El sorprendente tratamiento accesorio de los datos personales

La entrada de hoy, que profundiza en algunos aspectos «oscuros» del nuevo reglamento, es la segunda colaboración de Ana Marzo, habitual colaboradora de S2 Grupo, y a la que ya presentamos en su anterior entrada. Estoy seguro de que les será de interés.

Entre las bondades del nuevo reglamento de la LOPD (en adelante RDLOPD) nos encontramos con la grata sorpresa de la rebaja del nivel de seguridad establecida en el artículo 81.5.b) el cual dispone que:

«En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.»

[Read more…]

¿Me van a investigar?

Ayer, mientras volvía de Madrid, recibí una llamada de una amiga en la que me decía algo alarmada que su empresa, con sede social en otra provincia, les había mandado una carta que debían firmar y a través de la cual autorizan a la empresa a investigarles y obtener todo tipo de datos médicos y sindicales sobre ellas. He de reconocer que dicho de esa forma, pensé en cualquier barbaridad, así que le dije que no firmase nada hasta que le echase un vistazo a la carta en cuestión.

Una vez «analizada», ésta no es en realidad más que el formalismo de informar al trabajador de que se están tratando sus datos; seguramente el clima algo tenso de la oficina y algunas expresiones poco afortunadas ha provocado que su propósito se malinterprete. El texto en cuestión entra en finalidades, ejercicio de derechos ARCO, «cesión» de datos a empresas vinculadas accionarialmente, solicitud de consentimiento y otros. Básicamente, mi impresión es que la empresa de esta chica está abordando un proyecto de adaptación a la LOPD, y éste es un paso más que hay que dar. No obstante, caben varios peros a la comunicación realizada, que deberían servir de ejemplo para todo aquel que esté pensando en realizar una comunicación de tratamiento de datos a sus empleados.

En primer lugar, el lenguaje y las expresiones son en algunos casos muy desafortunadas. Frases como «la empresa recabará a lo largo de la relación laboral todos los datos de carácter personal que sean necesarios» o «el trabajador presta su consentimiento expreso […] para que cualquiera de sus datos de carácter personal, incluidos los sujetos a especial protección, puedan ser almacenados y utilizados por la Empresa» no son tranquilizadoras, y menos para personas que desconocen la LOPD y sus límites. Probablemente la expresión «aquellos datos estrictamente necesarios» hubiese sido igual de válida, y proporciona una mayor seguridad a quien lo ha de firmar. Para que se hagan una idea, el uso de «recabar» y la mención de datos de salud o afiliación sindical de los trabajadores, hacían que ella y sus compañeros pensasen que se estaba autorizando a la empresa a investigar al empleado por todos los medios necesarios.

En segundo lugar, hablar de cesión de datos a empresas vinculadas accionarialmente con la empresa tampoco tranquiliza, aunque sea para las mismas finalidades descritas. Sería deseable especificar qué empresas, o al menos a qué se dedican éstas; en mi opinión, si se trata de un grupo de empresas, lo más probable es que sea para la realización de la nómina y almacenamiento de los datos en los sistemas de la empresa (si fuese así, se trataría de un tratamiento de datos y no una cesión, por lo que tampoco sería necesario informar al empleado, pero puesto que existen otras finalidades, no está de más recabar consentimiento expreso), pero es mejor dejar las cosas claras, porque para personas que no tienen relación con el contenido de la LOPD, puede dar la sensación de que sus datos se van a vender, o a proporcionar a vaya usted a saber quién para vaya usted a saber qué.

Por último, al parecer nadie en la empresa se ha puesto en contacto con ellos para aclarar qué quiere decir exactamente este escrito; ni por qué deben firmarlo, ni qué pasa si no quieren firmarlo, ni qué es la LOPD ni para qué sirve; ni qué quiere decir todo eso de los datos de salud y afiliación sindical. Ni siquiera la persona que gestiona su delegación ha podido obtener explicaciones de la central. Aparte de que es necesario en muchos casos realizar formación sobre la LOPD (tanto para informar al empleado de qué se hace con sus datos, como para formarle en la gestión de datos de terceros a los que tiene acceso), no hubiese estado de más una circular alternativa, o una simple presentación por email, con formación sobre la LOPD. Eso hubiera evitado que mi amiga viese esto como una amenaza, en lugar de una comunicación de derechos y una obligación de la empresa, que es lo que en realidad es.

