Hoy es primero de septiembre, y como les prometimos hace un mes, volvemos a la carga no sin los dedos y el ingenio algo atrofiados —oxidados— por el sol y la vida contemplativa que cuando hay suerte acompaña a las vacaciones; si la echan de menos, pueden seguir mirando la imagen de la siguiente entrada, aunque les aviso que es contraproducente. Por ello, me disculparán si comenzamos esta nueva temporada con una pequeña reflexión personal sobre el estado de la seguridad informática.

De un tiempo a esta parte, a nadie se le escapa que la seguridad informática ha comenzado a tener su pequeño rincón en los medios generalistas, saliendo de ese nicho geek en el que permanecía hasta hace poco. Presencia lógica por otra parte, derivada de a) la popularidad que Facebook, Tuenti, Twitter, e Internet en general van teniendo y b) de las preocupaciones sobre la privacidad, los datos personales, el comercio electrónico y etc. La consecuencia es que cualquier pérdida de datos, intrusión, robo de contraseñas/tarjetas de crédito o similar aparece al poco tiempo no sólo en Kriptópolis sino también en las páginas de tecnología de El Mundo y El País, por citar algunos —dejemos aparte la exactitud con la que se abordan las noticias, que no es el tema de hoy—. Por supuesto, las especificidades técnicas de los ataques siguen siendo terreno privado del personal especializado, y ni falta que hace que deje de serlo.

[Read more…]

Como (casi) todo hijo de vecino por estas fechas, Security Art Work se va de vacaciones hasta el próximo septiembre, donde habrá más y (si es posible) mejor. Sean buenos, y recuerden ponerse crema solar.

No se si estarán de acuerdo conmigo en que la seguridad, antes que un conjunto de tecnologías, cortafuegos, VPNs, claves, normativas, manuales o sistemas de gestión, es una sensación subjetiva basada en una percepción: la confianza, la tranquilidad. Verán porqué les digo esto.

El pasado viernes por la tarde, mientras tomaba café en un bar, me dejé olvidadas las llaves junto con la cartera, la cual contiene la dirección de mi domicilio. Aunque recuperé ambas cosas pasadas unas horas, cuando me di cuenta de la pérdida, aparte de hacer ciertas gestiones necesarias, lo cierto es que no me quedé tranquilo sabiendo que alguien podía haber hecho una copia de las llaves en el tiempo que habían estado desaparecidas; ya ven, malpensado que es uno. Así pues, pensé que lo mejor sería cambiar el bombín de la cerradura (lo que la persona sujeta en la foto), y consultando con un amigo cerrajero, me indicó que yo mismo podía cambiarlo; en efecto, es extremadamente sencillo de cambiar. Así que me puse a ello; quité cuatro tornillos y saqué el bombín, y pasé un par de días buscando un reemplazo: un bombín de 70 mm, dorado, simétrico y anti-pánico (de doble embrague, lo que significa que aunque te dejes las llaves por dentro sigues podiendo abrir por fuera).

Y al final lo encontré, después de bastante buscar: un AZBE HS-7. El problema es que inmediatamente me dió, curioso que es uno, por buscar en Internet sobre su seguridad, y eso me condujo irremediablemente a los foros de Lock Picking, personas cuyo hobby es abrir cerraduras (legalmente); algo así como un hacker físico, en el mejor sentido del término “hacker” (i.e., el original). Y en esas páginas no hablan precisamente bien de los bombines de AZBE; todo apunta a que son fáciles de abrir y no son especialmente seguros, y el HS-7 ni siquiera está en el tope de gama de AZBE. Por supuesto, leer algo así sobre la cerradura que va a poner uno en casa despierta ciertas inseguridades y dudas, y hasta me planteé acercarme a la ferretería y cambiar la cerradura por otra, que fuese mejor y muy probablemente más cara. Claro que también es muy probable que el ferretero no estuviese tan “puesto” en el tema como el personal de los foros, y fuese incapaz de asesorarme.

