Cuidado con las wifis abiertas

Contar con una wifi a disposición del cliente ha pasado de ser un plus a casi convertirse en un servicio esencial, ya sea en un alojamiento hotelero, en el aeropuerto o en un establecimiento de restauración. En la mayor parte de de las ocasiones estas wifis son abiertas y gratuitas para los clientes. Sin embargo, esta circunstancia hace que sea redes vulnerables que entrañan riesgos que, como empresas debemos tener en cuenta, analizando con cuidado aspectos legales y técnicos que es conveniente revisar cuando nos planteamos ofrecer este servicio.

Conexión de acceso gratuita, ¿qué requisitos debe cumplir?

Tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2016 y su adaptación al derecho español en forma de la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) en 2018, las empresas están obligadas a cumplir una serie de requisitos en materia de privacidad y protección de datos, y por ende, a ofrecer un acceso seguro a estos servicios.

Se ponía fin así a las conexiones wifi abiertas, los cifrados débiles (WEP) o a colocar un cartel con las credenciales de acceso en un punto visible. Debes olvidar todos estos comportamientos si aún los matienes porque, además de ser negligentes – ya que expones la seguridad de tus usuarios frente a ciberdelincuentes- pueden dar lugar a fraudes o manipulaciones de tu red que puedan ocasionar graves conscuencias a tu negocio y a tus usuarios, además de una pérdida de tu reputación como gestor y una sanción administrativa en el caso de que se hubiera producido un delito desde la red del negocio.

¿Qué debo hacer para seguir ofreciendo una wifi gratuita y segura a mis clientes?

Lo primero es realizar un análisis de riesgos y adoptar todas las medidas de seguridad oportunas para proteger a los usuarios de estas redes (cifrado, registro de acceso, etc.). Para ello puedes delegar en una empresa especializada, por ejemplo, que gestionará tu wifi a través de un denominado “portal cautivo”: se trata de una pantalla o portal de acceso, generalmente personalizado con el logotipo del establecimiento, que aparece al conectarse a la wifi y que obliga al usuario a hacer login. En ella se explica al usuario que desee conectarse a la red los términos y condiciones de uso. El propietario ya no tendrá que darle la contraseña al usuario y, además, así quedará registrado quién se ha conectado, en caso de que se realice algún acto ilícito.

¿Qué datos personales se recogen con este sistema y cómo debo tratarlos?

Según el art. 13 del RGPD, cualquier tratamiento que se efectúe con los datos recabados deberá explicarse de forma clara y concisa a los usuarios de la conexión. El mensaje debe incluir la información referente al apartado 1 del artículo 13 del RGPD, es decir, quién es el responsable del tratamiento, por qué y para qué se toman los datos personales y cómo ejercer los derechos.

Debes incluir la siguiente información:

  •  Identidad y datos de contacto del responsable, representante y delegado de protección de datos (DPD);
  • Destinatarios del tratamiento;
  • Finalidad del tratamiento de la información recopilada y si se va a ceder a terceros para la realización de estudios de marketing o el envío de publicidad;
  • Plazo de conservación de los datos;
  • Opción de ejercicio de derechos y de presentar reclamación ante la autoridad de control competente.

Además, según recoge el art. 33 del RGPD, en el caso de que se haya detectado una brecha que ponga en peligro la información recopilada, el propietario del registro de usuarios deberá notificar en menos de 72 horas a las usuarios. En caso de no hacerlo en tiempo y forma, salvo por causas debidamente justificadas, el responsable del registro se enfrentará a las sanciones que determine la autoridad competente en materia de protección de datos, en el caso de España, la Agencia Española de Protección de Datos (AEPD).

Por ello debe incluirse un apartado en el que se recabe el consentimiento expreso del usuario para poder acceder a la red como, por ejemplo, una casilla de aceptación junto a la leyenda: «Sí, he leído y acepto la política de privacidad y las Condiciones y términos de uso». En ningún caso, esta casilla puede venir marcada por defecto, ya que la aceptación de los términos y condiciones por parte del usuario debe ser consentida.

Registro de actividad, ¿qué requisitos debe cumplir?

Es recomendable crear y mantener un registro de actividad de la red por parte de los usuarios que se conectan a la misma como salvaguarda, en el caso de que se realicen actividades ilícitas a través de ella. En los términos y condiciones debe incluirse, de forma clara, la motivación por la que se almacena esta información y recabar el consentimiento explícito y pleno del usuario.

El tipo de información que se almacenará en dicho registro será, entre otros:

  • Páginas visitadas;
  • Sesiones de conexión;
  • Dispositivo utilizado para la conexión;
  • Idioma;
  • Sistema operativo;
  • Navegador que se utilizó.

En el caso de que el usuario no haya dado su consentimiento o no se le haya informado debidamente de dicho registro, no se podrá guardar dicha información ya que se estaría cometiendo un delito contra la intimidad del usuario.

Por otra parte, el art. 25.1 de la ley de Seguridad Ciudadana obliga a los establecimientos comerciales que cuenten entre sus servicios con una red wifi disponible para sus clientes a conservar el registro de conexiones a esa red. Este deberá estar a disposición de las FCSE durante los plazos que establezcan las disposiciones aplicables en cada caso para la persecución de las actividades ilícitas cometidas desde dicha conexión.

Por último, si los administradores o los propietarios de la conexión detectaran la comisión de un delito por parte de los usuarios de la red que atente contra la libertad de las personas (coacciones o amenazas), deberán notificar a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), ya que en caso de que no se hiciera, se incurriría en un delito de omisión del deber de impedir delitos o de promover su persecución.

Excepciones

En el caso de asociaciones u otro tipo de organizaciones sin ánimo de lucro que no puedan asumir los procesos anteriormente descritos debido a los costes asociados o a la imposibilidad técnica de implantarlos, la ley contempla que podrán recoger en un documento colocado a la vista de todo el mundo las reglas de uso de la red wifi, así como indicar la no responsabilidad por el mal uso de la red por parte de los usuarios.

Recuerda mantener las medidas de seguridad en tu red

Por último recuerda que, igual que si se tratara de tu pc en casa, tu negocio debe garantizar una serie de medidas de seguridad :

  • Mantén actualizado el firmware del router o del punto de acceso a la última versión disponible.
  • Cambia las credenciales de acceso al panel de administración del router o punto de acceso que vienen por defecto por otras diferentes. Recuerda que la contraseña debe ser segura y robusta.
  • Usar como mínimo un cifrado WPA2-PSK para la transmisión de datos entre el router y el dispositivo del cliente. Con ello se evita que otros usuarios de la red vean lo que transmite el cliente.
  • Cambia el nombre que viene por defecto de la red.
  • Establece mecanismos de control parental para evitar el acceso a sitios web perjudiciales.

Si tienes dudas cuenta con profesionales como Norsecurity para llevar a cabo cualquier de estas tareas, asegurándote que ofreces un servicio seguro y responsable con tus clientes y que cumples con las normas que rigen en materia de protección de datos y ciberseguridad.