La información que ocultan las fotos

No estamos hablando de esteganografia (ver la definición que hicimos en otro post), ni de ninguna técnica compleja desarrollada por un experto en tecnología. Hablamos de algo mucho más simple. Hablamos de la información que algunos dispositivos, entre ellos buena parte de los smartphones, almacenan sobre la geolocalización de las fotos tomadas sin que en muchos casos seamos conscientes de ello. La almacenan en la información oculta de las fotos que con determinado tipo de programas resulta sencillo extraer (exif reader por ejemplo). Normalmente estos dispositivos tienen una opción que nos permite configurar si se almacena o no la posición con sus coordenadas en la información oculta de la foto. En la Blackberry hay una opción denominada GeoTag, en las opciones de la cámara, que cumple precisamente esta función.

Como siempre el hecho de que un smartphone pueda geolocalizar una foto no es ni bueno ni malo en sí mismo. El uso que se puede hacer de esta información es lo que puede convertirlo en un potencial peligro, por lo que es importante que todos, sobre todo los más jóvenes, sepamos lo que hacemos y que uso se puede hacer de esa información. Hay que tener en cuenta que la mezcla entre la geolocalización de una foto y los sistemas de información en tiempo real como es el caso de twitter, pueden llegar a ser una mezcla explosiva. Podemos hacernos una idea visitando la url http://icanstalku.com/ que podríamos traducir por “puedo acosarte”. Yo creo que simplemente viendo el contenido se te ponen los pelos de punta.

Usando simplemente Google Maps e indicando la longitud y latitud tal y como aparece en la información de la foto tomada por el teléfono, y voilà: aparece la foto de nuestro precioso perro que hemos querido compartir con nuestro amigos geoposicionada en nuestra linda casa:

Os planteamos una historia ficticia… o tal vez no.

Supongamos que soy bichomalo (si quieren saber quien es bichomalo no tienen más que seguir este enlace: http://www.youtube.com/watch?v=JcB_RfX0BVQ) y que me he encaprichado de una chiquita la mar de mona. Los papás de la niña le han comprado el último modelo de teléfono con una tarifa plana de acceso a Internet. Los papás no saben mucho de tecnología y no siguen ningún blog de seguridad para hijos e hijas digitales, ni entienden sobre estos riesgos. La niña se da de alta un perfil en twitter, por supuesto con su nombre, y comienza a tuitear; tuitear mola y es un símbolo de status. No contenta con su tuenti comienza a compartir fotos en sus tuits. Evidentemente no sabe que en la foto de su maravilloso smartphone se guardan las coordenadas de donde toma la foto. Bichomalo sí que lo sabe. Sigue a la niña con una cuenta de twitter falsa en la que se ha fabricado un perfil la mar de cuco. Un perfil falso con foto de una chiquilla rubia a la que solo se le ven los ojos, foto descargada de cualquier rincón de Internet. Se permite el lujo de tuitear cosas de niñas e incluso mandarle algún privado a nuestra protagonista.

Un día nuestra protagonista está en la cena del cumple de su mejor amiga. Le ha costado que sus padres le dejen salir hasta tarde pero lo ha conseguido porque está cerca de casa. La fiesta es divertida. Publican muchas fotos de la juerga. En un momento de la noche nuestra protagonista, cansada, decide irse a su casa que está a unas manzanas. “Me voy a casa” publica en su twitter… Bichomalo también lo lee. Sabe donde está por las fotos que ha estado viendo en su twitter y también sabe donde está su casa…

Por favor, seamos conscientes del mal uso que se puede hacer de la tecnología y preocupémonos de la formación de nuestros hijos y, por qué no, de la nuestra también.

¿Expertos en protección de datos o caraduras monumentales? Segunda parte

¿Recuerdan ustedes el post que publicamos hace unos días referente a un correo enviado por una empresa que nos “advertía” de lo importante que es cumplir con la LOPD y al mismo tiempo nos hacía una recomendación de sus servicios a coste 0, para adecuarnos al cumplimiento de la misma, haciendo caso omiso de la LOPD y de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico?

