Archives for febrero 2009

Economía en tiempos de guerra

26 de febrero de 2009 Por

Pasamos una época complicada en el tema económico, en la que diversos estudios aseguran que aumentan las depresiones y las visitas al psicólogo, mientras que otros destacan el aumento del dinero destinado a juegos de azar por parte de las familias. Una de las alternativas de estos juegos de azar que muchos de ustedes conocerán son las apuestas por Internet, que quizá algunos incluso hayan probado.

El procedimiento de uso suele ser sencillo: un registro, un depósito monetario mediante tarjeta de crédito o similares y a buscar rentabilidad en las apuestas (no se preocupen, que ya les hablaré de eso otro día). Supongo que convendrán conmigo en que en esta época en la que el tema de la seguridad informática es tan candente, se le debe dar mucha importancia a las compañías que demuestran rigor al menos en la seguridad de sus portales. Al fin y al cabo parte de los ahorros —o no— de los usuarios va estar un tiempo en sus cuentas bancarias, hasta que éstos puedan recuperarlo.

Como medidas de seguridad, estos portales suelen ofrecen páginas cifradas con https, algunas incluso incorporan algún tipo de mecanismo de comprobación de fortaleza de contraseña en el registro, y en general, ofrecen la apariencia de preocuparse por el tema de la seguridad. Sin embargo, lo que para un usuario puede ser la diferencia para gastar o no su dinero, para las compañías parece no tener importancia. Entre otras cosas, no es extraño que los operadores que atienden el chat de ayuda de alguna de estas casas online soliciten la contraseña del usuario, lo que me hace suponer que almacenan las contraseñas en claro. No parece muy seguro, ¿verdad?

Por ejemplo, ¿realizarían algún tipo de transacción económica con una página que muestra el siguiente mensaje cuando se accede a su portal como un simple invitado?

query: DELETE FROM shoppingcart WHERE NOT EXISTS (SELECT 1 FROM session WHERE session.UserAccount_UserAccountID = shoppingcart.UserAccount_UserAccountID) -> Deadlock found when trying to get lock; try restarting transaction

Dejando a un lado estas pequeñas muestras de lo que no se debe hacer si se quiere ganar la confianza del usuario, y relacionado con el punto anterior, si me lo permiten me gustaría plantearles la siguiente cuestión, que será la encuesta de la semana y a la que podrán contestar a lo largo de esta semana:

[poll id=”6″]

* * *

(N.d.E.) En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que una gran parte de las personas tienen una relativa concienciación de la seguridad, pero sin llegar al modo paranoico. En cualquier caso, la muestra no puede considerarse representativa, y no sólo por el número, sino también por el público objetivo de este blog.

[poll id=”5″]

Por lo demás, buen fin de semana a todos. Nos vemos el lunes, más y mejor.

¿Uifi? ¿Uep? ¿Uvepeá? ¿Y eso qué é lo que é, señor agente?

25 de febrero de 2009 Por

Leía hoy una interesante entrada en el blog de Javier Cao acerca de la falta de concienciación de las contraseñas, y a través de ésta llegaba a la noticia de que la AEPD había absuelto a un usuario denunciado por colgar imágenes vejatorias en la web debido a que éste alegaba que tenía la web desprotegida [bandaancha.eu].

Aparte de algunas anotaciones muy acertadas por parte de bandaancha.eu, como es el hecho de que como indica el abogado David Maeztu, los datos de tráfico de una persona física o jurídica no pueden ser cedidos por una operadora de telecomunicaciones a la AEPD si no es previa solicitud judicial (solicitud judicial que a menudo no existe), me llama la atención que el hecho de tener la Wifi abierta pueda servir de atenuante e incluso ser una razón suficiente para absolver de una sanción de la AEPD.

Al respecto, y sin extenderme demasiado, creo que hay que destacar varios aspectos. El primero es que confiar en que tener la Wifi desprotegida pueda servirte como escudo es como poco jugársela a los dados; yo no confiaría en que la AEPD resuelva siempre positivamente, e incluso si fuese a través posibilidad de un recurso favorable, eso podría suponer unas molestias considerables. El segundo es que, a pesar de la resolución de la AEPD, en caso de tener que enfrentar una acusación de un delito mayor como podría ser pederastia, amenazas, o pertenencia a banda armada (asusta, ¿eh?), no estoy seguro de que este argumento fuese suficiente, sin mencionar las más que previsibles molestias que tal situación acarrearía independientemente de la culpabilidad o no. Tengan en cuenta, no obstante, que no soy abogado y estoy simplemente especulando, por lo que podría estar terriblemente equivocado (o depender del juez y las circunstancias del caso); en definitiva, lo que vengo a apoyar, como ya hice en su momento, es que nadie debería confiar en que tener la Wifi abierta pueda salvarle de un problema si a través de la línea de la que es titular se cometen delitos de cierta gravedad.

Hasta aquí, la cruz. La cara es que, al menos en el caso de Telefónica (por mi experiencia), y apuesto a que esto se cumple en la mayoría de proveedores, los routers de acceso a Internet se proporcionan configurados con el protocolo WEP, totalmente vulnerable y fácilmente explotable en cuestión de segundos por cualquier persona con un poco de interés; nadie con conocimientos técnicos puede alegar desconocimiento de este hecho, y menos el proveedor del dispositivo. Es más, en el caso de Telefónica dicho operador ni siquiera proporciona las claves de acceso al dispositivo, ya que su gestión se realiza por defecto —esto puede cambiarse— a través del portal “Alejandra”, aspecto que no averigua uno hasta que indaga un poco. Me apuesto un brazo con ustedes a que cualquier solicitud de asistencia técnica orientada a incrementar el nivel de seguridad de tu dispositivo (i.e. cambiar de WEP a WPA/WPA2) es (a) descartada directamente por el operador de turno, y/o (b) cobrada rigurosamente, dependiendo de la insistencia (quizá lo pruebe). En cualquier caso, y como es lógico, la mayoría de las personas que disponen de acceso ADSL a Internet carecen de los conocimientos técnicos para cambiar el protocolo de seguridad del router, y aunque uno disponga de los conocimientos (lo que podría representar un problema si el titular de la línea ha modificado la configuración pero no el protocolo de seguridad, aunque en ese caso, volvemos a las mismas), puede alegar que el dispositivo venía configurado con un protocolo vulnerable y que por precaución no lo modificó.

A la vista de las dos opciones, ¿ustedes qué opinan? ¿Es razonable preocuparse por la seguridad de la propia red para evitar delitos por parte de vecinos y/o afines, o no hacerlo es en realidad la mejor medida de seguridad?

(De todas formas, tampoco se fíen. Como ya les comentamos hace tiempo, no todo el mundo e güeno y las cosas no son siempre lo que parecen.)

El Diablo está en los detalles

24 de febrero de 2009 Por

La portada de uno de los periódicos que conservo por casa reza en un gran titular “Obama inagura el primer gobierno 2.0 del mundo”, y a nadie se le escapa, en efecto, que el nuevo presidente norteamericano ha hecho de Internet y la web 2.0 una de sus principales bazas para llegar al Capitolio. Pero aunque eso lo hace indudablemente más real y cercano a la realidad de los ciudadanos, desde el principio han surgido voces críticas con el uso que se le da a algunos servicios, que van en la línea de las críticas a la privacidad de las redes sociales y el gigante Google.

En este caso no vengo a hablarles de la reticencia a desprenderse de su Blackberry, aspecto que ya comentamos hace unas semanas, sino de un par de cuestiones que Steve M. Bellovin y Christopher Soghoian entre otros, han puesto de relevancia en los últimos tiempos, y es el uso que la Oficina Ejecutiva del Presidente de los Estados Unidos hace de terceras partes para la provisión de servicios web, violando directivas federales, y proporcionando una valiosa información de orientacion política e ideológica a empresas privadas “afines”.