Resumiendo. Sin prescindir del necesario contenido formal, es muy importante que esa comunicación se realice de la manera adecuada, pero también que transmita las sensaciones e ideas que se pretenden: «Yo soy la empresa, y para poder pagarte la nómina, descontarte la cuota sindical, gestionar tu formación, o prevenir los riesgos laborales, necesito tener acceso a algunos de tus datos personales; datos que tendré que almacenar, y utilizaré para eso y para nada más. Que sepas que me comprometo legalmente a velar por su seguridad y que tienes una serie de derechos que puedes ejercer en todo momento».

No hay que olvidar que, por muchas medidas de seguridad, normativas, y políticas que queramos implantar, el empleado es al fin y al cabo el eslabón más importante de la cadena: es el que utiliza, accede, modifica y gestiona los datos de clientes, de personal interno, de proveedores, etc. Así que sería muy importante que no fuese el más débil.

Marcas de agua caseras

Siempre he sido partidario de compartir el conocimiento con los demás (ojo, el conocimiento, no la información) de una forma abierta y transparente, y por tanto en mi web personal (www.shutdown.es) he ido colgando con el tiempo diferentes trabajos en formato electrónico que consideraba podían ser útiles a los demás: artículos, cursos, referencias…

Como defensor de compartir conocimiento, siempre me han molestado las actitudes de apropiación del mismo por parte de unos cuantos que pretenden adoptar como propios trabajos que no han realizado (lo que se viene a llamar «plagio»); por tanto —deformación profesional— de vez en cuando me da por utilizar alguna triquiñuela (que llamaré «marca de agua casera», con perdón de los puristas) para ver hasta donde llegan los límites de la capacidad humana para plagiar. Los resultados son siempre asombrosos.

Una errata —intencionada o no— en una imagen o en un fichero PDF tan tonta como incluir una referencia a la norma «ISO 17779» en lugar de a la norma «ISO 17799», a «ISO 27OO1» en lugar de a «ISO 27001» o un ejemplo de uso de funciones resumen (hash) con un resumen generado por un fichero personal (a priori, una ristra de caracteres irrepetible en el mundo), una ubicación en Internet en la que poner a disposición del público ese trabajo, y un poco de tiempo para que los robots de búsqueda hagan su trabajo y el documento se indexe adecuadamente. Es todo lo que necesitamos para rastrear plagios.

Un buen día, con un café y un par de horas por delante, no tenemos más que utilizar un buscador, introducir esa errata y depurar un poco la información obtenida (alguien puede haberse equivocado también y llamar a una norma ISO 17779 en lugar de ISO 17799). Los resultados son inmediatos: ni se imaginan hasta donde llega la capacidad humana para copiar, pegar, y apropiarse de un trabajo que no han realizado. Hagan la prueba, se sorprenderán.

En fin, que a todos nos halaga que utilicen material que hemos realizado y puesto a disposición de los demás (para eso está, y es señal de que está bien y gusta). Pero una cosa es basarse en dicho material, y otra fusilarlo cambiándole el autor (y encima sin solucionar el «error»); bastaría algo tan tonto como una simple referencia al autor real y asunto solucionado. ¿Qué hay de malo en decir que alguien ha hecho algo bien, aunque trabaje en otra empresa que se dedica a lo mismo que yo?

Como adivinarán, hoy hemos vuelto a encontrar un caso de plagio en las presentaciones de una empresa de la competencia (que obviamente no citamos); ni es la primera ni probablemente será la última. A veces se olvida que (a) en este mundillo nos conocemos todos y (b) somos lo suficientemente paranoicos para hacer el tipo de cosas que describimos en este post. Vayan con cuidado, que al final todo se sabe :)

Por cierto. Adjunto la imagen «apropiada», con la errata (el ‘7’ que debería ser un ‘9’) indicada en rojo, para que aquellos interesados corrijan el error de cara a presentaciones futuras (sin ironías, palabra). Ah. Nota al margen. En la presentación en la que se incluyó dicho diagrama hay otra errata (de otro diagrama plagiado).

plagio.jpg

P.D. Un compañero de S2 Grupo es un especialista en marcas de agua en las boletas de VISA que firmamos al hacer compras o comer en un restaurante, y detectar así muchas cosas en caso de problemas. Pero esto, para una próxima entrada.

