La semana pasada Hace unos días, a raíz del ya archiconocido Informe de Mandiant “APT1”, publicamos una pequeña entrada en la que hacíamos algunas valoraciones sobre los supuestos ataques chinos a distintas organizaciones públicas y privadas, y aprovechamos para hacer público un conjunto de reglas de Snort que podían ser utilizadas para detectar, siempre a partir de la información del informe Mandiant, si una organización había sido infectada. Evidentemente, si se recibe una alerta debería despertar ciertas sospechas, pero no recibir ninguna no debería hacer a nadie suponer que no está infectado; los recursos utilizados para la infección son sin duda alguna muy dinámicos y tras el informe muchos de ellos pueden haber sido sustituidos o eliminados.

Pero no es esto de lo que quería hablar. Lo cierto es que escribí el post con cierta urgencia, debido a que queríamos publicar las reglas ese mismo día, y no me detuve a reflexionar sobre la complejidad del ataque chino, sus implicaciones, orígenes y especificidades. Por ello, me sorprendió que ninguno de nuestros lectores (usted mismo) apuntase a algunos errores de planteamiento evidentes que había en la entrada y que pensé un rato después, pero que me resistí a corregir. Decía en la entrada que:

La cuestión aquí es, como apuntan de manera certera en el blog de Securosis, que la diferencia no radica en que China tenga un programa de espionaje cibernético, sino que tanto sus objetivos como beneficiarios son tanto el ámbito público como el privado. Desde un punto de vista económico tiene bastante sentido. En una economía en gran parte intervenida y dirigida estatalmente como la china, parece normal que las “iniciativas” gubernamentales de este tipo reviertan en ámbitos económicos que no dejan, en muchos casos y al menos de manera parcial, de ser también estatales. Al final, como suele decirse, todo queda en casa.

El hecho es que no se trata de ciberespionaje en el sentido en el que estamos acostumbrados a pensar en espionaje. Esto es “otra cosa” y la razón por la que mucha gente debería empezar a estar preocupada. No es espionaje “clásico” ni es espionaje industrial. No hay nadie a quien llevar a juicio o frente a la OMC. No es una acción criminal tal y como la entendemos. Porque es algo más que “simple” información militar o tecnológica lo que está en juego; es todo el modelo económico y social occidental. Dicen que China es un gigante que está despertando, pero a la vista de este tipo de informes, quizá sean las potencias occidentales las que están durmiendo.

Un último apunte. Es cierto que existe algo llamado Echelon y que de vez en cuando ésta o aquella potencia se embarcan en actividades sospechosas (espionaje industrial o sobornos, entre otras) a través de las que intentan favorecer a sus empresas nacionales en contratos millonarios (véase, por ejemplo, los casos Boeing vs. Airbus), pero cabe pensar que el volumen y dimensión de estas malas prácticas no es, ni de lejos, el mismo que el chino (aunque eso es algo que en realidad ignoramos). No existe, que sepamos, nada parecido a un programa de robo de propiedad intelectual e industrial que sea coordinado y dirigido por los propios Estados sino que ese tipo de prácticas quedan en el ámbito privado, quien a su vez está sujeto a las leyes y legislaciones de tales Estados.

Éste es un planteamiento poco desarrollado y algo simplista que sin duda da para mucho más, pero las acciones recogidas en el informe Mandiant no son acciones de espionaje ni robo de información. Son acciones de naturaleza política que forman parte de una estrategia mucho más amplia de carácter geopolítico. Decía Carl Von Clausewitz que la guerra es la continuación de la política por otros medios. La versión actualizada del siglo XXI es evidente: la ciberguerra no es otra cosa que una herramienta más de la política, con la diferencia de que aunque la guerra es jurídicamente ilegal, no existe tal consideración para la ciberguerra.

Resumiendo. Esto ya no es informática. Es política. Mientras sigamos “jugando” a los hackers.

(Actualización 20/02/2013: Nuevas reglas añadidas)

Como seguramente muchos de ustedes sepan a estas alturas, la empresa de seguridad digital Mandiant ha emitido un informe donde acusa al Ejército Popular de Liberación chino de estar detrás de multitud de ataques que diversas compañías, tanto estadounidenses como de otras nacionalidades, han venido sufriendo en los últimos años.

En dicho informe, que está accesible desde su web, se proporcionan una gran variedad de detalles técnicos y el conjunto de evidencias que apoyan la teoría de que el gobierno chino está efectivamente detrás de esos ataques, tal y como se ha ido defendiendo durante los últimos años. Aunque algunos técnicos apuntan a sesgos analíticos en el estudio desarrollado por Mandiant (Mandiant APT1 Report Has Critical Analytic Flaws), creo que no cabe duda de que de ser cierto que China tiene programas de espionaje cibernético a través de Internet, eso no sorprendería a nadie. De igual manera que a nadie le sorprendería, tal y como apunta @antoniosanzalc en Twitter, que otras potencias militares como Israel o EEUU tuvieran ya en marcha desde hace años programas de espionaje cibernético. Es más, casi podríamos decir que sería una imprudencia no tenerlos. Al fin y al cabo, si existen espías a pie de campo, no hay razón para no tenerlos también en la red.

Volviendo al informe de Mandiant, los anexos incorporan información que podrían ayudar a detectar sistemas u organismos infectados, ya sea por la conexión con sistemas DNS, uso de certificados SSL u otros. Aunque es posible que tras la publicación del informe —siempre que la información y conclusiones de Mandiant sean ciertas— se produzca una reducción temporal drástica de los sistemas y recursos empleados en los ataques, a partir de la información de dichos anexos hemos creado un conjunto de firmas de Snort que pueden ayudar a identificar circunstancias y destinos de conexión sospechosos, y que pueden descargar del enlace a continuación.

Reglas Snort Informe Mandiant: apt1-unit61398.rar

Las firmas han sido elaboradas a partir de los anexos del informe de Mandiant por el Área de Seguridad de S2 Grupo y más concretamente por Roberto Amado y Raúl Rodríguez. Para cualquier comentario, duda, información o consulta, pueden utilizar los comentarios o ponerse en contacto con nosotros en admin@securityartwork.es.

Tengan en cuenta que no nos hacemos responsables de cualquier consecuencia no deseada (incremento de las alertas, etc.) derivada de la utilización de estas firmas, y que su uso corre por su propia cuenta y riesgo.

En uno de los capítulos de la versión americana de la serie británica de humor The Office, totalmente recomendable, los empleados descubren que algunos modelos de las impresoras que están vendiendo explotan inesperadamente, lo que les genera dudas sobre lo que deben hacer. Que una impresora muestre ese comportamiento es un tema serio, pero al mismo tiempo sienten que deben guardar algún tipo de secreto respecto a este “problema” de su empresa.

Seguramente conozcan el caso de Hervé Falciani. Si no es así, la Lista Lagarde es probable que les sea más familiar. Al parecer, Hervé copió los datos de 130.000 presuntos evasores fiscales mientras trabajó para el banco HSBC en Ginebra, lo que le ha traído no pocos problemas a él y algunos menos a los integrantes de la lista.

En referencia con esto, en Estados Unidos existe el concepto de whistleblower, que según la Wikipedia es “alguien que da a conocer el comportamiento erróneo que existe dentro de una organización o conjunto de personas. La revelación de esta conducta puede ser de varios tipos: la violación de una ley, regla o regulación que puede ser una amenaza al interés público, como un fraude contra leyes de salud o seguridad y/o sobre corrupción política.“. En este sentido, los códigos éticos del buen gobierno ya incorporan este tipo de aspectos en su funcionamiento.

Probablemente muchos de nuestros lectores hayan firmado a lo largo de su carrera profesional algún compromiso, contrato o cláusula de confidencialidad, en el que se establece la obligación de guardar secreto respecto de toda información accedida durante su trabajo. Sin embargo, y esta es una pregunta que planteada desde el entorno corporativo puede despertar ciertos recelos, ¿qué límites existen a algo tan sagrado en nuestra profesión como un contrato de confidencialidad? ¿Aspectos legales? ¿Aspectos éticos de carácter más personal? ¿O para ustedes es algo, simplemente, inviolable, no matter what?

Dejen de lado las consecuencias personales y pónganse varios ejemplos. ¿Habrían actuado ustedes como Hervé Falciani? Quizá no, porque el fraude fiscal no tiene, por desgracia, toda la mala prensa que debería. Ahora bien, ¿y si descubren que se trata de blanqueo de capitales? ¿Narcotráfico? ¿Tráfico de personas? ¿Sobornos? ¿Tráfico de influencias? ¿Pederastia? ¿Información privilegiada? ¿Desvío de capitales?

[poll id=”26″]

Hace ya unos meses Marcos publicaba una entrada, sobre aplicaciones que permiten o ayudan a recuperar un smartphone (Android) cuando lo hemos perdido o nos lo han perdido. Aparte de las que él mencionaba, en los comentarios aparecieron otras aplicaciones como AndroidLost o SamsungDive. Unos meses antes, en una entrada titulada “El móvil que se pierde sin querer queriendo“, Marcos utilizaba la aplicación Cerberus para proponer una situación hipotética en la que utilizábamos un móvil como canal de espionaje a alguien poco precavido.

Aunque la utilidad de dichas aplicaciones es más que evidente, su uso masivo pone de manifiesto la confianza prácticamente irracional que tenemos la mayor parte de los usuarios en la nube. En uno de los comentarios de la primera entrada, Sergio hacía un interesante comentario en el que apuntaba a la posible doble finalidad de este tipo de aplicaciones: no sólo localizar el móvil sino también controlar al dueño del móvil. Me dirán que esto suena algo paranoico, pero lo cierto es que la paranoia y el “podría pasar” son, posiblemente, los dos principales argumentos detrás de la industria de la seguridad, tanto lógica como física.

Volvamos a los móviles. Estaremos de acuerdo en que básicamente lo que estamos haciendo al instalar una de estas aplicaciones es conceder a “un tercero” acceso a nuestro dispositivo, en ocasiones con capacidad para borrar información, geolocalizar, hacer fotografías, grabar vídeo, etc. Este tercero está en… bueno, en realidad no sabemos dónde está, ni cómo protege dicho acceso a nuestro dispositivo, ni quién tiene dicho acceso, ni cuántas personas trabajan en él, ni nada… de nada. Nil.

Se me ocurren varios escenarios posibles: un insider “malintencionado” interesado en el contenido de los móviles de los usuarios, una intrusión en una de estas empresas, o directamente un servicio ofertado por CHANCHULLASA. La aplicación Cerberus es particularmente interesante por su forma de funcionamiento; permite cualquier acción y además se oculta en el móvil como… como un troyano. Si no fuese ilegal, seguro que más de uno controlaba a su pareja o a sus vástagos mediante este sistema. ¿He dicho ya que es ilegal, verdad?

Así que tenemos un dispositivo con un software instalado que no hemos auditado con el que un usuario remoto puede hacer básicamente cualquier cosa a nuestro móvil. Yo no sé demasiado de móviles, pero suena bien, ¿no? ¿Por qué hacemos esto? Porque pensamos que eso no va a pasar, porque pensamos que nuestra información es irrelevante, porque pensamos que somos una aguja en un pajar. Al fin y al cabo, ¿quién querría hacernos daño y para qué? Claro que esto es básicamente lo mismo que piensa un usuario novato cuando ejecuta una aplicación que le ha llegado a través de un email o una pequeña empresa cuando le proponen hacer una auditoría de seguridad lógica, y si está usted leyendo este blog es que ha superado esa fase. Pero el caso es que podría pasar, así que quizá no hayamos avanzado tanto.

Al mismo tiempo, nos da miedo cifrar nuestro dispositivo, no sea que el cifrado corrompa de alguna manera mágica la información. Nos causa pavor que Google nos geolocalice y lea nuestros emails y es terrorífico que un amigo de lo ajeno nos robe el móvil, lo formatee y no lo volvamos a encontrar. Es preferible, claro que sí, darle acceso remoto y control total a nuestro dispositivo a alguien del que no sabemos nada. Por supuesto, qué duda cabe. Si está en la nube no puede ser malo.

Claro que quizá nada de lo que planteo sea posible técnicamente. Al menos, hasta que alguien encuentre una forma de que lo sea. Ya saben, hay que ser paranoico.

Si todavía no lo saben, las navidades se han acabado y con ellas, las probables vacaciones (no forzosas, esperamos) que algunos de ustedes habrán tenido. A pesar de las fechas, en Security Art Work hemos seguido publicando entradas, a sabiendas de que algunos de ustedes iban a continuar al pie del cañón y de que hay lectores que incluso nos siguen cuando están de vacaciones, costumbre que nos halaga. Como somos conscientes de lo que cuesta echar la vista atrás, a través de esta entrada me gustaría hacer un breve repaso a las entradas que publicamos estos días. Al fin y al cabo, que los los blogs se mueven por el ego de sus autores es una tradición y un hecho en muchas ocasiones, y tener entradas que por ser vacaciones no han tenido toda la audiencia que nos gustaría no deja de ser un incordio.

