(Entrada escrita en colaboración con Eva López)

Algo raro lleva ocurriendo en la oficina desde hace unas semanas. Poco a poco me iba dando cuenta de que faltaban algunos compañeros y hoy han aumentando mis preocupaciones al ver que faltan algunos más. El misterio ha sido resuelto en el momento en el que me he fijado en el calendario: ¡ya estamos en agosto! Los compañeros “desaparecidos” están disfrutando de unas merecidas vacaciones. Y es que como todos los años por estas fechas, unos días arriba unos días abajo, llegan las deseadas vacaciones de verano y en Security Art Work también nos vamos a tomar nuestro merecido descanso.

Aunque nosotros nos vamos a ausentar treinta días que esperamos que se hagan eternos (no es por ustedes, es por lo de que sean vacaciones), si en algún momento nos echan de menos, este blog tiene ya más de 1100 entradas que pueden consultar cuando se aburran. Además, si en estos meses han estado de viaje por las nubes, durante el “último curso” hemos hablado de muchas cosas, pero una de las que más impacto tuvo fue el experimento de Damià en el que lanzó un ping a todas las direcciones de Internet.

[Read more…]

(Artículo de opinión de Manuel Benet publicado en El Levante Mercantil Valenciano ayer 2 de julio de 2013)

La documentación filtrada por Edward Snowden a The Guardian sobre un sofisticado programa de espionaje a nivel mundial no es, en esencia, ninguna novedad. Desde hace años es de dominio público que EEUU y algunos socios comparten la red ECHELON de espionaje, involucrada en el pasado en varios escándalos comerciales. Sin embargo, no debe infravalorarse la contribución de Snowden. Mientras que hasta ahora los detalles del sistema de espionaje de la National Security Agency (NSA, por sus siglas) estaban basados en investigaciones de expertos, ahora sabemos no sólo que este programa (PRISM) es más grande, inteligente y ambicioso que cualquier cosa que pensásemos en el pasado, sino que muchos países tienen sus propios sistemas de vigilancia.

Quizá por el cine o la literatura, siempre hemos estado acostumbrados a que el espionaje se realice entre Estados, con objetivos y actores concretos bajo unas determinadas reglas. Sin embargo, ahora se ha dado un paso adelante, con la vigilancia y registro de cualquier información susceptible de ser registrada de millones de individuos en todo el planeta; un sistema sin ningún control ni límite que viola impunemente con la colaboración de las multinacionales de Internet cualquier idea que alberguemos de libertad, privacidad y justicia. Los Estados han pasado a espiar a sus ciudadanos en un movimiento más propio de las dictaduras que de las democracias.

Sin embargo, a pesar de la gravedad del asunto, nadie parece muy preocupado; no esperen ustedes una fuga masiva de usuarios de redes sociales y si atendemos a la prensa, Snowden se ha hecho famoso no por haber divulgado un gran número de documentos clasificados de un programa de espionaje mundial, sino por las tensiones geopolíticas que su huída y persecución han creado entre EEUU y China y Rusia.

Dice una de las citas atribuidas a Benjamin Franklin que aquellos dispuestos a sacrificar parte de su libertad esencial por algo de seguridad no merecen ni la una, ni la otra. Este parece ser, pues, nuestro caso. Hace ya tiempo que, a pesar de los denostados esfuerzos de las agencias de protección de datos tanto nacionales como trasnacionales, nosotros mismos decidimos que nuestra privacidad no tenía, al fin y al cabo, tanta importancia como nos querían hacer ver. Una vez tomada esa decisión, la transición de nuestra información a un mundo digital controlado por corporaciones multinacionales ajenas a los requisitos nacionales y europeos no supuso ningún trauma.

A primera vista hay una gran diferencia entre que tus mensajes sean escudriñados por un nido de espías como la NSA, una entidad opaca y clave en la inteligencia americana, que saber que Google analiza tus correos para posicionar publicidad. Sin embargo, no existe tal diferencia: a (casi) nadie le preocupa ser espiado; es un inconveniente que hemos asumido como propio de la era digital y algo me hace pensar que ni siquiera es necesaria la Espada de Damocles terrorista. Aquello de que si no tiene usted nada que ocultar, no tiene nada que temer, ha sido asumido casi por obligación.