Cuando recibí semejante comunicación hice dos cosas: la primera escribir el post que se publicó en Security Art Work y que supongo algunos de ustedes leyeron, la segunda escribir a estos señores un correo, intentando ser amable, en el que intentaba explicarles su error. Trascribo a continuación el correo que les remití:

Estimados señores, si son ustedes expertos en protección de datos, asumo que serán expertos en aspectos legales relacionados con tecnologías y, por tanto, sabrán que, esto que están haciendo, en virtud del artículo 21.1 de la LSSICE Ley 34/2002, no lo pueden hacer, puesto que no tienen mi consentimiento EXPRESO para ello. Dado que la LSSICE no dispone de una agencia equivalente a la AEPD, es esta última la encargada de velar por el cumplimiento de este tipo de infracción e imponer las sanciones reglamentarias que son parecidas a las del régimen sancionador de la LOPD. Pueden ustedes leer algún detalle en http://pedrorodriguez.blogcanalprofesional.es/150-000-euros-por-enviar-publicidad-por-correo-electronico/, aunque los ejemplos en Internet son muchos.

Agradecería me borrasen ustedes de sus bases de datos para todo tipo de comunicaciones. Además creo que no les conozco de nada a ustedes.

Un saludo

PD: Es evidente que nadie da duros a cuatro pesetas.

El correo lo remití el pasado 13 de mayo y ¿qué creen ustedes que ha pasado? ¿una disculpa? ¿un correo informando de que mis datos han sido eliminados de su base de datos? ¿Un simple gracias, vamos a proceder a revisar nuestra política interna? Pues no, nada, absolutamente nada, eso es lo que ha pasado.

Es evidente, y así se comentó en varios de los comentarios de la entrada original de Security Art Work, que para conseguir ese hipotético “coste cero” (ojo, no low cost, sino coste cero que no es lo mismo), se estaba haciendo uso de las subvenciones entregadas por la Fundación Tripartita para formación. Nuestra empresa, S2 Grupo, ha perdido alguna propuesta de adaptación a la LOPD y auditorías del reglamento por no querer entrar al juego del fraude que algunos están haciendo con estas partidas presupuestarias entregadas, en definitiva, por el patronato de la Fundación en el que están, entre otros, el Ministerio de Trabajo y Asuntos Sociales. Es lamentable derivar estos fondos que pretenden que nuestras empresas sean cada vez más competitivas hacia temas como estos y más lamentable es que lo hagan pudiendo incluso cometer un delito de fraude con un trabajo entregado de una calidad, cuando menos, cuestionable.

Nuestro buen amigo y colaborador del Blog, Salvador Silvestre, nos apuntaba una URL de la fundación tripartita en la que se podía leer lo siguiente:

14/04/2010. Utilización de bonificaciones para LOPD – Nota informativa

Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistemas de protección de datos de carácter personal.

La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en:

servicioalcliente@fundaciontripartita.org.

Con esta nota que pueden consultar ustedes en la URL indicada por Salvador en los comentarios, la Fundación Tripartita ha hecho en mi opinión lo que tenía que hacer. Es turno ahora de que nosotros hagamos lo que tenemos que hacer: poner en sus manos actuaciones como la referida en este blog…

Veremos cuál es el resultado.

El “debido control” en el Nuevo Código Penal

Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.

El hecho cierto es que el Nuevo Código Penal introduce la responsabilidad directa de la persona jurídica en el caso, entre otros, de delitos cometidos por personal sometido a la autoridad de personas que ostenten la representación legal de la persona jurídica y administradores de hecho o de derecho, propiciados por no haber ejercido el debido control.

¡¡Toma ya!! Ahí queda eso. Y ahora, con algo tan delicado como el código penal que comporta penas para las personas jurídicas como la disolución de la persona jurídica, la suspensión temporal de actividades, la clausura temporal de locales y establecimientos, la inhabilitación de obtención de subvenciones o la inhabilitación para contratar con el sector público y penas de cárcel para personas físicas, nos quedamos con un concepto tan vago como “el debido control”. Pero, ¿qué es el debido control? ¿será tan difícil concretar un poco más y poner algo como sistemas de gestión de la seguridad de reconocido prestigio?

En este caso tendríamos la discusión sobre ¿qué es reconocido prestigio? Bueno la solución creo que es tan fácil o tan difícil como especificar el tipo de Sistema de Gestión al que se refiere: un Sistema de Gestión de la Seguridad basado en referenciales como ISO 27001, SAS 70 o similar, que estén reconocidos internacionalmente y certificados por una entidad acreditada para hacerlo.

