El cinturón de seguridad (I)

Hoy es primero de septiembre, y como les prometimos hace un mes, volvemos a la carga no sin los dedos y el ingenio algo atrofiados —oxidados— por el sol y la vida contemplativa que cuando hay suerte acompaña a las vacaciones; si la echan de menos, pueden seguir mirando la imagen de la siguiente entrada, aunque les aviso que es contraproducente. Por ello, me disculparán si comenzamos esta nueva temporada con una pequeña reflexión personal sobre el estado de la seguridad informática.

De un tiempo a esta parte, a nadie se le escapa que la seguridad informática ha comenzado a tener su pequeño rincón en los medios generalistas, saliendo de ese nicho geek en el que permanecía hasta hace poco. Presencia lógica por otra parte, derivada de a) la popularidad que Facebook, Tuenti, Twitter, e Internet en general van teniendo y b) de las preocupaciones sobre la privacidad, los datos personales, el comercio electrónico y etc. La consecuencia es que cualquier pérdida de datos, intrusión, robo de contraseñas/tarjetas de crédito o similar aparece al poco tiempo no sólo en Kriptópolis sino también en las páginas de tecnología de El Mundo y El País, por citar algunos —dejemos aparte la exactitud con la que se abordan las noticias, que no es el tema de hoy—. Por supuesto, las especificidades técnicas de los ataques siguen siendo terreno privado del personal especializado, y ni falta que hace que deje de serlo.

[Read more…]

¡Vacaciones!

Como (casi) todo hijo de vecino por estas fechas, Security Art Work se va de vacaciones hasta el próximo septiembre, donde habrá más y (si es posible) mejor. Sean buenos, y recuerden ponerse crema solar.

Puerto “Seguro”

safeharborNos van a tener que disculpar; después de acostumbrarles a una entrada diaria, no es justo desaparecer durante casi dos semanas. Como justificación, decirles que julio es ese mes del año en el que todo el mundo quiere dejar sus cosas cerradas antes de irse de vacaciones, incluido un servidor, lo que genera una carga de trabajo extra. En cualquier caso, ya ven que aquí seguimos.

Aprovechando que Google ha decidido, en un intento de atraer clientes corporativos a su plataforma, eliminar la etiqueta “Beta” de algunos de sus servicios, hoy vengo a contarles algunos detalles interesantes sobre Puerto Seguro, principios a los que Google, como prácticamente cualquier empresa americana interesada en gestionar datos de personas de este lado del Atántico, se adhiere (Google adheres to the US Safe Harbor Privacy Principles of Notice, Choice, Onward Transfer, Security, Data Integrity, Access and EnforcementPolítica de privacidad de Google). Ya saben cuánto me gusta meterme con Google.

De manera muy resumida, Puerto Seguro son un conjunto de condiciones que una empresa estadounidense debe cumplir para poder gestionar datos de ciudadanos de la Unión Europea, surgidas a partir de la necesidad (comercial) de intercambio de datos de carácter personal entre ambas partes ante la entrada en vigor de la Directiva 95/46 de la Unión Europea en octubre de 1998. Estos principios están reflejados en la Decisión de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE […], sobre la adecuación de la protección conferida por los principios de puerto seguro […], publicadas por el Departamento de Comercio de Estados Unidos de América. Dicho de otra forma, al adherirse a los principios de Puerto Seguro, una organización estadounidense asegura que el tratamiento de los datos de carácter personal es conforme a la Directiva 95/46/CE… o “algo así”. Hasta aquí, la teoría, porque el resto es para partirse de risa (o llorar).

Comencemos por el “asegura” del párrafo anterior, porque deben tomarlo de manera literal. No, no es broma. Es decir, yo, empresa X, aseguro que cumplo los principios de Puerto Seguro. Todo lo que tengo que hacer es darme de alta en una lista y pagar la cuota correspondiente; si tengo algo de interés, puedo hacer algo para cumplir con dichos principios, pero todo apunta a que ese extremo no es en absoluto necesario. Tras este trámite, deberé pagar una cuota anual que actualmente es de 100$, y poco más; podría realizar una autoevaluación para valorar mi nivel de cumplimiento, pero esto tampoco parece una obligación.

Algo podría hacernos pensar que si existen una serie de principios o restricciones a cumplir, lógicamente debería existir algún tipo de control externo a la organización que vele por su cumplimiento, pero no lo hay. Dicho de otra forma, nadie ni nada comprueba que las empresas que dicen cumplir con los principios de Puerto Seguro efectivamente cumplen con ellos, por lo que nada asegura ni siquiera que la empresa haya realizado dicha auto-evaluación. En efecto, un estudio de 2008 elaborado por Galexia (The US Safe Harbor – Fact or Fiction? [en PDF]) muestra que la lista de empresas adheridas que mantiene el Departamento de Comercio de los EEUU contiene empresas que han cesado en su actividad, que están duplicadas o que incumplen de manera severa varios de los principios. Algo similar fue confirmado en los estudios previos elaborados por la Unión Europea, tanto en 2002 como en 2004, aunque hasta la fecha, el organismo que vela por el cumplimiento de Puerto Seguro, el Departamento de Comercio de los EEUU (Federal Trade Commission o FTC), no ha llevado a cabo ninguna sanción ni modificación de la lista. Como dice Emilio Aced Emilio Aced [pdf] (Subdirector de Inspección de Datos y Tutela de los Derechos, Agencia de Protección de Datos de la Comunidad de Madrid), se trata de un «esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro».

Déjenme decir que, a pesar de lo que parece, el esquema indicado no tiene porqué ser necesariamente malo; el problema no es ese. El problema es la pasividad e indiferencia del Departamento de Comercio de los EEUU y su escaso interés en velar por el cumplimiento de los principios de Puerto Seguro. De hecho, podríamos casi decir que la LOPD sigue un esquema similar (tanto la adaptación como las auditorías pueden realizarse internamente), pero en el que existe un organismo que sí vela por su cumplimiento, y a partir del cual pueden derivarse sanciones (que en el caso de Puerto Seguro debería incluir la anulación del “certificado”). Esto demuestra que Puerto Seguro tiene una finalidad exclusivamente comercial, y no persigue ningún tipo de protección de los datos.

Obviamente, una vez dicho esto, que estar adherido a Puerto Seguro no implique que todos los tratamientos de datos sean conformes a sus principios sino únicamente aquellos que la empresa declare, o que Puerto Seguro no sea aplicable a filiales de empresas estadounidenses afincadas en otros paises como algunas pretenden, no tiene la menor importancia.

Así que la próxima vez que lean que una empresa X está adherida a los principios de Puerto Seguro, sepan que lo único que dice es que está interesada en desarrollar actividades comerciales dentro de la Unión Europea. De lo demás, quién sabe.

Confianza

lockpickingNo se si estarán de acuerdo conmigo en que la seguridad, antes que un conjunto de tecnologías, cortafuegos, VPNs, claves, normativas, manuales o sistemas de gestión, es una sensación subjetiva basada en una percepción: la confianza, la tranquilidad. Verán porqué les digo esto.

El pasado viernes por la tarde, mientras tomaba café en un bar, me dejé olvidadas las llaves junto con la cartera, la cual contiene la dirección de mi domicilio. Aunque recuperé ambas cosas pasadas unas horas, cuando me di cuenta de la pérdida, aparte de hacer ciertas gestiones necesarias, lo cierto es que no me quedé tranquilo sabiendo que alguien podía haber hecho una copia de las llaves en el tiempo que habían estado desaparecidas; ya ven, malpensado que es uno. Así pues, pensé que lo mejor sería cambiar el bombín de la cerradura (lo que la persona sujeta en la foto), y consultando con un amigo cerrajero, me indicó que yo mismo podía cambiarlo; en efecto, es extremadamente sencillo de cambiar. Así que me puse a ello; quité cuatro tornillos y saqué el bombín, y pasé un par de días buscando un reemplazo: un bombín de 70 mm, dorado, simétrico y anti-pánico (de doble embrague, lo que significa que aunque te dejes las llaves por dentro sigues podiendo abrir por fuera).

Y al final lo encontré, después de bastante buscar: un AZBE HS-7. El problema es que inmediatamente me dió, curioso que es uno, por buscar en Internet sobre su seguridad, y eso me condujo irremediablemente a los foros de Lock Picking, personas cuyo hobby es abrir cerraduras (legalmente); algo así como un hacker físico, en el mejor sentido del término “hacker” (i.e., el original). Y en esas páginas no hablan precisamente bien de los bombines de AZBE; todo apunta a que son fáciles de abrir y no son especialmente seguros, y el HS-7 ni siquiera está en el tope de gama de AZBE. Por supuesto, leer algo así sobre la cerradura que va a poner uno en casa despierta ciertas inseguridades y dudas, y hasta me planteé acercarme a la ferretería y cambiar la cerradura por otra, que fuese mejor y muy probablemente más cara. Claro que también es muy probable que el ferretero no estuviese tan “puesto” en el tema como el personal de los foros, y fuese incapaz de asesorarme.

Pero antes de hacerlo, hice otra búsqueda, esta vez con la marca de mi actual cerradura, UCEM. Y resulta, no se lo pierdan, que es aun menos segura que la que voy a poner. Sin embargo, antes me sentía seguro, porque pensaba, en mi ignorancia, que tenía una puerta acorazada con una buena cerradura, cuando sí, tenía una puerta acorazada… y dejémoslo ahí. Pero ahora, con un bombín de mayor calidad, me siento más inseguro, lo que me trae a la cabeza ese eterno dilema que pregunta si la ignorancia da la felicidad. Maldita Internet, si no existiese…

Ante este problema, no he dudado en llamar a mi amigo cerrajero y consultarle sobre la seguridad del bombín. Y su respuesta es que cualquier cerradura que esté (aproximadamente) entre treinta y cincuenta euros es perfectamente válida para una casa; frenará a un ratero sin “experiencia”, pero una persona experimentada y suficientemente motivada para entrar, conseguirá abrir esa cerradura y muchas otras de gama y coste muy superior. Así que, como en tecnología, la conclusión final a la que llega uno es que la seguridad total no existe, y que hay que poner los suficientes medios para sentirse seguro a un coste asequible (porque la gama alta seguramente exija otro tipo de puerta, y eso ya es otra historia)… y no olvidarse de poner el pestillo interior cuando uno se va a dormir.

(Fotografía por vrde en Flickr)

Nueva encuesta

preguntaComo sabrán, de manera periódica publicamos una encuesta en el blog, que nos sirve para poder “tantear” determinados comportamientos o conceptos entre nuestros lectores, siempre teniendo en cuenta la limitada (pero muy respetable) audiencia con la que contamos; pueden encontrarla a la derecha de sus pantallas. Hace aproximadamente un mes y veinte días les preguntábamos por el uso que hacían de las contraseñas, teniendo en cuenta que hoy en día el que más y el que menos tiene usuario y contraseña en una docena de sitios públicos y privados. Hoy hemos decidido publicar otra encuesta, no sin antes hacer un par de comentarios sobre el resultado de la anterior.

El resultado, que pueden ver debajo, muestra lo que personalmente suponía: que la mayor parte de las personas (42%) gastamos un puñado de claves que vamos intercambiando entre diferentes sitios, lo que nos facilita su memorización y elimina el problema de tener que recordar N contraseñas (lo que hacen un 19% de los visitantes) que además hay que cambiar de manera periódica; al fin y al cabo, en el uso de claves se trata de hacer un balance entre comodidad y riesgo. Por mucho que nos esforcemos en utilizar claves complejas, u obligar a otros a utilizarlas mediante complicadas reglas de sintaxis (las hay verdaderamente difíciles de satisfacer), no hay que pasar por alto el hecho de que superando una determinada frontera de complejidad y cantidad de claves, entran en juego los post-its, las libretas y utensilios “recordatorios” de similar calado, que reducen significativamente su seguridad, sobre todo cuando vamos a entornos públicos como el trabajo.

Otro de los comportamientos que acumula un 20% de votos es el uso de dos contraseñas, una para sitios sensibles (imagino que cualquier sistema que implique el acceso a “dinero” del usuario, correo personal, y quizá incluso Facebook…) y otra para sitios no sensibles (foros, servicios esporádicos, etc.). En este caso, al disminuir la cantidad, la calidad de las contraseñas sobre todo la de los entornos sensibles es un aspecto vital de cara a la seguridad; en principio, siempre que haya cierta periodicidad de cambio, no tiene porqué ser una mala elección. El problema, como imaginarán, es que esas dos contraseñas permanecen literalmente años sin cambiarse, y son utilizadas en entornos heterogéneos que en ocasiones hacen uso de cifrado, y a veces no; además, cuando una clave se conserva durante períodos temporales largos suele ser habitual que por razones de trabajo o necesidad haya que proporcionarla a otras personas, con lo que se están exponiendo todos los entornos sensibles a los que se accede con ésta… y a pesar de ello, la fuerza de la costumbre, la inercia y la molestia de cambiar la clave en N sitios hace que se mantenga sin cambiar.

El 20% restante se reparte en tendencias minoritarias, como son el desaconsejable uso de una única clave (5%), utilizar un patrón a partir del cual derivar las claves de cada sitio (11%), lo que de algún modo podría verse como un caso particular del anterior, y otras aproximaciones (4%).

[poll id=”13″]

Para el mes que entra, les preparamos una encuesta relacionada con esa tendencia tan de moda hoy en día y que dentro de algún tiempo dejará de ser una moda para acabar siendo una realidad: la convergencia de la seguridad.

[poll id=”15″]

Nos vemos mañana. Sean buenos.

Funeral por el USB, el móvil está aquí.

truecryptYa lo hemos comentado otras veces: uno de los principales problemas en las organizaciones es el uso de soportes extraíbles tales como USBs, CDs o DVDs. A menudo la información sale y entra de la organización sin que haya ningún tipo de control sobre ella, y teniendo en cuenta que los dispositivos USB cada vez son más pequeños y tienen mayor capacidad, la verdad es que puede llegar a ser es un problema. Probablemente cualquiera de ustedes se habrá visto en esa situación en la que no sabe dónde está ese USB que necesita para llevarse a casa un informe, una oferta, o similar; y lo peor no es eso, sino que además de no saber dónde está el USB (probablemente en cualquier rincón de su cajonera, de la cajonera de un colega, perdido por casa o peor, en la mochila o estuche de su hijo), ignora qué contenía y para qué lo utilizó la última vez, ya que hace mucho que no lo utilizaba.

Les voy a dar una buena noticia, sobre la que cada vez tengo menos dudas: dentro de unos años los USBs dejarán de utilizarse. Pero al mismo tiempo, tengo que darles una mala: en su lugar, utilizaremos los dispositivos móviles, que cada vez traen tarjetas de memoria de mayor capacidad; el Nokia N85 que tengo trae ya 8 GB, lo cual es más que suficiente para almacenar cualquier tipo de archivos, y la mayor parte de los móviles de nueva generación traen capacidades de almacenamiento inimaginables hace tan sólo un lustro.