Podemos extraer una última reflexión. Edward Snowden no era 007; no tenía licencia para matar y tampoco era un agente doble. Era “tan solo” un administrador de sistemas que trabajaba para un proveedor de la NSA, una de las organizaciones más seguras del mundo. Desde ahí tuvo acceso a un volumen ingente de documentación clasificada que James Bond ni siquiera habría sabido que existía. A la luz de esto, ¿sabemos realmente quien accede a nuestra información?

Hace unos años las vacaciones de verano servían para “desconectar” de la rutina diaria: cambiar de aires o perder de vista a los amigos y el trabajo era lo que se conseguía en el periodo estival. Sin embargo, para bien o para mal, eso ha pasado a mejor vida. Casi nadie concibe ya dejarse en casa su smartphone y pasar un mes sin actualizar su Facebook, su Tuenti, su Foursquare o su Twitter. Tampoco faltan los que se llevan la tablet o incluso el portátil en algunos casos.

Dejando de lado aspectos como el ansia de exposición a los demás o lo sano que resulta cambiar de rutina, que son más propios de otros foros, llevar a todas partes a nuestro compañero inseparable nos expone, a nosotros y a “él” a diferentes peligros que es muy importante tener en cuenta y repetirse mentalmente de vez en cuando. Aunque evidentemente hay otros peligros, en este decálogo hemos intentado recoger (las) diez medidas de seguridad principales a tener en cuenta durante el verano.

1. No pierdas nunca de vista tu dispositivo. Ya estés en una terraza, en un bar, en un aeropuerto o en una playa, mantén siempre bajo control tu smartphone o tablet; no lo dejes al alcance de terceros (que por ejemplo, puedan salir corriendo con él) y no lo abandones pensando que es “sólo un momento”. Aunque el ladrón esté probablemente más interesado en el “cacharro” que en los datos, tú vas a perder ambos y si se trata de un delincuente con algo de idea, podría amargarte el verano..

2. Mejora la seguridad de tu dispositivo. Como no puedes evitar al 100% que se produzca un robo, instala medidas para evitar que ante un robo, el ladrón pueda acceder a tus datos, pero también para facilitar su recuperación. Si el cifrado te parece demasiado complejo, al menos utiliza una clave de desbloqueo compleja; cualquier dispositivo tiene estas capacidades y aunque habitualmente no las uses, es un buen momento para hacerlo. Además, instala una aplicación que facilite recuperarlo en caso de robo o pérdida; la mayoría de fabricantes y marcas, además de otros desarrolladores independientes, disponen de este tipo de aplicaciones que permiten, además de localizarlo, borrar los datos remotamente y hacer otras muchas acciones (eso sí, ¡infórmate bien antes de instalar algo!). Estas dos cosas te ahorrarán un buen dolor de cabeza y te llevarán no más de 30 minutos.

3. No instales cualquier cosa. Es posible que algunos de los sitios que visitemos tengan aplicaciones para smartphone con, por ejemplo, información turística de la zona. No obstante, hay que estar atento: a veces esas aplicaciones no son “oficiales” sino que han sido desarrolladas por terceros e incorporan publicidad o requieren la descarga de terceras aplicaciones. Antes de instalarla, revisa los permisos y atento a los que pueden ser sospechosos como el envío de mensajes SMS.

4. No utilices ordenadores desconocidos. A veces puede ser tentador utilizar el ordenador público del hotel o de la cafetería para echar un vistazo rápido a tu correo electrónico o redes sociales, ya sea porque no tenemos nuestro dispositivo a mano o porque preferimos una pantalla grande. El problema es que no sabes cuál es la seguridad de ese equipo, por lo que resiste a la tentación ya que podrías darle acceso a tu correo, a tu Facebook o incluso a tu cuenta bancaria a desconocidos. Resumiendo, si hay que introducir un usuario y una clave, nada de ordenadores públicos.

5. Evita las Wi-Fis públicas, aunque tengan clave. Otra tentación para ahorrarnos unos megas es “tirar” de la conexión Wifi del hotel, la cafetería, el restaurante, la terraza, etc. Sin embargo, eso puede exponer nuestras comunicaciones a terceros malintencionados, porque aunque el hotel o el restaurante puedan no tener ninguna mala intención (como es lo normal), sus dispositivos estar controlados por delincuentes sin ser ellos conscientes y un usuario con conocimientos técnicos y malas intenciones podría jugarnos una mala pasada. De nuevo, si hay que introducir un usuario y una clave, nada de WiFis públicas (y aunque muchas apps por comodidad no requieran introducir un password, ten por seguro que se envía).