Pero antes de hacerlo, hice otra búsqueda, esta vez con la marca de mi actual cerradura, UCEM. Y resulta, no se lo pierdan, que es aun menos segura que la que voy a poner. Sin embargo, antes me sentía seguro, porque pensaba, en mi ignorancia, que tenía una puerta acorazada con una buena cerradura, cuando sí, tenía una puerta acorazada… y dejémoslo ahí. Pero ahora, con un bombín de mayor calidad, me siento más inseguro, lo que me trae a la cabeza ese eterno dilema que pregunta si la ignorancia da la felicidad. Maldita Internet, si no existiese…

Ante este problema, no he dudado en llamar a mi amigo cerrajero y consultarle sobre la seguridad del bombín. Y su respuesta es que cualquier cerradura que esté (aproximadamente) entre treinta y cincuenta euros es perfectamente válida para una casa; frenará a un ratero sin “experiencia”, pero una persona experimentada y suficientemente motivada para entrar, conseguirá abrir esa cerradura y muchas otras de gama y coste muy superior. Así que, como en tecnología, la conclusión final a la que llega uno es que la seguridad total no existe, y que hay que poner los suficientes medios para sentirse seguro a un coste asequible (porque la gama alta seguramente exija otro tipo de puerta, y eso ya es otra historia)… y no olvidarse de poner el pestillo interior cuando uno se va a dormir.

(Fotografía por vrde en Flickr)

Como sabrán, de manera periódica publicamos una encuesta en el blog, que nos sirve para poder “tantear” determinados comportamientos o conceptos entre nuestros lectores, siempre teniendo en cuenta la limitada (pero muy respetable) audiencia con la que contamos; pueden encontrarla a la derecha de sus pantallas. Hace aproximadamente un mes y veinte días les preguntábamos por el uso que hacían de las contraseñas, teniendo en cuenta que hoy en día el que más y el que menos tiene usuario y contraseña en una docena de sitios públicos y privados. Hoy hemos decidido publicar otra encuesta, no sin antes hacer un par de comentarios sobre el resultado de la anterior.

El resultado, que pueden ver debajo, muestra lo que personalmente suponía: que la mayor parte de las personas (42%) gastamos un puñado de claves que vamos intercambiando entre diferentes sitios, lo que nos facilita su memorización y elimina el problema de tener que recordar N contraseñas (lo que hacen un 19% de los visitantes) que además hay que cambiar de manera periódica; al fin y al cabo, en el uso de claves se trata de hacer un balance entre comodidad y riesgo. Por mucho que nos esforcemos en utilizar claves complejas, u obligar a otros a utilizarlas mediante complicadas reglas de sintaxis (las hay verdaderamente difíciles de satisfacer), no hay que pasar por alto el hecho de que superando una determinada frontera de complejidad y cantidad de claves, entran en juego los post-its, las libretas y utensilios “recordatorios” de similar calado, que reducen significativamente su seguridad, sobre todo cuando vamos a entornos públicos como el trabajo.

Otro de los comportamientos que acumula un 20% de votos es el uso de dos contraseñas, una para sitios sensibles (imagino que cualquier sistema que implique el acceso a “dinero” del usuario, correo personal, y quizá incluso Facebook…) y otra para sitios no sensibles (foros, servicios esporádicos, etc.). En este caso, al disminuir la cantidad, la calidad de las contraseñas sobre todo la de los entornos sensibles es un aspecto vital de cara a la seguridad; en principio, siempre que haya cierta periodicidad de cambio, no tiene porqué ser una mala elección. El problema, como imaginarán, es que esas dos contraseñas permanecen literalmente años sin cambiarse, y son utilizadas en entornos heterogéneos que en ocasiones hacen uso de cifrado, y a veces no; además, cuando una clave se conserva durante períodos temporales largos suele ser habitual que por razones de trabajo o necesidad haya que proporcionarla a otras personas, con lo que se están exponiendo todos los entornos sensibles a los que se accede con ésta… y a pesar de ello, la fuerza de la costumbre, la inercia y la molestia de cambiar la clave en N sitios hace que se mantenga sin cambiar.

El 20% restante se reparte en tendencias minoritarias, como son el desaconsejable uso de una única clave (5%), utilizar un patrón a partir del cual derivar las claves de cada sitio (11%), lo que de algún modo podría verse como un caso particular del anterior, y otras aproximaciones (4%).

Para el mes que entra, les preparamos una encuesta relacionada con esa tendencia tan de moda hoy en día y que dentro de algún tiempo dejará de ser una moda para acabar siendo una realidad: la convergencia de la seguridad.

