VoIP Hopper

10 de mayo de 2009 Por

Como indicamos el pasado viernes en nuestro twitter, el pasado 5 de mayo llegó a la lista pen-test de Securityfocus el anuncio de la liberación de la version 1.0 de la herramienta VoIP Hopper, una herramienta para sistemas Unix/Linux, escrita en C y licenciada como GPL3, que nos va a ser muy útil para securizar nuestra red, concretamente la capa dos (muchas veces olvidada), debido a que está basada en la tecnica conocida como Vlan Hopping con la cual podemos ser capaces de saltar a una Vlan del switch a la que no pertenecemos.

Con la aparición de esta nueva versión de la herramienta, se amplía la lista de herramientas dedicadas exclusivamente a auditoría de redes de Voz sobre IP, como pueden ser SIPVicious, Voiper, sipdump/sipcrack, VoipPong, etc.

Puesto que cada día son más las empresas que llevan a cabo una unificación de sus comunicaciones, partiendo con la implantación de una red Voz usando su propia red local, y finalizando con la unificación total de sus comunicaciones (Voz sobre IP, mensajería unificada, servicio de presencia, etc.), la seguridad de la red se convierte en un aspecto crítico a tener muy en cuenta a la hora de realizar dicha integración, para garantizar, no solo la calidad del servicio, sino también la disponibilidad, confidencialidad e integridad de la informacion que atraviesa el sistema. Por lo tanto, en caso de disponer de sistemas VoIP en nuestra red, debe ser una buena práctica de seguridad llevar a cabo un plan de auditoría de vulnerabilidades específico contra los servicios que forman parte de dichos sistemas.

Clasificación de la información (I)

8 de mayo de 2009 Por

En las auditorías de seguridad de la información, al igual que en las de protección de datos personales, uno de los temas que es motivo frecuente de incumplimiento, es la carencia de un procedimiento de clasificación de la información y adicionalmente, la clasificación de los riesgos inherentes a aquella. ¿Cómo se entiende que una organización pueda controlar la información que gestiona (importante activo) sin establecer ciertas categorías en la misma y aplicar los debidos controles para su validación, protección y limitación de uso y acceso?

Unos ejemplos

El periódico que está sobre la mesa de recepción, no tiene clasificación alguna y es de acceso público, pero si casualmente hablase de la organización, probablemente se intentaría evitar su acceso (en caso negativo) o se pincharía en el tablón de anuncios (caso positivo); vemos que el contenido —la información— delimita la categoría del soporte. Un albarán de envío de materiales (pongamos una fábrica de tubos) a un cliente sólo mostrará la dirección social del cliente y la lista de productos, siendo por tanto una información confidencial, pero de bajo nivel de riesgo. Sin embargo, si el mismo albarán va valorado, mostrará precios aplicados al cliente así como posibles descuentos y formas de pago (no quisiera pensar que mostrase la cuenta bancaria), conteniendo de este modo información confidencial de un nivel superior en relación al caso anterior, dado que cualquiera que tuviera acceso a él, podría conocer detalles sobre los términos comerciales de acuerdos en precios, descuentos y formas de pago con el cliente. Esta información es sensible y muy apetecida por la competencia.

[Read more…]

Cuantificación de la seguridad

6 de mayo de 2009 Por

(La entrada de hoy es la tercera colaboración de Francisco Benet, un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

En el mundo empresarial, tan alejado del mundo real de la seguridad informática, todo debe ser cuantificable; se definen ROIs (Return On Investment), ROSIs (Return On Security Investment) y otros tantos conceptos con sus correspondientes acrónimos para poder cuantificar los gastos e inversiones. La norma es que todo debe ser metido en caja. Y esto aplica para la seguridad, ya que la seguridad aunque no lo parezca, también se vende.

[Read more…]

Copias de seguridad: Virtual Tape Library (VTL)

4 de mayo de 2009 Por

Es incuestionable que uno de los activos más valiosos de una empresa son sus datos, y como tal es imprescindible que estemos preparados para poder recuperar el servicio lo más rápido posible. Esta fórmula se aplica desde un simple fichero hasta la restauración de toda la infraestructura de un negocio.

