Publicado el borrador del RD de Protección de Infraestructuras Críticas

Fue allá por el 92 cuando la aparición de la LORTAD, que evolucionó hasta la actual LOPD, marcó un antes y un después en el marco de la seguridad y la protección de datos. Actualmente, están surgiendo otras iniciativas de referencia que claman por convertirse en otro punto de inflexión en materia de seguridad en España.

La primera de ellas la vimos nada más empezar el año con la aparición del Esquema Nacional de Seguridad, el cual se propuso como objetivo el establecer las condiciones y medidas necesarias para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos en la Administración Pública.

Ahora nos encontramos con otro hito, publicándose hace pocas algunas semanas el borrador del RD de Protección de Infraestructuras Críticas. Este nuevo Real Decreto que se aproxima, nace con el propósito de regular la protección de las infraestructuras que presten servicios públicos esenciales para la sociedad frente a ataques deliberados de todo tipo, poniendo especial interés en el campo del terrorismo, mediante la definición y el desarrollo de un sistema y unos procedimientos que abarcan a todos los sectores públicos y privados afectados.

Echándole un vistazo a la norma nos encontramos, como principales pilares para la gestión de la misma, la definición de un catálogo en el que se identifican, para cada sector, aquellas infraestructuras críticas para la sociedad, que como define la norma son aquellas cuyo funcionamiento resulta indispensable y que su destrucción o interrupción supondría un grave impacto sobre los servicios públicos esenciales. Éstas se clasifican, según su ámbito, en Infraestructuras Críticas (IC) o Infraestructuras Críticas Europeas (ICE), si afectan a dos o más estados miembro de la Unión Europea. Así mismo, para determinar la criticidad de estas infraestructuras, se valoran principalmente en base a tres parámetros: el número potencial de víctimas que se pueda producir, el impacto económico y el impacto público.

Otro de los pilares con los que nos encontramos es el diseño de un plan estratégico que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras críticas. Como toda estrategia de seguridad, ésta parte en primer lugar de un análisis de riesgos, en el que se evalúan las amenazas y vulnerabilidades, seguido del análisis de las fortalezas y debilidades frente a los mismos. Dicho análisis permite determinar cuáles son las prioridades y la capacidad para, con ello, coordinar y planificar los esfuerzos necesarios del Gobierno, las Administraciones Públicas y el sector privado para hacerlos frente.

En cuanto a las figuras responsables, surge el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), como órgano director y coordinador, y que depende únicamente de la Secretaría de Estado de Seguridad. Así mismo, detalla todas aquellas relaciones y obligaciones de los diferentes actores involucrados.

Como punto destacado, cabe mencionar la especial atención que este Real Decreto presta hacia las tecnologías de la información, reconociendo la fuerte dependencia actual, tanto para su gestión como por su vinculación con otros sistemas. De la misma forma, se aboca por la implantación de las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información en los sistemas y las comunicaciones (véase al respecto el artículo 26, Seguridad en las comunicaciones).

No obstante, tengo que decir que esta norma cae un poco en la ambigüedad en cuanto a medidas técnicas se refiere, dejando dicho criterio al Centro Criptológico Nacional, como órgano encargado de certificar y acreditar la seguridad de los sistemas de información y comunicaciones. Veremos con el paso de los días como queda la versión final de esta norma y también cómo afecta la situación actual de crisis en el desarrollo e implantación de la misma.

Ataques Tempest

Hace algunos días mientras un amigo y compañero de trabajo revisaba el estándar ISO27002, se dio cuenta y comentó un detalle que cuanto menos nos pareció a todos curioso. El apartado “i” del control 9.2.1 sobre Emplazamiento y protección de equipos, dice:

“Se deberían proteger los equipos que procesen la información sensible para minimizar el riesgo de fugas de información debidas a una emanación”

Como habréis pensado el comentario vino a raíz de esa última palabra: “emanación”, la cual nos hizo pensar en si realmente la habían utilizado de forma correcta bajo el contexto en el que estábamos hablando. Dándole vueltas alguien recordó que había leído algo sobre la posibilidad de la captación de datos mediante el análisis de señales por emanación electromagnética, un fenómeno que desde luego parece más bien sacado de una serie de ciencia ficción, pero que no está para nada desencaminado de la realidad. Hoy vamos a hablar de los ataques TEMPEST.

[Read more…]

¿Dígame…? La inseguridad al teléfono: El spam y otras prácticas

¿A quién no le han llamado innumerables veces a lo largo del día ofreciéndole tarifas mucho más baratas de telefonía, luz, gas, etc. (aunque no te salgan los números) o el mejor móvil del mercado, a juicio del teleoperador? Es el comúnmente conocido como spam telefónico, técnicas abusivas e insufribles por las que, quien más o quién menos, todos hemos tenido que pasar.

¿Qué puede hacer el usuario en contra de éstas prácticas para defenderse? Bien, por si alguien no lo sabe vamos a hacer un breve resumen de las acciones que podemos poner en marcha al respecto. La Ley Orgánica de Protección de Datos nos ampara en este aspecto poniendo a nuestra disposición los derechos ARCO (de Acceso, Rectificación, Cancelación y Oposición). Veamos un par de artículos interesantes de la ley, resaltado lo que más nos interesa.

En primer lugar, El artículo 6 de la LOPD, Consentimiento del afectado, dictamina:

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

En segundo lugar, según el artículo 30 de la LOPD sobre Tratamientos con fines de publicidad y de prospección comercial tenemos:

1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.

2. Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

3. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como del resto de información a que se refiere el artículo 15.

4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.

Por lo tanto, tenemos el derecho de conocer en todo momento la identidad del responsable de realizar dicha llamada (la empresa en cuestión), de dónde proceden nuestros datos (que podría ser, como indica el artículo 30.2, por fuentes accesible al público, como las guías telefónicas, o facilitados por los propios interesados, léase por ejemplo letra pequeña de algunos contratos firmados por nosotros con nuestros datos personales donde pone cesión de datos a terceros; de otra forma sin nuestro consentimiento estarían infringiendo la ley) y finalmente exigir que sean eliminados de facto de sus bases de datos o medios que utilicen para almacenarlos.

Lo normal en estos casos es que haciendo uso de sus derechos de “remolonería” y yéndose por los cerros de Úbeda intenten por todos los medios posibles evitar nuestra petición. En tal caso siempre podemos realizar dicha operación mediante el tradicional correo certificado, si queremos asegurarnos que llega a su destinatario (lo cual, cierto, no deja de ser un engorro y el respaldo burocrático de las grandes organizaciones). La Agencia Española de Protección de Datos pone a nuestra disposición unos modelos que nos servirán como base para ejercer dichos derechos, que cumplimentaremos y enviaremos, adjuntando una fotocopia del DNI para identificarnos.

A partir del momento en que la empresa recibe la carta, dispone de un plazo hábil de 10 días para cancelar los datos y 30 días para pronunciarse respondiendo a nuestra petición. Si pasa el plazo legal establecido y no se ha obtenido respuesta alguna ni hemos conseguido nuestro objetivo, podremos proceder a solicitar a la AEPD que nos tutele, como remarca el artículo 18.2 de la LOPD Tutela de los derechos. En otras palabras, ahora sería la Agencia la que se encargue del tema poniéndose en contacto con la empresa en cuestión, con la posibilidad de iniciar un procedimiento sancionador hacia la misma.

Esto es estupendo, pero hay todavía un aspecto que no hemos comentado, que cada día se hace más frecuente y del que poco o nada podemos hacer al respecto. ¿Qué hay de las llamadas con números ocultos/privados? Otra de las tradicionales cruzadas. Todo se vuelve más hosco cuando somos incapaces de identificar a la persona que tenemos al otro lado (cuando no es una máquina, ya que en ese caso estaríamos ante una ilegalidad declarada).

