¿Estás siendo espiado por el gobierno chino?

(Actualización 20/02/2013: Nuevas reglas añadidas)

Como seguramente muchos de ustedes sepan a estas alturas, la empresa de seguridad digital Mandiant ha emitido un informe donde acusa al Ejército Popular de Liberación chino de estar detrás de multitud de ataques que diversas compañías, tanto estadounidenses como de otras nacionalidades, han venido sufriendo en los últimos años.

En dicho informe, que está accesible desde su web, se proporcionan una gran variedad de detalles técnicos y el conjunto de evidencias que apoyan la teoría de que el gobierno chino está efectivamente detrás de esos ataques, tal y como se ha ido defendiendo durante los últimos años. Aunque algunos técnicos apuntan a sesgos analíticos en el estudio desarrollado por Mandiant (Mandiant APT1 Report Has Critical Analytic Flaws), creo que no cabe duda de que de ser cierto que China tiene programas de espionaje cibernético a través de Internet, eso no sorprendería a nadie. De igual manera que a nadie le sorprendería, tal y como apunta @antoniosanzalc en Twitter, que otras potencias militares como Israel o EEUU tuvieran ya en marcha desde hace años programas de espionaje cibernético. Es más, casi podríamos decir que sería una imprudencia no tenerlos. Al fin y al cabo, si existen espías a pie de campo, no hay razón para no tenerlos también en la red.

Volviendo al informe de Mandiant, los anexos incorporan información que podrían ayudar a detectar sistemas u organismos infectados, ya sea por la conexión con sistemas DNS, uso de certificados SSL u otros. Aunque es posible que tras la publicación del informe —siempre que la información y conclusiones de Mandiant sean ciertas— se produzca una reducción temporal drástica de los sistemas y recursos empleados en los ataques, a partir de la información de dichos anexos hemos creado un conjunto de firmas de Snort que pueden ayudar a identificar circunstancias y destinos de conexión sospechosos, y que pueden descargar del enlace a continuación.

Reglas Snort Informe Mandiant: apt1-unit61398.rar

Las firmas han sido elaboradas a partir de los anexos del informe de Mandiant por el Área de Seguridad de S2 Grupo y más concretamente por Roberto Amado y Raúl Rodríguez. Para cualquier comentario, duda, información o consulta, pueden utilizar los comentarios o ponerse en contacto con nosotros en admin@securityartwork.es.

Tengan en cuenta que no nos hacemos responsables de cualquier consecuencia no deseada (incremento de las alertas, etc.) derivada de la utilización de estas firmas, y que su uso corre por su propia cuenta y riesgo.

Los límites de la confidencialidad

En uno de los capítulos de la versión americana de la serie británica de humor The Office, totalmente recomendable, los empleados descubren que algunos modelos de las impresoras que están vendiendo explotan inesperadamente, lo que les genera dudas sobre lo que deben hacer. Que una impresora muestre ese comportamiento es un tema serio, pero al mismo tiempo sienten que deben guardar algún tipo de secreto respecto a este “problema” de su empresa.

Seguramente conozcan el caso de Hervé Falciani. Si no es así, la Lista Lagarde es probable que les sea más familiar. Al parecer, Hervé copió los datos de 130.000 presuntos evasores fiscales mientras trabajó para el banco HSBC en Ginebra, lo que le ha traído no pocos problemas a él y algunos menos a los integrantes de la lista.

En referencia con esto, en Estados Unidos existe el concepto de whistleblower, que según la Wikipedia es “alguien que da a conocer el comportamiento erróneo que existe dentro de una organización o conjunto de personas. La revelación de esta conducta puede ser de varios tipos: la violación de una ley, regla o regulación que puede ser una amenaza al interés público, como un fraude contra leyes de salud o seguridad y/o sobre corrupción política.“. En este sentido, los códigos éticos del buen gobierno ya incorporan este tipo de aspectos en su funcionamiento.

Probablemente muchos de nuestros lectores hayan firmado a lo largo de su carrera profesional algún compromiso, contrato o cláusula de confidencialidad, en el que se establece la obligación de guardar secreto respecto de toda información accedida durante su trabajo. Sin embargo, y esta es una pregunta que planteada desde el entorno corporativo puede despertar ciertos recelos, ¿qué límites existen a algo tan sagrado en nuestra profesión como un contrato de confidencialidad? ¿Aspectos legales? ¿Aspectos éticos de carácter más personal? ¿O para ustedes es algo, simplemente, inviolable, no matter what?

Dejen de lado las consecuencias personales y pónganse varios ejemplos. ¿Habrían actuado ustedes como Hervé Falciani? Quizá no, porque el fraude fiscal no tiene, por desgracia, toda la mala prensa que debería. Ahora bien, ¿y si descubren que se trata de blanqueo de capitales? ¿Narcotráfico? ¿Tráfico de personas? ¿Sobornos? ¿Tráfico de influencias? ¿Pederastia? ¿Información privilegiada? ¿Desvío de capitales?

[poll id=”26″]

La nube es tu amiga (tranquilo)

Hace ya unos meses Marcos publicaba una entrada, sobre aplicaciones que permiten o ayudan a recuperar un smartphone (Android) cuando lo hemos perdido o nos lo han perdido. Aparte de las que él mencionaba, en los comentarios aparecieron otras aplicaciones como AndroidLost o SamsungDive. Unos meses antes, en una entrada titulada “El móvil que se pierde sin querer queriendo“, Marcos utilizaba la aplicación Cerberus para proponer una situación hipotética en la que utilizábamos un móvil como canal de espionaje a alguien poco precavido.

Aunque la utilidad de dichas aplicaciones es más que evidente, su uso masivo pone de manifiesto la confianza prácticamente irracional que tenemos la mayor parte de los usuarios en la nube. En uno de los comentarios de la primera entrada, Sergio hacía un interesante comentario en el que apuntaba a la posible doble finalidad de este tipo de aplicaciones: no sólo localizar el móvil sino también controlar al dueño del móvil. Me dirán que esto suena algo paranoico, pero lo cierto es que la paranoia y el “podría pasar” son, posiblemente, los dos principales argumentos detrás de la industria de la seguridad, tanto lógica como física.

Volvamos a los móviles. Estaremos de acuerdo en que básicamente lo que estamos haciendo al instalar una de estas aplicaciones es conceder a “un tercero” acceso a nuestro dispositivo, en ocasiones con capacidad para borrar información, geolocalizar, hacer fotografías, grabar vídeo, etc. Este tercero está en… bueno, en realidad no sabemos dónde está, ni cómo protege dicho acceso a nuestro dispositivo, ni quién tiene dicho acceso, ni cuántas personas trabajan en él, ni nada… de nada. Nil.

Se me ocurren varios escenarios posibles: un insider “malintencionado” interesado en el contenido de los móviles de los usuarios, una intrusión en una de estas empresas, o directamente un servicio ofertado por CHANCHULLASA. La aplicación Cerberus es particularmente interesante por su forma de funcionamiento; permite cualquier acción y además se oculta en el móvil como… como un troyano. Si no fuese ilegal, seguro que más de uno controlaba a su pareja o a sus vástagos mediante este sistema. ¿He dicho ya que es ilegal, verdad?

Así que tenemos un dispositivo con un software instalado que no hemos auditado con el que un usuario remoto puede hacer básicamente cualquier cosa a nuestro móvil. Yo no sé demasiado de móviles, pero suena bien, ¿no? ¿Por qué hacemos esto? Porque pensamos que eso no va a pasar, porque pensamos que nuestra información es irrelevante, porque pensamos que somos una aguja en un pajar. Al fin y al cabo, ¿quién querría hacernos daño y para qué? Claro que esto es básicamente lo mismo que piensa un usuario novato cuando ejecuta una aplicación que le ha llegado a través de un email o una pequeña empresa cuando le proponen hacer una auditoría de seguridad lógica, y si está usted leyendo este blog es que ha superado esa fase. Pero el caso es que podría pasar, así que quizá no hayamos avanzado tanto.

Al mismo tiempo, nos da miedo cifrar nuestro dispositivo, no sea que el cifrado corrompa de alguna manera mágica la información. Nos causa pavor que Google nos geolocalice y lea nuestros emails y es terrorífico que un amigo de lo ajeno nos robe el móvil, lo formatee y no lo volvamos a encontrar. Es preferible, claro que sí, darle acceso remoto y control total a nuestro dispositivo a alguien del que no sabemos nada. Por supuesto, qué duda cabe. Si está en la nube no puede ser malo.

Claro que quizá nada de lo que planteo sea posible técnicamente. Al menos, hasta que alguien encuentre una forma de que lo sea. Ya saben, hay que ser paranoico.

Resumen de vacaciones

Si todavía no lo saben, las navidades se han acabado y con ellas, las probables vacaciones (no forzosas, esperamos) que algunos de ustedes habrán tenido. A pesar de las fechas, en Security Art Work hemos seguido publicando entradas, a sabiendas de que algunos de ustedes iban a continuar al pie del cañón y de que hay lectores que incluso nos siguen cuando están de vacaciones, costumbre que nos halaga. Como somos conscientes de lo que cuesta echar la vista atrás, a través de esta entrada me gustaría hacer un breve repaso a las entradas que publicamos estos días. Al fin y al cabo, que los los blogs se mueven por el ego de sus autores es una tradición y un hecho en muchas ocasiones, y tener entradas que por ser vacaciones no han tenido toda la audiencia que nos gustaría no deja de ser un incordio.

Dicho esto, las navidades empezaron el día de Nochebuena, como siempre, con la felicitación navideña del Departamento de Seguridad de S2 Grupo. A pesar de haberse comprado un MacBook después de más de veinte años de renegar de las interfaces gráficas y tener al vi como editor de texto preferido (doy fe de ello), la cabra tira al monte y sigue siendo igual de hábil con las “herramientas” de diseño gráfico. Juzguen ustedes mismos.

Al día siguiente de las navidades, JoseMi publicaba una interesante y técnica entrada en la que describía los cambios que habían realizado para soportar el protocolo IRC en Cuckoo Sandbox, y cómo utilizarlo. Sí, al parecer el IRC se sigue usando, a pesar de lo que algunos pensábamos. Qué (buenos) tiempos aquellos, ¿eh?

David Lladró fue el encargado de redactar una felicitación navideña para todos nuestros lectores que introducía hábilmente todos esos consejos que muchos de ustedes conocen pero que desgraciadamente son menos comunes de lo que parecen: antivirus, hoaxes, borrado seguro, geolocalización, etc.

El 28 de diciembre, que viene a ser el April’s fool anglosajón, Toni aprovechó para alertar de un 0-day descubierto en mod_reno que al parecer había sido el causante de un robo de datos de la red SANTAnet por parte del grupo de hackers The Three Kings (T3K). No han trascendido los detalles del incidente, pero hasta la Agencia Española de Protección de Datos tuvo que tomar parte.

El último día del pasado año, José Rosell alertaba sobre esos regalos tecnológicos que a menudo los directivos reciben por navidades de la dirección general de la empresa, siempre con la mejor de las intenciones. Quizá un iPad, un smartphone, una cámara IP, una llave USB… regalos envenenados que pueden convertirse en un serio problema si no se gestionan de la manera adecuada.

Ya pasadas las navidades para la mayoría excepto para aquellos que somos “más” de los Reyes Magos que de Papa Noel, Elena publicaba la segunda y última entrada de la serie introductoria a PCI-DSS, y daba diversas referencias para aquellos que quisiesen saber más.

Por último, aunque de esto ya se habrán enterado, el día 3 de enero publicábamos nuestro 2º Informe de Juegos Online correspondiente a 2012, en el que se ha ampliado el espectro y además de videojuegos, juegos online y fauna similar, se ha comenzado a analizar el ámbito de casinos, páginas de poker, etc., que sin duda va a tener un crecimiento muy destacado en estos años venideros.