Dicho esto, las navidades empezaron el día de Nochebuena, como siempre, con la felicitación navideña del Departamento de Seguridad de S2 Grupo. A pesar de haberse comprado un MacBook después de más de veinte años de renegar de las interfaces gráficas y tener al vi como editor de texto preferido (doy fe de ello), la cabra tira al monte y sigue siendo igual de hábil con las “herramientas” de diseño gráfico. Juzguen ustedes mismos.

Al día siguiente de las navidades, JoseMi publicaba una interesante y técnica entrada en la que describía los cambios que habían realizado para soportar el protocolo IRC en Cuckoo Sandbox, y cómo utilizarlo. Sí, al parecer el IRC se sigue usando, a pesar de lo que algunos pensábamos. Qué (buenos) tiempos aquellos, ¿eh?

David Lladró fue el encargado de redactar una felicitación navideña para todos nuestros lectores que introducía hábilmente todos esos consejos que muchos de ustedes conocen pero que desgraciadamente son menos comunes de lo que parecen: antivirus, hoaxes, borrado seguro, geolocalización, etc.

El 28 de diciembre, que viene a ser el April’s fool anglosajón, Toni aprovechó para alertar de un 0-day descubierto en mod_reno que al parecer había sido el causante de un robo de datos de la red SANTAnet por parte del grupo de hackers The Three Kings (T3K). No han trascendido los detalles del incidente, pero hasta la Agencia Española de Protección de Datos tuvo que tomar parte.

El último día del pasado año, José Rosell alertaba sobre esos regalos tecnológicos que a menudo los directivos reciben por navidades de la dirección general de la empresa, siempre con la mejor de las intenciones. Quizá un iPad, un smartphone, una cámara IP, una llave USB… regalos envenenados que pueden convertirse en un serio problema si no se gestionan de la manera adecuada.

Ya pasadas las navidades para la mayoría excepto para aquellos que somos “más” de los Reyes Magos que de Papa Noel, Elena publicaba la segunda y última entrada de la serie introductoria a PCI-DSS, y daba diversas referencias para aquellos que quisiesen saber más.

Por último, aunque de esto ya se habrán enterado, el día 3 de enero publicábamos nuestro 2º Informe de Juegos Online correspondiente a 2012, en el que se ha ampliado el espectro y además de videojuegos, juegos online y fauna similar, se ha comenzado a analizar el ámbito de casinos, páginas de poker, etc., que sin duda va a tener un crecimiento muy destacado en estos años venideros.

La siguiente entrada la publicamos el pasado lunes (que por cierto ya está traducida al inglés), pero seguro que para entonces, no quedaba nadie (o casi nadie de vacaciones).

Así pues, bienvenidos de vuelta al blog y si nadie se lo ha dicho ya, les deseamos un muy feliz año 2013.

El Informe sobre Seguridad en Juegos Online 2012 elaborado por S2 Grupo y cuyo autor es David Lladró está disponible para su descarga [PDF, 2.4 MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada hoy 03 de enero.

—

II Informe sobre la seguridad en los juegos online

Los ataques masivos y la modificación ilícita de las aplicaciones, principales peligros para los jugadores online.

• En 2012, el ciberactivismo y la comercialización de vulnerabilidades han sido las principales amenazas para el juego en Internet.
• Los juegos para smartphones descargados desde Internet son los que requieren más permisos peligrosos como acceso a GPS, agenda o al servicio de SMS. Aunque iOs y Android han mejorado sus sistemas de seguridad, las aplicaciones del primero continúan siendo las más seguras.

Valencia 03 de enero de 2013.- La empresa de seguridad digital S2 Grupo ha presentado el “II Informe sobre la seguridad en los juegos online” en el que se analizan las nuevas amenazas que afectan al sector y se ofrecen recomendaciones para que los usuarios puedan minimizar los posibles daños causados por la acción de hackers o malware.

Según se extrae del estudio, 2012 ha estado marcado por dos nuevas tendencias en los peligros que acechan a los jugadores en la red: el ciberactivismo y la venta de vulnerabilidades de juegos online. Un ejemplo de ciberactivismo serían los numerosos ataques realizados por el colectivo Anonymous en 2012, que fueron mayoritariamente del tipo “denegación de servicio”. Consistían en generar inmensas cantidades de tráfico contra plataformas online consiguiendo saturarlas y, de esta forma, evitar que pudieran continuar ofreciendo su servicio.

En este informe S2 Grupo alerta de que en el sector se ha desarrollado un mercado destinado a la comercialización de vulnerabilidades de seguridad, donde empresas publicitan los descubrimientos de fallos en aplicaciones y juegos con el fin de venderlos al mejor postor, lo que pone en riesgo al usuario porque el fabricante no está informado y no puede corregir el fallo.