Respecto a esto, el 31 de diciembre de 2009 se publicó en el BOE una modificación que afecta a este ámbito en cuanto a Prácticas agresivas por acoso. Su artículo 29.2 dicta:

2. Igualmente se reputa desleal realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual.

El empresario o profesional deberá utilizar en estas comunicaciones sistemas que le permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional.

Para que el consumidor o usuario pueda ejercer su derecho a manifestar su oposición a recibir propuestas comerciales no deseadas, cuando éstas se realicen por vía telefónica, las llamadas deberán realizarse desde un número de teléfono identificable.

Este supuesto se entenderá sin perjuicio de lo establecido en la normativa vigente sobre protección de datos personales, servicios de la sociedad de la información, telecomunicaciones y contratación a distancia con los consumidores o usuarios, incluida la contratación a distancia de servicios financieros.

Por lo tanto, quedan prohibidas las llamadas comerciales a través de números ocultos, algo que esperemos que se haga notar desde ya. No obstante, esto todavía no significa que queden prohibidas para otros propósitos, y este es el punto que me gustaría resaltar y donde creo los usuarios están más desprotegidos al respecto. ¿Alguien ha recibido decenas de llamadas en un mismo día, durante semanas, a diferentes teléfonos de su domicilio, y escuchar silencio tras descolgar? A un presente le ha pasado. Métase en el mismo saco timos, bromas telefónicas y teleoperadores anónimos varios. En definitiva, no saber quién está realmente al otro lado del hilo telefónico.

Existen multitud de leyendas urbanas acerca de cómo averiguar estos números ocultos: dobles desvíos de llamadas, rellamadas automáticas, programas de identificación de números privados, etc. Muchos aprovechando posibles agujeros de seguridad de según qué operadora, pero nada de manera oficial y menos aun que funcione de verdad. A raíz de esto, curioseando encontré una interesante aplicación, TrapCall, que es capaz de descubrir el número mediante el cual te están llamando en 6 segundos. Estupendo, si no fuera porque por ahora sólo funcionan en las redes de AT&T y T-Mobile.

Aquí en España al menos, las operadoras se lavan las manos al respecto, ya que no te facilitan estos números a menos que se pida por orden judicial y tras una denuncia previa en casos extremos. La única solución que te suelen dar es que desvíes todas estas llamadas con número oculto y que lo hagas tú mismo. Esto que se lo expliquen a mi abuela.

Como veis el tema de la seguridad en las comunicaciones es extenso y podríamos pasarnos el día hablando de ello, desde los innumerables timos que se producen a diario o el más que comentado sistema de escuchas telefónicas del Ministerio del Interior “SITEL” (Sistema Integrado de Interceptación de Telecomunicaciones), sobre lo que por cierto el pasado martes 19 de enero la AEPD publicó el informe de la inspección que podéis leer aquí mismo. Pero todo esto será en próximas entradas.

Por lo demás, pasen un buen fin de semana, ya que mañana no habrá nada nuevo que leer por aquí. Nos vemos el lunes, en el mismo sitio y a la misma hora (o a cualquier otra). Sean buenos.

Seguridad e historia: El caso del Security Pacific National Bank

Stanley Mark Rifkin era un consultor informático free-lance, que con sus conocimientos y haciendo uso de técnicas de Ingeniería Social consiguió, en 1978, llevar a cabo el que hasta el día de hoy es el robo más grande de un banco en la historia de los Estados Unidos. Déjenme que les cuente y verán lo interesante que es su historia.

A los 32 años de edad Stanley Rifkin trabajaba para numerosos clientes, siendo uno de ellos una firma que había realizado unos trabajos de consultoría en el Security Pacific National Bank, con sede en Los Ángeles, California. En una sala del nivel D de dicha sede se encontraba la Unidad Uno de Operaciones, una red nacional controlada por la Junta de la Reserva Federal, agencia gubernamental que permite a los bancos transferir fondos de un banco a otro en los Estados Unidos y en el extranjero. Al igual que otros bancos, Security Pacific National Bank tenía implantados ciertos controles de seguridad, en este caso un código numérico que cambiaba diariamente y que permitía autorizar las transferencias.

El 25 de octubre de 1978 Rifkin visitó la sede del banco, donde los empleados del banco le reconocieron como parte del equipo. Cogió un ascensor que le llevó hasta el nivel D, y se las arregló para que un hombre joven y agradable le dejara pasar a la sala de transferencias. Allí mismo estaba anotado en la pared el código secreto para las transferencias de ese día. Rifkin lo memorizó y salió de la sala sin levantar mayor sospecha.

Al poco tiempo, los empleados de la sala de transferencias del banco recibieron una llamada telefónica de un hombre que se identificó como Mike Hansen, un empleado de la división internacional del banco. Este hombre ordenó una transferencia sistemática de fondos a una cuenta en el Irving Trust Company, un importante banco en Nueva York, proporcionándole el número secreto para autorizar la transacción. Era algo corriente, así que el banco realizó una transferencia de un total de 10.2 millones de dólares sin ni siquiera sospechar que el hombre que acaba de llamar, y se había identificado como Mike Hansen, era en realidad el propio Stanley Rifkin. El Security Pacific National Bank no estuvo al tanto de lo sucedido hasta que a primeros de noviembre los agentes del Departamento Federal de Investigaciones (FBI) detectaron e informaron del robo. El fraude había pasado inadvertido hasta la segunda parte del plan de Rifkin.

En realidad, los preparativos para el fraude habían comenzado en verano de 1978, cuando acudió al abogado Gary Goodgame para que le asesorara en la búsqueda de un producto que fuera imposible de rastrear. Goodgame le sugirió a Rifkin que fuera a hablar con Lon Stein, un respetable comerciante de diamantes en Los Ángeles. A principios de octubre, Rifkin empezó a trabajar para convertir los fondos robados en diamantes. Haciéndose pasar por representante de una reputada firma —Coast Diamond Distributors— contactó con Stein, y le indicó que estaba interesado en realizar una oferta multimillonaria en la compra de diamantes. Sin sospechar nada, Stein ejecutó la orden a través de una empresa del gobierno soviético de comercio llamada Russalmaz.

El 14 de octubre, la oficina de Russalmaz en Ginebra, Suiza, recibió una llamada telefónica de un hombre que decía ser un empleado del Security Pacific Nacional Bank. El hombre, que se llamó a si mismo el Sr. Nelson, informó a la oficina de Russalmaz que Stein actuaba como representante de Coast Diamond Distributors. Además, confirmó que el banco disponía de los fondos necesarios para financiar la operación multimillonaria. El Sr. Nelson volvió a llamar al poco tiempo para decir que Stein se pasaría por la oficina de Russalmaz en Ginebra el 26 de octubre con el fin de echar un vistazo a los diamantes y finalizar la operación.

El 26 de octubre, Stein llegó a la oficina de Ginebra de Russelmaz. Pasó el día allí, inspeccionó los diamantes y regresó al día siguiente con otro hombre (la identidad de este segundo hombre es desconocida. De acuerdo con las descripciones físicas no se parecía a Rifkin). Stein acordó pagar a la empresa soviética 8,145 millones de dólares a cambio de 43200 quilates en diamantes (un quilate son aproximadamente 200 miligramos).