Desde siempre, el método preferido para salvaguardar toda la información han sido nuestros amigos los llamados cartuchos o cintas. La diferencia de capacidad de almacenamiento entre estos dispositivos secuenciales y los discos duros de nuestras máquinas siempre ha sido bastante amplia, y prueba de ello es que para este mismo año se espera el lanzamiento de las cintas LTO5, con una capacidad nativa de 1,6Tb y comprimida de 3,2Tb. Y para el 2010/2011 las LTO6, doblando las características de las anteriores (¡¡hasta 6,4Tb en un solo cartucho!!).

Hasta hace unos años, la diferencia de precio entre disco y cinta era mayor. Hoy en día no lo es tanto, una LTO4 (800Gb nativos) puede costarnos aproximadamente unos 60€, y un disco de esa capacidad ya no está tan lejos. Hay que tener en cuenta que cada vez hay más datos que salvar y cada vez menos tiempo para hacerlo. Las ventanas de Backup se reducen, los sistemas necesitan estar en producción más tiempo, y por tanto necesitamos soportes más rápidos, terreno en los que los discos se llevan el gato al agua. Pero, ¿cómo vamos a gestionar los volúmenes de copia en un disco duro? Pues para ello tenemos las Virtual Tape Library (VTL), que es a todos los efectos como una cabina de discos. La tecnología detrás de esta idea es bastante sencilla: tomando como base un conjunto de discos físicos se crean cartuchos de cinta virtuales; a grandes rasgos y salvando las diferencias, es como cuando compramos un disco duro para nuestro PC y lo particionamos en varias unidades.

Este sistema es totalmente transparente para la aplicación que tengamos de Backup. La VTL es detectada simplemente como un robot de cintas, con la excepción que no dispone de cartuchos físicos. Quedarnos sin cintas es así casi imposible, ya que la propia VTL particiona nuevo espacio si lo necesita y crea nuevos cartuchos virtuales. Es lo que se conoce como copias D2D (Disk to Disk). Si el robot de cintas fue un punto de inflexión, las VTL son el cambio definitivo.

Más de uno ha vaticinado el fin de los cartuchos en unos pocos años. No obstante, el punto más fuerte de éstos es la fiabilidad, ya que en una caída accidental el porcentaje de supervivencia de este soporte es muy alto, pero imaginemos la misma situación para un disco duro. Esto hace de los cartuchos soportes ideales para las copias OFFSITE, aunque también hoy en día esto se puede solucionar con las VTL. Hay librerías VTL que llevan incluidas un lector de cinta, con lo que tenemos como resultado un sistema híbrido que permite usar las dos tecnologías. Otra opción para administrar las copias OFFSITE es sincronizar con un centro de contingencia los cartuchos virtuales usados: a una escala WAN mandarlos por la línea de comunicaciones a otra ubicación física, con lo que siempre tendremos duplicadas todas las copias realizadas en dos ubicaciones diferentes, y a las pocas horas de haber realizado dichos backups (siempre que la línea de comunicaciones lo permita, claro). Como es obvio, esta última solución tiene un coste no despreciable, aunque puede ser recomendable (o necesaria y/u obligatoria) en sistemas de negocio críticos. En definitiva, si tenemos bien estructurada y monitorizada nuestra plataforma de copias, con esta opción tenemos la cura definitiva contra el insomnio.

Visto y dicho esto, ¿Quién recordará en un tiempo lo que era una DAT, una DLT o una LTO? Yo no.

(N.d.E.) Es de bien nacidos ser agradecidos, por lo que todo el equipo de Security Art Work quiere dar las gracias a Security By Default por incluirnos en su lista de blogs interesantes sobre seguridad, y a los lectores por seguir leyéndonos. ¡Gracias!

Peritajes informáticos

27 de abril de 2009 Por

Cuando una organización sufre determinados incidentes de seguridad (por ejemplo, una intrusión), se plantea la realización de un análisis forense, en el que se tratan de obtener y presentar evidencias electrónicas del problema acaecido; adicionalmente, en ocasiones —no siempre, aunque si se ha producido un delito debería ser así—, es necesario efectuar una denuncia, y es entonces cuando surge la necesidad de realizar un peritaje informático por parte de un perito cualificado.

Un peritaje informático tiene como objeto dar respuesta técnica a una serie de cuestiones planteadas bien por una de las partes bien por el propio juez; dicha respuesta, por muy complejos que sean el desarrollo o las bases de la misma, debe ser concisa y sencilla (pensemos que la tienen que interpretar personas que no tienen por qué estar familiarizadas técnicamente con el objeto del informe). Así, siempre es conveniente incluir un apartado de “conclusiones” dentro de nuestro informe, en el que en base a todo lo desarrollado en el cuerpo del mismo, se muestren de forma resumida las respuestas a las cuestiones planteadas.

Para poder realizar y defender un informe pericial no es necesario, a priori, ningún requisito especial; no obstante, en la práctica suele ser positivo para que el informe sea tenido en cuenta por el juez, bien disponer de una titulación académica adecuada al objeto del informe, o bien disponer de una experiencia profesional en el campo al que el informe hace referencia. Dicho de otra forma, yo podría presentar un informe pericial acerca de los problemas de salud que un determinado individuo dice padecer y dar mi opinión acerca de si estos problemas han influido en la comisión de un delito, pero como no soy médico, mi informe sería poco más que papel mojado ante un tribunal. Por este motivo, cuando estamos tratando casos en los que entran en juego la informática o las telecomunicaciones, tanto el juez como las partes tratarán de buscar peritos Ingenieros Informáticos o de Telecomunicación. Las empresas de seguridad que tienen entre su catálogo de servicios, dentro de los aspectos de gestión de incidentes, los peritajes, disponen —o deben disponer— de Ingenieros cualificados para realizar estos informes; además, los Colegios Oficiales disponen en muchos casos de turnos de actuación profesional (algo equivalente al turno de oficio para los abogados) para aportar peritos en aquellos casos en los que se solicitan (por ejemplo, en la Comunidad Valenciana, el Colegio Oficial de Ingenieros en Informática dispone de este turno de actuación).

Los que hemos realizado y defendido informes periciales —tanto de parte como judiciales— ante un juez, nos hemos tenido que enfrentar en muchas ocasiones a los principales problemas que bajo mi punto de vista existen a la hora de emitir un informe; en este orden:

— Incapacidad técnica para la emisión del dictamen.

Si hay que realizar un informe acerca de un individuo que se ha roto una pierna, desde el juzgado buscarán a un traumatólogo, no a un neurocirujano, por muy médico que este sea. Obvio, ¿verdad? Pues cuando entra en juego la tecnología, esto no es tan obvio… exagerando un poco, si asesinan a alguien dándole golpes con un portátil, es fácil que se busque a un Ingeniero Informático para emitir el informe en cuestión. Ante casos de este tipo, el perito debe ser tajante: se rechaza la realización del informe por incapacidad técnica. Por muy perito informático que yo sea, rechazaré una pericia relacionada con el mal funcionamiento de un SAP, porque desconozco técnicamente su funcionamiento y no me siento capacitado para hablar con propiedad sobre este entorno —y más cuando delante tengo a gente que puede estar jugándose penas de cárcel—.

— Técnicamente, todo es posible.

Por muy obvia que para un técnico sea una cuestión, para un juez o un abogado no lo es tanto; así, si estamos realizando un informe en el que se indica que un individuo ha utilizado su ordenador para atacar sistemas de terceros, y al individuo en cuestión se le incauta un equipo lleno de herramientas de hacking (con sus correspondientes accesos directos en el escritorio), ficheros de contraseñas, logs de chats… el acusado siempre puede decir que todo eso “se lo han puesto por la WiFi” y que él no sabe nada. Y cuando nos pregunten si eso es técnicamente posible, tendremos que decir que sí (aunque insistamos en la baja probabilidad por N motivos). En función del juez que lleve el caso, se declarará al acusado inocente.

— Contraposición de visiones: juristas y peritos.

Como hemos dicho antes, cuando realizamos un informe pericial debemos responder desde un punto de vista técnico a una serie de cuestiones que se nos plantean; es vital no incluir nunca opiniones personales no fundadas, y también es importante no entrar en el ámbito del abogado o del juez: un perito nunca puede decir, por muy obvio que técnicamente le parezca, que el acusado es culpable o inocente. Los aspectos jurídicos no entran de ninguna manera en el ámbito de actuación de un perito. De la misma forma, el perito no puede admitir —esto suele suceder en los informes de parte, no en los judiciales— opiniones legalistas que no se correspondan con la estricta realidad: si en nuestro informe decimos que algo es “altamente improbable” queremos decir sólo eso, que es altamente improbable, y no que es imposible (un término que seguramente para el abogado será mucho más directo y efectivo, y por tanto tratará que incluyamos en el informe, pero que técnicamente puede no ser cierto).