Nos vemos mañana. Sean buenos.

Ya lo hemos comentado otras veces: uno de los principales problemas en las organizaciones es el uso de soportes extraíbles tales como USBs, CDs o DVDs. A menudo la información sale y entra de la organización sin que haya ningún tipo de control sobre ella, y teniendo en cuenta que los dispositivos USB cada vez son más pequeños y tienen mayor capacidad, la verdad es que puede llegar a ser es un problema. Probablemente cualquiera de ustedes se habrá visto en esa situación en la que no sabe dónde está ese USB que necesita para llevarse a casa un informe, una oferta, o similar; y lo peor no es eso, sino que además de no saber dónde está el USB (probablemente en cualquier rincón de su cajonera, de la cajonera de un colega, perdido por casa o peor, en la mochila o estuche de su hijo), ignora qué contenía y para qué lo utilizó la última vez, ya que hace mucho que no lo utilizaba.

Les voy a dar una buena noticia, sobre la que cada vez tengo menos dudas: dentro de unos años los USBs dejarán de utilizarse. Pero al mismo tiempo, tengo que darles una mala: en su lugar, utilizaremos los dispositivos móviles, que cada vez traen tarjetas de memoria de mayor capacidad; el Nokia N85 que tengo trae ya 8 GB, lo cual es más que suficiente para almacenar cualquier tipo de archivos, y la mayor parte de los móviles de nueva generación traen capacidades de almacenamiento inimaginables hace tan sólo un lustro.

Indudablemente, esto tiene una ventaja, derivada de la dependencia que solemos tener de nuestro móvil. Uno no pierde el móvil así como así, ni lo va dejando por cualquier parte olvidado; por lo general, el que más y el que menos está colgado pendiente de su dispositivo móvil, ya sea personal o corporativo. Además, el hecho de que contenga información personal que no nos gustaría perder (ya sean fotos, la agenda, los SMS, etc.), es otro factor a favor. Si somos un poco sinceros, admitiremos que para mucha gente es más importante su agenda de contactos de amigos, familiares y conocidos, que el informe de ventas del mes pasado, lo cual es algo normal. En definitiva, migrar del USB al móvil plantea numerosas ventajas en seguridad, y personalmente, les recomiendo que si no lo han hecho ya, lo hagan (si su dispositivo móvil se lo permite): destruyan ese USB y utilicen su móvil.

Pero todo no van a ser ventajas. Primero, es que una característica intrínseca al móvil es que te acompaña a todas partes; a diferencia del USB, lo llevas tanto en el trabajo, como en un partido de fútbol, en una reunión familiar, en el cine o en una despedida de soltero. No se separa de ti (o mejor dicho, tú no te separas de él), y eso significa que la probabilidad de perderlo también aumenta, y sobre todo en entornos “no controlados”. Tampoco hay que olvidar que un móvil es más “goloso” para los amigos de lo ajeno, sobre todo si nos vamos a Blackberry, iPhone u otras virguerías, mientras que un USB no suele llamar la atención y es mucho menos llamativo (y voluminoso, por lo que tomando un café o cenando no lo sacas del bolsillo).

Entonces, ¿qué hacemos? Les voy a decir lo que hago yo. Como les he recomendado, utilizo el móvil, donde he creado una unidad Truecrypt (Kriptópolis tiene un excelente tutorial introductorio) de 1GB donde almaceno todo tipo de información que necesito llevar a casa para trabajar con ella. En casa tengo instalado también Truecrypt, por lo que con esta medida tan simple me aseguro de que la información viaja en un dispositivo del que estoy permanentemente pendiente, y siempre lo hace cifrada. Si pierdo el móvil, nadie podrá recuperar nada, pero al mismo tiempo tengo la “funcionalidad USB” que es lo que quiero, sin necesidad de utilizar soportes que en cualquier momento mi cabeza puede decidir olvidar. En mi caso, no se trata de que la información esté permanentemente cifrada, tanto en la empresa (que ya tiene sus propios controles de acceso) como fuera, sino que cuando traslado información fuera de la empresa, lo haga en un contenedor seguro.

