• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / El Proyecto P3P y la privacidad de datos (I)

El Proyecto P3P y la privacidad de datos (I)

2 julio, 2000 Por Hispasec Deja un comentario

El proyecto P3P (Platform for Privacy Preferences Project), está siendo
desarrollado por el World Wide Web Consortium, (conocido también como W3C),
y en principio se presenta como una ayuda para mejorar la privacidad de los
usuarios en la WWW, pretende estandarizar la industria del sector y
automatizar la vía para que los usuarios tengan el control sobre sus datos
personales o la información que recogen las webs visitadas. El problema es
que no todos piensan que el P3P es una solución efectiva. Es más, las
críticas sobre tan confuso protocolo arrecian; así, por ejemplo, acaba de
salir, en esa línea, el informe de Junkbusters, avalado por el mismísimo
EPIC (Electronic Privacy Information Center).
*Introducción e Historia

P3P se presenta a sí mismo como una manera para que el usuario pueda
controlar la información que las webs pueden obtener de él, y ello se
realizaría mediante un formulario, que será a la vez fuente de información y
límite para las web-sites visitadas. Se supone que las web-sites no podrán
almacenar dicha información en formato legible (se omite la palabra
cifrado), y se supone que otros navegadores y usuarios no podrán acceder a
esa información personal que llevaríamos adherida en nuestros paseos por la
web. Para defensores de tal proyecto P3P, este método impulsaría a los
usuarios a controlar sus propias políticas de privacidad de datos, mediante
un formulario sencillo de entender. Para los demás, se eluden los principios
de la OCDE, que eran simples y uniformes para la privacidad online, y
elabora un indice de «elecciones» que el usuario deberá hacer sobre la
recolección y uso de sus datos personales.

Para ello, (W3C), está desarrollando un lenguaje específico para uso
inter-webs, que permitirá, por ejemplo, saber si el usuario accede a sus
propios datos, recogerá datos físicos, datos sobre compras, que
organizaciones tendrán/tienen acceso a esos datos, y en definitiva lo que
algunos ya comienzan a denominar como «la madre de todas las cookies».

El informe pone el siguiente ejemplo para que se entienda mejor el
funcionamiento de P3P. Imaginemos a «Joe Surfer que configura su P3P, de
manera que no revele la dirección de su vivienda a ninguna web, a menos que
desee comprar un producto y quiera que se lo lleven a casa. Cuando Joe
Surfer quiera conectar con una web (de esas tan populares y magnificas) que
requiera la apertura de la dirección de su vivienda, el P3P de Joe bloqueará
el acceso de su navegador a dicha web. Cuando llegue a otra de esas
estupendas web a las que todo el mundo va y también requiera la dirección de
su casa, Joe, de nuevo, no podrá visitarla. Y al final o abandona o permite
que todos sepan la dirección de su casa.»

El problema de la privacidad y protección de datos, no es nuevo, ni el
proyecto P3P tampoco, de hecho ha habido ya varios proyectos y borradores
rechazados. Recordemos, por ejemplo, que en 1998 en la 23 reunión del IWG
en Hong-Kong, el 15 de abril, en las actas de dicha reunión se podía
observar como el proyecto P3P producía recelos fundados, argumentándose que
«existen aspectos que deben ser clarificados en relación con la seguridad,
calidad de datos, períodos de retención de información…acceso y
rectificación», y se añadía que:

1) La tecnología por si misma nunca podrá ser solución para garantizar la
privacidad en la Web, se necesita,a demás un marco legal, código de
conducta, auditorías independientes y recursos legales para el individuo.

2) «Cualquier usuario debería tener la opción de visitar una Web de forma
anónima».

3) Necesidad del «consentimiento previo e informado del afectado como paso
previo al tratamiento de sus datos».

4) Se consideraba de vital importancia realizar seguimiento del proyecto
P3P.

Esta fue, la posición común del IWG, ya en 1998, sobre Tecnologías Avanzadas
de Privacidad (PET). En el fondo, no hacían sino adaptarse a las guías de la
OCDE (Organización para la Cooperación y Desarrollo Económico) de 1980,
sobre privacidad, motores de búsqueda como herramientas susceptibles de ser
usadas en la explotación masiva de datos (data-mining), robots en webs, y
asuntos relacionados.

Para grupos como Junkbusters, o el mismo EPIC, antes de obtener un protocolo
técnico para la protección de la privacidad sería necesario comprender la
naturaleza legal y ética de dicha privacidad, lo que para el derecho
norteamericano supondría el control, y uso de la información personal que
otros tienen sobre nosotros. Pero también la OCDE, en sus ya mencionadas,
Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data, mantiene una postura similar, buscando una transparencia y lealtad en
el uso de tales datos.

Se mantiene que la privacidad es de tal importancia que no se debería dejar
al individuo regular, elegir o negociar tal tema, sobre todo por que estaría
en clara desventaja en dicha negociación, al menos la gran mayoría de los
usuarios de Internet.

Como precursor del P3P están las famosas cookies, que diga lo que se diga,
además, también son una forma de obtener perfiles de usuarios, una forma de
relacionar una IP con determinadas webs, o una forma de relacionar
determinados enlaces con el lugar de donde se viene, o a donde se va. Con la
decisión de Netscape de permitir marcar el navegador con información de
interés para la web visitada, desde luego el usuario perdió algo de libertad
a la hora de navegar, y lo cierto es que aún hoy día, no está muy claro las
medidas de control sobre las cookies, y se asume, por quien está interesado
en asumir tal cosa, que el usuario medio es consciente de ellas y de lo que
significan.

Más evolucionado que el sistema de las cookies se presentó el sistema de
banners, que permitía saber de donde, a donde y que querías. DoubleClick es
la exponente máxima de este sistema, y en este caso si que afronta un
procedimiento legal, además por otros asuntos, por su conducta invasiva.

Lejos de afrontar una solución se dio como respuesta la pasividad, o la
interesada indolencia y en contra de lo que el Internet Engineering Task
Force, (RFC 2109 ), proponía, Netscape, Microsoft (que le siguió) y la
mayoría de constructores de navegadores continuaron en esa línea.
Curiosamente son las mismas empresas que avalan al P3P.

(Continúa).

Eusebio del Valle
evalle@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR