Uno de los ejemplos de cosas chocantes pero muy comunes que nos encontramos en diferentes redes cuando realizamos tests de intrusión es la variopinta cantidad de servicios presentes en las redes DMZ. En su definición más sencilla, una DMZ es una red que se encuentra expuesta a las conexiones entrantes de Internet, y por ello queda recluida en un segmento de red cuyo tráfico saliente se encuentra lo más restringido posible.

Sin embargo, basándose en esta definición, los administradores de sistemas y de redes colocan en la DMZ todo tipo de sistemas sin pensar en el flujo de las comunicaciones y en los posibles ataques, lo cual tiene como consecuencia que desde ella sea posible realizar ataques muy peligrosos. Un ejemplo claro y muy extendido es la colocación de los terminadores de túneles VPN en la DMZ. Cuando un terminador de túneles se situa en la DMZ, la conexión tanto de usuarios como de otras delegaciones sigue un esquema como el siguiente:

Como se puede observar, la información viaja cifrada a través de Internet hasta el terminador del túnel, donde se descifra y se vuelve a enviar a la red corporativa atravesando la DMZ, esta vez sin cifrar, hasta los servicios internos de la organización. Sin embargo, como muchos podéis intuir ya, esta configuración presenta algunos problemas si alguno de los sistemas de la DMZ se ve comprometido. El primero es la posibilidad de realizar un Man-in-the-Middle mediante la técnica de ARP-Spoofing y situar el equipo comprometido en medio de la comunicación entre el cortafuegos y el concentrador VPN, como se puede ver en la siguiente imagen:

Realizando este tipo de ataque, seremos incapaces de descifrar las comunicaciones que vayan desde Internet hacia el concentrador VPN, pero podremos capturar dicha información descifrada en el trayecto desde el concentrador VPN y la red interna, ya que este trayecto lo realiza sin cifrar. De esta manera, seremos capaces de realizar capturas de contraseñas y demás técnicas propias de los ataques típicos en redes LAN. Existen numerosas herramientas gratuitas que realizan este tipo de ataques, como por ejemplo Ettercap en Linux y Cain en Windows, que realizan su propio análisis del tráfico capturado, proporcionando directamente las contraseñas o hashes enviados sin tener que buscarlos manualmente dentro de la captura de red.

Además de realizar estos ataques para capturar la información de conexiones activas, podemos realizar de nuevo un ataque de ARP-Spoofing (que ya no se muestra en la imagen, por claridad) y utilizar direcciones IP del rango de la VPN para intentar encontrar IPs con acceso a servicios de la red interna que no son directamente accesibles desde las direcciones de la DMZ.

Bien es sabido que el filtrado por dirección IP es algo muy poco eficaz en redes LAN, por lo que en este caso el cortafuegos no va a ser capaz de diferenciar si la conexión proviene de direcciones IP de VPN, o si es un equipo de la DMZ que ha suplantado dichas direcciones.

Como solución a este tipo de problemas podemos emplear una segunda DMZ (¿quien dijo que DMZ no hay más que una?) o terminar los túneles en el propio cortafuegos, aunque ello lo expone a la explotación de vulnerabilidades del servicio que podría comprometer toda la red, por lo que se recomienda la primera opción. En general, se recomienda pensar siempre por donde viaje el flujo de tráfico, por donde viajarán las contraseñas y de qué manera lo harán. También es recomendable intentar establecer reglas de filtrado por interfaz del cortafuegos en lugar de por IP, o en caso de realizarse por IP que las diferencias de privilegios de acceso no sean abismales. Si esto no fuera posible, intentar utilizar dos subredes diferentes.

Ya lo hemos comentado otras veces: uno de los principales problemas en las organizaciones es el uso de soportes extraíbles tales como USBs, CDs o DVDs. A menudo la información sale y entra de la organización sin que haya ningún tipo de control sobre ella, y teniendo en cuenta que los dispositivos USB cada vez son más pequeños y tienen mayor capacidad, la verdad es que puede llegar a ser es un problema. Probablemente cualquiera de ustedes se habrá visto en esa situación en la que no sabe dónde está ese USB que necesita para llevarse a casa un informe, una oferta, o similar; y lo peor no es eso, sino que además de no saber dónde está el USB (probablemente en cualquier rincón de su cajonera, de la cajonera de un colega, perdido por casa o peor, en la mochila o estuche de su hijo), ignora qué contenía y para qué lo utilizó la última vez, ya que hace mucho que no lo utilizaba.

Les voy a dar una buena noticia, sobre la que cada vez tengo menos dudas: dentro de unos años los USBs dejarán de utilizarse. Pero al mismo tiempo, tengo que darles una mala: en su lugar, utilizaremos los dispositivos móviles, que cada vez traen tarjetas de memoria de mayor capacidad; el Nokia N85 que tengo trae ya 8 GB, lo cual es más que suficiente para almacenar cualquier tipo de archivos, y la mayor parte de los móviles de nueva generación traen capacidades de almacenamiento inimaginables hace tan sólo un lustro.

Indudablemente, esto tiene una ventaja, derivada de la dependencia que solemos tener de nuestro móvil. Uno no pierde el móvil así como así, ni lo va dejando por cualquier parte olvidado; por lo general, el que más y el que menos está colgado pendiente de su dispositivo móvil, ya sea personal o corporativo. Además, el hecho de que contenga información personal que no nos gustaría perder (ya sean fotos, la agenda, los SMS, etc.), es otro factor a favor. Si somos un poco sinceros, admitiremos que para mucha gente es más importante su agenda de contactos de amigos, familiares y conocidos, que el informe de ventas del mes pasado, lo cual es algo normal. En definitiva, migrar del USB al móvil plantea numerosas ventajas en seguridad, y personalmente, les recomiendo que si no lo han hecho ya, lo hagan (si su dispositivo móvil se lo permite): destruyan ese USB y utilicen su móvil.

Pero todo no van a ser ventajas. Primero, es que una característica intrínseca al móvil es que te acompaña a todas partes; a diferencia del USB, lo llevas tanto en el trabajo, como en un partido de fútbol, en una reunión familiar, en el cine o en una despedida de soltero. No se separa de ti (o mejor dicho, tú no te separas de él), y eso significa que la probabilidad de perderlo también aumenta, y sobre todo en entornos “no controlados”. Tampoco hay que olvidar que un móvil es más “goloso” para los amigos de lo ajeno, sobre todo si nos vamos a Blackberry, iPhone u otras virguerías, mientras que un USB no suele llamar la atención y es mucho menos llamativo (y voluminoso, por lo que tomando un café o cenando no lo sacas del bolsillo).

Entonces, ¿qué hacemos? Les voy a decir lo que hago yo. Como les he recomendado, utilizo el móvil, donde he creado una unidad Truecrypt (Kriptópolis tiene un excelente tutorial introductorio) de 1GB donde almaceno todo tipo de información que necesito llevar a casa para trabajar con ella. En casa tengo instalado también Truecrypt, por lo que con esta medida tan simple me aseguro de que la información viaja en un dispositivo del que estoy permanentemente pendiente, y siempre lo hace cifrada. Si pierdo el móvil, nadie podrá recuperar nada, pero al mismo tiempo tengo la “funcionalidad USB” que es lo que quiero, sin necesidad de utilizar soportes que en cualquier momento mi cabeza puede decidir olvidar. En mi caso, no se trata de que la información esté permanentemente cifrada, tanto en la empresa (que ya tiene sus propios controles de acceso) como fuera, sino que cuando traslado información fuera de la empresa, lo haga en un contenedor seguro.

Como nota final, les tengo que confesar que me asombra bastante la poca utilización de este tipo de soluciones que existen en las organizaciones, y más teniendo en cuenta la sencillez de utilización del Truecrypt. Entiendo que el cifrado tiene sus reticencias entre mucha gente, absolutamente lógicas: ¿qué pasa si olvido la contraseña? ¿quién debe conocerla? ¿qué pasa si se corrompe un sector del disco?, pero en este caso, en el que se le da un uso para “traslados” temporales de la información, no son preguntas a considerar (es decir: la contraseña no se te olvidará de un día para otro, y si una copia relativamente reciente de la información está en los sistemas corporativos, importa poco que sólo tú conozcas la contraseña o se corrompa el sistema de ficheros de tu dispositivo móvil).