Como nota final, les tengo que confesar que me asombra bastante la poca utilización de este tipo de soluciones que existen en las organizaciones, y más teniendo en cuenta la sencillez de utilización del Truecrypt. Entiendo que el cifrado tiene sus reticencias entre mucha gente, absolutamente lógicas: ¿qué pasa si olvido la contraseña? ¿quién debe conocerla? ¿qué pasa si se corrompe un sector del disco?, pero en este caso, en el que se le da un uso para “traslados” temporales de la información, no son preguntas a considerar (es decir: la contraseña no se te olvidará de un día para otro, y si una copia relativamente reciente de la información está en los sistemas corporativos, importa poco que sólo tú conozcas la contraseña o se corrompa el sistema de ficheros de tu dispositivo móvil).

Estimo que costaría muy poco dotar a los equipos de los principales responsables de una organización de Truecrypt, crearles una unidad en sus dispositivos móviles y formarles en el uso de la herramienta, cuyo uso es intuitivo y muy sencillo. Después de todo, si a la entrada reciben formación sobre el uso de las herramientas de negocio corporativas (ya sea SAP, AS/400, Lotus Notes o similar) y nadie se queja de que son muy complicadas o que les molestan para trabajar, ¿porqué no incluir entre ellas Truecrypt?

Aunque les prometimos que el pasado viernes publicaríamos las entradas al primer consultorio LOPD de Security Art Work, la carga de trabajo de la semana pasada ha hecho que tuviésemos que retrasarlo hasta hoy. Aunque la participación ha sido ligeramente inferior a la esperada, hemos intentado unificar las preguntas en la medida de lo posible, de modo que quedasen cubiertas el máximo número de consultas. Como disclaimer previo, simplemente decir que las respuestas dadas a las consultas son según nuestro mejor saber y entender, independientemente de que un estudio pormenorizado de algunas de las situaciones personalizadas pudiera generar una respuesta diferente.

Espero que les haya resultado útil e interesante, y les emplazamos para la siguiente sesión, de fecha todavía por definir. Sin más dilación, les dejo con la parte interesante de la entrada…

— ¿Cómo es posible cumplir “real y honestamente” con el procedimiento de revisión y tratamiento de los ficheros temporales? (Felipe)

Al respecto, el artículo 5.2.g indica que los ficheros temporales son aquellos “ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.”

Asimismo, el artículo 87 del reglamento, habla de las condiciones a aplicar en su tratamiento:

Al igual que pasa con el concepto de incidencia, el RDLOPD es muy ambiguo con lo que considera un fichero temporal, aspecto que no ayuda mucho a la hora de determinar su correcto tratamiento. Un fichero temporal podría ser una Excel generada a partir de una exportación de datos, tablas temporales de cálculo de un proceso, o fotocopias de documentos. El problema se genera principalmente en los ficheros temporales creados por los usuarios, y no tanto en los creados por procesos informáticos o automatizados. En ese caso, es importante concienciar a los usuarios y fomentar el uso de repositorios departamentales en red, de modo que dichos ficheros temporales sean almacenados con controles de acceso y no residan en dispositivos móviles o equipos personales.

— Limitar la salida de datos de carácter personal a través del correo electrónico. (Felipe)

Esta obligación viene recogida en el artículo 92.2 del reglamento:

Este es sin duda uno de los aspectos más complicados de cumplir de la LOPD, y más teniendo en cuenta que es una medida de seguridad que debe aplicarse a todos los tratamientos, independientemente del nivel de seguridad. En este caso, dada la inviabilidad de que el responsable del tratamiento autorice cualquier salida de datos de carácter personal por correo electrónico, se recomienda incluir la autorización de envíos de correo electrónico de carácter personal en el Documento de Seguridad, delimitando esta autorización a los departamentos cuya gestión e intercambio de datos de carácter personal es más habitual: RRHH, Prevención de Riesgos Laborales, y Administración. Por supuesto, será necesario definir hábitos correctos a la hora de adjuntar datos personales a los correos electrónicos (datos en anexos y no en el cuerpo del correo, utilizar interlocutores definidos cuando sea posible, herramientas de cifrado, etc.).