6. No avises de tus vacaciones en las redes sociales y cuidado con el geoposicionamiento. Publicar a los cuatro vientos que te vas de vacaciones a Mallorca o a Nueva York puede hacer que tus amigos se mueran de envidia, pero algunas personas pueden aprovechar esa información para hacerte una visita inesperada. Claro que, aunque no digas que te vas de vacaciones, si te dedicas a publicar fotos geoposicionadas o hacer “check-in” de Foursquare en bares ubicados al otro lado del mundo, tenemos el mismo problema. Así que las fotos, cuando vuelvas a casa y si sientes el impulso irresistible, siempre sin datos de geolocalización.

7. No dejes tu ordenador encendido en casa. Quizá pienses que es una buena idea dejar tu ordenador encendido en casa, por diversos motivos… Sin embargo, además de ser un gasto constante de electricidad, durante el tiempo que estés fuera pueden aparecer nuevas vulnerabilidades o incluso una tormenta podría darte un disgusto. Así que cuando te vayas de vacaciones, apaga tus dispositivos.

8. Cuidado con lo que publicas en las redes sociales. En verano, con las piscinas y las salidas nocturnas, resulta más común que alguien haga fotos y las cuelgue en Facebook, Tuenti o cualquier otra red social en cualquier momento del día. Sin embargo, respeta a los demás: no publiques fotos de otras personas, y menos si son menores o han dicho que no quieren aparecer en las redes sociales; cada uno es dueño de su privacidad y es algo a respetar. Otro consejo más: evita publicar contenidos después de una noche de fiesta, por razones obvias; sin duda la publicación de esa foto o comentario puede esperar hasta la mañana del día siguiente y entonces quizá no te parezca tan buena idea.

9. No prestes tu dispositivo. Si el primer punto hablaba de no dejar tu dispositivo al alcance de delincuentes, ahora hablamos de amigos o conocidos con los que uno coincide en la piscina, en la playa, en la terraza. Seguramente no tengan mala intención, pero no pierdas de vista que tu móvil o tableta contienen mucha información personal: fotografías, perfiles de redes sociales, mensajes, correos electrónicos, etc. La intimidad no es algo que se pueda prestar.

10. Sentido común. Esta es la medida de seguridad por antonomasia. Estar fuera de casa nos expone a diferentes peligros frente a los que tenemos menos herramientas, ya sea por estar fuera de casa, a veces en países con otra lengua, etc. En estas circunstancias, toda precaución es poca para evitar perder nuestra identidad digital. Además, ¿quién quiere amargarse las vacaciones por perder su cuenta de Facebook?

(Volvemos a la carga con la undécima entrega de la serie GOTO, que teníamos algo olvidada. Como ya saben, basada en las polémicas instrucciones GOTO de programación. En anteriores ocasiones hablamos de I: Consultores de Seguridad, II: Consultores LOPD, III: Análisis de Riesgos, el IV: Open Source, V: ¿Quién se ha llevado mi queso?, VI: Auditores vs. Consultores, VII: Privacidad vs. todo lo demás , VIII: LOPD a “coste cero” (¿y?), IX: El negocio de la seguridad y X: Periodistas)

Para cualquiera que haya estudiado una carrera universitaria de informática o algún programa educativo similar es evidente que en sus contenidos no se tratan, en la mayor parte de los casos, las tecnologías específicas de fabricantes como Microsoft, CISCO, HP, EMC2 etc. Asimismo, por lo general la formación en materia de seguridad suele brillar por su ausencia, tanto en el ámbito de la gestión (SGSIs, Análisis de riesgos, etc.) como en la parte más técnica (pentesting, análisis forense, etc.). En definitiva, que una vez acabada la fase eminentemente académica y ya de pleno en el mundo laboral, puede ser interesante ampliar los conocimientos, algo que puede hacerse a través de la experiencia a lo largo de los años, autoformación y buenos profesionales en los que apoyarse, a través de formación reglada (esto ya lo vimos el otro día con Joel y hace bastante tiempo publicamos una entrada con certificaciones interesantes) o ambos.