Empecemos por el principio. Hace algo más de un mes se puso en marcha una iniciativa por la que cualquier miembro del Congreso y del Senado norteamericano dispondría de un espacio en YouTube para colgar sus videos y exponer sus ideas a los ciudadanos, algo totalmente elogiable. Si no recuerdo mal, en la campaña electoral española se hizo algo similar, aunque ignoro con qué porcentaje de éxito. Como apunta Bellovin, el problema de esta iniciativa es que aunque aprovecha la tecnología para acercar los representantes a los ciudadanos, lo hace pagando un precio nada despreciable, como es la cesión de una información muy valiosa a una compañía privada como es Google. Francamente, a estas alturas de la historia, y una vez abandonado hace tiempo el lema Don’t be evil, proporcionarle al buscador información de carácter ideológico y político de los ciudadanos para que la utilice en su propio provecho, con el beneplácito y la connivencia del gobierno estadounidense, me parece una falta de concienciación y de la importancia de la privacidad en el mundo 2.0.

En segundo lugar, y para entender lo que sigue, cabe distinguir entre lo que son cookies de sesión y cookies persistentes. Mientras que las primeras son utilizadas mientras el navegador permanece abierto, y son eliminadas al cerrarlo, las segundas no se borran, sino que permanecen en el navegador, permitiendo al “propietario” de la cookie conocer información sobre la última visita o la información que hemos visitado en el pasado. En este último caso, páginas como YouTube han llegado a un nivel de sofisticación que permiten a Google conocer, bajo ciertas condiciones, las páginas y blogs que un usuario está visitando con la sola presencia de un video de YouTube en la página, aun cuando el usuario no “clickee” sobre el video.

Tras esto, déjenme introducirles con un fragmento del Memorando M-00-13, Privacy Policies and Data Collection on Federal Web Sites, de la Office of Management and Budget of the Executive Office of the President of the United States, que se abrevia como OMB. Disculpen si las traducciones no son demasiado apropiadas; lo que sigue es el cuarto y quinto párrafo del dicho memorando, que data del 22 de junio de 2000:

Las inquietudes particulares sobre privacidad deben ser tenidas en cuenta cuando el uso de tecnologías web pueda permitir seguir las actividades de usuarios a través del tiempo y entre páginas web diferentes. Estas preocupaciones son especialmente importantes cuando los individuos que han llegado a las páginas gubernamentales no tienen un aviso claro y visible de cualesquiera actividades de seguimiento. […]

[…] la presunción debe ser que las “cookies” no serán utilizadas en las páginas web federales. Bajo esta nueva política federal, las “cookies” no deben ser utilizadas en las páginas web federales, o por los contratistas que gestionen páginas web en nombre de las agencias, a menos que, además de existir un aviso claro y visible, se cumplan las condiciones siguientes: una necesidad imperante que obligue a recopilar los datos sobre el sitio; protecciones de la privacidad apropiadas y públicas para el manejo de la información derivada de las “cookies”; y aprobación personal por el jefe de la agencia. […]

Dicho memorando fue modificado posteriormente, el 26 de Septiembre de 2003, por el memorando M-03-22, OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002 introduciendo las siguientes modificaciones (Anexo D):

1. Tracking technology prohibitions:

a. Agencies are prohibited from using persistent cookies or any other means (e.g., web beacons) to track visitors’ activity on the Internet except as provided in subsection (b) below;

b. Agency heads may approve, or may authorize the heads of sub-agencies or senior official(s) reporting directly to the agency head to approve, the use of persistent tracking technology for a compelling need. When used, agency’s must post clear notice in the agency’s privacy policy of:

      * the nature of the information collected;
      * the purpose and use for the information;
      * whether and to whom the information will be disclosed; and
      * the privacy safeguards applied to the information collected.