De alguna manera Rifkin logró introducir de contrabando los diamantes en los Estados Unidos, y cinco días después de haber robado en el Security Pacific Nacional Bank, comenzó a vender los diamantes. En primer lugar vendió doce diamantes a un joyero de Beverly Hills por 12000 dólares. Luego, viajó a Rochester, Nueva York, donde intentó vender más diamantes. Aquí Rifkin se topó con un pequeño obstáculo. El 1 de noviembre visitó a Paul O’Brien, un ex-socio de negocios, al que le dijo que había recibido unos diamantes en forma de pago por un trato con la República Federal Alemana, y quería cambiar los diamantes por dinero. Sin embargo, antes de llevar a cabo la transacción, O’Brien vio en la televisión la noticia del fraude multimillonario en Los Ángeles, donde nombraban a un tal Rifkin como principal sospechoso, e inmediatamente se puso en contacto con el FBI.

Esto hizo que el FBI otorgase a O’Brien el permiso para grabar sus conversaciones con Rifkin, que mientras tanto había volado a San Diego, California, para pasar un fin de semana en compañía de Daniel Wolfson, un viejo amigo. Le contó que pensaba rendirse, pero nunca tuvo la oportunidad. El 5 de noviembre Rifkin llamó a O’Brien; la conversación permitió a los agentes del FBI realizar un seguimiento que les llevó hasta el apartamento de Wolfson en California.

Alrededor de la medianoche del domingo 5 de noviembre, los agentes Robin Brown y Norman Wight del FBI aparecieron en el apartamento de Wolfson. Al principio Wolfson prohibió a los agentes que entraran, pero después de que le informaran que se iban a entrar como fuese necesario les permitió entrar. Rifkin se rindió sin oponer resistencia. Los agentes federales también encontraron las evidencias del fraude: un maletín con los 12000 dólares de la venta de los diamantes en Beverly Hills y varias decenas de paquetes con diamantes en su interior, que habían sido escondidos en fundas de plástico para camisas.

Rifkin fue llevado al Centro Correccional Metropolitano de San Diego. Poco después fue liberado bajo fianza, pero se metió en más problemas con el FBI. Nuevamente fijó su objetivo en otro banco, esta vez en el Union Bank de los Ángeles, queriendo usar el mismo sistema que con el Security Pacific National Bank. Lo que no sabía era que uno de los involucrados en la trama fue el que informó al gobierno. Rifkin fue detenido nuevamente el 13 de febrero de 1979.

Rifkin fue juzgado por dos cargos de fraude electrónico, enfrentándose a la posibilidad de diez años de prisión. Se declaró culpable, y el 26 de marzo de 1979 fue finalmente condenado a ocho años.

Una vez llegamos a este punto nos podemos preguntar ¿se podría haber evitado todo esto? Nos encontramos en un caso en el que los controles de seguridad, unas veces insuficientes, otras inexistentes, fueron cayendo uno tras otro hasta permitir el mayor fraude bancario en la historia de los EEUU.

Rifkin, haciendo caso omiso a su ética moral y profesional, decidió aprovechar el conocimiento de las debilidades que había observado en el banco para beneficiarse. En muchas ocasiones el consultor tiene a su alcance información confidencial de la empresa con la que está trabajando, y en casi la totalidad de ellas se firman cláusulas de confidencialidad para con el deber de secreto y uso de la información con la que se está tratando, con el fin de intentar evitar casos como este. Quiero pensar que las organizaciones de hoy en día que manejan información de tal calado como son los bancos, son conscientes de la información con la que trabajan, y que la ley les obliga a cumplir un mínimo en cuanto a controles, medidas y normas de seguridad.

* * *

Dejando a un lado el plano anecdótico, analizando un poco el caso podemos localizar bastantes puntos débiles en el sistema de gestión. Echemos un vistazo a algunos de los controles de seguridad básicos que cualquier SGSI debería tener y con los que se hubiera evitado este desastre:

1. Entidades externas: es imprescindible mantener la seguridad de la información de la organización, se deben identificar los riesgos con respecto a terceras personas, definir a qué información pueden acceder, el tratamiento de la seguridad cuando estén presentes, contratos detallados y de confidencialidad e implementar los controles necesarios para ello.