Afortunadamente, para solventar este problema la informática cuenta con un abanico bastante amplio de certificaciones, dirigidas a aquellos profesionales con necesidades específicas en ésta o aquélla tecnología, en éste o aquél ámbito. He de confesar no obstante que yo nunca he sido un gran fan de la formación reglada y menos si es necesario hacer acto de presencia, algo que considero en general una absoluta pérdida de tiempo (evidentemente, no siempre). Lo cual incluye, todo sea dicho, la formación universitaria. Esa es, supongo, una de las razones entre otras de que únicamente disponga de una certificación CISA y una CRISC. La primera la saqué yendo al examen sin haber acabado de leer el temario y la segunda la tengo gracias al programa de grandfathering y evidentemente a mi experiencia en la realización de análisis de riesgos. Voy a serles sincero: no creo que ninguna de ellas me haya aportado absolutamente nada, pero bueno, ahí están; al fin y al cabo, cumplí con los requisitos necesarios para su obtención y tengo totalmente justificadas mis horas de formación.

[Read more…]

Security Art Work comenzó hace poco más de seis años por iniciativa del que escribe estas palabras, lo que hace que le tenga un especial cariño. Como sabrán, una de las políticas no escritas de Security Art Work siempre ha sido la ausencia de publicidad propia o ajena; Security Art Work fue creado para compartir conocimiento, no como una plataforma para hacer publicidad.

Sin embargo, una vez al año —como mucho— utilizamos el blog como escaparate de algún hecho destacado relacionado con S2 Grupo, tras lo cual volvemos a la programación habitual. Hoy es uno de esos días, con una especial particularidad que ahora mismo entenderán.

Hace aproximadamente un año, comencé a trabajar en una herramienta que mejorase la implantación y mantenimiento de un SGSI y diese respuesta a diversos problemas a los que en el pasado me he tenido que enfrentar. Esta idea inicial creció y con esfuerzo ha acabado convirtiéndose en una realidad, lo que nos lleva de nuevo hasta el día de hoy. Me siento especialmente orgulloso de presentar tiké® en público: la herramienta de S2 Grupo para la gestión de referentes normativos y legales. No sólo por mi papel en su nacimiento o como responsable funcional, sino sobre todo por todo el trabajo que nos ha costado llegar hasta aquí y que no me cabe duda de que ha valido la pena.

No voy a entrar a detallar las funcionalidades de tiké®, que pueden consultar en la página web del producto. Pero sí que me gustaría comentar los pilares sobre los que descansa la aplicación, que soporta actualmente LOPD y SGSI, pero cuyo ámbito ya estamos ampliando al Esquema Nacional de Seguridad, la norma ISO 9001, la Ley de Protección de Infraestructuras Críticas y la norma ISO 22301 (continuidad de negocio):

• Gestión integral. Algunos de los principales problemas que encontramos en muchas organizaciones que desean adaptarse a la LOPD o implantar un SGSI son la ausencia de herramientas para abordar determinados aspectos requeridos por el referente en cuestión, la falta de mecanismos de control sobre las iniciativas o la ausencia de trazabilidad al utilizar documentos ofimáticos. Para hacer frente a esto tiké® presenta un modelo integral en el que a través de una única herramienta es posible gestionar y llevar un control de todos los elementos necesarios: proyectos, tareas, catálogo de puestos, indicadores, sistema documental, suministradores, etc., con total trazabilidad de las modificaciones realizadas por cualquier usuario.

[Read more…]

No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. Poco a poco, entre las empresas comienza a implantarse la idea de que la seguridad es un ámbito al que hay que prestar una atención específica e independiente, más allá de lo que muchos consideran “los informáticos”. Sin embargo, si no es bueno caer en el catastrofismo, no debemos ser demasiado indulgentes: queda mucho camino por recorrer y los avances no siempre se producen a la velocidad a la que, afortunadamente para los delincuentes, serían recomendables o deseables. A diario se producen noticias de empresas u organizaciones con una fuerte inversión en seguridad cuya infraestructura tecnológica es vulnerada, lo que da una idea del desequilibrio de fuerzas existente.

En esta línea, aun persisten muchos errores y creencias que podemos identificar como los diez errores típicos de las PYMEs en materia de seguridad y que marcan el camino a seguir estos próximos años.

1. Pensar que su información o sus sistemas no interesan a nadie. Este es, sin duda alguna, el principal escollo en la mejora de la seguridad de la información de una organización: pensar que no son el objetivo de nadie. Existen varios poderosos argumentos para desmontar esta creencia. En primer lugar, cualquier equipo es útil para las “botnets” o redes de PCs zombies controlados remotamente, sea un PC corporativo o el portátil de un adolescente; mientras pueda controlarse remotamente puede ser utilizado, con otros miles, para divulgar spam o atacar sistemas. En segundo lugar, quizá nadie esté interesado en nuestros sistemas, pero un escaneo por parte de un gusano puede detectar por simple casualidad un equipo vulnerable. Por último, muchas organizaciones infravaloran el valor de su información, tanto para la competencia externa como interna: balances contables, tarifas de precios, márgenes, procesos de producción, innovaciones, etc.

