Gracias a Patricia por el enlace.

Ayer salió publicada en varios medios electrónicos la noticia de una cafetera que se puede conectar a Internet y que, ¡oh sorpresa!, tiene una vulnerabilidad que permite “hackear” la cafetera, y hacerle maldades como…

- Cambiar la presión del agua para conseguir un café mas fuerte o más “aguachirli”.
- Cambiar la cantidad de agua por taza, para producir “spressos” o tazones.
- Realizar cambios más profundos que hagan que nuestra cafetera tenga que acudir al servicio técnico.

Parece ser que, para colmo, y esto ya puede ser algo más serio (aunque lo del servicio técnico puede ser una broma de mal gusto) también se pueden utilizar alguna de esas vulnerabilidades para atacar máquinas con Windows XP que estén en el mismo segmento de Red.

Seguimos a vueltas con la LOPD, que es de lo que me gusta hablar. Quizá por eso no tengo amigos… Bueno, pelillos a la mar, nosotros a lo nuestro.

Hoy quería aclarar una confusión que habitualmente existe —o existía— en relación con los niveles de seguridad de los tratamientos que se declaran a la AEPD y las medidas de seguridad que hay que aplicar a los datos que integran dichos ficheros. Aclaremos, aunque no creo que sea necesario, que cuando hablamos de “Fichero” o “Tratamiento” no lo hacemos en un sentido lógico del término, sino en un sentido más bien conceptual; tal y como indica el RD 1720/2007, un “fichero” es, según el artículo 5:

Por tanto, un tratamiento denominado “Recursos Humanos” podrá estar formado, por ejemplo, por una base de datos, un par de documentos ofimáticos, y una carpeta de expedientes en soporte papel.

El pasado día 7 fue el aniversario de la muerte de Alan Turing (1912-1954), sin duda uno de los mejores criptógrafos de la historia, y padre de la informática teórica que aún hoy se estudia en las universidades de todo el mundo (¿quién no recuerda la máquina de Turing y las pesadillas que ésta ha generado en muchos estudiantes de Informática, entre los que me incluyo?).

Sin duda, dos bombas marcaron el desarrollo de la Segunda Guerra Mundial: la bomba atómica (obvia y desgraciadamente conocida por todos) y la bombe de Turing, una máquina desarrollada en el famoso Bletchley Park británico, vital para romper los mensajes cifrados alemanes. Esta máquina, desarrollada por Alan Turing y mejorada por Gordon Welchman, permitió a los aliados descifrar el tráfico de las diferentes fuerzas y servicios alemanes (marina, tierra, aire…) sin que éstos fueran conscientes de que la seguridad de sus comunicaciones estaba rota, lo que permitió obtener información decisiva para el desenlace final de la Guerra.

Turing fue procesado por homosexual en 1952; esto, que hoy parece impensable para nosotros, truncó la brillante carrera del británico. Dos años después, moría por ingestión de cianuro: todo indica que Turing se suicidó comiendo una manzana envenenada. De esta forma, finalizaba su vida y comenzaba el mito del gran científico, aunque los homenajes y reconocimientos públicos han sido escasos y en muchas ocasiones tardíos; quizás el más conocido en el “mundillo” en el que nos movemos es el premio Turing —considerado el Nobel de la Informática—, otorgado desde 1.966 por la ACM a quienes hayan contribuido de manera trascendental al campo de las ciencias computacionales.

Sirva este humilde post para recordar al que sin duda fue uno de los mejores científicos del pasado siglo, y quizás uno de los menos conocidos fuera del ámbito de las matemáticas, la informática o la criptografía.

Hace algo más de un par de semanas les comenté la resolución de la AEPD contra la empresa Iniciativas Virtuales. Aunque pueden leer el texto completo de la entrada, al igual que la resolución [pdf], la idea era que esta empresa ofrecía a sus usuarios registrados la opción de mandar “recomendaciones” a amigos, conocidos, familiares, etc., recomendándoles el servicio. Como suele ser habitual, existía un sistema de puntos que fomentaba las recomendaciones.

Lo primero que diré es que me ha sorprendido, cuando a mí me parece un caso “meridianamente” claro, la defensa que algunas personas hacen de esta iniciativa, argumentándose en aspectos más bien etéreos como que en el correo electrónico no se indica que éste sea publicidad (¿es eso necesario?), o que la voluntad de emitir el correo no procede de la propia empresa sino de un particular (o eso parece ser). Y esa es básicamente toda la defensa que en mi opinión se puede hacer de la actividad denunciada. Sin embargo, creo que es obvio que asumir como válidas cualquiera de estas razones abre la puerta de la impunidad al spam. Como resulta evidente, yo sí estoy de acuerdo con la multa impuesta, por las siguientes razones, ordenadas de manera aleatoria:

Me informa un compañero de que el pasado miércoles se publicó, tras muchas esperas, el que viene a ser el estándar ISO de Gestión de Riesgos de Seguridad de la Información. Esto es, la ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management. Algo que quizá traiga algo de estandarización a un área con tanta metodología dispar, y quizá no, pero que sin duda será un punto a tener en cuenta.

En cualquier caso, como saben las normas ISO son de pago, por lo que si quieren echarle un vistazo, van a tener que soltar algo de dinero. El texto de la norma pueden comprarlo en la página oficial ISO correspondiente.

(Por cierto, tengo pendiente mi opinión personal sobre la entrada del otro día (la resolución de la AEPD sobre los sistemas de “Envía esto a un amigo”, que les traeré en breve. No piensen que se me ha olvidado.)

No sé si han visto el telediario de Telecinco de esta mediodía. Si no ha sido así, y a falta de mayores investigaciones por parte de la AEPD y quien corresponda, el tema es para alucinar; ya verán como me dan la razón. Lo que más me ha llamado la atención era lo “normal” que parecía que algo así hubiese sucedido, como si aquello no fuese realmente con nadie (el video no incluye algunas de las entrevistas realizadas). Les anticipio un párrafo de la noticia (que es de ayer):

“El equipo de ‘Reporteros’ de Informativos Telecinco ha localizado en las inmediaciones de los juzgados de violencia de género en Madrid seis bolsas con copias de expedientes en perfecto estado de denuncias de maltrato por parte de mujeres. Dichos documentos incluyen nombres de víctimas y agresores, informes médicos y psicológicos, diligencias originales, declaraciones de las víctimas, fotocopias de sus documentos de identidad e, incluso, sus domicilios impresos en solicitudes de órdenes de alejamiento.”

En fin, disfruten con el video e intenten calcular qué repercusión económica y reputacional, entre otras, podría tener para una empresa privada algo de semejante magnitud: