El segundo trabajo de Heracles: La Hidra de Lerna (VI). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Del mismo modo que los usuarios de las redes sociales tienen unos derechos, también tienen sus responsabilidades, así como los “generadores de contenido” (administradores).

“En primer lugar, como usuarios, debemos respetar los “derechos” de los demás, haciendo un uso responsable del derecho a la libertad de expresión.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) en su  “Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas” expone que:

Exceden a las funciones del usuario y, por tanto, son conductas ilícitas:

  • Cometer el delito de injurias o calumnias al realizar una falsa imputación de un delito a otra persona o manifestar expresiones que atenten contra el derecho al honor, a la propia imagen y a la intimidad personal.
  • Incurrir en violaciones a la Ley de Propiedad Intelectual (Derechos de Autor) al publicar cualquier obra protegida que no cuente con la expresa autorización del titular o no se haga un uso correcto del derecho de cita, ya sea sobre textos (artículos, libros, notas, etc.), o contenidos multimedia (música, audio, video, software, etc.).
  • Violar derechos de marca, de diseño, secretos comerciales o violar derechos industriales (como patentes).
  • Atentar contra el derecho a la protección de datos publicando información privada de terceros (publicar un correo electrónico personal).
  • Cometer delitos de pornografía infantil al publicar cualquier representación de un menor de dieciocho años dedicado a actividades sexuales explícitas o toda representación de sus partes genitales con fines predominantemente sexuales.”

 

La responsabilidad será, en todo caso, de la persona que cometa el hecho delictivo. Sin embargo, dicha responsabilidad puede ampliarse a otras personas por la falta de una vigilancia correcta de la plataforma, como se verá en el apartado siguiente.

Por ejemplo, publicar un vídeo de otra persona que no ha otorgado su consentimiento expreso para que se realice esta difusión o incluso para que se grabara ese vídeo, supone un atentado contra su honor y su intimidad personal. ”

Por su parte, los administradores y moderadores tienen la obligación de hacer que se respeten todos los derechos de los usuarios y garantizar un uso de la plataforma. Aunque los comentarios puedan ser anónimos, el administrador sigue siendo responsable de los mismos.

Es una buena práctica que el administrador de un foro incluya en su página una política de publicación, para evitar entradas inapropiadas de los usuarios, así como la posibilidad de que otros usuarios denuncien estas situaciones y se pueda realizar un control posterior más efectivo.

Es importante resaltar la existencia de mecanismos efectivos que permitan a los usuarios denunciar situaciones que atenten contra alguno de los derechos mencionados (a través de un correo electrónico o un formulario, por ejemplo).

Aunque parezca un poco extraño, la existencia de publicidad determina la ley que será aplicable para la asignación de responsabilidad. De forma que, si el blog contiene publicidad, el propietario será considerado como un prestador de servicios y será de aplicación el artículo 16 de la LSSICE[1]. En cambio, si el blog no tiene publicidad, podrá considerarse al propietario como un medio tradicional o colaborador necesario, siendo de aplicación el Código Penal.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García



[1] Ley 34/2022, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. http://www.boe.es/buscar/doc.php?id=BOE-A-2002-13758

El segundo trabajo de Heracles: La Hidra de Lerna (V). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Para analizar este fenómeno en el entorno de las organizaciones, comentaremos antes los distintos roles que intervienen en el mismo. Son tres las figuras fundamentales, los usuarios (ciudadanos), los administradores y moderadores, y los prestadores de servicios.

Los usuarios son aquellos ciudadanos que utilizan las redes sociales y participan en los medios sociales y plataformas. En nuestro ámbito, los usuarios son aquellos ciudadanos o pacientes que interactúan con las organizaciones sanitarias por medio de herramientas 2.0.

Los administradores y moderadores son los responsables de gestionar estas herramientas. Incluyen, editan o eliminan contenidos y ejercen una moderación para garantizar el uso adecuado de dichas herramientas por parte de los usuarios, vigilando que se respeten las normas de participación establecidas y se respeten los derechos de todos los participantes. En nuestro ámbito, los administradores y moderadores serán los profesionales de la organización sanitaria que participan de forma activa en las redes sociales con un perfil institucional y, por tanto, representando a su organización sanitaria.

Los prestadores de servicios son aquellas empresas que ofrecen servicios web 2.0 tales como: Facebook®, Twitter®, Tuenti®, etc. También los proveedores de alojamiento de páginas webs, proveedores de acceso y los operadores de telecomunicaciones.

Cada uno de estos roles juega su papel en el entorno de los medios sociales y de una forma u otra todos tienen derechos y obligaciones.