2. Creer que la seguridad es sólo técnica y por tanto sólo compete a los informáticos. Limitar la seguridad a los controles técnicos, evidentemente necesarios, conduce a descuidar aspectos tan importantes como los legales y organizativos. Gestionar las incidencias, definir responsabilidades o abordar los requerimientos de carácter legal son aspectos vitales para evitar amenazas como la ingeniería social o el phishing.

3. Un antivirus y un firewall son suficientes. Este es, principalmente, el progreso con el que introducíamos esta entrada: pocas organizaciones actualmente carecen de un antivirus e incluso de un cortafuegos. Sin embargo, esto conduce a una falsa sensación de seguridad que hace olvidar que existen otras muchas amenazas, tanto técnicas como no técnicas, que requieren la adopción de medidas más específicas.

4. Pensar que la seguridad es un producto y no un proceso. Este error persiste de épocas lejanas en las que la seguridad era un aspecto más dentro de las muchas tareas del personal del área de informática. Sin embargo, las cosas han cambiado significativamente y la seguridad ha adquirido un estatus propio. Cualquier persona que trabaje en un departamento de RRHH, producción, logística o contabilidad tiene que llevar a cabo un mantenimiento diario, ya sea actualizando sus conocimientos, manteniendo los sistemas, implantando nuevos procesos o adaptando su funcionamiento a nuevos requerimientos legales; las áreas y departamentos se adaptan a los cambios constantemente. Sin embargo, la seguridad sigue considerándose un ámbito que no requiere mantenimiento o seguimiento alguno. Nada más lejos de la realidad.

5. La confidencialidad es algo de espías y grandes multinacionales. Es cierto que los espías y las grandes multinacionales firman acuerdos de confidencialidad. Y aunque a muchas empresas todavía le suenan a ciencia ficción, eso no los hace innecesarios en el ámbito de la PYME. Tanto con proveedores, clientes como con trabajadores y en definitiva cualquier persona física o jurídica que vaya a acceder a la información de la empresa, es vital firmar acuerdos de confidencialidad cuya finalidad no es otra que proteger la información de la organización. Pocas veces un esfuerzo tan pequeño trae unos beneficios tan grandes. Ni más, ni menos.

6. No contemplar la seguridad en los contratos corporativos. Hoy en día, la hoja de pedido, sin más, sigue siendo en muchos casos el procedimiento para contratar servicios. No existe un contrato de servicios ni cláusulas de confidencialidad. No se contemplan requerimientos legales como la Ley Orgánica de Protección de Datos ni se tienen en cuenta, por ejemplo, las medidas que el proveedor puede estar aplicando sobre la información que le proporcionamos. En definitiva, la seguridad, en cualquiera de sus ámbitos, todavía brilla por su ausencia en los contratos que muchas PYMEs firman con sus proveedores y/o clientes.

7. La Ley Orgánica de Protección de Datos, esa gran desconocida. A pesar de que la LOPD lleva en marcha desde 1999 y que incluso existía un reglamento de una ley anterior que concretaba, con mayor o menor detalle, las medidas a implantar en el ámbito de protección de datos, casi catorce años después muchas empresas ignoran sus obligaciones en esta materia y algunas de las que las conocen deciden no llevar a cabo acción alguna. Ya sea por evitar sanciones o por responsabilidad social con las personas que nos confían sus datos, cualquier empresa debería adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal de sus clientes, empleados, proveedores…

8. Mirar hacia fuera pensando que las amenazas siempre son externas. Sin ánimo de criminalizar y a pesar de lo que las noticias pueden a menudo hacernos pensar, es bien sabido en el ámbito de la seguridad que la mayor parte de los problemas de seguridad provienen de dentro de las propias organizaciones. En algunos casos, por usuarios malintencionados con los que se deben adoptar las medidas que subsanan muchos de los errores anteriores. Sin embargo, en muchos otros casos se trata de simple desconocimiento: un empleado que utiliza un USB infectado, abre un adjunto o pincha en un enlace que le llega en un correo o simplemente tira a la papelera información confidencial. En este caso, se hace imprescindible adoptar una estrategia permanente de concienciación en seguridad de la información, incluyendo al personal directivo que maneja información sensible, que evite y mitigue comportamientos peligrosos tanto para la organización como para el propio empleado.