Estimo que costaría muy poco dotar a los equipos de los principales responsables de una organización de Truecrypt, crearles una unidad en sus dispositivos móviles y formarles en el uso de la herramienta, cuyo uso es intuitivo y muy sencillo. Después de todo, si a la entrada reciben formación sobre el uso de las herramientas de negocio corporativas (ya sea SAP, AS/400, Lotus Notes o similar) y nadie se queja de que son muy complicadas o que les molestan para trabajar, ¿porqué no incluir entre ellas Truecrypt?

Es mi intención en este post contarles mi reciente experiencia/susto cuando me enteré de que alguien había hecho cargos en mi VISA por casi 1.500 €. Espero que le sea de utilidad a cualquiera que se pueda ver en una situación similar.

Hace un par de semanas, mientras estaba trabajando, me llegaron a mi móvil cuatro SMSs avisándome de la realización de compras con mi tarjeta VISA. En total, las cuatro compras sumaban 1.440 €. Lo primero que hice fue comprobar que tenía la tarjeta VISA conmigo. Una vez comprobado que no me habían robado la tarjeta me conecté a la página de mi banco, para ver los movimientos de la tarjeta. Comprobé que aunque los movimientos correspondientes a los avisos que me habían llegado por SMS no aparecían en el extracto online, sí aparecía el correspondiente importe como dispuesto. Esto es lo habitual, ya que al menos en las dos tarjetas que yo uso, el importe dispuesto se actualiza al instante pero los movimientos tardan al menos dos o tres días en aparecer.

Como era por la tarde y las oficinas de mi banco estaban cerradas, llamé al servicio de banca online y comenté lo que me había pasado. Me pasaron con el departamento de tarjetas donde me dijeron que tenía que poner la reclamación en una oficina, y me indicaron que lo único que ellos podían hacer de momento era cancelar la tarjeta para evitar nuevos cargos y emitir una nueva. Así que cancele mi tarjeta y tuve que esperar hasta el día siguiente.

Al día siguiente, el importe correspondiente a los movimientos seguía apareciendo en el extracto online pero no los movimientos concretos, por lo que fui a la oficina del banco a poner la correspondiente reclamación. El empleado del banco que me atendió lo primero que hizo fue comprobar los movimientos de mi tarjeta, me indicó que aparecían como pendientes y que tenía que esperar a que estuviesen confirmados para poner la reclamación. Se trata del proceso habitual en cualquier compra con tarjeta VISA: primero el cargo aparece en estado pendiente y cuando es procesado por el banco pasa a estar confirmado, momento en el cual se muestra en el extracto online. En cualquier caso, desde su ordenador sí que pudo acceder al detalle de los mismos, que me entregó. Aunque como me habían indicado previamente, tenía que esperar a la confirmación de los movimientos, me explicó que para realizar la reclamación era necesario acompañarla de la copia de la denuncia correspondiente en la Policía Nacional (supongo que también valdrá en la Guardia Civil).

En el extracto que me entregó el banco pude comprobar que los cuatro cargos de los que me había llegado aviso por SMS se habían realizado desde un conocido servicio de apuestas online. Además también observé que previo a esos cargos se había realizado un cargo menor (2,5 €), que al no superar el umbral de 60 € mínimo que establece mi banco no había sido notificado vía SMS, y que al parecer se hizo en una web de intermediación de pagos, entiendo que para validar el correcto funcionamiento de la tarjeta. Dicho cargo, que se había realizado a las doce de la mañana, había sido abonado posteriormente a las siete de la tarde, lo que confirmaba las sospechas.

Intenté ponerme en contacto con las dos empresas, pero sólo me pude comunicar con la de apuestas. Les comenté la situación y me indicaron que pasarían el aviso al departamento de fraude (imagino que este tipo de situaciones deben ser lo suficientemente habituales en esta empresa como para tener un departamento).

Con toda la información que había recopilado, sin esperar a que los movimientos apareciesen confirmados, me dirigí a la comisaría donde puse la correspondiente denuncia. Para mi la denuncia era un mero trámite que necesitaba para que mi banco me anulase los cargos de la tarjeta, pero no quiero dejar de comentar la sensación que uno tiene cuando sabe que está rellenando un papel que no va a ir a ningún lado, ya que a pesar de la buena atención que recibí por parte de la agente que tramitó la denuncia, no se iba a investigar por falta de medios y/o conocimientos.

Ese mismo día, a la hora de comer, me llaman del departamento de fraudes del servicio de apuestas, y me indican que alguien había creado una cuenta a mi nombre, había proporcionado los datos de mi tarjeta (número, fecha de caducidad y código CVC —tres dígitos que aparecen en la parte trasera de la tarjeta—) e incluso los datos correctos de mi domicilio. Dado que los datos de domicilio cuadraban con los de la tarjeta, habían aceptado la tarjeta y no tenían intención de retroceder los cargos.

Tres días después de haberse producido los cargos, una vez aparecieron en el extracto online, me dirigí de nuevo a la oficina con la copia de la denuncia que había interpuesto y el empleado del banco tramitó mi reclamación.

La historia llega a su fin, felizmente para mi, cuando cinco días después, al consultar el extracto online de la tarjeta, observo que los cargos aparecen como anulados y ya no contabilizan en el importe dispuesto. El único coste que este incidente ha tenido para mi, además de las correspondientes molestias, son los 3 € que me cobra mi banco por reemitirme la tarjeta (y ya veremos como queda esto).

Quería compartir con ustedes algunas reflexiones sobre este incidente. Por supuesto, para mí lo más importante es que mi banco ha resuelto el problema y ha anulado los cargos. Pero en cualquier caso, hay varios puntos que si se mejorasen, en mi opinión servirían para reducir este tipo de incidentes y su impacto:

• Primero destacar la confianza que generan este tipo de medios de pago, ya que, al menos en mi caso, llevan acompañados los correspondientes mecanismos de protección para compensar al cliente ante una situación de este tipo. Personalmente siempre he preferido comprar con tarjeta de crédito antes que con tarjeta de débito, por el mero hecho de que en una situación como la que he descrito, el importe ni siquiera se ha llegado a descontar de mi cuenta ya que el cargo se ha anulado antes del cobro a mes vencido de los importes de mi tarjeta.
• Los SMSs me llegaron de golpe y con retraso: pasaron casi cuatro horas desde el primer cargo y una hora desde el último. De haberme llegado el primer cargo en el momento de producirse, habría cancelado la tarjeta a tiempo de que no se produjese ningún cargo adicional (el siguiente fue media hora después). Me sorprendió este retraso porque hasta ahora, siempre que había utilizado la VISA de mi banco y el importe superaba el umbral de 60€, el mensaje SMS me había llegado prácticamente al instante. En cualquier caso dado que los bancos proporcionan este servicio como un mecanismo de prevención ante incidentes como el que les cuento, considero que el retraso producido ha tenido un impacto económico a quien tenga que hacerse cargo de los importes (no sé si es el banco, alguna empresa de seguros o la propia casa de apuestas). Esto pone de manifiesto lo importante que es la comunicación en tiempo real para gestionar incidencias y mitigar el impacto de las mismas.
• Hace ya algunos meses que mi banco modificó el umbral mínimo de aviso, que antes estaba en 0,01 €. Entiendo que esto se haga para reducir costes y no enviar un SMS cada vez que se produce un movimiento en la tarjeta. Pero en este caso, y no sé si será un comportamiento general, habría sido todo más fácil y menos costoso si me hubiese llegado un aviso cuando se utilizó la primera vez la tarjeta con intención de validarla realizando un cargo de 2,5 €, eso sí siempre y cuando el mensaje hubiese llegado a tiempo. Si hubiese llegado con los otros cuatro no habría servido de nada.
• Independientemente de la utilidad del envío de SMSs para prevenir el uso fraudulento, sería interesante también que en el extracto online del banco aparezcan todos los movimientos, no sólo los confirmados, sino también los que están pendientes.
• De las dos tarjetas que tengo, ésta que es la que emite mi banco y la gasto muy poco, sólo para comprar alguna cosa por Internet cuando la divisa no es el euro (porque tiene un cambio favorable frente a mi otra tarjeta). Hasta el momento sólo la he gastado en sitios que yo entiendo que son de confianza, y la dirección de entrega que siempre he aportado ha sido la de la empresa en la que trabajo, ya que a las horas que llegan los paquetes es donde suelo estar. Así que me preocupa que alguien se haya hecho no sólo con los datos de mi tarjeta sino con los datos de mi domicilio.
• En alguna ocasión, desde el emisor de la otra VISA que tengo, cuando he hecho alguna compra con un importe elevado por Internet, me han llamado por teléfono para comentarme la realización de dicha compra y confirmar si era correcta. Resulta llamativo que con la cantidad de dinero que mueven este tipo de fraudes, haya bancos como el mío, que no establezcan controles relativamente automatizados que puedan detectar patrones sospechosos. Considero que generar un aviso cuando se realizan cuatro transacciones de importe elevado en una casa de apuestas por parte de un cliente que nunca antes ha realizado anteriormente compras de este tipo, no debe ser tan complejo, y más si tenemos en cuenta que este tipo de sitios deben ser uno de los sitios habituales en que se realicen compras fraudulentas. Y no se trata sólo del dinero que ahorrarían, sino de la sensación de seguridad, la buena imagen que darían si avisan al cliente y detectan el fraude al momento de ocurrir.
• Creo que los propios emisores de las tarjetas, VISA, MasterCard, American Express, etc. deberían poner a disposición de los bancos los medios necesarios para detectar este tipo de fraudes, e incluso posibilitar que el cliente prohíba la utilización de la tarjeta para compra en webs de determinado tipo (pornografía online, apuestas, etc.), tal y como por ejemplo se hace en telefonía con los números de tarificación especial 905 y similares.
• Me resulta llamativo que haya empresas como la casa de apuestas online en la que se realizaron los cargos, que tienen un nivel de fraude suficiente como para tener un departamenteo adhoc, no utilicen mecanismos de pago más robustos. Hace ya tiempo que en algunas tiendas online, cuando se paga con una tarjeta emitida por un banco, se redirige a una página del propio banco donde se solicita una posición de la tarjeta de coordenadas. Son varios los sitios donde recuerdo haber comprado y haber tenido que consultar la tarjeta de coordenadas.
• Para acabar, creo que los cuerpos de seguridad del estado deberían de contar con medios mayores para la persecución de este tipo de delitos ya que a priori, con pocas comprobaciones básicas (IP de origen por ejemplo), seguro que se podría resolver más de un caso. Seguro que no será tan sencillo perseguir a las mafias que realizan este tipo de delitos, pero probablemente sí a un empleado desleal que roba esta información y la usa.

Espero que todo esto les haya servido de ayuda, y por supuesto, no tener que acordarme de ella en el futuro.

Hace unos días en la comunidad en la que vivo se llevo a cabo una medida que me llamo mucho la atención y que me hizo reflexionar: se reordenaron los buzones de los vecinos del portal.

Como pasa en todos los edificios de vecinos, cada domicilio tiene asignado un buzón para el correo postal, que se encuentra en la entrada y que generalmente suele ser el receptor de facturas y publicidad a partes iguales. Pues resulta que el orden en el que estaban situados los buzones no cumplía las especificaciones descritas en el Real Decreto 1829/1999, el cual recoge las directrices concretas para llevar a la práctica lo que establece la Ley del Servicio Postal Universal y de Liberalización de los Servicios Postales.