Finalmente, un problema que no es exclusivo de los peritos, sino que quizás es generalizado en el sistema judicial: para defender durante quince minutos nuestro informe, seguramente invirtamos toda una mañana en los juzgados. Ante esto, paciencia: es lo único que podemos hacer como peritos :)

Estados Unidos, “des-unidos” por los fallos de seguridad informática

24 de abril de 2009 Por

No es un secreto que Estados Unidos está expuesto a ataques cibernéticos de cualquier procedencia, y cada vez más. Un informe que se encuentra actualmente en preparación y que fue solicitado por la Casa Blanca y que pueda confirmar la falta de “ciberseguridad” de las infraestructuras de los Estados Unidos llegará cómo agua de mayo; además de los fallos informáticos detectados en sectores clave, existe la percepción de que la situación general en todos los sectores de actividad es de vulnerabilidad. Pasen y vean.

En diez años, se han censado en los EEUU ciento veinticinco incidentes de seguridad en sistemas SCADA, sistemas que son utilizados en centrales nucleares, plantas de tratamiento de agua, plataformas petrolíferas y todo tipo de infraestructuras críticas. Los incidentes detectados van desde problemas locales y/o autónomos, hasta otros que agravan o se nutren de ataques desencadenados en otro lugar por empleados o consultores externos. Según el Summary Report #757 del Senado americano, hecho público el 20 de Marzo pasado, las consecuencias de este tipo de fallos pueden ser tanto materiales, medioambientales como humanas, según el testimonio de Mr. Keith Lourdeau, FBI Deputy Assistant Director, Cyber Division.

Sin ir más lejos, hace unas semanas un consultor informático en un proyecto de corta duración para una refinería de petróleo fue rechazado para un empleo fijo en la empresa consultora para la que trabajaba. Según la revista Wired del 18 de Marzo pasado y la District Court of California, se vengó dejando fuera de servicio un sistema destinado a la detección de fugas de las tuberías de conducción de crudo. Es más preocupante aun, si cabe, que la red eléctrica americana se vea comprometida en su funcionamiento por ataques cibernéticos; éstos habrían introducido virus en la red cuyas consecuencias potenciales serían muy graves, según indicaba Le temps.ch en su edición del 11 de abril del 2009. Según mencionó en el Wall Street Journal un ex-responsable del ministerio de la seguridad interior, los ataques “parecen generalizados en todos los EEUU y no están enfocados a una compañía o una región en particular”. Y a nadie se le escapa a estas alturas que estas brechas podrían convertirse en un arma en caso de conflicto geopolítico.

En la misma línea, en un informe reciente el Government Accountability Office (GAO) señalaba las graves carencias de la autoridad americana de vigilancia de mercados financieros, que no había tomado medidas de securización de sus sistemas de información. Aunque se imponían contraseñas complejas para los usuarios, el uso compartido de cuentas entre usuarios para utilizar una aplicación clave de la institución… ¡había sido autorizado! Por si eso fuese poco, la información y las comunicaciones de carácter confidencial de la institución no estaban cifradas, las contraseñas circulaban sin cifrar y la monitorización y vigilancia de los sistemas era insuficiente. Un informe anterior del GAO, probablemente olvidado en algún despacho debajo de un montón de papeles, ya apuntaba la necesidad de corregir tanto fallo, según recordaba el Network World el pasado 28 de febrero.

Las filtraciones de información, intencionadas o no, tampoco son escasas; un empleado de un proveedor del ministerio de defensa de los Estados Unidos distribuyó en Internet, sin saberlo, los planos del Marine One. La información secreta del helicóptero del presidente de los Estados Unidos se distribuyó mediante una red P2P, sin que el responsable de ello se percatase hasta algún tiempo después. Evidentemente, almacenar información confidencial o secreta en ordenadores conectados a Internet, y más en aquellos que contienen programas de intercambio de ficheros P2P, supone un factor adicional de riesgo de fugas.

En lo referente a ciberdemocracia y participación ciudadana, la seguridad de las máquinas para votar parece inexistente, tal y como vienen denunciando expertos como Bruce Schneier. Por una parte, el fabricante de las mismas, Diebold, admite la existencia de fallos de diseño, que quedaron demostrados no hace mucho. Por otra, un experto de la CIA ha afirmado, bajo juramento ante una comisión oficial, que ha observado fraudes electorales en los escrutinios venezolanos, así cómo en Macedonia y Ucrania.

Por si todo lo anterior no fuese suficiente, la propia policía de Nueva York también ha sido víctima de los ciber delincuentes, al haberles sido robado un soporte de información por parte de un empleado de los fondos de pensiones de esta institución, y por supuesto sin cifrar, conteniendo los nombres, direcciones, números de seguridad social y cuentas bancarias de los policías en activo y jubilados, según aparecía en el New York Post el pasado 4 de marzo. Cuesta entender este tipo de incidentes, cuando el cifrado de datos confidenciales se puede realizar sin grandes medios materiales, y sin la necesidad de utilizar software sofisticado o caro.

Todos estos ataques son llevados a la práctica en general sin demasiada dificultad: los administradores TIC piensan muy ocasionalmente en securizar y lanzar alertas a la nebulosa de ordenadores que gravitan alrededor de su red al respecto de la seguridad de la información y su transmisión, y se limitan a securizar su perímetro externo al mínimo. Por tanto, es suficiente para un hacker utilizar como vector de intrusión uno de sus contactos/clientes, que teniendo menos restringido su acceso por ser una parte confiable, puede alcanzar esos datos, o solicitar un acceso sin despertar sospechas. No por nada hay una ingente cantidad de robos de portátiles, siendo el objetivo del robo en muchos casos el disponer de acceso a la información del soporte y, si es posible, elevar los privilegios sobre la red de la empresa/institución atacada.

Como reflexión personal, no cabe otra que preguntarse por el caso español, ya que si en el país con mejor dotación del mundo en sistemas informáticos se cometen este tipo de barbaridades, en España existen lagunas, del tamaño de océanos en materia de seguridad de sistemas de información, ya sean militares, de salud, energía u otros. En lo referido a los ataques informáticos, pienso que hay que preocuparse en particular por aquellos que no se ven: si no son pocos los incidentes que conocemos, habrá que pensar en todos aquellos que han sido capaces de hacerlo sin haberse hecho notar, y que actualmente están en nuestros sistemas. El gran número de equipos infectados que forman parte de botnets no deja lugar a dudas.

Es necesario poner en marcha un amplio plan de formación en los diferentes sectores para concienciar de los riesgos de los ataques sobre los sistemas de información, mostrando la relevancia de fallos humanos, físicos y lógicos, y las consecuencias sobre redes y los puestos de trabajo. La diferencia entre los EEUU y nosotros, es que les llevamos al menos 20 años de retraso, y aún no nos hemos dado cuenta de que la seguridad es un aspecto vital para la defensa de nuestros intereses y un indicador de progreso, visto el papel cada día más importante que tiene la tecnología en nuestros días.

Protección por HDD Password

22 de abril de 2009 Por

Desde hace un tiempo, es de notoria actualidad la problemática que supone la pérdida y robo de equipos portátiles, con los consiguientes problemas al respecto de la información corporativa albergada en ellos; hasta una organización como el FBI llega a perder más de un centenar y medio, y aun peor, el Departamento de Energia de EEUU cifra en aproximadamente 1,400 los portátiles perdidos durante 6 años. En base a esto, hoy vengo a comentarles una técnica de protección presente en muchos portátiles, pero desconocida, y destinada a proteger la información de sus discos duros.

Todos los discos duros (según el estándar ATA de la Wikipedia) disponen de un mecanismo de protección mediante contraseña, que bloquea el acceso al disco si éste no recibe la contraseña adecuada al arrancar. Dicha opción está disponible en la BIOS del ordenador, normalmente identificada como HDD Password.

La fuerza de este mecanismo reside en que el elemento que protege la información es el propio disco duro, por lo que no existe una manera de bypassear al propio disco; si es extraído del ordenador y conectado a otro ordenador no se consigue extraer la información, ya que la contraseña y la limitación de acceso residen en el propio disco. Desbloquear el disco sólo es posible ejecutando una instrucción con hardware especifico que borra todo el disco. Así pues, esta medida añade una protección adicional a la protección de lectura, haciendo inservible el equipo sin un cierto esfuerzo, lo que podría disuadir de su robo o al menos del acceso a información confidencial/corporativa por parte de terceros no autorizados.