Desde luego entiendo que lo cómodo para el legislador es utilizar el término “debido control” y dejar luego que el juez de turno tenga que devanarse los sesos en pensar que querrá decir o que habrá querido decir con “debido control”. En mi opinión no hay derecho a que equipos creados por el legislador, que tienen la oportunidad de preguntar y asesorarse en estas materias, dejen cabos sueltos de este calibre.

En la LOPD pasa algo parecido pero con algún matiz; en el artículo 9 de la LOPD se dice textualmente:

ARTÍCULO 9. SEGURIDAD DE LOS DATOS

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Esta frase en la que se utiliza la formula de “…habida cuenta del estado actual de la tecnología…” viene a ser algo parecido al “debido control” utilizado en el código penal. El legislador deja en manos del interesado que él defina las medidas de control que debe implantar para proteger en este caso los datos de carácter personal. Ahora bien, también hay que decir que se desarrolla el Reglamento en el que sí se entra en detalle de las medidas de control que el legislador considera oportunas, aunque vuelve a dejarlo todo un poco en el aire cuando, en el artículo 81 del reglamento “Aplicación de los niveles de seguridad”, en su punto 7, se refiere a la condición de “mínimos exigibles” cuando habla de los controles de seguridad.

Me consta que entre nuestros lectores hay un buen grupo de abogados a los que pido desde estas líneas que opinen o puntualicen las cosas que aquí decimos para que entre todos seamos capaces de aplicar las leyes con mayor rigor.

En definitiva, desde el punto de vista tecnológico exclusivamente, en nuestra opinión, el “debido control” al que hace referencia el legislador en el nuevo código penal se consigue implantando en las organizaciones Sistemas de Gestión de la Seguridad certificables, aunque no tengan que estar explícitamente certificados, basados en estándares como la ISO 27001 que se apoyan en códigos de buenas prácticas como la ISO 27002 y con una plataforma de monitorización y gestión de la seguridad que permita a los CIOs, CISOs o responsables de informática en general, supervisar el uso que los empleados de una organización hacen de sus recursos tecnológicos, observando, eso sí, el cumplimiento de sus deberes de información a los mismos del control ejercido en la red a través de las políticas y normativas de seguridad adecuadas.

En fin, un tema que, en mi opinión, dará mucho que hablar….

¿Expertos en protección de datos o caraduras monumentales?

La verdad es que no salgo de mi asombro por la cara que pueden llegar a tener algunos individuos. Tal vez no sea cara dura y sea simplemente un grado de insensatez alto. Si fuese así les pido disculpas, pero les recomiendo “que se lo hagan mirar”, en caso contrario, también les pido disculpas, pero en este caso no soy quien para recomendarles nada, ustedes verán…..(Es por esta duda por la que he preferido mantener el anonimato de la empresa en cuestión)

¿A que me refiero? ¿Qué es lo que me ha llamado la atención? Uno de tantos correos que recibimos que, siendo SPAM como la copa de un pino, nuestro anti-spam no lo detecta, porque parece venir de “buena gente” En este caso concreto el correo en cuestión, “pegado” tal cual, es el siguiente:

Estimado Cliente:

Desde hace algún tiempo nos viene preocupando el cumplimiento de la normativa de la Ley Orgánica de Protección de Datos (LOPD).

Debemos recordar que la LOPD es de Obligatorio Cumplimiento para todas las empresas, que las sanciones pueden llegar a ser importantes, y que cada vez más, se está solicitando en las inspecciones rutinarias de la Seguridad Social y por demanda. Es un tema vigente y las inspecciones cada vez son más frecuentes.

Últimamente hemos mantenido contactos con diversas empresas dedicadas a crear las rutinas necesarias para cumplir con la Ley, pero siempre ha surgido el inconveniente del precio de los servicios. Sin embargo, la consultoría con la que hemos llegado a un acuerdo, seria y solvente, nos puede resultar interesante, ya que todos los trámites los puede realizar a coste 0€.

Para proporcionarle más información al respecto podemos ponernos en contacto a la mayor brevedad posible, ya que entendemos que es una obligación que no deberían desatender por más tiempo.

No soy un experto en la materia, aunque algo sé. Tal vez Fernando, nuestro Director de Consultoría, podría hacer alguna precisión al respecto, pero analizando el contenido del correo no puedo evitar sorprenderme en varias ocasiones. Se suponen que con este correo nos quieren vender asesoramiento en LOPD y, a mi juicio se permiten varias licencias importantes:

1. Dan por supuesto que no la estoy cumpliendo ya que afirman que no puedo seguir ignorando esta obligación por más tiempo.