En lo referente a los ordenadores, destaca la aparición de una nueva generación de ataques contra juegos de masiva distribución. Estos ataques, de gran complejidad técnica, están a la venta para cualquier persona y se dirigen, principalmente, contra los servidores que coordinan las partidas online, aunque también podrían infectar la máquina del jugador.

Los dispositivos móviles son la nueva plataforma de juego que el crimen organizado ha encontrado para ganar dinero mediante acciones ilícitas. El método más usado para conseguir sus propósitos está siendo la modificación de aplicaciones para añadirle funcionalidades que les reporten beneficios. Por ejemplo, suelen añadir funciones para enviar mensajes SMS Premium que generan un coste alto a los usuarios o para obtener sus datos privados.

Por lo que se refiere a sus sistemas operativos, iOs y Android e iOS continúan siendo los más utilizados y ambos han planteado estrategias diferentes a la hora de proteger al usuario frente amenazas. En el caso de Android, aunque el sistema de permisos que utiliza es extremadamente potente, deja las decisiones de seguridad al usuario, que por falta de formación técnica podría acceder a instalar aplicaciones que requieren más permisos de los necesarios. Del estudio también se concluye que los juegos descargados desde Google Play son más seguros que los descargados de Internet, porque éstos requieren más permisos reconocidos como “peligrosos” como pueden ser la ubicación exacta (GPS), acceso a agenda o envío de SMS.

En el caso de Apple, la seguridad de las Apps es robusta y se basa en el cifrado, el origen de las aplicaciones, el aislamiento y el modelo de permisos. Este comportamiento, ha provocado que el número de aplicaciones maliciosas distribuidas en el Apple Store sea prácticamente nulo. El modelo de permisos asegura que las aplicaciones no pueden obtener la localización del dispositivo, enviar SMS o iniciar llamadas sin el permiso explicito del usuario, pudiendo este último revocar en cualquier momento estos permisos.

Para evitar sorpresas en la factura telefónica, desde S2 Grupo se sugiere instalar aplicaciones que provengan exclusivamente de fuentes confiables como el Apple Store. Con la finalidad de que las medidas de seguridad implantadas por ambos sistemas en los smartphones sean efectivas, se recomienda no modificarlos para tener total control sobre ellos (“rootear” o “realizar el jailbreak”).

APUESTAS ONLINE

Sólo en nuestro país, se estima que alrededor de 700.000 jugadores realizan al año apuestas online por valor de más de 1.000 millones de euros, cifras que han convertido al sector en objetivo de ciberdelincuentes. El año 2012 ha estado marcado por la publicación de Ley de Regulación de Juego Online en España. A través de ésta se ha incrementado el control sobre el sector y se ha creado el sello ‘juego seguro’, cuya presencia en una web de juego online garantiza que con ese operador los datos de los jugadores son gestionados de acuerdo a la Ley Orgánica de Protección de Datos, viajan de una forma protegida y se asegura la identidad de los participantes y la transparencia de las apuestas.

Uno de los puntos que suele preocupar a los jugadores es la privacidad de sus datos. Y es que se enfrentan al problema de que no saben donde están almacenados los datos, ni qué medidas se están tomando para protegerlos. En el caso de que se encuentren en España, estas medidas están reguladas y determinadas por la LOPD. El “problema” viene cuando los datos están fuera de España, ya que no se ajustan a los mismos controles.

Por otro lado, para asegurar que los datos de los jugadores viajan de forma segura por Internet, la mayoría de portales de juego implementan una solución basada en el estándar de comunicaciones seguras SSL (Secure Sockets Layer; direcciones que empiezan por “https”). El problema reside en que, según el “II Informe sobre la seguridad en los juego online”, no todas las implementaciones de SSL son igual de seguras, ya que el protocolo ha ido evolucionando, mejorando y solucionando errores que podrían permitir a un atacante espiar las acciones realizadas por los jugadores.

Por último, en relación a los procesos de registro, ninguno de los casinos comprobados, permitía la autenticación mediante DNI electrónico, que sería la forma más segura de proceder.

“Los resultados de este segundo estudio destacan la importancia de concienciar a los usuarios de juegos online de que existen peligros en los videojuegos y casinos en la red y que, contrariamente a lo que se pensaba hasta hace poco tiempo, el malware está atacando a los videojuegos en todas las plataformas. Las previsiones no son mucho mejores para los próximos años y se espera que los ataques a juegos online sean mucho más frecuentes y masivos”, ha comentado José Rosell, socio-director de S2 Grupo.

Los próximos días 30 de noviembre y 1 de diciembre, tendrá lugar en Albacete la Segunda Conferencia de Seguridad “Navaja Negra”, con una serie de charlas centradas en la Seguridad de la Información como:

• All your appliances are belong to us. Presentación de un 0-day.
• Show me your Intents.
• HASH COLLISIONS: Welcome to the (un)real World!
• Take a walk on the wild side.
• A brief introduction to reversing code with OllyDbg and other tools.
• From mail to jail: Exploit your ex.girlfriend.
• (in)Security in Mobile Communications.
• IPv6 vs IDS, se aceptan apuestas…

Las charlas realizarán en el SALÓN DE ACTOS DEL CEEI (Centro Europeo de Empresas de Innovación) el viernes en horario de tarde y el sábado en horario de mañana y serán impartidas por reconocidos profesionales.

Son completamente gratuitas pero es necesario registrarse (no quedan plazas libres aunque las conferencias se emitirán en streaming).

La información sobre las charlas está disponible en el apartado Itinerario del Congreso. Si os desplazais desde fuera de Albacete, tenemos descuentos de Renfe y del Hotel Beatriz para alojaros. También teneis el Cartel Oficial para descargar.

Toda la información se encuentra disponible en http://www.navajanegra.com y para cualquier duda podéis enviarnos un email a contacto<en>navajanegra<punto>com.

Hace mucho que no hablamos de la LOPD por aquí, así que hoy toca. Como sabrán, la LOPD distingue entre una serie de figuras, que podemos agrupar en “internas” y “externas”. En el primer grupo encontramos principalmente el Responsable de Seguridad y el Responsable del Fichero. Nótese que aunque algunas funciones puedan ser delegadas en empresas externas, en ningún caso es posible delegar la responsabilidad, de ahí que consideremos a dichas figuras “internas”.

En el segundo grupo, objeto de esta entrada, encontramos al Encargado del Tratamiento (y al Subencargado), al Cesionario y al prestador de servicios sin acceso a datos de carácter personal (DCP en lo que sigue). Como se imaginarán si conocen la LOPD y su reglamento, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.

• Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos “por encargo” del responsable del tratamiento.

  Sin embargo, para que la definición quede clara, veamos que entiende la LOPD por “tratamiento” en el apartado c) del mismo artículo: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“.

  Vamos con un par de ejemplos evidentes. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP “en nombre”, “por cuenta” o “por encargo” de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.

  Sea ahora la misma empresa A que contrata a la empresa C la gestión de su CAU, que da soporte a usuarios internos y externos. En éste recogen incidencias reportadas por los usuarios de la organización, entre cuyos datos figura el nombre y apellidos del usuario además de otra información de contacto. De nuevo, parece claro que C trata o gestiona DCP de los usuarios de A, por lo que de nuevo, es un encargado del tratamiento.

  En estos casos, es necesario que la empresa A firme, aparte del contrato de prestación de servicios, un contrato de acceso a datos tal y como especifica el artículo 12.2 de la LOPD: “La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato […] estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán […] las medidas de seguridad […] que el encargado del tratamiento está obligado a implementar.”

  Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría ni la empresa de gestión del CAU tienen que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento “no es suyo”.

  Dejémoslo aquí y pasemos al siguiente.

• Prestador de servicios sin acceso a DCP: Aunque la LOPD no define explícitamente esta figura (no olvidemos que entre la LOPD y su reglamento hay poco más de 8 años), el reglamento habla de ella en su artículo 83, “Prestaciones de servicios sin acceso a datos personales”. El nombre no deja lugar a muchas dudas, en cualquier caso. En este caso encontraremos a empresas cuya prestación de servicios no está relacionada con DCP pero que pueden tener un acceso esporádico a dicha información.

  Sigamos con A y veamos un par de casos. Esta empresa ha contratado a E, una empresa de limpieza, cuyo contrato no está obviamente relacionado con la gestión de DCP. No obstante, cabe la posibilidad de que en el desempeño de sus tareas, los empleados de E puedan ver DCP.

  La empresa A también ha contratado a una empresa de seguridad, llamémosla por ejemplo F, quien les ha puesto un guardia de seguridad vigilando el perímetro de la empresa. De nuevo, en su trabajo Felipe (que así se llama el guardia) no gestiona DCP, pero es evidente que puede ver personas entrar y salir de la empresa aparte de otros tratamientos esporádicos.

