes en el ecosistema de Internet en favor de la seguridad y confianza en la información compartida también han venido acompañadas por regulaciones oficiales. De este modo, también las instituciones se han propuesto tomar parte en esta materia y apoyar mediante la ley un uso fiable de la red de redes.
Algunos ejemplos recientes de ello pueden apreciarse en la armonización europea de la legislación referida a la protección de datos y a los pagos online. Nos referimos al Reglamento General de Protección de Datos (RGPD) y a la Directiva de Servicios de Pago o PSD2 por sus siglas en inglés (Payment Services Directive 2).
Tras dos años de transición, el pasado 25 de mayo de 2018 entró en vigor en España la RGPD. Con esta normativa se pretende que los países que componen la UE apliquen una regulación común en aspectos clave de seguridad.
Destaca el cambio de doctrina frente a la principal Ley que regía en nuestro país en esta materia (LOPD) antes de la entrada en vigor de la RGPD, ya que se ha pasado de un modelo consistente en el cumplimiento de una serie de medidas de seguridad estándar a un planteamiento en el que cada empresa debe cumplir un papel más activo en función de la sensibilidad de la información que maneja. Ahora no se debe entender la protección de datos como un mero trámite burocrático, sino como algo integrado plenamente en la filosofía y procedimientos de la organización.
Cada organización debe establecer cuál es el nivel de riesgo asociado a la información que maneja. Por regla general, los riesgos fundamentales y más habituales sobre los cuales se debe velar son el tratamiento ilícito y no autorizado de todos aquellos datos de carácter personal que recabamos, así como la pérdida o daño (en alguna medida) de dichos datos.
En otras palabras, cualquier organización o profesional que maneje datos de carácter personal deberá velar de manera proactiva por la protección e integridad de dichos datos con la mayor diligencia posible. Para ello, se deben establecer tanto medidas de tipo organizativo como técnicas.
La segunda gran novedad en materia de regulación sobre seguridad que ha traído consigo el año 2018 ha sido la entrada en vigor en nuestro país de la PSD2. La historia de esta regulación se remonta a 2007 con la creación de la primera Directiva de Servicios de Pago de ámbito europeo. En noviembre de 2015 la Comisión Europea planteó una revisión de la Directiva, dando pie al surgimiento de la actual PSD2 (Payment Services Directive 2).
En esencia, la PSD2 tiene como misión favorecer el desarrollo de un mercado de pagos electrónicos común para todos los países que componen la Unión Europea. Su entrada en vigor en España estaba prevista para enero de 2018, pero debido a diferentes avatares de la agenda política lo cierto es que no se hizo realidad su llegada hasta el 24 de noviembre del pasado año.
Lo interesante de esta nueva regulación es que define ciertos aspectos en materia de seguridad para el usuario que van encaminados a reforzar la confianza en las operaciones de pago electrónico. En este sentido, podríamos destacar el establecimiento de 15 días como plazo máximo para las entidades de cara a resolver cualquier reclamación del usuario en relación con un proceso de pago online. Del mismo modo, la PSD2 convierte en obligatorio para entidades financieras el fijar un sistema de autentificación reforzada cuando el usuario acceda a su cuenta o realice un pago a través de Internet. Por tanto, instaurar la denominada verificación de dos pasos para asegurar que una operación de pago online es efectivamente realizada por el usuario pasa a ser obligatoria.
No obstante, cabe matizar que la entrada en vigor de esta obligatoriedad de la autentificación en dos pasos no se hará planamente exigible por parte de los reguladores hasta septiembre de este año 2019.
Seguridad, un aspecto clave para el futuro de Internet
En conclusión, los esfuerzos por empresas tecnológicas, medios de comunicación y organismos públicos en pro de construir un Internet cada vez más seguro siguen avanzando. Aquí te hemos mostrado algunos ejemplos recientes de ello, pero desde Human Level estamos convencidos de que, con el esfuerzo de todas las partes implicadas, las medidas y avances técnicos en este sentido seguirán creciendo año a año, hasta llegar a consolidar unos intercambios comerciales y de información a través de la red cada vez más fiables y seguros.