— Soy un autónomo y no me dedico a una actividad en la que tenga un gran volumen de datos de carácter personal. Aun así, ¿he de adaptarme a la LOPD? (Juan)

Según el artículo 2 de la LOPD:

Por tanto, los ficheros mantenidos por personas físicas en el ejercicio de actividades profesionales están dentro del ámbito de aplicación de la LOPD.

— Recibimos muchos curriculums por correo electrónico y postal en nuestra empresa. ¿Tenemos que hacer algo con ellos? (Marta)

Depende del tratamiento que se le vaya a dar a éstos. Si no se van a conservar, porque no son útiles para la organización, no es necesario hacer nada salvo destruirlos adecuadamente. Si por el contrario van a ser utilizados (almacenados o gestionados para futuras contrataciones), tendrán que tener en cuenta tres aspectos:

• Declaración del fichero ante la Agencia Española de Protección de Datos.
• Deberán proporcionar el derecho de información que exije el artículo 5 de la LOPD.
• En cuanto a su almacenamiento, lo habitual es seguir uno de estos enfoques: a) tratarlos exclusivamente en soporte papel, imprimiendo los correos electrónicos y borrando estos últimos, y b) tratarlos exclusivamente en soporte electrónico, pasando a soporte electrónico los curricula recibidos en soporte papel y protegiéndolos adecuadamente con control de accesos.

— Tenemos un formulario de sugerencias en nuestra página web a través de la que nuestros clientes pueden remitirnos consultas, comentarios, sugerencias. En algún caso hemos recibido comentarios que incluyen datos de salud. ¿Debemos declarar dicha base de datos como de nivel alto? (Andrés)

No (perdonen el lapsus mental). Sí, dado que se trata de un tratamiento automatizado. Tal y como indica el artículo 81.5 del RDLOPD, no será necesario cuando esto suceda en tratamientos no automatizados:

No obstante, se recomienda eliminar la información de nivel alto que no esté directamente relacionada con la finalidad del tratamiento, y mantener el nivel del tratamiento. En cualquier caso, sería necesario estudiar los detalles concretos para dar un veredicto definitivo.

— El nuevo reglamento nos traslada más obligaciones a las empresas a la hora de subcontratar servicios a otras empresas. ¿En qué consisten esas obligaciones? (Laura)

Efectivamente, así es, y no sólo “cuando hay datos personales por en medio”. También introduce la novedad de tener que firmar acuerdos de confidencialidad con las empresas a las que se subcontratan servicios que “en teoría” no deben tener vinculación con el tratamiento de datos personales, pero que puntualmente podrían tenerlo. Son los casos típicos de las empresas de limpieza, empresas de retirada de residuos, empresas de vigilancia, etc.

En relación con las prestaciones en las que sí se tratan datos personales, ya existía la obligación de lo que los abogados llaman el “deber in vigilando” (la obligación de velar por que las cosas se estén haciendo bien…). Pero el RDLOPD detalla en sus artículos 20 y 21 que no basta con firmar un contrato de acceso a datos que recoja los requisitos del artículo 12 de la LOPD: “el responsable del tratamiento […] deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento”.

Otra cosa es cómo comprobar este punto. Y aquí pueden intervenir factores externos, como puede ser la “relación de fuerzas” entre ambas entidades. Por nuestra experiencia, lo habitual es que el encargado del tratamiento acredite que está “al día” en cuanto al cumplimiento de la LOPD. En otros casos incluso se exige que se facilite el informe de su última auditoría bienal. Finalmente —y de hecho estamos haciéndolo así para un cliente del sector privado sanitario— se puede estipular en el contrato que se abordarán auditorías de cumplimiento en el tercero.

— ¿Qué indemnización cabe recibir de una empresa que me sigue enviando publicidad después de ser cliente suyo? (María)

La LOPD no fija ninguna indemnización para los titulares de los datos, y esta es una idea que le choca a algunas personas. La LOPD puede sancionar a la empresa, pero de esta sanción no se deriva ningún beneficio económico para el perjudicado por un mal tratamiento. En este caso, si usted considera que merece una indemnización, deberá emprender acciones legales contra la empresa.