9. Ofrecer servicios a través de Internet sin tener en cuenta su seguridad. Un servicio ofrecido a Internet es accesible virtualmente por miles de millones de personas, algunas de las cuales no tendrán desde luego buenas intenciones. Sin perder de vista los requerimientos legales necesarios (y en muchos casos bastante sencillos de cumplir) que ya hemos visto, la historia se repite una y otra vez: entre otros, servicios que contienen formularios vulnerables a ataques que ya existían hace una década o servidores web incorrectamente configurados… o directamente sin configurar.

10. Descuidar la gestión de la red y los sistemas. Por último, pero no menos importante, muchas empresas todavía descuidan de manera continuada el mantenimiento de la seguridad de sus servidores y redes, lo que conduce a dispositivos de red vulnerables, puntos WiFi que permiten a una persona al otro lado de la calle acceder a nuestra red corporativa, bases de datos de uso interno accesibles desde Internet, o servidores sin actualizar desde hace años. Sin entrar en que esto además conduce a la ignorancia más absoluta sobre lo que sucede en las infraestructuras de la organización, donde un intruso puede por tanto campar a sus anchas. El resto queda a la imaginación.

Este decálogo de errores típicos, más habituales de lo que cabría pensar, podría sin duda ser completado con muchos otros problemas más específicos que las PYMEs cometen a diario. Sin embargo, si en unos años pudiésemos tachar al menos la mitad de estos errores, ya habríamos avanzado mucho en la seguridad de nuestras empresas.

[Para más información, pueden contactar con mbenet [en] s2grupo.es. Sobre el autor]

Veamos tres definiciones muy simples de la LOPD:

¿Queda claro, no? Son definiciones simples y lo que es más importante, que a menudo se consideran equivalentes. De hecho, el punto d) indica “Responsable del fichero o tratamiento“. Ahora bien, sí que parece evidente, al menos desde un punto de vista intuitivo, la diferencia entre el fichero como “conjunto de datos organizados” y el tratamiento como procesamiento de esos datos. No obstante, no conozco a nadie que en la práctica establezca realmente (o al menos de manera habitual) dicha distinción.

Veamos ahora lo dicho por el Tribunal Supremo en sentencia del 5 de junio de 2004, donde establece la diferenciación entre el responsable del fichero y el responsable del tratamiento (la negrita es mía):

Aunque no he podido localizar mucha más información de la indicada, por lo que las asunciones que hago pueden ser incorrectas, cabe imaginar de lo planteado que la empresa EmpresaCliente contrata a la empresa EmpresaMarketing para que esta última realice (por ejemplo) una campaña de mailing en nombre de EmpresaCliente . Supongamos dos casos:

• En el primero, los datos para la realización del mailing masivo los proporciona EmpresaCliente. Así, EmpresaCliente es Responsable del Fichero y EmpresaMarketing un Encargado del Tratamiento y no hay mucho más que rascar.
• En el segundo caso, que parece ser el que nos ocupa, los datos para el mailing los aporta EmpresaMarketing al disponer de una base de datos de potenciales receptores (captados de manera ilegítima, al parecer). En este caso, EmpresaMarketing es el Responsable del Fichero y EmpresaCliente no parece tener ninguna responsabilidad: no es (aparentemente) Responsable del Fichero y tampoco es, desde luego, Encargado del Tratamiento.

Sin embargo, a decir de la sentencia, dado que EmpresaCliente toma parte en la decisión de la finalidad, contenido y uso de los datos personales utilizados para el mailing, debe considerarse también como Responsable del Tratamiento. Si bien seguramente este caso sea aplicable en más situaciones, no se me ocurren muchas más situaciones en las que una empresa, sin que medien comunicaciones de datos o encargos del tratamiento y sin disponer de acceso a los datos personales utilizados en un tratamiento llevado a cabo por un tercero, pueda considerarse como Responsable del Tratamiento, o co-responsable, si lo prefieren así.

No obstante, sería interesante conocer su opinión.

Como suele decirse en algunas ocasiones, existen dos maneras de aprender las cosas. Por las buenas, y por las malas. Luego verán a qué me refiero.