Dicho de otra forma (y en castellano), el uso de cookies persistentes está terminentemente prohibido, salvo que haya una necesidad de peso para ello. En tales casos, debe informarse de la información recogida, finalidad, destinatarios y medidas de seguridad aplicables, y esto aplica tanto a las agencias como a cualquier contratista que gestione contenidos en nombre de las agencias. No obstante, y aquí vuelven de nuevo los “pero’s”, si acceden a algunas de las entradas del blog de La Casa Blanca, verán que algunas de ellas contienen videos incrustados que apuntan a YouTube, y que los videos también se encuentran alojados en Vimeo, para lo cual la política de privacidad ha sido modificada convenientemente, incluyendo los siguientes párrafos:

For videos that are visible on WhiteHouse.gov, a ‘persistent cookie’ is set by third party providers when you click to play a video. […]

This persistent cookie is used by some third party providers to help maintain the integrity of video statistics. A waiver has been issued by the White House Counsel’s office to allow for the use of this persistent cookie.

Esta excepción (waiver) al uso de cookies persistentes ha sido duramente criticada, ya que no parece existir ninguna base fundamentada ni razón de peso para su existencia, y la utilización de proveedores de video externos no sólo les envía un nada despreciable flujo de visitantes, algunos de los cuales continuarán en el website externo, sino que sobre todo les proporciona, igual que comentábamos antes, información sobre los visitantes de varias páginas gubernamentales.

Como apunta Soghoian, no es comprensible que a estas alturas, y dado el presupuesto que La Casa Blanca maneja, se siga utilizando un website externo para el alojamiento de videos gubernamentales, cuando existen múltiples opciones comerciales de video streaming que podrían gestionarse internamente de manera autónoma, tal y como hace America.gov. Como aspecto positivo, el uso de una técnica similar al script MyTube de la Electronic Frontier Foundation para evitar algunas cookies persistentes, o las recientes modificaciones de la política de privacidad parece que apuntan a un creciente concienciamiento sobre la importancia de la privacidad, aunque es todavía claramente insuficiente. Si tenemos que escoger entre la privacidad y la web 2.0, creo que la elección no deja lugar a dudas; no podemos supeditar la primera a la segunda, por mucho que la web 2.0 traiga innumerables e inmensas ventajas. Nunca sabe uno dónde puede estar el punto de no retorno, y eso es algo que todos deberíamos tener presente, ya que jugamos en contra de los intereses de las grandes multinacionales de Internet. Por fortuna, la tecnología y las leyes permiten que no tengamos que escoger… siempre que nos dejen escoger.

En la línea de lo dicho en el anterior párrafo, seguramente a algunos lectores les parezca que puedo estar rozando la paranoia, entrando en este nivel de detalle, y más cuando no soy un ciudadano estadounidense. Sin embargo, aunque no descarto la existencia de una manía persecutoria, a estas alturas creo francamente en ese dicho que titula esta entrada y que dice que el Diablo está en los detalles. No sólo está en esa política de privacidad que deja la puerta abierta a una retención de datos para “usos legítimos de negocio”, en esa frase sutilmente introducida que exime (principalmente) a YouTube de la prohibición expresa de hacer uso de cookies persistentes en una página gubernamental, o en la aparente insignificancia que tienen los registros de visitantes al “canal de Internet” de un representante político. Está también en esa regla del cortafuegos “ANY:ANY” que alguien puso para una “demo” un día antes de irse a casa, en esa petición de acceso que por prisas y favores no sigue los cauces procedimentados, o en esa hoja Excel que mantiene Recursos Humanos, que contiene el personal con minusvalía y de la que el Responsable de Seguridad no sabe nada. Casi siempre, desde la superficie se ve todo impoluto. Rasquen un poco con la uña, y verán quién hay detrás.

* * *

Referencias:

Steve M. Bellovin: YouTube, the Government, and Privacy; More on YouTube, the Government, and Privacy.
Christopher Soghoian: Why Obama should ditch YouTube; White House exempts YouTube from privacy rules; White House acts to limit YouTube cookie tracking.
About.com: Federal Web Sites Violate Privacy Rules.
Electronic Frontier Foundation: Embedded Video and Your Privacy.
Whitehouse.org: Online Privacy Policy (24/02/2009).
OMB: OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002 (M-03-22); Privacy Policies and Data Collection on Federal Web Sites (M-00-13).

Seguridad semántica

23 de febrero de 2009 Por

No deja de sorprenderme la confianza o la poco preocupación por la veracidad que tiene mucha gente sobre la información que circula en la red. Recientemente ha llegado a mi correo electrónico un mensaje con una presentación que contiene algunos cálculos sobre un hipotético reparto del dinero puesto en circulación por los gobiernos para tratar de paliar la crisis. Me resulta sorprendente que a la gente le llegue el correo, lo lea y ni siquiera se pare a pensar si su contenido es correcto, reenviándolo a continuación a su lista de amigos, conocidos, compañeros… Y no me refiero a una valoración subjetiva sobre la intencionalidad del mismo y sobre si uno puede estar de acuerdo o no con las medidas tomadas para combatir la crisis, me refiero más bien a algo tan elemental como realizar una división.

[Read more…]

Idiota del mes

19 de febrero de 2009 Por

Sin ánimo de querer inagurar una nueva sección, la de “Idiota del mes”, aquí a su izquierda les presento a D. Sol Trujillo, CEO de Telstra y flamante poseedor, hasta que se la robaron —no está claro si a él o a un asistente suyo— hace unas horas (asumo que no la perdió ni se la dejó en un taxi, ni que se la vendió a la competencia de Microsoft, porque eso —sobre todo esto último— sería mucho peor), de un prototipo de HTC Touch Diamond2 (o Pro2, no está claro) con un prototipo de Windows Mobile 6.5. Tal y como lo expresa ALT1040, “un teléfono que aún no se vende con un sistema operativo que aún no está disponible en el mercado“. Para que se hagan una idea de la importancia del bicho en cuestión (aunque seguramente ya se la hacen), en el último Mobile World Congress no se dejó que nadie tocase el dispositivo para no exponer más información de la necesaria de su funcionamiento. Y ahora va este hombre y lo pierde.

Claro que a pesar de ello, Microsoft dice que está tranquilo. Tranquilo como un flan, imagino, ¿qué otra cosa van a decir? Rezando estarán para que lo haya robado un “simple” carterista por casualidad y no alguien de la competencia.

Por cierto, ¿se imaginan a alguien comprando este trasto en un chiringuito cualquiera de Barcelona por 50 euros?

PD: Si a alguien le preocupa lo de “idiota”, estoy seguro de que eso es lo más suave que le han dicho en las últimas horas…

Para este jueves, la encuesta de la semana es la siguiente:

[poll id=”5″]

Y el resultado de la anterior es la siguiente:

[poll id=”4″]

¿Qué hay de nuevo, Facebook?

17 de febrero de 2009 Por

Cada vez que uno plantea en público, ya sea en este u otros blogs, dudas y cuestiones sobre las políticas de privacidad (y afines) de las compañías 2.0 “habituales”, tiene que hacer un esfuerzo por no acabar invadido por una terrible sensación de paranoia; ¿soy yo, o son ellos? ¿es normal tener dudas razonables, o soy simplemente un desconfiado? Ahora verán porque se lo pregunto. Les cuento.

Facebook cambió hace un par de semanas sus Términos de uso, que actualmente recogen esta interesante cláusula:

You are solely responsible for the User Content that you Post on or through the Facebook Service. You hereby grant Facebook an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license (with the right to sublicense) to

(a) use, copy, publish, stream, store, retain, publicly perform or display, transmit, scan, reformat, modify, edit, frame, translate, excerpt, adapt, create derivative works and distribute (through multiple tiers), any User Content you

    (i) Post on or in connection with the Facebook Service or the promotion thereof subject only to your configuraciones de privacidad or

    (ii) enable a user to Post, including by offering a Share Link on your website and

(b) to use your name, likeness and image for any purpose, including commercial or advertising,

each of (a) and (b) on or in connection with the Facebook Service or the promotion thereof. […]

[Read more…]