— A pesar de disponer de carpetas departamentales, muchos empleados de mi empresa siguen utilizando sus unidades locales para almacenamiento de bases de datos, excels y ficheros con datos de carácter personal. ¿Es necesario hacer copias de esta información también? (Luis)

Sí, puesto que dichos datos de carácter personal son responsabilidad de la empresa. Por tanto, no se puede delegar en los empleados la realización de las copias de sus equipos, ni obviar el hecho de que estén gestionando datos de carácter personal sin las adecuadas medidas de seguridad. Puede obtener más información en esta entrada. En cualquier caso, nuestra recomendación es la implantación de una normativa que prohíba el almacenamiento de información corporativa en general en los equipos personales, obligando a la utilización de los discos de red.

Hace un rato he bajado la última versión del navegador Opera, concretamente Opera 10 Beta, en base a las noticias que dicen que es más rápido, más estándar, y más todo. Lo es, casi puedo asegurarlo. Incluida la parte del “todo”, y eso no siempre es bueno.

La cuestión es que dicho navegador tiene un modo “Turbo”, que se activa pinchando en un icono que hay en la esquina inferior izquierda. Quizá esto no sea nuevo para los usuarios habituales de Opera, pero sí lo es para mí. Accediendo al blog a través de Opera, me doy cuenta de que el acceso no aparece proveniente de mi IP privada, sino como procedente de la IP 94.246.126.147. Qué raro. Indagando lo mínimo, veo que:

[Read more…]

No me cabe duda de que todos ustedes conocen Facebook. Otra cosa es que lo utilicen de manera asidua; yo personalmente todavía no le acabo de encontrar el gusto. La cuestión es que como saben, si buscan ustedes a alguien dentro de esta red social, no es “amigo” suyo y el perfil de la persona no es público, sólo verán lo siguiente:

Esto significa, por ejemplo, que no tendrán acceso a las fotos de esta persona, que suele ser uno de los recursos más “codiciados” de este tipo de redes sociales. Eso, en teoría, porque al parecer, según nos enteramos por Mar Monsoriu, y tal y como comentan en Geek The Planet, sí existe una forma de acceder a esta información, a no ser que el usuario haya previsto esa posibilidad previamente (algo que muchos usuarios no hacen). Sigan leyendo.

El (posible) problema

Si le echan un vistazo a la página del usuario de la imagen anterior, verán que debajo de la foto hay un enlace, que dice “Agregar a Oscar a mis amigos”, y que está formado de la siguiente forma:

donde “XXXXXXXX” es el identificador de nuestro amigo Óscar en Facebook. Este identificador aparece también en otros enlaces, como en “Enviar un mensaje a Oscar”, “Ver todo” o “Denunciar a esta persona”. El caso es que, una vez hemos obtenido el identificador, vamos a la página web para desarrolladores de aplicaciones:

En esa página, seleccionamos “Facebook PHP Client” en Formato de Respuesta, y fql.query en el desplegable de los métodos. Debajo aparecerá un recuadro donde escribir la consulta SQL que queremos aplicar sobre el identificador que hemos obtenido. Aunque es posible obtener otro tipo de información, vamos a limitarnos a los álbumes de fotos. Así pues, escriban la siguiente consulta SQL:

Con lo que obtendremos (cuando el usuario tenga álbumes de fotos) una serie de URLs con el siguiente formato:

Que sólo tendremos que pegar en el navegador para acceder al álbum de fotos.

La (posible) solución

El problema viene motivado por el sistema que Facebook tiene para desarrolladores de aplicaciones, que permite que éstas puedan acceder a algunos datos de los usuarios, si éstos no se han tomado las suficientes molestias. Otra cosa es porqué este tipo de acceso se permite, pero dejemos las reflexiones para más adelante. ¿Cómo evitamos que nuestro perfil sea visible de esta forma?

Pues la solución no está demasiado clara, ya que aunque no es complicada, no tengo claro que sea definitiva. Dentro de nuestro perfil, vamos a “Configuración”, “Privacidad”, “Administrar”, donde tendremos las siguientes cuatro opciones:

Si nuestro perfil es “típico” y no hemos cambiado demasiadas cosas, veremos que en las tres primeras opciones todo parece correcto. Aparecemos en búsquedas públicas, pero la información que se proporciona es básica, y en general, nuestra información sólo esta accesible a personas conocidas (“amigos”). Sólo nos queda por tanto ver la parte de “Aplicaciones”.