Hace unas semanas discutía con mi pareja sobre el porcentaje de penetración influencia de los medios digitales frente a los medios tradicionales como fuente principal de información, en el caso de la prensa escrita específicamente. Es decir, hasta qué punto Internet había reemplazado al diario matutino para conocer las noticias diarias. Como pueden imaginarse, no llegamos a ninguna conclusión, aunque sí es cierto que atendiendo a las estadísticas de algunas organizaciones dedicadas al tema quizá el nivel de penetración es menor del que yo inicialmente pensaba; encerrado como estoy 24 horas al día en un mundo digital, lo raro hubiese sido pensar lo contrario. La cuestión es que todavía queda un buen porcentaje de la población cuya vía principal de información siguen los medios tradicionales: la prensa escrita, la televisión y la radio.

En el mundo pasado de los medios tradicionales, una campaña publicitaria o de marketing solía tener un impacto reputacional relativo. Por una parte, porque el mensaje era unidireccional: yo te digo esto y tú te lo crees o no te lo crees, pero tu participación en el mensaje es como receptor. En todo caso, te envío cupones o te hago encuestas, pero todo en un marco muy controlado, nada de salirse del guión. Por otra parte, porque existía un monopolio informativo: todos (o casi todos) los medios de producción de información pertenecían a empresas con determinada ideología e intereses, que podían tener intereses comunes con los anunciantes o recibir presiones de éstos; este tipo de cosas, dicen, aún pasan hoy en día, tanto en la prensa oficial tradicional como en la (oficial) digital. Es decir, usted no me publica esto y seguimos tan amigos, o si lo publica, que sea en la página diez en una columna perdida, o seremos un poco menos amigos.

En el mundo actual, en el que conviven mundos digitales y mundos tradicionales, el escenario ha cambiado muy significativamente. El lenguaje ha dejado de ser unidireccional para convertirse en bidireccional, a pesar de muchos. Ahora, campañas de marketing tradicionales que podían exhibirse normalmente en televisión sin mayores consecuencias hacia la imagen de marca porque al otro lado sólo había ojos y orejas, pueden desencadenar consecuencias muy perjudiciales para la reputación, debido a que el mundo digital es más conversacional y abierto a la participación y la crítica. En este escenario, algunas organizaciones han sabido reaccionar, analizando hasta donde es posible las consecuencias de una campaña e incluso aprovechando este doble sentido de la comunicación, mientras que a otras les ha pillado a contrapie. No es raro encontrarse de vez en cuando con esta o aquella multinacional metiendo la pata hasta el fondo, como suele decirse, lo que sobra decir el impacto que puede tener sobre la imagen de marca.

El segundo factor es más importante si cabe que el primero: el fin del monopolio de los medios de producción de información. Aunque evidentemente las corporaciones de medios de comunicación tradicionales mantienen un peso significativo en el mundo digital, entre otros por su ámbito generalista y por los clientes de la prensa escrita que les acompañan, ya no son ni mucho menos las únicas fuentes de información. Existen nuevos actores y nuevos medios. En este escenario digital ya no es posible controlar el mensaje ni el emisor, lo que hace que el mensaje ya no gire en torno a lo que la marca quiere que gire (algo que presiona a los medios tradicionales a un lugar incómodo: ese en el que deben mantenerse en una cierta vanguardia informativa sin arriesgar excesivamente la marca de sus anunciantes). Pasamos de hablar de machismo en un anuncio a acusaciones de explotación en un país asiático o la deforestación de los bosques de este o aquel país. Imaginen el impacto para la imagen de marca y la reputación de la organización.

Hacer frente a estas dos amenazas para mantener la reputación de la marca, que cada vez estará más asociada con la reputación “online”, va a requerir dos cambios principales. El primero, la bidireccionalidad del lenguaje, requiere un mayor análisis social por parte de los departamentos y agencias de marketing y publicidad: un conocimiento más profundo de la sociedad y de las diferentes sensibilidades, siempre, obviamente, que la idea no sea polemizar, que también es una opción válida. Hacer frente al segundo cambio va a requerir algo mucho más radical que se llama Responsabilidad Social Corporativa (RSC). Pero una de verdad, no una de anuncio de televisión: esa que tiene en cuenta los derechos de los trabajadores, las minorías étnicas, el medio ambiente, los problemas sociales y muestra un comportamiento ético y responsable con su entorno. Quizá todavía sea posible mantener una RSC “de pega” gracias a que estamos a medio camino entre el mundo digital y el mundo tradicional y como les decía el índice de penetración de los medios digitales sigue siendo escaso (entre la población adulta), pero a medida que avancemos y esos jóvenes que hoy ya se informan en Internet crezcan, cada vez será más difícil mantener la imagen de marca sólo a través de piezas y campañas diseñadas para ello. Como dice la Biblia, “Por sus obras los conoceréis” (Mt 7,15-20). Afortunadamente.

