Share this (y dos)

12 de junio de 2008 Por

Hace algo más de un par de semanas les comenté la resolución de la AEPD contra la empresa Iniciativas Virtuales. Aunque pueden leer el texto completo de la entrada, al igual que la resolución [pdf], la idea era que esta empresa ofrecía a sus usuarios registrados la opción de mandar “recomendaciones” a amigos, conocidos, familiares, etc., recomendándoles el servicio. Como suele ser habitual, existía un sistema de puntos que fomentaba las recomendaciones.

Lo primero que diré es que me ha sorprendido, cuando a mí me parece un caso “meridianamente” claro, la defensa que algunas personas hacen de esta iniciativa, argumentándose en aspectos más bien etéreos como que en el correo electrónico no se indica que éste sea publicidad (¿es eso necesario?), o que la voluntad de emitir el correo no procede de la propia empresa sino de un particular (o eso parece ser). Y esa es básicamente toda la defensa que en mi opinión se puede hacer de la actividad denunciada. Sin embargo, creo que es obvio que asumir como válidas cualquiera de estas razones abre la puerta de la impunidad al spam. Como resulta evidente, yo sí estoy de acuerdo con la multa impuesta, por las siguientes razones, ordenadas de manera aleatoria:

1) Tal y como indicó Félix Haro en su entrada sobre la resolución, y como se indica en ésta, la empresa no tiene medio de contactar con el particular que al parecer envía el correo, y que sería en su caso el responsable último (o co-responsable, dado el beneficio económico del “recomendador” y el “recomendado”). Yo no voy a entrar en cuestiones de estrategia comercial (si personalizas los mensajes con los datos que tus usuarios han consentido en darte, es posible que sus amigos se sientan más dispuestos a aceptar sus “invitaciones”), sino en el hecho de que realmente, nadie parece saber quién es dicho usuario (calidad del dato, ¿anyone?). La empresa no lo sabe, el usuario que recibe el correo no lo sabe, y por tanto, es normal que la responsabilidad acaba recayendo sobre la empresa.

De la misma forma que la responsabilidad de que tu coche vaya a 200 km/h un viernes por la noche recae sobre tí si no eres capaz de identificar al conductor. Más allá de leyes y regulaciones concretas, y esto es una opinión completamente personal, me parece una cuestión de sentido común y evitar el “mangoneo”, la picaresca y la impunidad al cometer ciertos delitos.

2) Las infraestructuras y desarrollos los pone la empresa a disposición del usuario “recomendador” con el único propósito de mandar correos comerciales, cuyo texto está ya predefinido: “¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de …Y…, y te manda este mensaje” (de la resolución: “lo único que han de hacer [los usuarios] es reenviar el propio correo comercial de Iniciativas Virtuales utilizando incluso la misma IP de la entidad”). No creo que Gmail o Yahoo, aún pudiendo ser utilizadas para el envío de spam, pudieran ser comparadas con este sistema de propósito único, y no encuentro muchas otras razones que la comercial.

3) El correo que recibe el “amigo” contiene un botón que enlaza con la página de la empresa; sí eso no es un reclamo comercial, no sé lo que es.

4) El correo que recibe el “amigo” incluye la posibilidad de no seguir recibiendo publicidad, lo que a) deja bien claro que se trata de una comunicación de publicidad, y b) hace sospechar que el e-mail de dicha persona está siendo tratado, y que incluso es posible que sea receptor de futuras comunicaciones comerciales. No se me ocurre ninguna otra razón por la que alguien podría ofrecer dicha publicidad.

Imagino que hay más, pero a bote pronto se me ocurren esas. Pensando bien, es muy posible que la empresa no fuese la responsable directa del envío comercial, pero por supuesto es la promotora, responsable indirecta y parte interesada en el proceso, de eso no tengo ninguna duda. Y pensando mal, la empresa está intentando aprovechar una laguna legal (de las que la AEPD tiene unas cuantas, sobre todo en aspectos interpretativos) para sacar un rédito económico y comercial. En ambos casos, hay una razón suficiente para calificar la comunicación como comercial y por tanto, ser susceptible de sanción.