2. Incumplen claramente el artículo 21.1 de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico ya que para poder enviarme un correo electrónico a mi cuenta personal deben haber conseguido mi consentimiento expreso por otro medio.

3. Dicen que obtienen mis datos de una fuente de acceso público. Internet NO es una fuente de datos de acceso público y para poder tratar datos personales obtenidos de internet es necesario contar con el consentimiento del interesado.

4. Se refieren a los controles o salvaguardas que exige el reglamento como “rutinas”. Puede ser también que se refieran, con el término “rutinas”, a los procedimientos de trabajo que, desde el punto de vista organizativo debe incorporar cualquier sistema de gestión de la LOPD o de seguridad en términos generales. Extraña forma de referirse a los controles o a los procedimientos, pero bueno…. para gustos, colores, ¿no?

5. Por último, dicen que cuesta 0 €. Tras un largo esfuerzo y tras preguntar a muchos insensatos que querían cobrar por su trabajo, han encontrado a unos “sensatos” que trabajan gratis.

Evidentemente la conclusión es clara: NO TIENEN NI LA MENOR IDEA DE LO QUE ESTÁN HACIENDO, eso sí, lo que sea que hagan es “gratis”.

Pérdida de datos en la todopoderosa SONY

La verdad es que la prensa no tiene desperdicio últimamente si lo que te interesa, al margen de la actualidad nacional e internacional, son asuntos relacionados con la seguridad. El otro día nos hacíamos eco de la noticia recogida por Expansión en referencia al uso de pólizas de seguro para mitigar los riesgos de incumplimiento de una ley de tan “profundo” calado como es la Ley Orgánica de Protección de Datos. Después desayunamos leyendo, estupefactos, un artículo también de Expansión, en su página 6, de la edición digital de orbyt (por supuesto), en el que la todopoderosa Sony reconoce que le han robado datos de la friolera de 77 millones de usuarios. Lo reconoció el martes 26 de abril por la noche y el incidente fue el día 19 de abril, según informaron fuentes de la compañía. ¡¡¡Sí señor!!! Eso es agilidad de respuesta ante un incidente de seguridad en el que se han comprometido datos tan “insignificantes” como los números de tarjetas de crédito. Este pequeño detalle unido a que también han sido comprometidos nombres, códigos de acceso e incluso posiblemente cuentas bancarias no tiene la menor importancia y el ciudadano no tiene derecho a saber inmediatamente que “sus” datos campan por las redes globales porque, evidentemente, firmas de reconocido prestigio como Sony se encargan de protegernos en todo momento. Al fin y al cabo los ciudadanos no sabrían qué hacer si el mismo día en el que se produjo el “incidente” se hubiese informado del mismo a los afectados, ¿no? Ya se encarga Sony, en este caso, de asumir el control del problema con el mismo éxito, seguro, que cuando asumió la seguridad de los datos que muchos le dimos de buena fe.

Esto es absolutamente inadmisible. Según dice la citada noticia los supuestos superespecialistas de Sony indican que han asaltado sus defensas y han burlado sus “extraordinarios” sistemas de protección y control para acceder, entre otros, a los datos personales de un servidor (o sea los míos). Ni serian tan superespecialistas ni las defensas de Sony serian tan súper si lo que les ha pasado es que les han robado en sus propias narices los datos de su bien más preciado, sus clientes. Según dice la noticia de este medio de comunicación se han visto afectados 77 millones de usuarios en todo el mundo. Usuarios de la plataforma PlayStation y de otras plataformas como la tienda audiovisual online Qriocity de la cual soy usuario. De los 77 millones de usuarios, 3 millones son españoles o afincados en España. Ya saben, si ustedes son alguno de esos usuarios y usan claves numéricas que coinciden con su clave de acceso al banco pueden ir corriendo a cambiar esta última porque les aseguro que NO estará a buen recaudo. Eso sí, fuentes muy bien documentadas de la compañía afirman que no se han registrado quejas por parte de usuarios, lo que según ellos quiere decir que podemos estar tranquilos porque los malos no han robado los datos por su interés en las tarjetas de crédito, simplemente querrían hacer una estadística del numero de nombres repetidos que Sony tenía en su base de datos o de cuántos de los 77 millones de clientes eran menores entre 13 y 18 años. Lógico y útil. He de reconocer que tras la lectura de estas declaraciones me he quedado mucho más tranquilo (#modo irónico off).