La siguiente entrada la publicamos el pasado lunes (que por cierto ya está traducida al inglés), pero seguro que para entonces, no quedaba nadie (o casi nadie de vacaciones).

Así pues, bienvenidos de vuelta al blog y si nadie se lo ha dicho ya, les deseamos un muy feliz año 2013.

Informe sobre Seguridad en Juegos Online 2012

El Informe sobre Seguridad en Juegos Online 2012 elaborado por S2 Grupo y cuyo autor es David Lladró está disponible para su descarga [PDF, 2.4 MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada hoy 03 de enero.

II Informe sobre la seguridad en los juegos online

Los ataques masivos y la modificación ilícita de las aplicaciones, principales peligros para los jugadores online.

  • En 2012, el ciberactivismo y la comercialización de vulnerabilidades han sido las principales amenazas para el juego en Internet.
  • Los juegos para smartphones descargados desde Internet son los que requieren más permisos peligrosos como acceso a GPS, agenda o al servicio de SMS. Aunque iOs y Android han mejorado sus sistemas de seguridad, las aplicaciones del primero continúan siendo las más seguras.

Valencia 03 de enero de 2013.- La empresa de seguridad digital S2 Grupo ha presentado el “II Informe sobre la seguridad en los juegos online” en el que se analizan las nuevas amenazas que afectan al sector y se ofrecen recomendaciones para que los usuarios puedan minimizar los posibles daños causados por la acción de hackers o malware.

Según se extrae del estudio, 2012 ha estado marcado por dos nuevas tendencias en los peligros que acechan a los jugadores en la red: el ciberactivismo y la venta de vulnerabilidades de juegos online. Un ejemplo de ciberactivismo serían los numerosos ataques realizados por el colectivo Anonymous en 2012, que fueron mayoritariamente del tipo “denegación de servicio”. Consistían en generar inmensas cantidades de tráfico contra plataformas online consiguiendo saturarlas y, de esta forma, evitar que pudieran continuar ofreciendo su servicio.

En este informe S2 Grupo alerta de que en el sector se ha desarrollado un mercado destinado a la comercialización de vulnerabilidades de seguridad, donde empresas publicitan los descubrimientos de fallos en aplicaciones y juegos con el fin de venderlos al mejor postor, lo que pone en riesgo al usuario porque el fabricante no está informado y no puede corregir el fallo.

En lo referente a los ordenadores, destaca la aparición de una nueva generación de ataques contra juegos de masiva distribución. Estos ataques, de gran complejidad técnica, están a la venta para cualquier persona y se dirigen, principalmente, contra los servidores que coordinan las partidas online, aunque también podrían infectar la máquina del jugador.

Los dispositivos móviles son la nueva plataforma de juego que el crimen organizado ha encontrado para ganar dinero mediante acciones ilícitas. El método más usado para conseguir sus propósitos está siendo la modificación de aplicaciones para añadirle funcionalidades que les reporten beneficios. Por ejemplo, suelen añadir funciones para enviar mensajes SMS Premium que generan un coste alto a los usuarios o para obtener sus datos privados.

Por lo que se refiere a sus sistemas operativos, iOs y Android e iOS continúan siendo los más utilizados y ambos han planteado estrategias diferentes a la hora de proteger al usuario frente amenazas. En el caso de Android, aunque el sistema de permisos que utiliza es extremadamente potente, deja las decisiones de seguridad al usuario, que por falta de formación técnica podría acceder a instalar aplicaciones que requieren más permisos de los necesarios. Del estudio también se concluye que los juegos descargados desde Google Play son más seguros que los descargados de Internet, porque éstos requieren más permisos reconocidos como “peligrosos” como pueden ser la ubicación exacta (GPS), acceso a agenda o envío de SMS.

En el caso de Apple, la seguridad de las Apps es robusta y se basa en el cifrado, el origen de las aplicaciones, el aislamiento y el modelo de permisos. Este comportamiento, ha provocado que el número de aplicaciones maliciosas distribuidas en el Apple Store sea prácticamente nulo. El modelo de permisos asegura que las aplicaciones no pueden obtener la localización del dispositivo, enviar SMS o iniciar llamadas sin el permiso explicito del usuario, pudiendo este último revocar en cualquier momento estos permisos.

Para evitar sorpresas en la factura telefónica, desde S2 Grupo se sugiere instalar aplicaciones que provengan exclusivamente de fuentes confiables como el Apple Store. Con la finalidad de que las medidas de seguridad implantadas por ambos sistemas en los smartphones sean efectivas, se recomienda no modificarlos para tener total control sobre ellos (“rootear” o “realizar el jailbreak”).

APUESTAS ONLINE

Sólo en nuestro país, se estima que alrededor de 700.000 jugadores realizan al año apuestas online por valor de más de 1.000 millones de euros, cifras que han convertido al sector en objetivo de ciberdelincuentes. El año 2012 ha estado marcado por la publicación de Ley de Regulación de Juego Online en España. A través de ésta se ha incrementado el control sobre el sector y se ha creado el sello ‘juego seguro’, cuya presencia en una web de juego online garantiza que con ese operador los datos de los jugadores son gestionados de acuerdo a la Ley Orgánica de Protección de Datos, viajan de una forma protegida y se asegura la identidad de los participantes y la transparencia de las apuestas.

Uno de los puntos que suele preocupar a los jugadores es la privacidad de sus datos. Y es que se enfrentan al problema de que no saben donde están almacenados los datos, ni qué medidas se están tomando para protegerlos. En el caso de que se encuentren en España, estas medidas están reguladas y determinadas por la LOPD. El “problema” viene cuando los datos están fuera de España, ya que no se ajustan a los mismos controles.

Por otro lado, para asegurar que los datos de los jugadores viajan de forma segura por Internet, la mayoría de portales de juego implementan una solución basada en el estándar de comunicaciones seguras SSL (Secure Sockets Layer; direcciones que empiezan por “https”). El problema reside en que, según el “II Informe sobre la seguridad en los juego online”, no todas las implementaciones de SSL son igual de seguras, ya que el protocolo ha ido evolucionando, mejorando y solucionando errores que podrían permitir a un atacante espiar las acciones realizadas por los jugadores.

Por último, en relación a los procesos de registro, ninguno de los casinos comprobados, permitía la autenticación mediante DNI electrónico, que sería la forma más segura de proceder.

“Los resultados de este segundo estudio destacan la importancia de concienciar a los usuarios de juegos online de que existen peligros en los videojuegos y casinos en la red y que, contrariamente a lo que se pensaba hasta hace poco tiempo, el malware está atacando a los videojuegos en todas las plataformas. Las previsiones no son mucho mejores para los próximos años y se espera que los ataques a juegos online sean mucho más frecuentes y masivos”, ha comentado José Rosell, socio-director de S2 Grupo.

II Congreso de Seguridad Navaja Negra

Los próximos días 30 de noviembre y 1 de diciembre, tendrá lugar en Albacete la Segunda Conferencia de Seguridad “Navaja Negra”, con una serie de charlas centradas en la Seguridad de la Información como:

  • All your appliances are belong to us. Presentación de un 0-day.
  • Show me your Intents.
  • HASH COLLISIONS: Welcome to the (un)real World!
  • Take a walk on the wild side.
  • A brief introduction to reversing code with OllyDbg and other tools.
  • From mail to jail: Exploit your ex.girlfriend.
  • (in)Security in Mobile Communications.
  • IPv6 vs IDS, se aceptan apuestas…

Las charlas realizarán en el SALÓN DE ACTOS DEL CEEI (Centro Europeo de Empresas de Innovación) el viernes en horario de tarde y el sábado en horario de mañana y serán impartidas por reconocidos profesionales.

Son completamente gratuitas pero es necesario registrarse (no quedan plazas libres aunque las conferencias se emitirán en streaming).

La información sobre las charlas está disponible en el apartado Itinerario del Congreso. Si os desplazais desde fuera de Albacete, tenemos descuentos de Renfe y del Hotel Beatriz para alojaros. También teneis el Cartel Oficial para descargar.

Toda la información se encuentra disponible en http://www.navajanegra.com y para cualquier duda podéis enviarnos un email a contacto<en>navajanegra<punto>com.

Figuras “externas” de la LOPD

Hace mucho que no hablamos de la LOPD por aquí, así que hoy toca. Como sabrán, la LOPD distingue entre una serie de figuras, que podemos agrupar en “internas” y “externas”. En el primer grupo encontramos principalmente el Responsable de Seguridad y el Responsable del Fichero. Nótese que aunque algunas funciones puedan ser delegadas en empresas externas, en ningún caso es posible delegar la responsabilidad, de ahí que consideremos a dichas figuras “internas”.

En el segundo grupo, objeto de esta entrada, encontramos al Encargado del Tratamiento (y al Subencargado), al Cesionario y al prestador de servicios sin acceso a datos de carácter personal (DCP en lo que sigue). Como se imaginarán si conocen la LOPD y su reglamento, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.

  • Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos “por encargo” del responsable del tratamiento.

    Sin embargo, para que la definición quede clara, veamos que entiende la LOPD por “tratamiento” en el apartado c) del mismo artículo: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“.

    Vamos con un par de ejemplos evidentes. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP “en nombre”, “por cuenta” o “por encargo” de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.

    Sea ahora la misma empresa A que contrata a la empresa C la gestión de su CAU, que da soporte a usuarios internos y externos. En éste recogen incidencias reportadas por los usuarios de la organización, entre cuyos datos figura el nombre y apellidos del usuario además de otra información de contacto. De nuevo, parece claro que C trata o gestiona DCP de los usuarios de A, por lo que de nuevo, es un encargado del tratamiento.

    En estos casos, es necesario que la empresa A firme, aparte del contrato de prestación de servicios, un contrato de acceso a datos tal y como especifica el artículo 12.2 de la LOPD: “La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato […] estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán […] las medidas de seguridad […] que el encargado del tratamiento está obligado a implementar.

    Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría ni la empresa de gestión del CAU tienen que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento “no es suyo”.

    Dejémoslo aquí y pasemos al siguiente.

  • Prestador de servicios sin acceso a DCP: Aunque la LOPD no define explícitamente esta figura (no olvidemos que entre la LOPD y su reglamento hay poco más de 8 años), el reglamento habla de ella en su artículo 83, “Prestaciones de servicios sin acceso a datos personales”. El nombre no deja lugar a muchas dudas, en cualquier caso. En este caso encontraremos a empresas cuya prestación de servicios no está relacionada con DCP pero que pueden tener un acceso esporádico a dicha información.

    Sigamos con A y veamos un par de casos. Esta empresa ha contratado a E, una empresa de limpieza, cuyo contrato no está obviamente relacionado con la gestión de DCP. No obstante, cabe la posibilidad de que en el desempeño de sus tareas, los empleados de E puedan ver DCP.

    La empresa A también ha contratado a una empresa de seguridad, llamémosla por ejemplo F, quien les ha puesto un guardia de seguridad vigilando el perímetro de la empresa. De nuevo, en su trabajo Felipe (que así se llama el guardia) no gestiona DCP, pero es evidente que puede ver personas entrar y salir de la empresa aparte de otros tratamientos esporádicos.

    Ahora bien, si a Felipe le dan nuevas atribuciones y pasa a llevar el registro de entrada y salida del personal y de los visitantes, la empresa de seguridad pasa a ser un encargado del tratamiento, al gestionar DCP “por cuenta”, “por encargo”, “en nombre” de la empresa A.

    En estos casos, el contrato de prestación de servicios “recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio” (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.

    De nuevo, tampoco en este caso la empresa de seguridad deberá declarar el tratamiento, porque mientras se dedique a la vigilancia perimetral no hay tal tratamiento, y en otro caso es un tratamiento de la empresa A, no suyo.

  • Cesionario: Por último, llegamos al cesionario, o receptor de una comunicación de datos. La LOPD define en su artículo 3.i) la cesión o comunicación de datos como “toda revelación de datos realizada a una persona distinta del interesado“. No obstante, cuando esta comunicación de datos esté relacionada con una prestación de servicios, no se considerará cesión de datos, tal y como especifica el artículo 12.1 de la LOPD: “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento“. El artículo 20.1 del RDLOPD añade una consideración importante: “No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado“.

    Nótese que esta figura es la más relacionada con infracciones de la LOPD, ya que a menudo las garantías que deben establecerse para la cesión de datos (en general, consentimiento del afectado) no se cumplen. Digámoslo de esta manera, un cesionario es “alguien” que desea realizar tratamientos “propios” sobre los datos que recibe, y en algunos casos el usuario no daría su consentimiento para esos tratamientos. A diferencia de los casos anteriores, dado que existe un nuevo tratamiento de datos y un nuevo vínculo entre el usuario y la empresa destinataria de los datos, sí es necesario que la empresa cesionaria declare el tratamiento correspondiente ante el RGAEPD.

    Veamos un par de ejemplos de qué es una cesión de datos.

    Imaginemos que la empresa A le proporciona (vende, cambia, envía) los datos de sus empleados a una empresa de telemarketing para que ésta los utilice para sus campañas. En este caso estaríamos hablando de una comunicación de datos legal si se ha solicitado previamente consentimiento al usuario (y por tanto se han proporcionado únicamente los datos de aquellos que han otorgado dicho consentimiento), e ilegal si no ha sido así. Téngase en cuenta que este caso es diferente del caso en el que la gestoría B decide por su cuenta y riesgo utilizar los datos de los empleados de la empresa A para mandarles propaganda sobre declaraciones de impuestos, tal y como indica el artículo 12.4: “En el caso de que el encargado del tratamiento destine los datos a otra finalidad […] incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento […]“.

    Asimismo, también es diferente al caso en el que la empresa A contrata a la empresa de telemarketing H para realizar una campaña comercial, dado que en este caso se trataría de un encargado del tratamiento y quien podría incurrir en una ilegalidad es la empresa A. Es habitual ver este caso para intentar evitar la LOPD: una empresa española contrata a una empresa india para que envíe información comercial a sus clientes, a cuya entidad (la empresa india) no aplica la LOPD. No obstante, dado que el tratamiento de datos es realizado “en el marco de las actividades de un establecimiento del responsable del tratamiento” (Artículo 3.1.a RDLOPD), le aplica la LOPD.

    Veamos para acabar otro caso más legal. La empresa A decide contratar un seguro de salud para sus empleados con la empresa J. Dado que dicho tratamiento de datos no está directamente relacionado con ningún contrato de prestación de servicios entre A y J, se trata de una comunicación de datos para la que A debe solicitar consentimiento. Además, en este caso es evidente que se crea un nuevo vínculo independiente entre el empleado y la empresa aseguradora en el que la empresa A no interviene, que puede mantenerse incluso cuando la relación laboral entre el empleado y la empresa A haya finalizado, si el primero lo desea.

Evidentemente, hay muchos otros aspectos de estas figuras que sería destacable mencionar, pero antes de nada, es imprescindible que una organización sepa indicar qué es un encargado del tratamiento, qué un cesionario y qué un prestador de servicios sin acceso a datos, dado que cada una de estas figuras requiere un tratamiento diferente. Espero que haya resultado esclarecedor, pero sírvanse de preguntar en los comentarios si les queda alguna duda.

El concello de Cerdedo, 200.000 € y muchas dudas

No es raro, en los tiempos que corren, recibir continuos mensajes sobre las precauciones a tomar cuando accedemos a una web o recibimos un correo que pueden ser potencialmente falsos, hasta el punto de que el concepto de phishing es cotidiano para cualquiera que sea un usuario habitual de Internet. Bueno, es o debería ser. Tampoco resulta raro oír de vez en cuando que éste o aquél han sido estafados haciendo uso de esta técnica.

Lo que quizá no resulte tan familiar es que el robo ascienda a 200.000 euros, que se trate de una entidad pública como es el caso del concello de Cercedo y que salga en prensa. Aunque teorías conspirativas no han faltado al parecer en las redes sociales, vamos a centrarnos en lo que sabemos, que no es mucho y con el prisma distorsionador de la prensa generalista podemos afirmar que es todavía menos.

Resumiendo mucho, la cuestión es que el personal municipal intentó entrar el pasado lunes al portal de banca online y al no poder acceder, lo postergó al día siguiente, cuando descubrió que no quedaba ni un euro de los 200.000 € que debería haber en la cuenta. La investigación apunta a que el fraude fue realizado vía phishing, aunque no está claro. Déjenme exponer varias reflexiones en voz alta.

Lo primero con lo que nos encontramos es con el bloqueo de la cuenta bancaria. El artículo apunta a que a pesar (y gracias a que) el personal del concello no podía acceder a su cuenta, los ladrones tenían más tiempo para realizar las transferencias. Aunque como pueden imaginarse no conozco todos los servicios de banca electrónica de este país, voy a asumir por lógica que cuando una cuenta se bloquea, se bloquean (o deberían hacerlo) todas las operaciones sobre ella, o al menos las que se pueden realizar desde el interfaz de usuario. En este caso, existen varias posibilidades.

La primera opción es el artículo es incorrecto o inexacto y que a pesar de lo que indica (“los estafadores dispusieron de unas veinte horas en las que realizaron transferencias de cantidades aleatorias a diferentes cuentas“) las transferencias sí se llevaron a cabo durante el lunes y el martes, pero en realidad se habían programado con anterioridad a ese lunes. Seguramente poca gente revisa las transferencias periódicas de su cuenta bancaria, y este podría ser el caso. Programo el sábado una transferencia bancaria y bloqueo la cuenta el día que se va a realizar, con lo que además se evita un potencial bloqueo de las funcionalidades del interfaz de usuario, pero seguramente no de aspectos como las transferencias periódicas ya que se presume que se programaron mientras la cuenta no estaba bloqueada. Sí, ya sé que son muchas conjeturas, pero es todo lo que tenemos.

La segunda opción es que el artículo es correcto y que a pesar de encontrarse la cuenta bloqueada, o bien continuaba siendo operativa para un usuario que permaneciese registrado en la página, o los ladrones habían conseguido “saltarse” ese bloqueo. En el primer caso se trataría de un problema de seguridad funcional y en el segundo un problema de seguridad lógica. Incluso en el primer caso (la cuenta bloqueada es operativa si estabas registrado antes del bloqueo), parece razonable considerar el control 11.5.6 de la norma 27001: “Deben usarse limitaciones en el tiempo de conexión en aplicaciones de alto riesgo para añadir seguridad adicional“, que en mi variada experiencia como usuario en portales de banca a distancia no he encontrado todavía implementado (si bien sí es habitual el 11.5.5: “Las sesiones interactivas deben terminar tras un periodo establecido de inactividad“). Lo cierto es que aun considerando el control 11.5.6, realizar una transferencia y conseguir bloquear la cuenta mediante intentos de acceso fallidos no puede llevar un tiempo demasiado grande. No obstante, el artículo habla de veinte horas y múltiples transferencias.

Lo que nos lleva al siguiente punto: la elección del momento.

Según plantea el artículo, “En la cuenta acababa de ingresar la Xunta cantidades importantes correspondientes a subvenciones que la Administración local esperaba desde hacía meses“. Vale, quizá sea casualidad que el fraude se realizase justo en ese momento, pero es cuanto menos sospechoso y puede despertar sospechas fundadas sobre la potencial existencia de un insider (el alcalde ha defendido a los empleados del concello: “Poño as mans no lume por todos os empleados“), bien en el entorno del concello o en cualquier entidad pública o privada que fuese conocedora de que dicha transferencia se iba a realizar. No conocemos el número de personas que estaban al tanto de la transferencia en cuestión, y podríamos estar hablando de decenas de personas o quizá incluso más de un centenar; dada la crisis actual, no es descartable que el concello estuviese esperando el dinero para abonar algunos retrasos a proveedores, a los que habría podido tranquilizar informando de que estaban esperando una transferencia. Al final, el resultado es que esta información podría haber sido casi de ámbito público.

Hemos de tener en cuenta que a pesar del momento concreto en el que se realiza el acto delictivo, siendo conocedor de que dicha transferencia se iba a realizar, el delincuente podría haber obtenido las credenciales semanas o meses antes y mantenerse a la espera; no sé si se habrán percatado, pero por la razón que sea las claves utilizadas habitualmente en banca a distancia, ya sea la de acceso o la que permite realizar operaciones (a través de claves o tarjetas de coordenadas), no es algo que suela cambiarse con frecuencia, sino más bien al contrario. Si este fuese el caso, no hablaríamos de una casualidad sino de un delito perfectamente planificado.

El siguiente aspecto a tener en cuenta es el método de acceso a las credenciales. Según el artículo, los primeros indicios apuntan hacia el phishing. No obstante, si atendemos a la “idoneidad” del momento, estaríamos ante un caso de phishing dirigido y no el típico correo masivo mal redactado, pobremente diseñado y cuya similitud con el original es fruto de la casualidad. Esto complica enormemente las posibilidades de que un usuario pudiera detectar que se trataba de una página fraudulenta ya que el nivel de “esmero” que los delincuentes podrían haber puesto en el diseño del ataque y el portal falso lo haría casi indetectable y más si había algún tipo de control sobre la infraestructura tecnológica del concello que permitiese modificar registros del DNS o similares.

Sin embargo, las claves de acceso suelen ser diferentes a las claves de operación, por lo que o bien los atacantes llevaban el tiempo suficiente escuchando para obtener dichas claves, o el usuario introdujo por ignorancia todas las claves que se le solicitaron. Tengamos también en cuenta que suplantar una web permite cierta “libertad” a la hora de solicitar información adicional, como por ejemplo podría ser el caso de una verificación “rutinaria” de comprobación de claves de operación.

Aunque vamos a ir acabando, hay diversos puntos adicionales a señalar.

Por un lado, está el hecho de que los delincuentes cambiasen la clave y el concello no se percatase, ya sea porque no existe esa alarma en Novagalicia o porque el destinatario no recibió dicha alarma: En el caso del Concello de Cerdedo, se presume que se pudo haber operado en un falso portal de Caixanova, facilitando a través de él las claves a los piratas. Estas fueron luego sustituidas por otras para ganar tiempo para vaciar la cuenta. Confieso que ignoro si este tipo de alarmas existen, pero es evidente que el cambio de clave de acceso debería remitir un SMS al teléfono especificado para ello, y ese teléfono estar especialmente protegido. De igual forma, la ejecución de una transferencia suele (ignoro si es el caso de Novagalicia) generar una alarma. Desgraciadamente, disponiendo de las claves de operación, es sencillo cambiar el teléfono, por lo que alguien que dispone de dichas claves puede evitar sin ninguna dificultad que el legítimo dueño de la cuenta reciba el SMS (pero no si este cambio también genera una alarma). Esto evidencia que con la existencia de determinadas alarmas, hay algunos fraudes que se evitarían y al mismo tiempo, que hay algunos datos y uno de ellos es el de alarma y notificación que no deberían poder ser configurados desde el portal de banca electrónica. A pesar del usuario.

Por otro lado, llama la atención que mientras el Concello no recuperó el control, los estafadores dispusieron de unas veinte horas en las que realizaron transferencias de cantidades aleatorias a diferentes cuentas. Quizá la transferencia de 200.000 € en dos días a diversas cuentas debería haber despertado cierta alarma en los sistemas de correlación bancaria y más tratándose de un organismo oficial. Cierto es que puede tratarse de una operativa legítima, pero podemos plantearnos si sería razonable que desde el banco alertasen sobre este tipo de situaciones.