Indudablemente, esto tiene una ventaja, derivada de la dependencia que solemos tener de nuestro móvil. Uno no pierde el móvil así como así, ni lo va dejando por cualquier parte olvidado; por lo general, el que más y el que menos está colgado pendiente de su dispositivo móvil, ya sea personal o corporativo. Además, el hecho de que contenga información personal que no nos gustaría perder (ya sean fotos, la agenda, los SMS, etc.), es otro factor a favor. Si somos un poco sinceros, admitiremos que para mucha gente es más importante su agenda de contactos de amigos, familiares y conocidos, que el informe de ventas del mes pasado, lo cual es algo normal. En definitiva, migrar del USB al móvil plantea numerosas ventajas en seguridad, y personalmente, les recomiendo que si no lo han hecho ya, lo hagan (si su dispositivo móvil se lo permite): destruyan ese USB y utilicen su móvil.

Pero todo no van a ser ventajas. Primero, es que una característica intrínseca al móvil es que te acompaña a todas partes; a diferencia del USB, lo llevas tanto en el trabajo, como en un partido de fútbol, en una reunión familiar, en el cine o en una despedida de soltero. No se separa de ti (o mejor dicho, tú no te separas de él), y eso significa que la probabilidad de perderlo también aumenta, y sobre todo en entornos “no controlados”. Tampoco hay que olvidar que un móvil es más “goloso” para los amigos de lo ajeno, sobre todo si nos vamos a Blackberry, iPhone u otras virguerías, mientras que un USB no suele llamar la atención y es mucho menos llamativo (y voluminoso, por lo que tomando un café o cenando no lo sacas del bolsillo).

Entonces, ¿qué hacemos? Les voy a decir lo que hago yo. Como les he recomendado, utilizo el móvil, donde he creado una unidad Truecrypt (Kriptópolis tiene un excelente tutorial introductorio) de 1GB donde almaceno todo tipo de información que necesito llevar a casa para trabajar con ella. En casa tengo instalado también Truecrypt, por lo que con esta medida tan simple me aseguro de que la información viaja en un dispositivo del que estoy permanentemente pendiente, y siempre lo hace cifrada. Si pierdo el móvil, nadie podrá recuperar nada, pero al mismo tiempo tengo la “funcionalidad USB” que es lo que quiero, sin necesidad de utilizar soportes que en cualquier momento mi cabeza puede decidir olvidar. En mi caso, no se trata de que la información esté permanentemente cifrada, tanto en la empresa (que ya tiene sus propios controles de acceso) como fuera, sino que cuando traslado información fuera de la empresa, lo haga en un contenedor seguro.

Como nota final, les tengo que confesar que me asombra bastante la poca utilización de este tipo de soluciones que existen en las organizaciones, y más teniendo en cuenta la sencillez de utilización del Truecrypt. Entiendo que el cifrado tiene sus reticencias entre mucha gente, absolutamente lógicas: ¿qué pasa si olvido la contraseña? ¿quién debe conocerla? ¿qué pasa si se corrompe un sector del disco?, pero en este caso, en el que se le da un uso para “traslados” temporales de la información, no son preguntas a considerar (es decir: la contraseña no se te olvidará de un día para otro, y si una copia relativamente reciente de la información está en los sistemas corporativos, importa poco que sólo tú conozcas la contraseña o se corrompa el sistema de ficheros de tu dispositivo móvil).

Estimo que costaría muy poco dotar a los equipos de los principales responsables de una organización de Truecrypt, crearles una unidad en sus dispositivos móviles y formarles en el uso de la herramienta, cuyo uso es intuitivo y muy sencillo. Después de todo, si a la entrada reciben formación sobre el uso de las herramientas de negocio corporativas (ya sea SAP, AS/400, Lotus Notes o similar) y nadie se queja de que son muy complicadas o que les molestan para trabajar, ¿porqué no incluir entre ellas Truecrypt?

Respuestas al 1er Consultorio LOPD

Aunque les prometimos que el pasado viernes publicaríamos las entradas al primer consultorio LOPD de Security Art Work, la carga de trabajo de la semana pasada ha hecho que tuviésemos que retrasarlo hasta hoy. Aunque la participación ha sido ligeramente inferior a la esperada, hemos intentado unificar las preguntas en la medida de lo posible, de modo que quedasen cubiertas el máximo número de consultas. Como disclaimer previo, simplemente decir que las respuestas dadas a las consultas son según nuestro mejor saber y entender, independientemente de que un estudio pormenorizado de algunas de las situaciones personalizadas pudiera generar una respuesta diferente.

Espero que les haya resultado útil e interesante, y les emplazamos para la siguiente sesión, de fecha todavía por definir. Sin más dilación, les dejo con la parte interesante de la entrada…

¿Cómo es posible cumplir “real y honestamente” con el procedimiento de revisión y tratamiento de los ficheros temporales? (Felipe)

Al respecto, el artículo 5.2.g indica que los ficheros temporales son aquellos “ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.”