CCTV

16 de febrero de 2009 Por

Un sistema de circuito cerrado de televisión (CCTV) es un mecanismo de seguridad que dispone de elementos o subsistemas de captación (cámaras), de reproducción (monitores), de grabación (videos), de transmisión (cableado), de sensorización (sensores de movimiento, de condiciones ambientales, de fuego…) y de control (rotores de cámaras, switchers…). Estos sistemas constituyen un elemento muy importante a considerar en casi cualquier instalación de seguridad, ya que permiten obtener imágenes de buena calidad (diurnas y nocturnas), proporcionando un elevado nivel de control (por ejemplo en procesos industriales), incrementando la seguridad (como medida disuasoria) y permitiendo obtener evidencias fiables de forma sencilla y efectiva, por ejemplo ante incidentes graves.

Las ventajas de utilizar la videovigilancia son muchas, desde la protección de vidas humanas o activos de todo tipo hasta el control de zonas donde se realizan trabajos peligrosos. No obstante, estos mecanismos de seguridad (como cualquier otro) tienen contraprestaciones que es necesario evaluar a la hora de implantarlos; sin duda, el tema más espinoso es legal, y se deriva de la protección de datos de carácter personal, en especial en aquellas instalaciones donde sea necesario disponer de cámaras en el exterior de las instalaciones.

En el ámbito estricto de la seguridad física, la videovigilancia mediante CCTV presenta dos problemas importantes; el primero de ellos, en aquellos casos en los que se captan imágenes de forma permanente y en gran volumen, es la limitación en la capacidad de reacción ante incidentes, por una cuestión de volumen. Si pensamos en las horas de imágenes de cajeros que cualquier banco puede tener a diario, en la dificultad para detectar automáticamente ciertas activides anómalas en dichos cajeros (es muy dificil, con un programa de procesamiento de imagen, determinar si alguien saca dinero de forma legítima o está poniendo un lazo libanés), y en la imposibilidad de analizar por parte de un humano dichas imágenes, podemos hacernos una idea de esta limitación a la que hacíamos referencia (en la práctica, las imágenes de cajeros obviamente no se visualizan salvo problemas detectados por otros medios, y si no los ha habido, se destruyen pasada una semana desde la grabación).

El segundo problema importante en temas de CCTV suele producirse por la dependencia en un vigilante de seguridad para el control de las cámaras, un vigilante que obviamente puede o no ser efectivo y reaccionar a tiempo; esta dependencia se produce especialmente en horarios de mínimos, cuando el número de personas “visualizando” imágenes es más reducido, en ocasiones demasiado, y podemos no detectar un problema simplemente porque el encargado de ver las imágenes se ha levantado a por un café.

Finalmente, es necesario indicar que los sistemas clásicos de CCTV se están sustituyendo en algunas organizaciones por sistemas de cámaras web, mucho más económicas, pero también con mayores problemas de seguridad; se trata de cámaras con conexión TCP/IP, e incluso accesibles en ocasiones desde Internet (por una mala configuración, un descuido, o simplemente por desinterés), que pueden comprometer gravemente nuestra seguridad a todos los niveles: legal, físico, lógico… Como siempre, es necesario estar muy al tanto de las amenazas que este tipo de cámaras introducen en nuestra organización, garantizando que un elemento que debe incrementar nuestra seguridad no acaba rompiéndola por completo. Y para muestra, un botón: si os aburrís, buscad “index of /webcam” en Google.

1st Security Blogger Summit 2009

12 de febrero de 2009 Por

El pasado 3 de Febrero se celebró en Madrid el 1st Security Blogger Summit 2009, organizado por Panda Security con el objetivo de reunir a expertos en nuevas tecnologías y seguridad informática, periodistas y bloggers para tratar a modo de debate temas como las últimas tendencias en Seguridad Informática, o el Cibercrimen y las medidas tomadas por el gobierno para combatir a este.