Al entrar, nos aparecerán cuatro puntos hablando de cómo y cuándo las aplicaciones pueden acceder a tus datos, aunque como hemos visto en el anterior paso, nosotros no somos aplicaciones y sí hemos podido acceder a los álbumes de algunas personas. A continuación vamos a la pestaña “Configuración” de esa misma página, donde nos aparecerá algo como lo siguiente:

A partir de aquí les confieso que todo se vuelve algo “borroso”, ya que no he podido hacer bastantes pruebas para determinar la eficacia de los cambios, debido a razones que les expondré luego. Todo apunta a que lo ideal sería marcar “No compartir ninguna información sobre mí a través de la interfaz de programación de aplicaciones (API) de Facebook“, pero en general esa opción aparecerá sombreada debido a que

Por tanto, deberíamos revisar las aplicaciones que estamos usando, y eliminarlas, y entonces marcar dicha opción, aunque eso puede ser un proceso no sencillo ni trivial para cualquier persona con varios meses en Facebook y un uso medio de la red social. Otra opción sería desmarcar todas las casillas, y guardar cambios, aunque francamente, no tengo demasiado claro que eso vaya a solucionar algo.

Para acabar con esta sección, aparentemente sólo los álbumes que un usuario permite compartir con los amigos de sus amigos son accesibles mediante este procedimiento, y no los álbumes que están bajo las configuraciones de privacidad “Sólo yo” y “Sólo mis amigos”. No obstante, como he dicho antes, esto es una conclusión obtenida a partir de un par de pruebas simples, por lo que podría ser que no fuese cierta del todo. Personalmente, he hecho pruebas con usuarios aleatorios con los que no tengo ninguna relación, obteniendo todos sus álbumes (en otros casos, no he podido acceder a ninguno). Por tanto, les recomiendo no poner fotos que les comprometan en algún sentido, por simple precaución.

Conclusiones

Aunque inicialmente tendía a pensar que esto que les he comentado era una vulnerabilidad de Facebook, tras ver que hay configuraciones de privacidad que pueden evitar el acceso por parte de terceros a través del portal de desarrolladores, no estoy seguro de lo que es, o mejor dicho, de cómo considerarla; aunque sea una “feature” documentada, si viola políticas de privacidad, debería considerarse como un problema de seguridad. Hay varios aspectos que me gustaría destacar:

1. La entrada de Geek The Planet que trata este problema es del 23 de mayo. Han pasado 12 días, y el “problema” continúa, aunque es posible que Facebook no considere esto un problema, sino una herramienta para desarrolladores; lo cierto es que no he visto demasiado ruido al respecto. Esa es, por cierto, una de las razones de la publicación de esta entrada.

2. Aunque el defacement de una página web corporativa, o el robo de determinada información estratégica de una organización son problemas muy graves, pienso que en general, el robo de ciertos datos de carácter personal está en otro nivel. La razón es muy sencilla. Mientras que en los dos primeros casos las consecuencias pueden estar más o menos acotadas en el tiempo y tener un relativo impacto sobre la organización, los datos de carácter personal se caracterizan por su inherente vinculación a la persona, durante toda su vida. Si en una foto salgo yo, no hay manera de limitar temporalmente ese hecho; una página web o un plan estratégico se puede cambiar, pero la foto permanecerá mientras no se destruyan todas sus copias. Ese es uno de los aspectos que a) los usuarios de las redes sociales no acaban de entender cuando cuelgan fotos suyas en Internet, y b) las grandes redes sociales no quieren asumir como responsabilidad.

3. Me preocupa la siguiente afirmación, al respecto de aplicaciones y privacidad:

En concreto, la palabra “deben”. Esto parece implicar que la gestión de la privacidad se deja en manos de los desarrolladores, y que no es impuesta por los sistemas de control de privacidad de Facebook; me resulta bastante extraño, pero eso es lo que dice el párrafo anterior. Además, el hecho de que sea posible denunciar este tipo de violaciones de la política de privacidad por parte de las aplicaciones es la confirmación de que efectivamente, las aplicaciones pueden no respetar las políticas de privacidad de Facebook; porqué esto se permite sobrepasa mi comprensión.