  Ahora bien, si a Felipe le dan nuevas atribuciones y pasa a llevar el registro de entrada y salida del personal y de los visitantes, la empresa de seguridad pasa a ser un encargado del tratamiento, al gestionar DCP “por cuenta”, “por encargo”, “en nombre” de la empresa A.

  En estos casos, el contrato de prestación de servicios “recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio” (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.

  De nuevo, tampoco en este caso la empresa de seguridad deberá declarar el tratamiento, porque mientras se dedique a la vigilancia perimetral no hay tal tratamiento, y en otro caso es un tratamiento de la empresa A, no suyo.

• Cesionario: Por último, llegamos al cesionario, o receptor de una comunicación de datos. La LOPD define en su artículo 3.i) la cesión o comunicación de datos como “toda revelación de datos realizada a una persona distinta del interesado“. No obstante, cuando esta comunicación de datos esté relacionada con una prestación de servicios, no se considerará cesión de datos, tal y como especifica el artículo 12.1 de la LOPD: “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento“. El artículo 20.1 del RDLOPD añade una consideración importante: “No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado“.

  Nótese que esta figura es la más relacionada con infracciones de la LOPD, ya que a menudo las garantías que deben establecerse para la cesión de datos (en general, consentimiento del afectado) no se cumplen. Digámoslo de esta manera, un cesionario es “alguien” que desea realizar tratamientos “propios” sobre los datos que recibe, y en algunos casos el usuario no daría su consentimiento para esos tratamientos. A diferencia de los casos anteriores, dado que existe un nuevo tratamiento de datos y un nuevo vínculo entre el usuario y la empresa destinataria de los datos, sí es necesario que la empresa cesionaria declare el tratamiento correspondiente ante el RGAEPD.

  Veamos un par de ejemplos de qué es una cesión de datos.

  Imaginemos que la empresa A le proporciona (vende, cambia, envía) los datos de sus empleados a una empresa de telemarketing para que ésta los utilice para sus campañas. En este caso estaríamos hablando de una comunicación de datos legal si se ha solicitado previamente consentimiento al usuario (y por tanto se han proporcionado únicamente los datos de aquellos que han otorgado dicho consentimiento), e ilegal si no ha sido así. Téngase en cuenta que este caso es diferente del caso en el que la gestoría B decide por su cuenta y riesgo utilizar los datos de los empleados de la empresa A para mandarles propaganda sobre declaraciones de impuestos, tal y como indica el artículo 12.4: “En el caso de que el encargado del tratamiento destine los datos a otra finalidad […] incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento […]“.

  Asimismo, también es diferente al caso en el que la empresa A contrata a la empresa de telemarketing H para realizar una campaña comercial, dado que en este caso se trataría de un encargado del tratamiento y quien podría incurrir en una ilegalidad es la empresa A. Es habitual ver este caso para intentar evitar la LOPD: una empresa española contrata a una empresa india para que envíe información comercial a sus clientes, a cuya entidad (la empresa india) no aplica la LOPD. No obstante, dado que el tratamiento de datos es realizado “en el marco de las actividades de un establecimiento del responsable del tratamiento” (Artículo 3.1.a RDLOPD), le aplica la LOPD.

  Veamos para acabar otro caso más legal. La empresa A decide contratar un seguro de salud para sus empleados con la empresa J. Dado que dicho tratamiento de datos no está directamente relacionado con ningún contrato de prestación de servicios entre A y J, se trata de una comunicación de datos para la que A debe solicitar consentimiento. Además, en este caso es evidente que se crea un nuevo vínculo independiente entre el empleado y la empresa aseguradora en el que la empresa A no interviene, que puede mantenerse incluso cuando la relación laboral entre el empleado y la empresa A haya finalizado, si el primero lo desea.

Evidentemente, hay muchos otros aspectos de estas figuras que sería destacable mencionar, pero antes de nada, es imprescindible que una organización sepa indicar qué es un encargado del tratamiento, qué un cesionario y qué un prestador de servicios sin acceso a datos, dado que cada una de estas figuras requiere un tratamiento diferente. Espero que haya resultado esclarecedor, pero sírvanse de preguntar en los comentarios si les queda alguna duda.