Esta es una manera barata y sobre todo independiente del sistema operativo para bloquear el acceso a los discos, en aquellos portátiles que lo soportan. Pero, ¿es una manera infalible? Pues como se podrán imaginar, al final de la película la información está ahí y “sólo” hay una protección física/lógico (protegida por la lógica de los circuitos del disco) que la protege del acceso de “indeseables”. Una empresa de recuperación de discos accediendo directamente al soporte podría recuperar la información, y además existen en el mercado dispositivos y cables que dicen que son capaces de desbloquear el disco. Por lo tanto no debe considerarse una solución ni infalible ni definitiva, siempre peor que el uso de cualquier herramienta de cifrado de disco como puede ser Truecrypt (libre) (editado 29.12.16: el desarrollo de Truecypt se interrumpió en 2014 y no se mantiene. Se han descubierto diferentes problemas de seguridad por lo que su uso es desaconsejable. Se pueden encontrar algunas alternativas en la página siguiente: https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/) o Safeguard (comercial), pero que es un impedimento más para los amantes de lo ajeno.

Como curiosidad comentar que este mecanismo es usado por el modelo antiguo de la Xbox de Microsoft para proteger el acceso a disco por parte de cualquier ente extraño que no sean sus propios juegos, lo que hace que aunque el soporte de la videoconsola sea un disco duro IDE, no se pueda contar a un PC. Esto también impide que se pueda poner otro disco duro a la consola, ya que si ésta no detecta su disco “protegido”, no arranca, sirviendo de protección en los dos sentidos.

Por último, existe un nuevo estándar de cifrado de discos en los que son los propios discos quienes cifran, aunque no todos están de acuerdo en su utilidad. Como conclusión sobre el HDD Password podemos decir que obviamente es mejor que no poner nada, y que se trata de una medida a medio camino entre el uso del password de la BIOS (de inferior protección), y el cifrado de disco mediante software (de mejor protección).

(N.d.E.: Ya tienen la solución a la sopa de letras de la entrada anterior.)

Sopa de letras

17 de abril de 2009 Por

Actualización 22/04/09 12:10h: Ya tienen la solución al pasatiempo al final de la entrada…

(N.d.E.: Aprovechando el día extra que tiene este fin de semana, les dejamos con un pequeño pasatiempo. Son diez palabras sobre un mismo tema. Les adelanto que es difícil y que necesitarán la Wikipedia si no son ustedes Bruce Schneier. Nos vemos el lunes. Cuidado ahí fuera. Ah… esta semana no hay encuesta.)

sopa-letras

[Read more…]

¿Son Sergey Brin y Larry Page discípulos de Hari Seldon?

15 de abril de 2009 Por

No sé si han leído ustedes la genial y totalmente recomendable serie de novelas de ciencia-ficción Fundación, de Asimov, pero si no es así, ésta tiene como parte fundamental de su argumento a la Psico-historia (no confundir con el término Psicohistoria en tanto que estudio de las motivaciones psicológicas de eventos históricos). Tirando de Wikipedia, según la descripción que hace Asimov a través de Hari Seldon, el personaje creador de dicha “ciencia”:

En un gas, el movimiento de una sola molécula es muy difícil de predecir, debido a los continuos choques con sus vecinas, pero el comportamiento a escala visible de un gas puede ser predicho con gran exactitud. Así, si se aplicaran cálculos estadísticos a una población lo bastante grande […] se podría predecir su evolución histórica y social global con gran exactitud.

Dejando eso claro de antemano, antes de continuar me veo en la obligación de advertirles que esta entrada tiene un nivel, digámoslo así, de imaginación e hipótesis bastante alto, aunque seguro que con lo que les he dicho hasta ahora se hacen una idea de por dónde van los tiros.

Estarán de acuerdo conmigo en que en general, en la actualidad el porcentaje de penetración de Internet en la población dista mucho de ser del 100%; según este estudio, a comienzos del 2007 la penetración media europea de Internet era de aproximadamente un 50%, siendo de un 43% en España. No es de esperar que esos porcentajes se hayan incrementado sensiblemente en un par de años, y si nos vamos a los usuarios “maduros”, como aquellos que no sólo disponen de acceso a Internet, sino que son usuarios habituales de redes sociales, foros, e-mail, buscadores, etc., el porcentaje será muy probablemente bastante inferior. Sea como fuere, por cuestiones de educación, medios económicos o edad, Internet no es aun algo que la mayor parte de las personas consideren imprescindible; casi todos conocemos a alguien que o bien su uso de la Red se limita al correo electrónico, o simplemente no accede a Internet.