El debate comenzó con una breve intervención de Bruce Schneier, en la que intentó reflejar cómo el estado actual de la seguridad informática se puede evaluar en base a factores estrictamente económicos, y afirmando que dichos factores económicos están dando como resultado productos que ofrecen unos niveles de seguridad muy bajos, pero que sin embargo los aceptamos y los compramos.

Tras la intervención del señor Schneier la línea argumental del debate se estructuró en torno a las siguientes tres preguntas:

¿Estamos mejor que hace unos años?
¿Qué se puede hacer para mejorar la seguridad?
Predicciones

Cada uno de los expertos reunidos por Panda Security en este acto argumentó sus respuestas. Es difícil extraer una conclusión de lo dicho, puesto que las respuestas fueron muy dispersas y, en ocasiones, el debate generado por alguna de ellas se alejó bastante de la idea inicial planteada en la pregunta.

Por tanto, y dado que este es un blog de opinión, voy a dar mis propias respuestas a estas preguntas.

¿Estamos mejor que hace unos años?

Mi respuesta a esta pregunta es muy clara: Ni si, ni no, ni todo lo contrario :)

Las nuevas tecnologías de la información crecen de manera exponencial, al igual que la importancia que dichas tecnologías adquieren en el desarrollo de nuestras actividades profesionales e incluso personales. Esta dependencia cada vez más acusada de los sistemas de la información hace que el mantener éstos a salvo, seguros, sea una tarea de importancia crítica. Si a esto le sumamos el incremento y sobre todo la profesionalización de los “malos” de esta película (o black hats), que han encontrado en la guerra de la información una manera de ganarse la vida, podemos pensar que nos encontramos en una situación peor que años anteriores. Sin embargo, y para que no sean todo malas noticias, también podemos hablar del crecimiento y mayor especialización de los profesionales dedicados a la Seguridad de la Información (o white hats), de una mayor preocupación de las Fuerzas de Seguridad del Estado y del desarrollo de legislación al respecto que equilibran la balanza.

¿Qué se puede hacer para mejorar la seguridad?

La seguridad es una sensación. Todas las medidas de protección que tomamos tienen como objetivo el incrementar esa sensación. Uno de los mayores riesgos con los que nos encontramos hoy en día es “la falsa sensación de seguridad”; tanto organizaciones como particulares se sienten seguros por el hecho de haber tomado alguna medida de protección, o por pensar “eso no me puede pasar a mí”. Sin embargo esa falsa sensación de seguridad les (nos) hace, si cabe, más vulnerables.

Para mejorar la seguridad es necesario conseguir que tanto organizaciones como particulares sean conscientes de en qué situación se encuentran y a que riesgos se enfrentan. Además, de nada servirá conocer la situación en que se encuentran en un momento dado, si dentro de unas horas, una semana, un mes, esta situación va a ser muy distinta. Es necesario saber en qué situación nos encontramos en cada momento y para eso es necesaria la Monitorización en tiempo real. En resumen, mejorar la seguridad pasa ineludiblemente por conocer cuál es nuestro nivel real de seguridad.

Predicciones

Ni yo ni nadie disponemos de una bola de cristal que nos indique hacia dónde va a tender las Seguridad de la Información en un futuro, pero sí que podemos hacer hipótesis y conjeturas, que además son gratis.
Como ya comente antes, la mayor profesionalización de los “malos” me hace pensar que los actos delictivos en materia de seguridad de la información cada vez tendrán mayor repercusión, los veremos aparecer en los medios de comunicación con mayor frecuencia y causarán un mayor impacto social.

No obstante, no cabe duda de que esto no va frenar el desarrollo de la Sociedad de la Información, que avanza como una bola de nieve ladera abajo haciéndose cada vez más y más grande. Durante todo ese recorrido, a un lado seguirá habiendo “malos” que intenten aprovecharse de ella y al otro “buenos” que intentaremos que no lo consigan. Pero lo que es seguro es que la bola avanzará y todos nosotros con ella.