Estirando un poco este caso, ¿qué pasa entonces con los sistemas de recomendación de, por ejemplo, los periódicos digitales y/o blogs (con publicidad en forma de banners o Adwords)? Sin ir más lejos, ElPaís.com permite enviar una noticia cualquiera a un amigo, sin más que proporcionar la dirección de correo electrónico del destinatario, y sin que exista ningún tipo de control sobre éste o la identidad del remitente; afortunadamente no hay signos de que exista algún tipo de tratamiento o almacenamiento de las direcciones proporcionadas. No obstante, también en este caso las infraestructuras son proporcionadas por el periódico digital, y me llama la atención que el correo no incluye la noticia, sino un enlace a la página de ElPaís.com, lo que apunta a una motivación más comercial que informativa (ya que en la página existe visualización de banners o registro de tráfico, por ejemplo). Y sí, aunque dicha motivación sea más difusa que en el caso de Iniciativas Virtuales, existe. ¿Qué opinan ustedes?

ISO/IEC 27005:2008

10 de junio de 2008 Por

Me informa un compañero de que el pasado miércoles se publicó, tras muchas esperas, el que viene a ser el estándar ISO de Gestión de Riesgos de Seguridad de la Información. Esto es, la ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management. Algo que quizá traiga algo de estandarización a un área con tanta metodología dispar, y quizá no, pero que sin duda será un punto a tener en cuenta.

En cualquier caso, como saben las normas ISO son de pago, por lo que si quieren echarle un vistazo, van a tener que soltar algo de dinero. El texto de la norma pueden comprarlo en la página oficial ISO correspondiente.

(Por cierto, tengo pendiente mi opinión personal sobre la entrada del otro día (la resolución de la AEPD sobre los sistemas de “Envía esto a un amigo”, que les traeré en breve. No piensen que se me ha olvidado.)

Violencia de género: nivel alto (aunque no lo parezca)

28 de mayo de 2008 Por

No sé si han visto el telediario de Telecinco de esta mediodía. Si no ha sido así, y a falta de mayores investigaciones por parte de la AEPD y quien corresponda, el tema es para alucinar; ya verán como me dan la razón. Lo que más me ha llamado la atención era lo “normal” que parecía que algo así hubiese sucedido, como si aquello no fuese realmente con nadie (el video no incluye algunas de las entrevistas realizadas). Les anticipio un párrafo de la noticia (que es de ayer):

El equipo de ‘Reporteros’ de Informativos Telecinco ha localizado en las inmediaciones de los juzgados de violencia de género en Madrid seis bolsas con copias de expedientes en perfecto estado de denuncias de maltrato por parte de mujeres. Dichos documentos incluyen nombres de víctimas y agresores, informes médicos y psicológicos, diligencias originales, declaraciones de las víctimas, fotocopias de sus documentos de identidad e, incluso, sus domicilios impresos en solicitudes de órdenes de alejamiento.

En fin, disfruten con el video e intenten calcular qué repercusión económica y reputacional, entre otras, podría tener para una empresa privada algo de semejante magnitud:

Vista Hacked en 2 minutos

28 de mayo de 2008 Por

Un ejemplo de la cantidad de ataques físicos que pueden hacerse contra los sistemas operativos cuando se tiene acceso físico al sistema:

Vista Hack

En este caso, los chicos de Offensive-Security han grabado en video (y con música poco discreta) una pequeña demostración mediante la cual reinician un Windows Vista con una Live-CD y copiando el cmd.exe con otro nombres son capaces de lanzarlo sin realizar autenticación de usuario y hacerse con privilegios de SYSTEM (usuario de máximos privilegios del sistema).

Además, como podeis ver en el video de demostración, la prueba fue realizada en aproximadamente 2 minutos; si a eso le sumamos el tiempo de descargar e instalar algún software tipo backdoor, ponle 3 minutos. Con hacer una rápida visita al baño podriamos encontrarnos con nuestro portátil comprometido.

La solución a este problema pasa por el cifrado completo del equipo, bien sea mediante herramientas de pago, bien mediante algunas herramientas OpenSource que realizan esta función (TrueCrypt).

En un próximo post, alguna información sobre cifrado completo del sistema.

Share this

26 de mayo de 2008 Por

Me gustaría pedirles su opinión sobre una resolución de la AEPD que he visto ya en varias páginas webs [Miguel ?ngel Mata, Félix Haro], la PS/00323/2007, y que puede sentar un bonito precedente en los típicos sistemas de “Envía/recomienda esta página a un amigo”. Ya sé que no es precisamente una novedad, pero creo que es muy interesante. Aunque los detalles concretos están en la resolución indicada, la cuestión es la siguiente:

La empresa Iniciativas Virtuales, dedicada a servicios de publicidad y marketing web, tiene un servicio que pone a disposición de los usuarios previamente registrados un sistema de recomendación a través del que enviar a tus familiares o amigos un correo ya confeccionado por Iniciativas Virtuales, a modo de invitación al servicio:

¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de… Y…, y te manda este mensaje.