Para conocer cuales son las obligaciones y responsabilidades de una organización será necesario conocer previamente los “derechos 2.0” de los usuarios en las redes sociales. Hagamos un breve recorrido por los mismos.

Poco hay que decir sobre el derecho que tenemos todos los ciudadanos a la libertad de expresión. Recogido en el artículo 20 de la Constitución Española, nos permite expresar y difundir libremente los pensamientos, ideas y opiniones, ya sea mediante la palabra viva o escrita, así como cualquier otro medio de comunicación.

Unido a la libertad de expresión, se encuentra el derecho a la libertad de información. Sin embargo, ésta se diferencia de la anterior en que presenta unos requisitos objetivos:

  • Que la información sea veraz, es decir, que exige la existencia de una base en hechos objetivos y reales.
  • Que la información tenga relevancia pública, careciendo de dicha relevancia los hechos que afectan a personas privadas en actuaciones o hechos cotidianos.

Los comentarios relativos a la intimidad de una persona “cercana” que no tiene carácter de personaje público no quedarían amparados bajo la protección del derecho a la libertad de información, y en función de los comentarios realizados, podría traspasar los límites del derecho a la libertad de expresión.

El derecho a la intimidad, privacidad y la propia imagen limita el derecho de libertad de información. Es posiblemente, el derecho que se invade con más facilidad. Por ejemplo, mediante la divulgación de insultos o calumnias contra personas identificadas en foros, o la ya tan extendida costumbre de publicar fotos de terceros en las redes sociales más allá del círculo de amigos.

El derecho a la protección de datos es también fundamental. Los usuarios de las redes sociales tienen derecho a que se respeten sus datos personales, estar informados de que actividades se realizan con los mismos y a que se les solicite consentimiento para utilizarlos. No es raro encontrar que los proveedores cambien las condiciones del servicio limitando o incluso eliminando este derecho.

Hay que tener en cuenta que funcionalidades como la geolocalización de un usuario, imágenes, vídeos y grabaciones de voz, son datos de carácter personal si pueden identificar al usuario y, por tanto, será necesario su consentimiento expreso para publicarlos.

Los responsables de webs y blogs asumen una cierta responsabilidad jurídica sobre aquello que se publica en sus sitios.

La propiedad intelectual es el derecho que tienen las personas sobre sus creaciones u obras. Siempre que desde una organización se quiera utilizar una obra (textos, fotografías, vídeos, etc.), debe comprobarse que está permitida su reproducción y que la obra no está protegida por la propiedad intelectual.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) en su  “Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas”[1] recoge lo siguiente:

“En el contexto de la Web 2.0, los usuarios podrán utilizar en plataformas colaborativas:

  • Cualquier obra que hayan creado (siempre que no hayan cedido los derechos de explotación a otros).
  • Obras con autorización de sus titulares de derechos, ya sea de forma directa o a través de cualquiera de las licencias existentes en la actualidad (Creative Commons, GPL, etc.).
  • Obras caídas en el dominio público.
  • Obras expuestas permanentemente en la vía pública (carteles, esculturas, etc.).
  • Discursos o conferencias pronunciadas en público, siempre y cuando tenga una finalidad informativa (y no meramente comercial).
  • Trabajos sobre temas de actualidad, en la medida descrita anteriormente.”


[1] www.inteco.es. http://creativecommons.org/licenses/by-nc/2.5/es/

El segundo trabajo de Heracles: La Hidra de Lerna (IV). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Al parecer, las mayores preocupaciones sobre el riesgo relacionado con las redes sociales se centran en los aspectos que afectan a la imagen pública de la organización y la eficacia operativa de sus trabajadores[1].

La figura 1 presenta algunas de las áreas de riesgo de las redes sociales en relación con los aspectos anteriormente mencionados: la imagen pública y la eficacia operativa.

Como puede observarse, muchas de las áreas de riesgo que se encuentran relacionadas, afectan a la eficacia operativa y, simultáneamente, a la imagen pública de la organización. Son probablemente los riesgos que más preocupan, debido a que pueden ocasionar una mala imagen o reputación y, por tanto, un posible impacto económico negativo.

 Figura 1- Áreas de riego de las redes sociales[2].

 

Riesgo

Imagen Pública

Eficacia Operativa

Uso abusivo de los empleados

X

Comentarios negativos

X

Falta de control adecuado de contenidos

X

X

Entendimiento cultural inapropiado

X

X

Potenciales violaciones de la confidencialidad de la organización

X

X

Expansión (velocidad de expansión de eventos adversos)

X

X

Mal uso (malware, usuarios compartidos, ignorancia)

X

X

Robo de identidad, Ingeniería social

X

X

Pérdida de información / datos sensibles

X

X

Violaciones al cumplimiento legal y normativo

X

X

Uso ineficiente de los recursos de red

X

Imagen corporativa inconsistente

X

Interrupción de los servicios

X

Robo de cuentas de usuario, defacing y difamación

X

X

La misma fuente anterior, en otro estudio, en relación con el uso de las redes sociales por parte de los empleados en el entorno laboral, muestra que existen otros riesgos adicionales más allá que la pérdida de productividad.

Figura 2- Riesgos de las redes sociales asociados con los empleados

El 64 por ciento de las personas que utilizan las redes sociales hacen clic en los enlaces, incluso sin saber donde llevará el enlace.
Más del 50% de los usuarios prestan sus credenciales de acceso a sus amigos
El 47% de los usuarios de las redes sociales han sido víctimas de malware
El 26% de los usuarios de las redes sociales comparten archivos personales en las redes sociales
El 21% de los usuarios de las redes sociales aceptan ofertas de contactos por parte de desconocidos
El 20% de los usuarios de las redes sociales han sufrido robo de identidad

Fuente: Taken in part from Protiviti, “Managing Privacy Risks in Social Media-Driven Society,” white paper, www.protiviti.com

“El 64 por ciento de las personas que utilizan las redes sociales hacen clic en los enlaces, incluso sin saber dónde les llevará. Es sólo una presunción, pues no tenemos datos al respecto, pero entendemos que quien sigue un enlace sin saber dónde le llevará lo hará igualmente mientras navega o lee el correo electrónico.  Respecto a los usuarios víctimas de ‘malware’ [3], cabría preguntarse cuántos de ellos no usan las redes sociales pero aun así son victimas del mismo.

Debido al daño que puede ocasionar a una organización, creemos necesario resaltar y explicar el riesgo de sufrir una suplantación de identidad. Si un atacante consigue las credenciales de una cuenta de las redes sociales de una organización, podría difundir mensajes maliciosos o malintencionados. Actuando en su nombre, podría utilizar la cuenta para la difusión de ‘spam’ [4] y aprovechar el buen nombre de la organización y la confianza que genera en sus seguidores para utilizar técnicas de ‘phishing[5] y pharming[6], con el objeto de recopilar datos sensibles de los mismos.

Otra amenaza importante para la imagen de la organización es la utilización de sus perfiles sociales como plataforma para la distribución de código dañino o malware. Si se tratara de la cuenta de un organismo público, el número de afectados podría ser enorme. Generalmente, detrás de todas estas amenazas se suelen encontrar técnicas de ingeniería social[7], que sigue siendo a la vez la herramienta más potente y más barata para introducir ataques más sofisticados.

Las redes sociales son, por tanto, un vehículo más para estas amenazas. Cabe pensar por tanto, que los mecanismos para protegernos de estas amenazas y minimizar los riesgos a los que se expone la organización con presencia en las redes sociales sean los mismos de siempre. La ingeniería social se puede contrarrestar eficientemente con la formación y concienciación adecuada de los usuarios. Por otro lado, la organización debe elaborar políticas claras y sencillas acompañadas de guías y directrices que ayuden a los usuarios a aplicarlas adecuadamente.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García



[1] ISACA Journal. Volume 5. 2012. What Every IT Auditor Should Know About Auditing Social Media

[2] Fuente: Taken in part from Protiviti, “Managing Privacy Risks in Social Media-Driven Society,” white paper, www.protiviti.com

[3] Más información sobre ‘malware’ en Wikipedia: http://es.wikipedia.org/wiki/Malware

[4] Más información sobre ‘spam’  en Wikipedia: http://es.wikipedia.org/wiki/Spam

[5] Más información sobre ‘phising’ en Wikipedia: http://es.wikipedia.org/wiki/Phising

[6] Más información sobre ‘pharming’ en Wikipedia: http://es.wikipedia.org/wiki/Pharming

[7] Más información sobre ingeniería social en Wikipedia: http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

El segundo trabajo de Heracles: La Hidra de Lerna (III). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Como ya hemos comentado, en general, las redes sociales presentan riesgos similares a cualquier otro servicio de tecnologías de la información. Sin embargo, en algunos centros sanitarios se pueden encontrar ciertas reticencias con el uso de las mismas. Se suelen alegar argumentos poco precisos, en nuestra opinión, aunque debemos reconocer que no están carentes de cierto fundamento. Eso sí, no suele parecer que se hayan evaluado los riesgos de forma seria y en base a metodologías contrastadas. Así mismo, tampoco parece haberse medido el riesgo de no tener presencia en las redes sociales.