Debió quedar definido, cuando se contrató al consultor de nuestra historia, a qué información iba a acceder y cuando y durante cuánto tiempo iba a permanecer en la empresa, además de tener conocimiento de ello los responsables de las áreas afectadas.

2. Clasificación y tratamiento de la información: La información debe ser clasificada en términos de su valor, requerimientos legales, confidencialidad y grado crítico para la organización. Así mismo se deben desarrollar e implementar los procedimientos para su tratamiento según los niveles adoptados.

El ejemplo más claro lo podemos encontrar en el código secreto para realizar transferencias. Es una información de alto secreto, se cambiaba a diario, pero ¿qué hacía colocada en la pared? Es una situación que nos encontramos con frecuencia, es complicado recordar una contraseña que a menudo no debe tener ningún sentido lógico, mezcla de números, letras mayúsculas, minúsculas, signos… ¿y aprenderse una nueva cada día? Es comprensible. Pero por favor, ¡en la pared no!

3. Seguridad física y control de acceso: Como evitar el acceso físico no autorizado, definiendo áreas y perímetros de seguridad e implantando controles de entrada tales como sistemas de identificación o guardias de seguridad.

Ya es prácticamente imposible conocer a todo el personal en una organización con un gran volumen de trabajadores, como para saber también cuándo alguien deja el puesto o cuando no deberían estar allí. Pero para eso existen sistemas de identificación, tarjetas, registros de visitas… y más aún, áreas de acceso restringido, como en el caso la sala de transacciones del Nivel D, donde la seguridad debe de ser máxima, de forma que solo tuvieran acceso exclusivamente el personal autorizado.

4. Intercambio de información: Se deben establecer procedimientos y políticas en el intercambio de la información, asegurando su integridad, la identificación de los interlocutores y la no suplantación.

Bastó con una simple llamada y dar un código para efectuar una transacción de 10.2 millones de dólares. Es de sentido común establecer un procedimiento de identificación para llevar a cabo dichas operaciones, más aún cuando el código secreto lo conocen varias personas y lo tienes colgado en la pared.

5. Monitorización: Es imprescindible observar y analizar la actividad de una organización, en especial todo lo que refiere a información de especial interés para la compañía, con tal de detectar actividades de procesamiento no autorizadas.

Tuvo que pasar casi una semana completa para que detectaran el fraude. Pienso que resulta cuanto menos sospechoso mover tal cantidad de fondos a una sola cuenta, si se hubiera monitorizado y detectado, se habría podido investigar y comprobar que se trataba de una operación ilícita.

6. Cumplimiento: Finalmente, hay que asegurarse del cumplimiento íntegro con las políticas y estándares de seguridad de la organización. Además del conocimiento de normas, medidas y procedimientos por parte del personal.

Todo el personal debe conocer sus funciones y obligaciones, así como las normas y procedimientos que les afectan. El recepcionista no debió haberlo dejado pasar sin comprobar si podía, el guardia no debió permitirle entrar en ningún caso, el responsable del código secreto de transacciones no debió colgarlo en la pared, y el señor que cogió el teléfono debió asegurarse y comprobar que la transacción era correcta.

Por último quería comentar que, ya no sólo centrándonos en los bancos —y por supuesto no en este caso, ya que las medidas que los bancos tienen implantadas se encuentran a un nivel de seguridad muy diferente al que se encontró el señor Rifkin entonces—, hay muchas organizaciones que trabajan con información de alto secreto o gran valor económico que a menudo es conocida por muchas más personas de las que debería. Al fin y al cabo, por mucho contrato de confidencialidad que haya de por medio, siempre caemos en lo mismo: la confianza, la sinceridad y la buena ética de las personas con las que trabajamos.

Y sin más me despido; espero que os haya parecido interesante, y os deseo a todos los que hayáis conseguido llegar hasta aquí abajo un buen día.