Asimismo, el artículo 87 del reglamento, habla de las condiciones a aplicar en su tratamiento:

Artículo 87. Ficheros temporales o copias de trabajo de documentos.

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Al igual que pasa con el concepto de incidencia, el RDLOPD es muy ambiguo con lo que considera un fichero temporal, aspecto que no ayuda mucho a la hora de determinar su correcto tratamiento. Un fichero temporal podría ser una Excel generada a partir de una exportación de datos, tablas temporales de cálculo de un proceso, o fotocopias de documentos. El problema se genera principalmente en los ficheros temporales creados por los usuarios, y no tanto en los creados por procesos informáticos o automatizados. En ese caso, es importante concienciar a los usuarios y fomentar el uso de repositorios departamentales en red, de modo que dichos ficheros temporales sean almacenados con controles de acceso y no residan en dispositivos móviles o equipos personales.

Limitar la salida de datos de carácter personal a través del correo electrónico. (Felipe)

Esta obligación viene recogida en el artículo 92.2 del reglamento:

Artículo 92. Gestión de soportes y documentos.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Este es sin duda uno de los aspectos más complicados de cumplir de la LOPD, y más teniendo en cuenta que es una medida de seguridad que debe aplicarse a todos los tratamientos, independientemente del nivel de seguridad. En este caso, dada la inviabilidad de que el responsable del tratamiento autorice cualquier salida de datos de carácter personal por correo electrónico, se recomienda incluir la autorización de envíos de correo electrónico de carácter personal en el Documento de Seguridad, delimitando esta autorización a los departamentos cuya gestión e intercambio de datos de carácter personal es más habitual: RRHH, Prevención de Riesgos Laborales, y Administración. Por supuesto, será necesario definir hábitos correctos a la hora de adjuntar datos personales a los correos electrónicos (datos en anexos y no en el cuerpo del correo, utilizar interlocutores definidos cuando sea posible, herramientas de cifrado, etc.).

Soy un autónomo y no me dedico a una actividad en la que tenga un gran volumen de datos de carácter personal. Aun así, ¿he de adaptarme a la LOPD? (Juan)

Según el artículo 2 de la LOPD:

2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

Por tanto, los ficheros mantenidos por personas físicas en el ejercicio de actividades profesionales están dentro del ámbito de aplicación de la LOPD.

Recibimos muchos curriculums por correo electrónico y postal en nuestra empresa. ¿Tenemos que hacer algo con ellos? (Marta)

Depende del tratamiento que se le vaya a dar a éstos. Si no se van a conservar, porque no son útiles para la organización, no es necesario hacer nada salvo destruirlos adecuadamente. Si por el contrario van a ser utilizados (almacenados o gestionados para futuras contrataciones), tendrán que tener en cuenta tres aspectos:

  • Declaración del fichero ante la Agencia Española de Protección de Datos.
  • Deberán proporcionar el derecho de información que exije el artículo 5 de la LOPD.
  • En cuanto a su almacenamiento, lo habitual es seguir uno de estos enfoques: a) tratarlos exclusivamente en soporte papel, imprimiendo los correos electrónicos y borrando estos últimos, y b) tratarlos exclusivamente en soporte electrónico, pasando a soporte electrónico los curricula recibidos en soporte papel y protegiéndolos adecuadamente con control de accesos.

Tenemos un formulario de sugerencias en nuestra página web a través de la que nuestros clientes pueden remitirnos consultas, comentarios, sugerencias. En algún caso hemos recibido comentarios que incluyen datos de salud. ¿Debemos declarar dicha base de datos como de nivel alto? (Andrés)

No (perdonen el lapsus mental). Sí, dado que se trata de un tratamiento automatizado. Tal y como indica el artículo 81.5 del RDLOPD, no será necesario cuando esto suceda en tratamientos no automatizados:

Artículo 81. Aplicación de los niveles de seguridad.

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

No obstante, se recomienda eliminar la información de nivel alto que no esté directamente relacionada con la finalidad del tratamiento, y mantener el nivel del tratamiento. En cualquier caso, sería necesario estudiar los detalles concretos para dar un veredicto definitivo.

El nuevo reglamento nos traslada más obligaciones a las empresas a la hora de subcontratar servicios a otras empresas. ¿En qué consisten esas obligaciones? (Laura)

Efectivamente, así es, y no sólo “cuando hay datos personales por en medio”. También introduce la novedad de tener que firmar acuerdos de confidencialidad con las empresas a las que se subcontratan servicios que “en teoría” no deben tener vinculación con el tratamiento de datos personales, pero que puntualmente podrían tenerlo. Son los casos típicos de las empresas de limpieza, empresas de retirada de residuos, empresas de vigilancia, etc.

En relación con las prestaciones en las que sí se tratan datos personales, ya existía la obligación de lo que los abogados llaman el “deber in vigilando” (la obligación de velar por que las cosas se estén haciendo bien…). Pero el RDLOPD detalla en sus artículos 20 y 21 que no basta con firmar un contrato de acceso a datos que recoja los requisitos del artículo 12 de la LOPD: “el responsable del tratamiento […] deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento”.