En ocasiones, la decisión de prohibir el uso de las redes sociales no ha sido meditada en profundidad. Se trata más de lo que algunos profesionales del sector denominan “la Informática defensiva”, practicando una “seguridad por si las moscas”. Esta actitud podría estar limitando, e incluso impidiendo, determinados objetivos de la organización. En cualquier caso, una decisión de este calado debería estar basada en un exhaustivo análisis de riesgos. En realidad, la actitud mencionada, es una forma de gestionar el riesgo: cesar la actividad que puede causarlo. Pero la “Informática defensiva” es una mala interpretación de esta forma de gestionarlo pues, cesar una actividad necesaria, no es una forma de gestionar el riesgo.

Sin embargo, debido a su naturaleza expansiva, las redes sociales pueden potenciar el efecto de sus riesgos. Por ejemplo, dañando la imagen pública a causa de comentarios o mensajes negativos que difundan rápidamente. Aunque debemos decir que el daño puede verse aumentado por ignorar o gestionar inadecuamente dichos comentarios. De un mensaje negativo nunca podemos estar a salvo, pues no dependen al 100% de nosotros (aunque habría mucho que debatir en este sentido); lo que sí depende de nosotros es cómo reaccionamos ante ellos. Una respuesta adecuada puede volver un comentario negativo a nuestro favor.

Eso sí, para ser justos y alejarnos del negativismo, debemos decir que, del mismo modo, nuestra presencia en las redes sociales puede potenciar efectos beneficiosos sobre nuestra organización.

Las organizaciones tienen que convivir con cierto nivel de riesgo. ¿Qué decisiones se pueden tomar al respecto? Podemos evitarlo censando en la actividad que lo ocasiona. Esta opción es la más sencilla, puede convertirse en una forma de informática defensiva. Pero bien entendida, esta opción podría suponer una reingeniería de procesos. Otra opción consiste en trabajar en la reducción de la probabilidad de que se presente el riesgo. También podemos trabajar sobre las consecuencias ocasionadas una vez presentado el riesgo, trabajar sobre el impacto ocasionado. Por último podemos transferirlo, mediante la contratación de seguros, e incluso aceptarlo. Es decir, la organización considera el riesgo como “aceptable” y asume las posibles consecuencias de que se materialice.

Lo único que no se puede hacer con el riesgo es ignorarlo. Por lo tanto, tenemos que asumir y convivir con distintos tipos de riesgos, teniendo en cuenta que el riesgo es interactivo y  que se puede presentar como consecuencia de llevar a cabo una actividad o tarea, o también como consecuencia de no realizar esa misma actividad.

Si se mitiga un riesgo, es muy probable que se incremente algún otro riesgo relacionado. Por tanto, si esperamos a eliminar el riesgo para llevar a cabo una actividad, no podremos emprenderla jamás.

Otro aspecto importante relativo a los riesgos son las decisiones respecto a los mismos que se toman en el más alto nivel de las organizaciones. Tanto aceptarlos, como evitarlos, reducirlos o transferirlos, conlleva unos costes. Es razonable reducir un riesgo hasta que el coste de seguir reduciéndolo supere al impacto que ocasionaría si se produjera. Escoger la opción de cesar en la actividad que podría provocarlo también conlleva costes. ¿Se puede permitir la organización cesar en una de sus actividades? ¿Nos planteamos dejar de hacer transfusiones sanguíneas por el riesgo de infección? ¿O por el contrario redefinimos los procesos y perfeccionamos los controles sobre la sangre y sus derivados?

¿Por qué razón en algunas ocasiones se opta entonces por esta forma de gestionar los riesgos en lo que respecta al uso de las redes sociales? No deberíamos olvidar que las redes sociales no son más que herramientas para llevar a cabo actividades relacionadas con la misión o los objetivos de la organización; no son un fin en sí mismas. En cualquier caso, la decisión sobre cesar o no en una determinada actividad corresponde, como no puede ser de otra manera, a la dirección de la institución. El papel del personal técnico será el de ofrecer la información necesaria y aconsejar, después de un análisis de riesgos exhaustivo.

Pero tampoco debemos dejarnos llevar por tendencias o modas y pensar que las redes sociales son la Panacea. Como el resto de actividades de una organización, deberían demostrar su eficacia de forma objetiva, siguiendo la máxima: “Lo que no se puede medir, no se puede gestionar”. Del mismo modo, su uso debe estar ligado a los objetivos y estrategia de la organización.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García