Esto es lo que va a pasar. Y muchas organizaciones lo van a aprender por las malas. Ya lo verán.

La semana pasada Hace unos días, a raíz del ya archiconocido Informe de Mandiant “APT1”, publicamos una pequeña entrada en la que hacíamos algunas valoraciones sobre los supuestos ataques chinos a distintas organizaciones públicas y privadas, y aprovechamos para hacer público un conjunto de reglas de Snort que podían ser utilizadas para detectar, siempre a partir de la información del informe Mandiant, si una organización había sido infectada. Evidentemente, si se recibe una alerta debería despertar ciertas sospechas, pero no recibir ninguna no debería hacer a nadie suponer que no está infectado; los recursos utilizados para la infección son sin duda alguna muy dinámicos y tras el informe muchos de ellos pueden haber sido sustituidos o eliminados.

Pero no es esto de lo que quería hablar. Lo cierto es que escribí el post con cierta urgencia, debido a que queríamos publicar las reglas ese mismo día, y no me detuve a reflexionar sobre la complejidad del ataque chino, sus implicaciones, orígenes y especificidades. Por ello, me sorprendió que ninguno de nuestros lectores (usted mismo) apuntase a algunos errores de planteamiento evidentes que había en la entrada y que pensé un rato después, pero que me resistí a corregir. Decía en la entrada que:

La cuestión aquí es, como apuntan de manera certera en el blog de Securosis, que la diferencia no radica en que China tenga un programa de espionaje cibernético, sino que tanto sus objetivos como beneficiarios son tanto el ámbito público como el privado. Desde un punto de vista económico tiene bastante sentido. En una economía en gran parte intervenida y dirigida estatalmente como la china, parece normal que las “iniciativas” gubernamentales de este tipo reviertan en ámbitos económicos que no dejan, en muchos casos y al menos de manera parcial, de ser también estatales. Al final, como suele decirse, todo queda en casa.

El hecho es que no se trata de ciberespionaje en el sentido en el que estamos acostumbrados a pensar en espionaje. Esto es “otra cosa” y la razón por la que mucha gente debería empezar a estar preocupada. No es espionaje “clásico” ni es espionaje industrial. No hay nadie a quien llevar a juicio o frente a la OMC. No es una acción criminal tal y como la entendemos. Porque es algo más que “simple” información militar o tecnológica lo que está en juego; es todo el modelo económico y social occidental. Dicen que China es un gigante que está despertando, pero a la vista de este tipo de informes, quizá sean las potencias occidentales las que están durmiendo.

Un último apunte. Es cierto que existe algo llamado Echelon y que de vez en cuando ésta o aquella potencia se embarcan en actividades sospechosas (espionaje industrial o sobornos, entre otras) a través de las que intentan favorecer a sus empresas nacionales en contratos millonarios (véase, por ejemplo, los casos Boeing vs. Airbus), pero cabe pensar que el volumen y dimensión de estas malas prácticas no es, ni de lejos, el mismo que el chino (aunque eso es algo que en realidad ignoramos). No existe, que sepamos, nada parecido a un programa de robo de propiedad intelectual e industrial que sea coordinado y dirigido por los propios Estados sino que ese tipo de prácticas quedan en el ámbito privado, quien a su vez está sujeto a las leyes y legislaciones de tales Estados.

Éste es un planteamiento poco desarrollado y algo simplista que sin duda da para mucho más, pero las acciones recogidas en el informe Mandiant no son acciones de espionaje ni robo de información. Son acciones de naturaleza política que forman parte de una estrategia mucho más amplia de carácter geopolítico. Decía Carl Von Clausewitz que la guerra es la continuación de la política por otros medios. La versión actualizada del siglo XXI es evidente: la ciberguerra no es otra cosa que una herramienta más de la política, con la diferencia de que aunque la guerra es jurídicamente ilegal, no existe tal consideración para la ciberguerra.

Resumiendo. Esto ya no es informática. Es política. Mientras sigamos “jugando” a los hackers.