Vayamos ahora a un escenario hipotético situado dentro de 50 años. Para entonces, y si el calentamiento global, la gripe aviar, una guerra nuclear, la contaminación, o el impacto de un meteorito no han acabado con nosotros, podemos suponer que la mayoría de personas del llamado “Primer Mundo” habrán nacido con acceso a Internet (si es que ésta sigue existiendo; como he dicho es un escenario hipotético); son lo que Enrique Dans primero Prensky y ahora el Berkman Center for Internet and Society llama “nativos digitales”. Los “inmigrantes digitales” como yo y probablemente usted habremos desaparecido (yo personalmente seré ya un octogenario) o habremos tenido suficiente contacto con Internet para ser considerados “pseudo-nativos digitales”.

Tanto para unos como para los otros, el uso de redes sociales, buscadores, foros, e-mail y engendros varios que vayan surgiendo y desapareciendo a lo largo de los años, en sus respectivos formatos, soportes y dispositivos será totalmente natural y parte de la vida cotidiana. Algo que sin duda alguna dejará una gran cantidad de registros, de la misma forma que cualquier persona activa en Internet hoy en día deja una huella representada en forma de historiales de búsqueda, registros de acceso a web, perfiles en redes sociales, discusiones en foros, opiniones en blogs, enlaces profesionales y personales, etc.

Imaginen que algo o alguien pudiera disponer de acceso a una muestra suficientemente representativa de dicha huella para la gran mayoría de dichos nativos digitales, y le aplicase una versión elaborada e inteligente de lo que hoy es la publicidad contextual de Google, para obtener resultados estadísticos y probabilísticos del comportamiento de la población con un elevado porcentaje de acierto. Dicho de otra forma: ¿sería posible una psicohistoria similar a la que Asimov describe? Por ejemplo, ¿sería posible “predecir” el ganador de unas elecciones democráticas en base al tráfico y contenido de los usuarios de un determinado país durante los días previos? ¿Y una guerra o una revolución? ¿De qué nivel de ciencia-ficción estamos hablando? ¿Es esto un escenario real, o tan solo una hipótesis demasiado fantasiosa?

Les dejo que se lo piensen.

Pongámonos la toga un momento

13 de abril de 2009 Por

En numerosas entradas de este blog se han expuesto ejemplos y casos prácticos muy buenos que nos han ayudado a entender las normas que marcan tanto LOPD como el RDLOPD. Sin embargo, muchas veces cuando estudiamos una ley pasamos por alto algo que para muchos es trivial pero que estoy seguro que para muchos otros no lo es: la propia definición de la ley. Es decir, todos sabemos que la LOPD es La ley Orgánica 15/1999 del 13 Diciembre de Protección de Datos de Carácter Personal. Y también sabemos que el RDLOPD es el Reglamento de Desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 del 21 Diciembre. Pero, ¿tenemos claro que significa “Ley Orgánica”? ¿Y “Real Decreto”?

Pues eso es básicamente lo que viene a comentar este post, de manera resumida. Pongámonos la toga por un momento y veamos que significan:

Las Leyes Orgánicas son aquellas desarrollan los derechos fundamentales y de las libertades públicas, es decir:

  • Aquellas leyes que desarrollen los principios contenidos en la Constitución en la regulación de los citados derechos y libertades.
  • Las que aprueben los Estatutos de Autonomía y el régimen electoral.
  • Las demás previstas en la Constitución.

Para la aprobación, modificación o derogación de este tipo de leyes es necesario alcanzar mayoría absoluta en el Congreso en una votación final sobre el conjunto del proyecto.

Por su parte, un Real Decreto es un norma jurídica con rango de reglamento generada por el Gobierno en virtud de sus competencias atribuidas por la Constitución. Ésta precisa para su adopción la aprobación del Presidente del Gobierno ó del acuerdo del Consejo de Ministros. La palabra “real” hace referencia a que es el propio Rey quien sanciona y ordena publicar.

En la práctica son disposiciones concretas, de desarrollo, y no tratan aspectos tan amplios como las leyes, o decretos-ley (urgentes); normalmente aprueban reglamentos, nombramientos, restructuraciones de departamentos, etc. Por último, los reglamentos aprobados por un Real Decreto no pueden regular materias reservadas a la Ley ni infringir normas con rango de Ley.

A mí que no he estudiado derecho me viene bien de vez en cuando repasar estos conceptos, espero que a vosotros también os sea de utilidad.