Básicamente, y aunque esto es ajeno a la resolución, el servicio se basa en la recepción de publicidad y realización de encuestas comerciales por parte de los usuarios registrados, que son remunerados en función del volumen de publicidad recibido y encuestas realizadas. Es significativo indicar que el servicio, como suele ser habitual, dispone de un sistema de puntos que fomenta las recomendaciones: si yo te recomiendo el servicio y tú te apuntas, yo salgo beneficiado, por lo que me interesa “difundir” el servicio lo máximo posible.

Entonces, el usuario YYY (del que la empresa Iniciativas Virtuales sólo posee una dirección de e-mail y no es capaz de identificar) recomienda el servicio al usuario AAA a través de dicho sistema, y éste, al recibir la invitación, decide formular denuncia ante la AEPD por recibir publicidad no solicitada ni consentida. Ésta resuelve el caso con una sanción de 600 euros, entendiendo que efectivamente se trata de una acción comercial no solicitada, a pesar de que, tal y como Iniciativas Virtuales defiende, la iniciativa de enviar dicho e-mail no es suya sino del usuario particular YYY (que, aunque no lo diga, busca crear afiliados para incrementar sus puntos).

¿Qué piensan ustedes de esta resolución? ¿Es correcta?

Mí opinión se la diré en un próximo post, pero es interesante, sea cual sea su decisión, pensar cómo se aplica esta resolución al “Envía a un amigo” que hay en muchos blogs personales que contienen publicidad Adsense, y por tanto se benefician directamente del incremento del número de visitas, además del beneficio que indirectamente recibe el proveedor del blog.

¿Cifrado = Privado?

23 de mayo de 2008 Por

Hace poco estuve realizando un curso de Administración y Mantenimiento de Windows Server 2003 para mejorar mis conocimientos sobre este sistema operativo, ya que cuanto más conoces un sistema, más sencillo resulta auditar la seguridad del mismo, que es a lo que me dedico en mi actividad profesional.

Durante la realización de este curso hubo algo que me impactó un poco en relación con el soporte que ofrece Microsoft en sus sistemas para cifrar archivos y carpetas en sistemas de ficheros NTFS. No cabe duda de que en un primer momento puede suponer muy funcional por el hecho de que se cifra la información sin tener que recordar una contraseña adicional, que todo se realiza transparentemente al usuario.

captura.jpgEl problema con las cosas “excesivamente funcionales y transparentes” es que en la mayor parte de los casos implican un decremento en su seguridad. Por poner un ejemplo, algunas de las preguntas que me surgieron al explicarme este método de cifrado:

¿Que pasa si el usuario olvida la clave y es necesario resetearsela? Se pierde la información cifrada sin posibilidad de recuperación. Al haber sido cifrada utilizando la contraseña de usuario.

En realidad no se perdería, lo cual aunque en principio puede parecer algo bueno, comprobareis que el mecanismo empleado vulnera en cierta medida la privacidad de los usuarios de este sistemas de cifrado integrado.

Cuando configuras un fichero o carpeta como cifrado con EFS, además del usuario que lo crea que evidentemente tiene acceso, puedes definir un listado de usuarios que también tendrán acceso a dicho fichero. Dichos usuarios son perfectamente gestionables por el usuario propietario del fichero. El problema radica en lo que podemos apreciar en esa misma ventana un poco más abajo. Existe un “rol” denominado “Agente de recuperación de datos” (que por defecto es el usuario Administrador y que el usuario no puede cambiar) que es capaz de acceder a cualquier información cifrada del sistema.

Como podeis imaginar, el hecho de que un usuario Administrador del sistema pueda acceder a toda esta información cifrada vulnera completamente la privacidad que se pretende alcanzar con el uso de herramientas criptográficas.

Todo esto me ha llevado a la conclusión que el sistema de cifrado EFS proporcionado por Microsoft en sus sistemas operativos no satisface los requisitos mínimos de seguridad, por lo que yo personalmente recomiendo utilizar software de terceros aunque ello implique tener que recordar una contraseña más o llevar con nosotros un token o certificado digital, nuestra privacidad vale esa molestia y mucho más.

Saludos.