Algo tenemos que cambiar los que trabajamos en este sector. Evidentemente no hemos hecho un análisis del incidente y, por tanto, no sabemos a qué se ha debido, pero es bastante probable, por una cuestión estadística, que los supuestos “malos” hayan aprovechado algún fallo de la programación de alguna aplicación. Constantemente nos estamos encontrando en nuestro trabajo fallos de este tipo. Si esto es así yo me pregunto si conseguiremos, entre todos, alguna vez, que los que dirigen los equipos de desarrollo no antepongan la funcionalidad a todo lo demás, descuidando aspectos tan críticos como la seguridad de los datos personales de los ciudadanos, de sus cuentas, de sus domicilios, de los datos de los menores que usan las plataformas y de lo que sea… Parece que lo importante, al igual que sucede con las audiencias televisivas, es la cuota de mercado. Lo importante es tener usuarios registrados, disponer de sus datos y la forma de agradecerlo… “protegiéndolos con nuestra vida si hace falta”. Jaja.

En fin, así están las cosas. Esta es una situación mala para el avance de una sociedad digital en la que la tecnología y su seguridad conforman los cimientos sobre los que estamos construyendo un sinfín de servicios. En S2 Grupo estamos convencidos de que las cosas no tendrían que ser así y de que estos incidentes no deberían producirse si se tomasen las medidas pertinentes (y si aún así se producen, se deberían gestionar de otra forma).

Por cierto, para acabar, comentarles que los usuarios de la plataforma Xbox de Microsoft pueden estar tranquilos porque la compañía simplemente ha anunciado que “puede haber habido un posible robo de datos personales desde ‘Xbox Live’”. Toma ya.

Seguros para cubrir incumplimientos legales

Como dijo un paisano nuestro en un medio de comunicación, en dos palabras, im-presionante. Este es el calificativo que emplearía para referirme al artículo que se podía leer en la edición de Expansión del martes 26 de abril de 2011 con el titular “Los registros se aseguran ante las multas de protección de datos”. (Por cierto en la edición digital de orbyt de Expansión que está francamente bien).

Si analizamos en detalle el contenido del artículo resulta que el Colegio de Registradores de España ha suscrito una póliza de seguros para cubrir las multas impuestas por la Agencia de Protección de Datos por reclamaciones que les puedan presentar derivadas de incumplimientos de la Ley Orgánica de Protección de Datos y del Reglamento que la desarrolla con un tope de 5 millones de euros anuales, una franquicia de 5.000 euros y un límite superior de 600.000 euros por siniestro y ojo, según se puede leer literalmente en el artículo “La póliza garantiza las consecuencias de actuaciones negligentes, errores u omisiones cometidas en el curso de la actividad profesional y que den lugar a actuaciones por posible incumplimiento de la Ley de Protección de Datos”.

Vamos, que analizado el caso, resulta más barato pagar el correspondiente seguro que implantar las medidas necesarias que posibiliten el cumplimiento de la ley y garanticen, de paso, un “pequeño detalle”, la cobertura de un derecho fundamental de los ciudadanos como es el cuidado de sus datos de carácter personal.

No soy abogado y no sé si este tipo de conductas es o no lícito. En el mismo artículo podemos leer opiniones contrapuestas de dos abogados expertos en la materia. Desde luego no es muy tranquilizador para un ciudadano ver cómo instituciones como “El Colegio de Registradores de España” (entiendo que ilustre) se quedan tan “panchos” declarando que han asegurado un riesgo porque entiende que hay una probabilidad determinada de que “incumplan” una ley que garantiza un derecho fundamental, refiriéndose a este tipo de incidentes como un siniestro. ¿Siniestro? No se trata de siniestros, puede haber fallos de seguridad o accidentes, en cuyo caso no tengo nada que decir al respecto, pero de lo que se está hablando aquí no es de eso. En muchos casos parece que resulte más fácil pagar el seguro que aplicar las medidas de seguridad que exige la ley. ¿Creen ustedes que esto es serio?