Otra cosa es cómo comprobar este punto. Y aquí pueden intervenir factores externos, como puede ser la “relación de fuerzas” entre ambas entidades. Por nuestra experiencia, lo habitual es que el encargado del tratamiento acredite que está “al día” en cuanto al cumplimiento de la LOPD. En otros casos incluso se exige que se facilite el informe de su última auditoría bienal. Finalmente —y de hecho estamos haciéndolo así para un cliente del sector privado sanitario— se puede estipular en el contrato que se abordarán auditorías de cumplimiento en el tercero.

¿Qué indemnización cabe recibir de una empresa que me sigue enviando publicidad después de ser cliente suyo? (María)

La LOPD no fija ninguna indemnización para los titulares de los datos, y esta es una idea que le choca a algunas personas. La LOPD puede sancionar a la empresa, pero de esta sanción no se deriva ningún beneficio económico para el perjudicado por un mal tratamiento. En este caso, si usted considera que merece una indemnización, deberá emprender acciones legales contra la empresa.

A pesar de disponer de carpetas departamentales, muchos empleados de mi empresa siguen utilizando sus unidades locales para almacenamiento de bases de datos, excels y ficheros con datos de carácter personal. ¿Es necesario hacer copias de esta información también? (Luis)

Sí, puesto que dichos datos de carácter personal son responsabilidad de la empresa. Por tanto, no se puede delegar en los empleados la realización de las copias de sus equipos, ni obviar el hecho de que estén gestionando datos de carácter personal sin las adecuadas medidas de seguridad. Puede obtener más información en esta entrada. En cualquier caso, nuestra recomendación es la implantación de una normativa que prohíba el almacenamiento de información corporativa en general en los equipos personales, obligando a la utilización de los discos de red.

Opera 10 Beta “Turbo Experience”… no, gracias.

operaHace un rato he bajado la última versión del navegador Opera, concretamente Opera 10 Beta, en base a las noticias que dicen que es más rápido, más estándar, y más todo. Lo es, casi puedo asegurarlo. Incluida la parte del “todo”, y eso no siempre es bueno.

La cuestión es que dicho navegador tiene un modo “Turbo”, que se activa pinchando en un icono que hay en la esquina inferior izquierda. Quizá esto no sea nuevo para los usuarios habituales de Opera, pero sí lo es para mí. Accediendo al blog a través de Opera, me doy cuenta de que el acceso no aparece proveniente de mi IP privada, sino como procedente de la IP 94.246.126.147. Qué raro. Indagando lo mínimo, veo que:

[Read more…]

No es una feature de Facebook. Es un problema de seguridad.

No me cabe duda de que todos ustedes conocen Facebook. Otra cosa es que lo utilicen de manera asidua; yo personalmente todavía no le acabo de encontrar el gusto. La cuestión es que como saben, si buscan ustedes a alguien dentro de esta red social, no es “amigo” suyo y el perfil de la persona no es público, sólo verán lo siguiente:

faceb

Esto significa, por ejemplo, que no tendrán acceso a las fotos de esta persona, que suele ser uno de los recursos más “codiciados” de este tipo de redes sociales. Eso, en teoría, porque al parecer, según nos enteramos por Mar Monsoriu, y tal y como comentan en Geek The Planet, sí existe una forma de acceder a esta información, a no ser que el usuario haya previsto esa posibilidad previamente (algo que muchos usuarios no hacen). Sigan leyendo.

El (posible) problema

Si le echan un vistazo a la página del usuario de la imagen anterior, verán que debajo de la foto hay un enlace, que dice “Agregar a Oscar a mis amigos”, y que está formado de la siguiente forma:

http://www.facebook.com/addfriend.php?id=XXXXXXXX

donde “XXXXXXXX” es el identificador de nuestro amigo Óscar en Facebook. Este identificador aparece también en otros enlaces, como en “Enviar un mensaje a Oscar”, “Ver todo” o “Denunciar a esta persona”. El caso es que, una vez hemos obtenido el identificador, vamos a la página web para desarrolladores de aplicaciones:

En esa página, seleccionamos “Facebook PHP Client” en Formato de Respuesta, y fql.query en el desplegable de los métodos. Debajo aparecerá un recuadro donde escribir la consulta SQL que queremos aplicar sobre el identificador que hemos obtenido. Aunque es posible obtener otro tipo de información, vamos a limitarnos a los álbumes de fotos. Así pues, escriban la siguiente consulta SQL:

SELECT name, link
FROM album
WHERE owner=XXXXXXXX

Con lo que obtendremos (cuando el usuario tenga álbumes de fotos) una serie de URLs con el siguiente formato:

http://www.facebook.com/album.php?aid=17614&id=XXXXXXXX

Que sólo tendremos que pegar en el navegador para acceder al álbum de fotos.

La (posible) solución

El problema viene motivado por el sistema que Facebook tiene para desarrolladores de aplicaciones, que permite que éstas puedan acceder a algunos datos de los usuarios, si éstos no se han tomado las suficientes molestias. Otra cosa es porqué este tipo de acceso se permite, pero dejemos las reflexiones para más adelante. ¿Cómo evitamos que nuestro perfil sea visible de esta forma?