Michael Henning nació el 7 de abril de 1954 en una pequeña ciudad del Oeste de Estados Unidos en, como suele decirse, el seno de una familia de corte rural. Sin novedades durante sus primeros años, se matriculó en Química en la Universidad de Berkeley (California). Aunque ésta no era en realidad su primera opción, la escogió debido a la existencia de un pequeño negocio familiar de plásticos y la presión de su familia.

Michael salió de la universidad como uno de los cinco mejores estudiantes de su promoción, con un título en química —especialización en bioquímica— y para desgracia de su madre, un puesto de trabajo bien remunerado como ingeniero químico para Darson Chemicals, Inc., una de las 20 primeras compañías químicas de Estados Unidos con una facturación de aproximadamente 72 millones de dólares según datos de 1974. La empresa de plásticos de su padre se vendería unos años más tarde a un competidor local.

Trabajó para DarsonChem durante 17 años, tiempo durante el cual llegó hasta el puesto de responsable ejecutivo y estratégico para Europa Occidental, donde la compañía comenzó a introducirse en 1981 y tras una rápida expansión inicial experimentó una fuerte contracción a causa de la competencia agresiva de varios competidores alemanes. La salida de Michael Henning de DarsonChem tuvo lugar durante dicho periodo de declive aparentemente por diferencias internas, momento en el cual la facturación de la compañía ascendía a 5570 millones de dólares, siendo el mercado europeo el 17% del montante total en ese momento, desde el pico del 27% mostrado en 1984.

Michael se incorporó en 1992 a Grunwald und Metzger GmbH, la segunda empresa química alemana y quinta a nivel mundial, en un puesto intermedio como analista estratégico para el mercado asiático. Gracias a su experiencia y la fuerte amistad que mantenía con parte del equipo directivo, a partir de 1995 comenzó informalmente a participar en las reuniones del comité ejecutivo, lo que le valió diferentes privilegios y le proporcionó acceso a información sensible para la compañía. Henning se prejubiló anticipadamente en julio de 2006.

El 7 de diciembre de 2008 GruM acusó a Michael Henning y DarsonChem de espionaje industrial, en la mayor trama de este tipo conocida hasta la fecha. Según se demostró, la entrada de Michael Henning en GruM fue un movimiento orquestado conjuntamente por éste y DarsonChem, con el propósito de debilitar no sólo la expansión de GruM en América del Norte, el mercado principal de DarsonChem, sino también de reducir la competencia que DarsonChem tenía en Europa e influir negativamente en las agrupaciones empresariales del sector debilitándolas.

Aunque teóricamente Henning tenía en GruM un perfil de puesto intermedio con acceso limitado a la información estratégica fuera de su ámbito de actuación, la documentación aportada por la empresa alemana durante el juicio demostró que Henning disponía de acceso a información confidencial no sólo del mercado asiático, sino también del europeo y norteamericano: planes estratégicos y de expansión, líneas de mercado, listados de proveedores y clientes, proyectos de I+D, tecnología y márgenes de producción entre otros. Adicionalmente, Henning no sólo participaba a nivel ejecutivo sino que se descubrió que diferentes directivos le incluían en su círculo de confianza y le proporcionaban información sensible. Se comprobó que muchas de estas personas ignoraban cuál era el puesto real de Henning y su nivel de acceso.

A finales de 2005, poco antes de la jubilación de Henning, la compañía alemana se encontraba estancada en el mercado americano y en clara contracción en el europeo, mientras que la empresa estadounidense había incrementado en 41 puntos su cuota en el mercado europeo y se afianzaba como la segunda compañía química mundial. Al comienzo del juicio contra Darson Chemicals, Inc. sus cuentas presentaban una facturación de 48440 millones de dólares, un crecimiento de más del 800% desde la salida de Henning, con una cuota del 71% en el mercado americano y del 64% en el europeo, mientras que GruM había descendido al puesto 17 en el ranking de empresas químicas.

DarsonChem fue obligada a pagar 2450 millones de dólares y aunque Michael Henning fue inicialmente condenado a catorce años de cárcel y una multa de 7 millones de euros, algunas omisiones en su contrato de confidencialidad e irregularidades en la obtención de las pruebas redujeron la condena a dos años de cárcel y una multa de 250.000 €. Actualmente está jubilado con una pensión vitalicia a cargo de DarsonChem.

Tras este incidente, en mayo de 2009 GruM contrató a Kornel Seiler como CSO para mejorar la seguridad y evitar problemas similares en el futuro. En próximas entradas veremos algunos detalles de la investigación y diferentes medidas que Kornel decidió implementar para evitar incidentes de este tipo en el futuro.