Es cierto que cuando se trata de gestionar los riesgos de una organización, en función del tipo de riesgo, debemos definir una estrategia para mitigarlo, para lo cual nos encontramos con cuatro alternativas:

  • Asumir el riesgo: La organización acepta el riesgo y sigue operando de la misma forma. Únicamente es recomendable si el riesgo calculado es bajo o muy bajo.
  • Eliminar el riesgo. Eliminación de la causa o consecuencia del riesgo. No siempre es factible.
  • Reducir el riesgo. Implantación de controles técnicos u organizativos necesarios que mitiguen los niveles de vulnerabilidad o los impactos asociados, dejando un riesgo residual que la organización asuma.
  • Transferir el riesgo. Compensación, en caso de que se materialicen los riesgos, a través por ejemplo de Aseguradoras. También podríamos considerar en esta categoría la transferencias del riesgo a través de la subcontratación de determinadas actividades.

Es posible que en algunos casos no se pueda optar por hacer desaparecer el riesgo totalmente porque, por decirlo de una forma coloquial, “resulta más caro el collar que el perro”. Asumiremos, en este caso, un riesgo residual después de haber hecho todo lo posible. El problema es que “hacer lo posible” en materia de protección de datos exige un trabajo de fondo, bien hecho, por parte de profesionales y, a veces, parece que resulta más interesante, o sencillo, atacar la “consecuencia” o resolver el incidente, en este caso la sanción ante una posible denuncia, que impedir que se produzca trabajando en el terreno de la “causa”.

¿Asistiremos al nacimiento de otro tipo de pólizas de seguros que cubran otros incumplimientos de leyes? ¿Será la solución al desarrollo legislativo en esta y otras materias el desarrollo en paralelo de pólizas de seguro específicas que cubran estos riesgos? ¿Dónde está el límite de este tipo de actuaciones? Creo que es una cuestión interesante que requiere tanto un análisis legal como un análisis ético por parte de la sociedad y desde luego creo que los ciudadanos tenemos derecho a saber las entidades que se están asegurando para dar cobertura a incumplimientos de las leyes que nos protegen porque esto, sea o no legal, dice mucho en cuanto al “cuidado” que van a tener con nuestras cosas.

Securmática 2011

Como todos los años por estas fechas un nutrido grupo de profesionales del sector nos hemos dado cita en Securmática. Veintidós ediciones del congreso y 20 años de la revista SIC avalan la calidad del evento y de la revista que lo organiza año tras año. Desde este blog no queremos dejar pasar la oportunidad de felicitar públicamente a sus impulsores, José de la Peña y Luis G. Fernández por tan feliz onomástica y por el trabajo que año tras año realizan para impulsar este sector de la seguridad.

sec2011

Con el titulo este año Seguridad: ¿fiarse o confiar?, al margen de los espacios ya clásicos de gestión de identidades y de los sistemas de gestión de la seguridad, este año hemos asistido a conferencias muy interesantes en el campo de compliance.

Por una parte, D. Rafael García González, Vocal Asesor-Jefe del Área Internacional de la Agencia Española de Protección de Datos estuvo hablando a los asistentes de las novedades que nos vamos a encontrar en la nueva Directiva comunitaria sobre Protección de Datos que no va a tardar en ver la luz. Esta nueva Directiva va a suponer importantes cambios, en mi opinión positivos, en materia de protección de datos de carácter personal, ya que recoge algunos asuntos que la actual directiva y las leyes traspuestas no tratan en profundidad. La verdad es que no hemos acabado de digerir los cambios derivados de la aplicación del nuevo Reglamento de la LOPD y ya estamos empezando a hablar de los cambios que va a traer consigo esta nueva Directiva.

[Read more…]

La destructora de papel que copia documentos

Mucho tiempo tienen algunos para que se les ocurran las maldades a las que estamos asistiendo en la Red. Los vectores de ataque cambian a una velocidad de vértigo. Incluso hemos visto, en un ataque en marcha, cambiar el vector de ataque buscando resultados positivos ante el fallo de la estrategia inicial.

En algunas ocasiones, como es el caso de los ataques vividos por VISA, MasterCard, la SGAE o por la Generalitat Valenciana hace poco, lanzados desde Anonymous (21/03/11: al parecer, excepto en el caso de GVA), el problema es la cantidad, no tanto la calidad. En otros casos, como se puede deducir del título del post, el problema es la calidad y no la cantidad. ¿Qué creen ustedes que es más peligroso? ¿Qué preferimos, cantidad o calidad?

La verdad es que no sé muy bien que responder ante una disyuntiva de este calibre. Creo que, si pudiese elegir, me quedaría con un ataque masivo donde tuviese el enemigo de frente y pudiese preparar mis defensas de cara a hacerle frente. Eso es lo que paso, con bastante éxito en este caso para los defensores, en los ataques lanzados contra GVA.

Vectores de ataque diferentes que requieren estrategias diferentes y al igual que los atacantes aplican mucha imaginación, y buenas dosis de innovación, los que nos dedicamos a defender a nuestros clientes de estos grupos organizados tenemos que aplicar también buenas dosis de imaginación y métodos innovadores.

[Read more…]

La seguridad de las cosas

Hace ya unos años, en una convención anual de la empresa en la que trabajábamos (una empresa muy innovadora en su día), un ex-compañero y amigo, Esteban, tomó el micrófono y nos hizo una presentación que, en aquel momento, me pareció sencillamente alucinante, tanto, que pasados los años es una de esas pocas presentaciones que recuerdo tan claramente.

La figura central de la presentación, al menos en mi cabeza, era una “tostadora” que tenía la capacidad de conectarse a Internet. Lo cierto es que en aquellos años, al final de la década de los 90 y por tanto al final del siglo pasado, la carcajada ante tal utensilio y su más que dudosa utilidad fue generalizada.

Han pasado más de 10 años desde aquella actuación estelar que quedó grabada a fuego en algún lugar de mi cerebro y las palabras de Esteban resuenan de lo más realistas en el año 2011. Tal vez fue una de esas cosas serias que dijo Esteban en aquella época, y no porque el resto de aportaciones de Estaban no lo fuesen, sino porque la trascendencia de esta era especial.

[Read more…]

Robo de derechos de emisión de carbono

Parece mentira, pero es realidad. Hace tan solo unos años parecía que en Internet los “piratas cibernéticos” eran seres raros pero entrañables que se dedicaban a reivindicar derechos de colectivos desfavorecidos. Desde luego hoy no es ni mucho menos así. Los piratas de la red son peligrosos, están organizados y saben mucho. Sí señores, están muy preparados y saben perfectamente lo que quieren. Emplean el tiempo necesario en preparar sus ataques, en estudiar sus objetivos. Están durmientes esperando la mejor de las ocasiones y cuando tienen su objetivo a tiro se lanzan a por él. Se lanzan virtualmente, claro, desde los rincones más recónditos del planeta, con un riesgo personal mínimo y con una tasa de éxito bastante elevada.

La verdad es que yo no me hubiese imaginado que esto era un objetivo de un grupo de piratas en la red, pero una vez leída la noticia aparecida en Expansión el pasado 4 de febrero, te das cuenta de que los objetivos de ataque son cada vez mayores y lo que los piratas quieren y pueden robar está a su alcance con varios clicks. Suena un poco a ciencia-ficción pero, en este caso, consiguieron “robar” 2 millones de derechos de emisión de CO2 que entiendo serán vendidos en el mercado negro al mejor postor.

Al parecer un grupo de piratas, cuyo origen se establece en la República Checa, Austria y Grecia, atacaron con éxito, el pasado 19 de enero, los registros europeos que dan soporte a las bolsas de CO2 del continente. Como consecuencia de este ataque los registros de los 27 países de la Unión tuvieron que cerrar sus operaciones y el precio de la tonelada de CO2 a futuro se disparó.

Parece mentira lo frágil que resulta nuestro modelo económico. Sin entrar a valorar la gravedad de todo lo que está sucediendo en torno a la crisis económica mundial y sobre todo a la imposibilidad de previsión o detección de determinados comportamientos, ¿no les parece a ustedes inquietante que un grupo de sinvergüenzas, parapetados en la red, puedan “robar” los derechos de emisión de CO2 de algún país y como consecuencia de esta acción, además del “robo”, el mercado responda con una escalada del precio de la tonelada de dióxido de carbono? ¿No creen ustedes de que ya va siendo hora de tomarse en serio la implantación de medidas de seguridad eficaces en la red?

Evidentemente vamos a seguir teniendo siempre incidentes de seguridad, en todos los frentes, pero, en mi modesta opinión, los relacionados con las tecnologías de la información aún suceden porque los directivos de las compañías y los dirigentes de las naciones no han valorado la magnitud del problema en su justa medida.