Pues la solución no está demasiado clara, ya que aunque no es complicada, no tengo claro que sea definitiva. Dentro de nuestro perfil, vamos a “Configuración”, “Privacidad”, “Administrar”, donde tendremos las siguientes cuatro opciones:

faceb2

Si nuestro perfil es “típico” y no hemos cambiado demasiadas cosas, veremos que en las tres primeras opciones todo parece correcto. Aparecemos en búsquedas públicas, pero la información que se proporciona es básica, y en general, nuestra información sólo esta accesible a personas conocidas (“amigos”). Sólo nos queda por tanto ver la parte de “Aplicaciones”.

Al entrar, nos aparecerán cuatro puntos hablando de cómo y cuándo las aplicaciones pueden acceder a tus datos, aunque como hemos visto en el anterior paso, nosotros no somos aplicaciones y sí hemos podido acceder a los álbumes de algunas personas. A continuación vamos a la pestaña “Configuración” de esa misma página, donde nos aparecerá algo como lo siguiente:

faceb3

A partir de aquí les confieso que todo se vuelve algo “borroso”, ya que no he podido hacer bastantes pruebas para determinar la eficacia de los cambios, debido a razones que les expondré luego. Todo apunta a que lo ideal sería marcar “No compartir ninguna información sobre mí a través de la interfaz de programación de aplicaciones (API) de Facebook“, pero en general esa opción aparecerá sombreada debido a que

No puedes rechazar por completo compartir información a través de la Plataforma de Facebook porque actualmente estás usando aplicaciones construidas en esta plataforma. Para dejar de compartir información tendrás que eliminar las aplicaciones que has añadido y retirar los permisos a toda aplicación externa que hayas usado.

Por tanto, deberíamos revisar las aplicaciones que estamos usando, y eliminarlas, y entonces marcar dicha opción, aunque eso puede ser un proceso no sencillo ni trivial para cualquier persona con varios meses en Facebook y un uso medio de la red social. Otra opción sería desmarcar todas las casillas, y guardar cambios, aunque francamente, no tengo demasiado claro que eso vaya a solucionar algo.

Para acabar con esta sección, aparentemente sólo los álbumes que un usuario permite compartir con los amigos de sus amigos son accesibles mediante este procedimiento, y no los álbumes que están bajo las configuraciones de privacidad “Sólo yo” y “Sólo mis amigos”. No obstante, como he dicho antes, esto es una conclusión obtenida a partir de un par de pruebas simples, por lo que podría ser que no fuese cierta del todo. Personalmente, he hecho pruebas con usuarios aleatorios con los que no tengo ninguna relación, obteniendo todos sus álbumes (en otros casos, no he podido acceder a ninguno). Por tanto, les recomiendo no poner fotos que les comprometan en algún sentido, por simple precaución.

Conclusiones

Aunque inicialmente tendía a pensar que esto que les he comentado era una vulnerabilidad de Facebook, tras ver que hay configuraciones de privacidad que pueden evitar el acceso por parte de terceros a través del portal de desarrolladores, no estoy seguro de lo que es, o mejor dicho, de cómo considerarla; aunque sea una “feature” documentada, si viola políticas de privacidad, debería considerarse como un problema de seguridad. Hay varios aspectos que me gustaría destacar:

1. La entrada de Geek The Planet que trata este problema es del 23 de mayo. Han pasado 12 días, y el “problema” continúa, aunque es posible que Facebook no considere esto un problema, sino una herramienta para desarrolladores; lo cierto es que no he visto demasiado ruido al respecto. Esa es, por cierto, una de las razones de la publicación de esta entrada.

2. Aunque el defacement de una página web corporativa, o el robo de determinada información estratégica de una organización son problemas muy graves, pienso que en general, el robo de ciertos datos de carácter personal está en otro nivel. La razón es muy sencilla. Mientras que en los dos primeros casos las consecuencias pueden estar más o menos acotadas en el tiempo y tener un relativo impacto sobre la organización, los datos de carácter personal se caracterizan por su inherente vinculación a la persona, durante toda su vida. Si en una foto salgo yo, no hay manera de limitar temporalmente ese hecho; una página web o un plan estratégico se puede cambiar, pero la foto permanecerá mientras no se destruyan todas sus copias. Ese es uno de los aspectos que a) los usuarios de las redes sociales no acaban de entender cuando cuelgan fotos suyas en Internet, y b) las grandes redes sociales no quieren asumir como responsabilidad.

3. Me preocupa la siguiente afirmación, al respecto de aplicaciones y privacidad:

Todas las aplicaciones deben respetar la configuración de privacidad existente. Por ejemplo, si una aplicación crea una presentación de diapositivas de tus albumes de fotos, y un cierto albúm está configurado para “Sólo mis amigos”, puede mostrarse solamente esta presentación de diapositivas a tus amigos.