Por último, me preocupa la frase “el personal municipal intentó acceder a la cuenta el lunes y no fue capaz. Creyendo que se trataba de algún problema informático, dejaron la operación para el martes“. Con ese planteamiento, no se me ocurren muchos problemas informáticos que desemboquen en un problema de acceso a un portal remoto de banca a distancia, por lo que cabe pensar que la formación en materia de seguridad informática del personal que manejaba estas cuentas no era todo lo buena que cabría esperar. También es razonable plantearse si el personal habría actuado igual si el acceso bloqueado hubiese sido el de acceso a sus cuentas bancarias personales. Lo cierto es que probablemente no; si nos ponemos nerviosos hasta cuando no podemos acceder a nuestro perfil de Facebook (hasta que nos damos cuenta de que las mayúsculas están activadas), ¿por qué nadie llamó al servicio de atención telefónica del banco? Si se pensó que era un problema informático, ¿por qué no se avisó al personal informático? Y si se avisó, ¿qué se hizo luego?

Evidentemente, no tenemos más que un artículo periodístico con múltiples lagunas y desconocemos hasta qué punto los hechos son tal y como se cuentan. Sin embargo, aun en ese caso y evitando caer en acusaciones infundadas, hay varias lecciones que podemos aprender. Pasen un buen fin de semana y no pierdan de vista sus ahorros, estén donde estén. Nos vemos de nuevo el lunes.

DarsonChem Inc. vs. GruM GmbH (I)

Michael Henning nació el 7 de abril de 1954 en una pequeña ciudad del Oeste de Estados Unidos en, como suele decirse, el seno de una familia de corte rural. Sin novedades durante sus primeros años, se matriculó en Química en la Universidad de Berkeley (California). Aunque ésta no era en realidad su primera opción, la escogió debido a la existencia de un pequeño negocio familiar de plásticos y la presión de su familia.

Michael salió de la universidad como uno de los cinco mejores estudiantes de su promoción, con un título en química —especialización en bioquímica— y para desgracia de su madre, un puesto de trabajo bien remunerado como ingeniero químico para Darson Chemicals, Inc., una de las 20 primeras compañías químicas de Estados Unidos con una facturación de aproximadamente 72 millones de dólares según datos de 1974. La empresa de plásticos de su padre se vendería unos años más tarde a un competidor local.

Trabajó para DarsonChem durante 17 años, tiempo durante el cual llegó hasta el puesto de responsable ejecutivo y estratégico para Europa Occidental, donde la compañía comenzó a introducirse en 1981 y tras una rápida expansión inicial experimentó una fuerte contracción a causa de la competencia agresiva de varios competidores alemanes. La salida de Michael Henning de DarsonChem tuvo lugar durante dicho periodo de declive aparentemente por diferencias internas, momento en el cual la facturación de la compañía ascendía a 5570 millones de dólares, siendo el mercado europeo el 17% del montante total en ese momento, desde el pico del 27% mostrado en 1984.

Michael se incorporó en 1992 a Grunwald und Metzger GmbH, la segunda empresa química alemana y quinta a nivel mundial, en un puesto intermedio como analista estratégico para el mercado asiático. Gracias a su experiencia y la fuerte amistad que mantenía con parte del equipo directivo, a partir de 1995 comenzó informalmente a participar en las reuniones del comité ejecutivo, lo que le valió diferentes privilegios y le proporcionó acceso a información sensible para la compañía. Henning se prejubiló anticipadamente en julio de 2006.

El 7 de diciembre de 2008 GruM acusó a Michael Henning y DarsonChem de espionaje industrial, en la mayor trama de este tipo conocida hasta la fecha. Según se demostró, la entrada de Michael Henning en GruM fue un movimiento orquestado conjuntamente por éste y DarsonChem, con el propósito de debilitar no sólo la expansión de GruM en América del Norte, el mercado principal de DarsonChem, sino también de reducir la competencia que DarsonChem tenía en Europa e influir negativamente en las agrupaciones empresariales del sector debilitándolas.

Aunque teóricamente Henning tenía en GruM un perfil de puesto intermedio con acceso limitado a la información estratégica fuera de su ámbito de actuación, la documentación aportada por la empresa alemana durante el juicio demostró que Henning disponía de acceso a información confidencial no sólo del mercado asiático, sino también del europeo y norteamericano: planes estratégicos y de expansión, líneas de mercado, listados de proveedores y clientes, proyectos de I+D, tecnología y márgenes de producción entre otros. Adicionalmente, Henning no sólo participaba a nivel ejecutivo sino que se descubrió que diferentes directivos le incluían en su círculo de confianza y le proporcionaban información sensible. Se comprobó que muchas de estas personas ignoraban cuál era el puesto real de Henning y su nivel de acceso.

A finales de 2005, poco antes de la jubilación de Henning, la compañía alemana se encontraba estancada en el mercado americano y en clara contracción en el europeo, mientras que la empresa estadounidense había incrementado en 41 puntos su cuota en el mercado europeo y se afianzaba como la segunda compañía química mundial. Al comienzo del juicio contra Darson Chemicals, Inc. sus cuentas presentaban una facturación de 48440 millones de dólares, un crecimiento de más del 800% desde la salida de Henning, con una cuota del 71% en el mercado americano y del 64% en el europeo, mientras que GruM había descendido al puesto 17 en el ranking de empresas químicas.

DarsonChem fue obligada a pagar 2450 millones de dólares y aunque Michael Henning fue inicialmente condenado a catorce años de cárcel y una multa de 7 millones de euros, algunas omisiones en su contrato de confidencialidad e irregularidades en la obtención de las pruebas redujeron la condena a dos años de cárcel y una multa de 250.000 €. Actualmente está jubilado con una pensión vitalicia a cargo de DarsonChem.

* * *

Tras este incidente, en mayo de 2009 GruM contrató a Kornel Seiler como CSO para mejorar la seguridad y evitar problemas similares en el futuro. En próximas entradas veremos algunos detalles de la investigación y diferentes medidas que Kornel decidió implementar para evitar incidentes de este tipo en el futuro.