Para este jueves, la pregunta de la encuesta de la semana va muy en línea de lo ya dicho:

[poll id=”4″]

Y el resultado de la anterior es la siguiente:

[poll id=”3″]

La comunidad

10 de febrero de 2009 Por

[N.d.E.: A pesar de la entrada LOPD, les aseguro que tenemos muy en cuenta el resultado de la encuesta]

Recientemente, en el edificio donde viven unos familiares aparecía publicado junto al ascensor un listado con los propietarios de aquellos pisos que debían dinero a la comunidad, indicando el nombre, los apellidos y la cantidad de dinero a deber. La pregunta que me plantearon es si esos datos podían publicarse de esa manera o estaba prohibido por la LOPD. Mi respuesta inmediata fue, como en casi todos los casos que me plantean una consulta sobre seguridad legal, “depende”.

Normalmente, las consultas planteadas tienen un contexto, el cual resulta fundamental para analizar la consulta, y de esta forma poder plantear la respuesta más acertada. Cabe tener en cuenta que estamos interpretando una Ley, que en muchos casos, establece unas pautas subjetivas que dependen de varios factores de acuerdo a cada situación.

13rue1Volviendo al tema planteado, en cuanto al tablón de anuncios con los impagos de la comunidad (con nombres y apellidos de los “morosos”), parece claro que se trata de una cesión de datos. La comunidad de propietarios, como responsable del tratamiento, está publicitando esos datos personales, de manera que cualquiera que pase por delante de ese tablón de anuncios, desde el vecino del primero, la amiga de la hija de la vecina del sexto, hasta el personal de la compañía eléctrica que va a realizar una lectura de los contadores, pasando por la persona encargada de la limpieza de la escalera, todos ellos, pueden saber qué propietarios deben dinero a la comunidad.

Parece incuestionable que se trata de una cesión de datos —me planteé yo— por lo que sería necesario el consentimiento por parte de cada uno de los propietarios para la publicación de dichos datos. Hasta ahí bien. Pero… si se le va a pedir el consentimiento a la gente para aparecer en un listado como “moroso”, ¿quién va a dar su consentimiento para aparecer en esta lista? La cosa empieza a oler mal, pero mantengo mi posición inicial de que, desde el punto de vista de la LOPD, se trata de una cesión y la finalidad está claro que es poner al corriente al resto de propietarios sobre los impagos y los “morosos”. Por tanto, en un principio se me ocurre que habría que informar de dicha finalidad al propietario y obtener el consentimiento del mismo para poder efectuar la publicación de estos datos, pero tenemos el problema de que nadie daría su consentimiento porque a nadie le gusta aparecer en esa lista de impagos.

Tras darle unas cuantas vueltas al tema, la LOPD también nos dice que, respecto a la cesión de datos, el consentimiento exigido no será preciso cuando la cesión esté autorizada en otra ley. Y aquí encontré la solución a la consulta planteada. El artículo 16.2 de la Ley de Propiedad Horizontal establece “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2“, lo cual hace necesario la cesión de dichos datos al resto de propietarios para su conocimiento previo a una reunión de la comunidad, pero únicamente a cada uno de los propietarios de la comunidad. Por tanto no sería correcto realizar el comunicado a través del tablón de anuncios de la comunidad, para que personas ajenas a la comunidad no pudieran acceder de una manera directa al listado de morosos de la comunidad. Bastaría, por ejemplo, enviando una circular informativa con el listado de impagos, en sobre cerrado, dirigida a cada uno de los propietarios de una vivienda de la comunidad.

De charlas va el tema

6 de febrero de 2009 Por

A continuación les muestro las presentaciones de dos charlas realizadas por Antonio Villalón, la primera de ellas ayer mismo en la jornada “La Seguridad y Fiabilidad Informática Factor Clave para el Crecimiento de las Empresas” organizada por el Instituto Tecnológico de Informática de la Universidad Politécnica de Valencia, y la segunda el pasado 18 de diciembre, en el ciclo de charlas técnicas del chapter ISACA de Valencia. Espero que les resulten interesantes. En cualquier caso, buen fin de semana a todos.

[Read more…]