Si crees que una aplicación está violando la política de privacidad de Facebook, denúnciala inmediatamente. Puedes hacerlo yendo a la página “Acerca de” de la aplicación y haciendo clic en “Denunciar Aplicación” al final de la página, o haciendo clic en “Denunciar” al final de cualquier área de trabajo de una página dentro de la aplicación.

En concreto, la palabra “deben”. Esto parece implicar que la gestión de la privacidad se deja en manos de los desarrolladores, y que no es impuesta por los sistemas de control de privacidad de Facebook; me resulta bastante extraño, pero eso es lo que dice el párrafo anterior. Además, el hecho de que sea posible denunciar este tipo de violaciones de la política de privacidad por parte de las aplicaciones es la confirmación de que efectivamente, las aplicaciones pueden no respetar las políticas de privacidad de Facebook; porqué esto se permite sobrepasa mi comprensión.

4. Facebook, así como Tuenti, son redes sociales donde abunda los usuarios adolescentes y universitarios. Aunque muchos de ellos están acostumbrados de sobra a Internet, Facebook tiene una variedad enorme, en cantidad y complejidad, de configuraciones de privacidad. Me da la impresión de que las implicaciones de cada configuración no se están trasladando correctamente a los usuarios, intencionadamente o no; es imperativo simplificar, unificar, y explicar qué significa cada opción y quién exactamente va a tener acceso a tus fotos, notas, comentarios, etc. Y esto es generalizable a prácticamente todas las redes sociales.

5. Les decía antes que no sabía si esto era una vulnerabilidad o una feature, pero el caso es que durante la escritura de los puntos anteriores, estoy convencido de que es una vulnerabilidad, por una sencilla razón: he buscado aleatoriamente a alguien en Facebook, y desde la red social únicamente podía ver su foto de perfil; nada más, mientras no me hiciese “amigo” suyo. Entonces he ido a la web de los desarrolladores, y con el procedimiento anterior, he podido acceder a los álbumes (siete) de esa persona, que sin duda ignora que sus fotos son accesibles libremente desde Internet, sin más que aplicar un sencillo procedimiento fácilmente automatizable. No sé si es un problema de comunicación a los usuarios o de implementación, pero sin duda es un problema grave de privacidad, en el momento permite a usuarios externos acceder a información que no es (o no debería ser) pública. Quizá no funcione para todos los usuarios y para todas las configuraciones, pero si eso no es una vulnerabilidad, no sé lo que es.

6. Aunque las políticas de privacidad hablan de aplicaciones, en ningún momento se habla de desarrolladores. Es lógico que las aplicaciones, dentro del marco de privacidad de Facebook, requieran acceder a datos de los usuarios, y en efecto, las aplicaciones solicitan autorización para ello. Pero no es lógico que las propias aplicaciones puedan “saltarse” la configuración de privacidad del usuario y desde luego, eso no incluye a los desarrolladores de aplicaciones. Este punto no sólo no está claro, sino que no se indica en ningún lugar.

7. Por último, como podrán imaginar y seguramente hace un rato que estaban pensando, esto supone una violación del artículo 94.4 del Reglamento de Desarrollo de la LOPD:

4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Ya que como hemos podido comprobar, el nivel de seguridad al realizar pruebas con datos reales no se conserva.

Poco más. Mi opinión es que este es sólo el principio; como dijo ?caro Moyano en la XI Noche de las Telecomunicaciones Valencianas, la revolución está por llegar. Tuenti tuvo un episodio similar hace unos meses, en el que —a pesar de lo que decían—, era posible enlazar a imágenes internas desde fuera de la red social. Este problema se ha solucionado (según tengo entendido), pero aparecerán más, no tengan ninguna duda; los usuarios no sólo van adquiriendo destreza informática (sin ir más lejos, aunque en principio Tuenti no deja descargarse fotos, ya hay una extensión de Firefox para “saltarse” la “protección”, por llamarla algo, además de un montón de métodos alternativos), sino que demandan más funcionalidades que introducirán a su vez más vulnerabilidades.

Lo que no hay que olvidar en ningún momento es que estamos hablando de redes sociales con millones de usuarios que comparten datos reales de sus vidas: comentarios, opiniones, hábitos, fotos, etc. Gestionar todos esos datos exige una responsabilidad especial, admitir que son algo más que un montón de información que exprimir publicitariamente, y ser consciente de su importancia.

Personalmente, para serles sincero, no estoy nada seguro de que esa conciencia exista.

* * *

Les recuerdo que hoy finaliza el plazo para el envío de preguntas al consultorio LOPD, que serán contestadas el próximo viernes 12. Nos vemos el lunes.

1er Consultorio LOPD

Hasta el próximo viernes 5 de junio a las 15h, Security Art Work inicia el primer consultorio online sobre la LOPD y su Reglamento de Desarrollo, a cuyas cuestiones el equipo de consultoría y auditoría de S2 Grupo contestará en la entrada del próximo viernes 12 de junio.

En ningún caso se publicarán datos de carácter personal (correos electrónicos, nombres de empresas, etc.), ni se contactará con los remitentes de las preguntas, salvo que éstos lo autoricen expresamente. Pueden remitir las preguntas a openlopd@argopolis.es o indicarlas en los comentarios.