Confusiones

Hace un par de días, leía en el blog de Enrique Dans que al parecer, Microsoft ha proporcionado a más de 2,000 policias en 15 paises un pequeño dispositivo USB llamado COFEE (Computer Online Forensic Evidence Extractor) que contiene unas 150 herramientas, y que conectado a un equipo Windows en funcionamiento permite obtener fácil y rápidamente datos para un análisis forense: datos de actividad en Internet, registros, y contraseñas y datos cifrados con BitLocker, el programa de cifrado de Windows Vista (entiendo que obtendrá datos y contraseñas residentes en memoria volátil sin cifrar, aunque Internautas afirme sin más que «permite a los investigadores acceder a todos los documentos, incluso aunque hayan sido cifrados»).

Esto ha levantado al parecer un pequeño revuelo en Internet, y aunque no es mi estilo, he de afirmar que la ignorancia es muy atrevida. Personalmente, no soy ni amigo íntimo ni enemigo acérrimo de Microsoft; tiene sus cosas buenas, y sus cosas malas, básicamente como cualquier gran empresa; aquello de Don´t be evil pasó a la historia. Pero esta me parece, al contrario de lo que muchos opinan, una buena noticia, por mucho que algunos se hayan llevado las manos a la cabeza y hayan puesto el grito en el cielo invocado las libertades civiles.

No me extenderé demasiado porque este es un tema que me parece obvio. El dispositivo proporcionado es una herramienta de análisis forense para un sistema (Windows) que resulta opaco en muchos sentidos, y más para personal policial no siempre especializado en delitos tecnológicos. No es, por supuesto, una puerta trasera que pueda ser utilizada indiscriminadamente sin conocimiento del usuario. Tampoco permite hacer cosas que no se puedan hacer en otros sistemas, simplemente las aglutina y las facilita. Es simplemente algo que, utilizado bajo una orden judicial y presencialmente, permite obtener información del sistema rápida y sistemáticamente; como utilizar una cámara de fotos en el lugar de un asesinato, antes de que limpien la sangre.

Nada más y nada menos. ¿Ustedes qué opinan?

[Fuentes originales en NYT y Seattle Times]

Vísteme despacio que tengo prisa

Imaginen la siguiente escena, no sacada de ningún ejemplo real pero que seguro que podría aplicarse fácilmente a muchas empresas. Una mañana cualquiera, suena el teléfono en un Departamento de Sistemas cualquiera, y lo coge Miguel, un técnico cualquiera:

—Sístemas, ¿dígame?
—¿Sí? Hola, soy Juan Tévez, de Recursos Humanos. Verás, acaba de entrar una persona nueva al Departamento de Contabilidad y necesito que le déis algunos accesos.
—Aquí no hemos recibido ninguna solicitud.
—Ya, ya lo sé. Lo cogieron ayer y acaba de entrar, y el tema corre algo de prisa, por la auditoría financiera de la semana que viene. Tengo al director del Departamento Financiero dándome la brasa toda la mañana, así que qué quieres que te diga.
—Ya, pero ya sabes cuál es el procedimiento…
—Mira, te juro que te mando la solicitud dentro de un rato, pero necesito esos accesos ahora para que esta persona pueda ponerse a trabajar esta tarde.
—Bueno, no sé… Bien, vale, ¿qué necesita?
—Supongo que para empezar un PC y una cuenta de correo; se llama Andrés Martínez. En principio, de momento dale también acceso al módulo de Contabilidad de SAP y a las carpetas departamentales; Cristina López es de Contabilidad así que con que le des acceso a las mismas carpetas que ella, va sobrado para empezar. Como supongo que el PC tardará algo más, mándame las contraseñas de su usuario a mi email, que esta tarde se ponga en el equipo de María, y así vamos adelantando.
—¿A tu cuenta?
—Sí, Juan Tévez; imagino que habrá sólo uno. Dentro de un rato te mando el formulario con la firma del responsable y los accesos que necesita.
—Bien, que no se te pase, por favor.
—No te preocupes y muchas gracias.
—De nada, hasta luego.
—Hasta luego.

Click…

[Read more…]

Jornada de Seguridad: D. Salvador Soriano (Ley de Impulso de la Sociedad de la Información)

Siguiendo con la serie de posts sobre las ponencias de la jornada Seguridad 2008 del jueves pasado en Valencia, corresponde a este intrépido reportero dar noticia de las ideas principales de la charla de D. Salvador Soriano, subdirector general de servicios de la sociedad de la información, que habló sobre la Ley de Medidas de Impulso de la Sociedad de la Información o LISI.

Al parecer, una de las barreras principales para la extensión de los servicios de la sociedad de la información es la desconfianza de los ciudadanos. Estamos en las primeras posiciones de la Unión Europea en cuanto a falta de confianza en la seguridad en el uso de las TIC. Además, a pesar de que nuestras administraciones figuran en los primeros puestos en cuanto a servicios telemáticos ofrecidos a los ciudadanos y las empresas, estas últimas están a la cola en cuanto al uso de dichos servicios.

[Read more…]

Jornada de Seguridad: D. Jesús Rubí (comentarios acerca del nuevo RMS)

Como adelantamos en el anterior post, ayer tuvo lugar la jornada práctica organizada por S2 Grupo y Equipo Marzo, en la que diversos expertos comentaron los cambios legislativos más recientes en materia de Seguridad de la Información: LOPD, LISI y LSSICE. Como no podía ser de otra forma, a lo largo de esta y posteriores entradas comentaremos aquellos aspectos de cada conferencia que nos parecieron más reseñables; les invito a comentar todos aquellos aspectos que les parezcan interesantes o que incluso yo no pude captar. Para información más «oficial», pueden consultar la web de la jornada en http://www.seguridad2008.es, de donde ya es posible descargar las presentaciones de las ponencias y realizar preguntas a los ponentes.

* * *

Si asistieron ustedes ayer a la charla del Sr. Rubí, Director General Adjunto de la AEPD, o han asistido a alguna en el pasado, sabrán lo difícil que puede resultar resumir una de sus ponencias, por el volumen y densidad de la información que proporciona, y la velocidad a la que lo hace; eso hace que sus conferencias sean extremadamente esclarecedoras en muchos aspectos interpretables de la aplicación de la LOPD y el RMS (¿llamado ahora RLOPD?), pero dificulta enormemente tomar notas; no es el lugar ni el momento para levantar la mano y decir aquello de «¿Por favor, podría ir un poco más despacio?».

Puesto que como he indicado, no puedo proporcionarles una transcripción exacta de su conferencia, en la que dió un exhaustivo repaso al nuevo reglamento y a algunos de los criterios que se han seguido en su elaboración —dudas planteadas por la Comisión Europea, incorporación de política legislativa como protección de menores o la violencia de género, u omisiones como los ficheros no automatizados, entre otros—, intentaré reseñar algunos de los puntos que personalmente me parecieron más interesantes. Tengan presente que, en la línea de la propia agencia, la información que les proporcionaré a continuación es no vinculante, ha sido elaborada por mí a partir de lo escuchado en la citada conferencia y es por tanto susceptible de —espero que no— contener errores de interpretación o transcripción de lo dicho por el Sr. Rubí, por lo que no me hago responsable de posibles daños o perjuicios que puedan derivarse de su utilización. Sirva eso como disclaimer previo.

[Read more…]

Jornada de seguridad

Es posible que algunos de nuestros lectores, quizá aquellos que han llegado hasta aquí a través de la web corporativa de S2 Grupo, ya lo sepan, pero para aquellos que no, me gustaría informarles de que el próximo jueves 17 de abril, en la Universidad Politécnica de Valencia, organizamos junto con Equipo Marzo una jornada de seguridad que explorará (o lo intentará, al menos) los principales cambios legislativos que se han dado recientemente en este campo; como pueden imaginar, el título «Seguridad de la Información. Un nuevo marco legislativo; LOPD, LSSICE, y LISI.» no ha sido escogido al azar.

Puesto que no es mi intención repetir aquí el contenido de la página web que sirve de invitación a la jornada, sólo me queda recomendarles —como no podría ser de otra manera— la asistencia al evento; pueden consultar los detalles en la página web creada para el evento, y no olviden que aunque la inscripción es gratuita, es imprescindible para poder controlar el aforo (y por tanto necesaria para la asistencia).

Ya sé que no es un Beers&Blogs, pero estoy seguro de que algo interesante sacarán de todo ello.

¿Comunicación cifrada con KeeLoq? ¡Ojo, ya no!

Si hace un par de meses se consiguió determinar el sistema de cifrado de las tarjetas Mifare, esta vez le ha tocado el turno a los chicos de microchip en la serie de integrados criptográficos que implementan KeeLoq, dejando en evidencia las deficiencias de seguridad de algunas de las soluciones propietarias criptológicas que pretenden otorgar a sistemas RFID del uso de trasmisiones seguras.

Este tipo de chips son ampliamente utilizados como sistema inmobilizador o de apertura de puertas por compañías del automóvil como Chrysler, Daewoo, Fiat, General Motors, Honda, Toyota, Volvo, Volkswagen y Jaguar, así como en sistemas de acceso a garajes.

Según afirma el investigador y profesor Christof Paar de la “School of Electronics and Information Technology» un individuo situado en un rango de 100 metros al transponder puede capturar el tráfico intercambiado por el sistema para clonar la clave digital y hacerse con el control del coche o incluso denegar el acceso al propio dueño.

El sistema propietario parece que utiliza un algoritmo de encriptación no lineal, que genera la clave de 64 bits a partir de un vector de inicialización de 32 bits y un código aleatorio. Pero el problema reside en una clave maestra que la compañía fabricante introduce en sus integrados y que el profesor Paar ha descubierto mediante el analisis de la señal mediante DPA (Differential Power Analysis) y DEMA (Differential ElectroMagnetic Analysis). De esta forma, una vez determinada la clave maestra tan solo es necesario hacerse con cierto tráfico transmitido por el sistema para conseguir la clave del usuario utilizada. Puede consultar en este enlace los detalles del ataque.

¿Comunicación cifrada en Mifare? ¡Ojo, ya no!

Mifare es la tecnología de tarjetas inteligente sin contacto más difundida en el mundo. Utilizada como monedero electrónico, en sistemas de ticketing, peajes, parquímetros, cabinas telefónicas, sustituye a los billetes tradicionales o dinero en efectivo. Esta tecnología RFID trabaja en la frecuencia de los 13,56 MHz y presenta capacidad de lectura y escritura mediante comandos simples de incremento decremento.

El pasado mes de diciembre Karsten Nohl, Starbug y Henryk Plötz consiguieron mediante ingeniería inversa romper el sistema de cifrado propietario de esta tecnología, con todo lo que ello implica. Pensemos por un momento las consecuencias del resultado de su investigación: sistemas de control de acceso vulnerados, control de encendido de automóviles burlado, posibles fraudes en monedero electrónico o viajes gratis en transportes públicos. Estas son algunas de las posibles consecuencias de este grupo de trabajo. Más allá de sus consencuencias, lo que más sorprende es la metodología utilizada para llevar a cabo el “asalto».

A partir de la observación de la circuiteria utilizada por el lector Mifare y capturando el trafico entre el tag y el lector han llegado a reproducir el sistema criptológico, para lo que han identificado y reconstruido a nivel de puertas lógicas (observando el conexionado del reverso del integrado) los modulos del sistema.

Detectando un circuito «desplazamiento LFSR» (Linear Feedback Shift Register, registro de desplazamiento en el cual la entrada es un bit proveniente de aplicar una función de transformación lineal a un estado anterior; más en Wikipedia]) que toma como entrada un generador de números aleatorios de 16 bits cuyo valor esta basado en el tiempo de lectura, y realizando numerosas pruebas de autenticación y observando los números generados por el RNG (Random Number Generator), fueron capaces de conseguir la clave de cifrado en menos de una semana, mediante la implementación de un grid de FPGA’s (Field Programmable Gate Array, dispositivo semiconductor que contiene bloques de lógica cuya interconexión y funcionalidad se puede programar; más en Wikipedia) y la aplicación de fuerza bruta.

Así pues, si esta pensando en implementar cualquier tipo de control que requiera cierto grado de seguridad, debería ir pensando en migrar de tecnología. Es un consejo cortesía de Karsten Nohl, Starbug y Henryk Plötz.

Fuente: RFID News.