4. Facebook, así como Tuenti, son redes sociales donde abunda los usuarios adolescentes y universitarios. Aunque muchos de ellos están acostumbrados de sobra a Internet, Facebook tiene una variedad enorme, en cantidad y complejidad, de configuraciones de privacidad. Me da la impresión de que las implicaciones de cada configuración no se están trasladando correctamente a los usuarios, intencionadamente o no; es imperativo simplificar, unificar, y explicar qué significa cada opción y quién exactamente va a tener acceso a tus fotos, notas, comentarios, etc. Y esto es generalizable a prácticamente todas las redes sociales.

5. Les decía antes que no sabía si esto era una vulnerabilidad o una feature, pero el caso es que durante la escritura de los puntos anteriores, estoy convencido de que es una vulnerabilidad, por una sencilla razón: he buscado aleatoriamente a alguien en Facebook, y desde la red social únicamente podía ver su foto de perfil; nada más, mientras no me hiciese “amigo” suyo. Entonces he ido a la web de los desarrolladores, y con el procedimiento anterior, he podido acceder a los álbumes (siete) de esa persona, que sin duda ignora que sus fotos son accesibles libremente desde Internet, sin más que aplicar un sencillo procedimiento fácilmente automatizable. No sé si es un problema de comunicación a los usuarios o de implementación, pero sin duda es un problema grave de privacidad, en el momento permite a usuarios externos acceder a información que no es (o no debería ser) pública. Quizá no funcione para todos los usuarios y para todas las configuraciones, pero si eso no es una vulnerabilidad, no sé lo que es.

6. Aunque las políticas de privacidad hablan de aplicaciones, en ningún momento se habla de desarrolladores. Es lógico que las aplicaciones, dentro del marco de privacidad de Facebook, requieran acceder a datos de los usuarios, y en efecto, las aplicaciones solicitan autorización para ello. Pero no es lógico que las propias aplicaciones puedan “saltarse” la configuración de privacidad del usuario y desde luego, eso no incluye a los desarrolladores de aplicaciones. Este punto no sólo no está claro, sino que no se indica en ningún lugar.

7. Por último, como podrán imaginar y seguramente hace un rato que estaban pensando, esto supone una violación del artículo 94.4 del Reglamento de Desarrollo de la LOPD:

Ya que como hemos podido comprobar, el nivel de seguridad al realizar pruebas con datos reales no se conserva.

—

Poco más. Mi opinión es que este es sólo el principio; como dijo �?caro Moyano en la XI Noche de las Telecomunicaciones Valencianas, la revolución está por llegar. Tuenti tuvo un episodio similar hace unos meses, en el que —a pesar de lo que decían—, era posible enlazar a imágenes internas desde fuera de la red social. Este problema se ha solucionado (según tengo entendido), pero aparecerán más, no tengan ninguna duda; los usuarios no sólo van adquiriendo destreza informática (sin ir más lejos, aunque en principio Tuenti no deja descargarse fotos, ya hay una extensión de Firefox para “saltarse” la “protección”, por llamarla algo, además de un montón de métodos alternativos), sino que demandan más funcionalidades que introducirán a su vez más vulnerabilidades.

Lo que no hay que olvidar en ningún momento es que estamos hablando de redes sociales con millones de usuarios que comparten datos reales de sus vidas: comentarios, opiniones, hábitos, fotos, etc. Gestionar todos esos datos exige una responsabilidad especial, admitir que son algo más que un montón de información que exprimir publicitariamente, y ser consciente de su importancia.

Personalmente, para serles sincero, no estoy nada seguro de que esa conciencia exista.

Les recuerdo que hoy finaliza el plazo para el envío de preguntas al consultorio LOPD, que serán contestadas el próximo viernes 12. Nos vemos el lunes.

Hasta el próximo viernes 5 de junio a las 15h, Security Art Work inicia el primer consultorio online sobre la LOPD y su Reglamento de Desarrollo, a cuyas cuestiones el equipo de consultoría y auditoría de S2 Grupo contestará en la entrada del próximo viernes 12 de junio.

En ningún caso se publicarán datos de carácter personal (correos electrónicos, nombres de empresas, etc.), ni se contactará con los remitentes de las preguntas, salvo que éstos lo autoricen expresamente. Pueden remitir las preguntas a openlopd@argopolis.es o indicarlas en los comentarios.