Historias para no dormir

21 de mayo de 2008 Por

Mi hermano está en Alemania con una beca Erasmus, y hace unas semanas, aprovechando una visita de unos días, me pidió que le instalase Linux en su portátil HP que había comprado un par de meses antes, ya que lo necesitaba para hacer el proyecto. La idea pues era instalar un Linux y dejarlo preparado en dos días; no tenía mucho más tiempo. Dejemos claro antes de nada que cuando empezó, lo que mi hermano sabía de Linux y nada era casi lo mismo; lo que ha aprendido lo ha hecho a partir de algunos tutoriales y unos cuantos correos míos en plan de “para hacer esto, teclea tal cosa”, o “fíjate en el log este, que te pondrá tal cosa que te puede servir de ayuda”. Les advierto que esta entrada tiene poca relación con la seguridad en sí, pero es un tema que en el trabajo sale a menudo.

[Read more…]

Más Reglamento

21 de mayo de 2008 Por

A través del blog de Paloma Llaneza me entero de que la AEPD ha colgado en su página web el contenido de una jornada sobre el nuevo reglamento llevada a cabo el pasado 22 de abril, hace hoy exactamente un mes menos un día. Los videos, presentaciones y preguntas realizadas por los asistentes pueden encontrarlas en este enlace, y no me pregunten porqué apunta a una dirección IP y no a una url. Ya saben que eso son cosas de la Agencia…

Echelon, ¿para qué? (y dos)

20 de mayo de 2008 Por

Como apuntaban en un comentario anterior, es cierto que las medidas descritas y adoptadas por el gobierno estadounidense son, en cierto modo, la versión extendida del “Derecho de Admisión” de cualquier bar o discoteca: si quieres entrar en mi país, vas a tener que pasar por el aro, porque aquí soy yo quien pone las reglas. Dicho de otra forma, los EEUU tienen todo el derecho a hacerlo, teniendo siempre en cuenta que nosotros no somos ciudadanos estadounidenses (y por tanto sin derecho legítimo a opinar sobre las medidas aplicadas por otro gobierno soberano para la entrada en su territorio); si eso pasase en territorio nacional, otro gallo nos cantaría: al menos tendriamos el derecho a la pataleta.

[Read more…]

Echelon, ¿para qué?

19 de mayo de 2008 Por

Es posible que muchos de ustedes conozcan, hayan firmado e incluso entregado a sus trabajadores todo tipo de políticas sobre la protección de la información, tanto corporativa como datos de carácter personal: política de uso de Internet y email, política de cifrado, política de uso de activos corporativos, política de esto y política de aquello. A lo mejor, si han hecho los deberes, el personal técnico dispone además de procedimientos de borrado seguro y destrucción de soportes. Pero seguramente, lo que no tienen es una política o procedimiento de “ocultación de información”; claro que, ¿para qué querría usted esconder la información? ¿esconder? ¿de quién? ¿es que no es suficiente con cifrarla?

Pues bien, parece que ya no.

Si lo que Bruce Schneier cuenta es cierto —y no tengo ninguna duda de que lo es—, recientemente una corte de los EEUU aprobó el derecho de los agentes de aduanas a inspeccionar, en el sentido más amplio del término, cualquier portátil o dispositivo electrónico que el visitante lleve en su entrada al país. Es decir. Ponerlo en marcha, entrar en su cuenta de usuario, y hurgar, todo lo que les de la gana. Preguntando y todo; como era de esperar, el visitante tiene que colaborar, por lo que no sirve de nada que el disco esté cifrado. Claro que uno puede alegar desconocimiento, ignorancia o negarse a cooperar, pero no quiero ni pensar la cantidad de tiempo que pueden hacerle perder a uno, además de que podrían prohibirle el acceso al país y/o confiscarle el portátil. Y esto al parecer no es exclusivo de los EEUU. Sí, ya sé que probablemente los agentes de aduanas no son expertos informáticos, pero yo no me la jugaría porque probablemente destinen a ello personal especializado, tal y como está el nivel de paranoia hoy en día.

Así que vayan pensando en otro nuevo procedimiento, titulado “Cómo esconder la información”. Y mientras tanto, si piensan viajar a los EEUU por motivos de trabajo, busquen asesoramiento interno o externo, borren de manera segura toda la información que no necesiten, oculten de la mejor manera que puedan y sepan la que necesiten, aprendan a mentir y, por si las moscas, lleven el teléfono del abogado de la empresa en el bolsillo.

Y si viajan por motivos personales… no se lleven el portátil del trabajo.

[Nota: Me apunta rápidamente Toni Villalón que la solución a esto pasa por el uso de sistemas de ficheros esteganográficos, por lo que ya tienen nombre para su política: “Política de uso de esteganografía”. Eso no obstante lo dejaremos para otra entrada.]