¿Inteligencia? colectiva

Ayer estuve viendo el primer capítulo de la miniserie británica Black Mirror (la pantalla negra que queda en cualquier dispositivo cuando éste está apagado), que les recomiendo encarecidamente que no se pierdan si tienen la oportunidad de verla. Sin desvelarles ningún secreto de la trama, el argumento de este primer capítulo gira en torno al poder viral e irreflexivo que las redes sociales pueden llegar a tener hoy en día, llegando a forzar decisiones gubernamentales y marcando la agenda periodística, a menudo más preocupada por los trending topics que por dar un enfoque objetivo y reflexivo a la realidad.

Hace unos días en un medio digital de ámbito nacional, un periodista poco dado a los números afirmaba que los aproximadamente 3,6 céntimos por litro que supondría la subida del IVA de los carburantes del 18% al 21% harían que la gasolina, que en ese momento estaba a 1,51 €/litro, pasase a superar los 1,8 €/litro. Evidentemente, 1,51 € + 0,036 € no suman 1,8 €, sino 1,546 €. No sé si fue gracias a los comentarios que hicimos un par de personas (de un total de más de 100 comentarios), pero el caso es que aproximadamente un par de horas después el titular indicaba que en lugar de superar los 1,8 €, se situaría “rozando” los 1,6 €/litro. Sin embargo, el error todavía persiste en el último párrafo de la noticia, y al parecer numerosos medios cometieron este error, al proceder la información de una noticia de Europa Press evidentemente poco analizada y contrastada. No es mi intención entrar a valorar errores periodísticos de bulto, tarea que ya hacen otros de manera admirable, ni tampoco analizar lo sencillo que resulta cambiar el contenido de una noticia digital sin que los lectores siguientes a la modificación perciban dicha alteración. La cuestión aquí son el centenar de comentarios de Público.es que ignoraron el contenido de la noticia, o las personas que en lugar de plantearse si la información era correcta, retuitearon directamente la información.

Durante los últimos meses, proliferó en las redes sociales (Facebook y Twitter, principalmente) la información de que en España hay aproximadamente 450.000 políticos, argumento que saltó de estos entornos más o menos “populistas” a medios más “serios” como tertulias radiofónicas, artículos de opinión, periódicos digitales y probablemente también a la televisión. En la situación actual de crisis y gracias al malestar existente con la clase política, resultaba tentador prescindir de cualquier análisis crítico e ir directamente a los números, que mostraban una comparación entre España y Alemania en población y políticos que facilitaba poner a los nuestros a caer de un burro. Afortunadamente, a estas alturas diversos medios ya han aclarado que de cuatrocientos mil políticos, nada de nada. Sin embargo, dicha información ha sido repetida hasta la saciedad durante meses probablemente por miles de personas en Twitter, Facebook, Tuenti, blogs personales, conversaciones con amigos, tertulias “políticas” y vayan a saber dónde más.

La cuestión aquí no es la falta de espíritu crítico que parece alumbrar todos estos ejemplos (en especial los dos últimos), que sería material para un blog de diferente temática, sino poner de relevancia la fuerza y el poder que las redes sociales están adquiriendo poco a poco (y que sin ese espíritu crítico, no son otra cosa que altavoces de intereses ajenos). Cierto es, en mi opinión, que no estamos todavía en condiciones de afirmar que Facebook o Twitter puedan ser representativos de la realidad social o política; por un lado, el diseño de las redes sociales en torno a “amigos” y personas con mismas aficiones y opiniones tiende a actuar como una lupa en la que las opiniones propias se ven automáticamente respaldadas por la —nuestra— comunidad y también como una burbuja en la que el usuario accede a los contenidos que le son afines (aunque esto es aplicable también a los ámbitos no digitales). Por otro, es conveniente no olvidar que una gran parte de la población con voz y voto no está presente en las redes sociales.

Sin embargo, no es descabellado pensar que la tendencia actual hará que Facebook, Twitter, Youtube, etc., o aquellas tecnologías y empresas que las releven en el futuro, vayan cobrando una mayor relevancia e importancia con el paso de los años y a medida que los actuales nativos digitales las incorporen a las diferentes esferas sociales. Sin dejar de lado los aspectos completamente beneficiosos de las redes sociales, todos hemos visto la típica escena de película de vaqueros en la que una masa enfurecida trata de linchar a un sospechoso, con independencia de que se haya decidido su culpabilidad o no; todos conocemos la frase difama que algo queda. Quizá no sea hoy, pero como sucede en el capítulo de Black Mirror, puede llegar un día en el que la masa social a través de las herramientas de comunicación digital pueda llegar a hundir una empresa, a una persona, o participe involuntariamente en la comisión (de cometer) o difusión de un acto ilegal o reprobable. ¿Es tolerable permitir que algo así pueda suceder con total impunidad, como si estuviésemos a bordo del Orient Express?

Por tanto, desde el punto de vista social, la cuestión es: ¿cómo conseguir que esa inteligencia colectiva no sea en realidad un martillo neumático que se pone en marcha de manera arbitraria a veces, orquestada en otras, destrozando aquello que encuentra a su paso con o sin razón? Y lo que resulta igualmente importante: ¿cómo hacerlo sin que a) entremos en el peligroso mundo de la censura y b) el martillo neumático lo entienda como censura? ¿Es razonable empezar a pensar en mecanismos de (auto)control?

Desde el punto de vista de la empresa, no tengo ninguna duda de que la defensa, monitorización y control de la imagen de marca y la reputación (digital o no; cuando lo digital salta al mundo físico no tiene sentido diferenciar) y los riesgos que la rodean van a adquirir una importancia destacable en los años venideros. En el primero de los ejemplos, en un momento del capítulo el primer ministro británico pregunta a su asesora por el protocolo a seguir. Pueden imaginarse la respuesta.

[Sobre el autor]