Para ajustarnos a la normativa vigente, en la comunidad se procedió a la reasignación de los buzones. Pero cuál fue mi asombro cuando descubrí que la reordenación se limitó a cambiar los cartelitos donde pone el nombre de las personas que viven en cada domicilio, y al pertinente intercambio de llaves entre los propietarios, sin cambiar las cerraduras. Dicho de otra forma: la llave que yo tenía de mi buzón sigue abriendo ese buzón aunque ya no sea el que me corresponda.

[Read more…]

Aunque les prometimos que el pasado viernes publicaríamos las entradas al primer consultorio LOPD de Security Art Work, la carga de trabajo de la semana pasada ha hecho que tuviésemos que retrasarlo hasta hoy. Aunque la participación ha sido ligeramente inferior a la esperada, hemos intentado unificar las preguntas en la medida de lo posible, de modo que quedasen cubiertas el máximo número de consultas. Como disclaimer previo, simplemente decir que las respuestas dadas a las consultas son según nuestro mejor saber y entender, independientemente de que un estudio pormenorizado de algunas de las situaciones personalizadas pudiera generar una respuesta diferente.

Espero que les haya resultado útil e interesante, y les emplazamos para la siguiente sesión, de fecha todavía por definir. Sin más dilación, les dejo con la parte interesante de la entrada…

— ¿Cómo es posible cumplir “real y honestamente” con el procedimiento de revisión y tratamiento de los ficheros temporales? (Felipe)

Al respecto, el artículo 5.2.g indica que los ficheros temporales son aquellos “ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.”

Asimismo, el artículo 87 del reglamento, habla de las condiciones a aplicar en su tratamiento:

Al igual que pasa con el concepto de incidencia, el RDLOPD es muy ambiguo con lo que considera un fichero temporal, aspecto que no ayuda mucho a la hora de determinar su correcto tratamiento. Un fichero temporal podría ser una Excel generada a partir de una exportación de datos, tablas temporales de cálculo de un proceso, o fotocopias de documentos. El problema se genera principalmente en los ficheros temporales creados por los usuarios, y no tanto en los creados por procesos informáticos o automatizados. En ese caso, es importante concienciar a los usuarios y fomentar el uso de repositorios departamentales en red, de modo que dichos ficheros temporales sean almacenados con controles de acceso y no residan en dispositivos móviles o equipos personales.

— Limitar la salida de datos de carácter personal a través del correo electrónico. (Felipe)

Esta obligación viene recogida en el artículo 92.2 del reglamento:

Este es sin duda uno de los aspectos más complicados de cumplir de la LOPD, y más teniendo en cuenta que es una medida de seguridad que debe aplicarse a todos los tratamientos, independientemente del nivel de seguridad. En este caso, dada la inviabilidad de que el responsable del tratamiento autorice cualquier salida de datos de carácter personal por correo electrónico, se recomienda incluir la autorización de envíos de correo electrónico de carácter personal en el Documento de Seguridad, delimitando esta autorización a los departamentos cuya gestión e intercambio de datos de carácter personal es más habitual: RRHH, Prevención de Riesgos Laborales, y Administración. Por supuesto, será necesario definir hábitos correctos a la hora de adjuntar datos personales a los correos electrónicos (datos en anexos y no en el cuerpo del correo, utilizar interlocutores definidos cuando sea posible, herramientas de cifrado, etc.).

— Soy un autónomo y no me dedico a una actividad en la que tenga un gran volumen de datos de carácter personal. Aun así, ¿he de adaptarme a la LOPD? (Juan)

Según el artículo 2 de la LOPD:

Por tanto, los ficheros mantenidos por personas físicas en el ejercicio de actividades profesionales están dentro del ámbito de aplicación de la LOPD.

— Recibimos muchos curriculums por correo electrónico y postal en nuestra empresa. ¿Tenemos que hacer algo con ellos? (Marta)

Depende del tratamiento que se le vaya a dar a éstos. Si no se van a conservar, porque no son útiles para la organización, no es necesario hacer nada salvo destruirlos adecuadamente. Si por el contrario van a ser utilizados (almacenados o gestionados para futuras contrataciones), tendrán que tener en cuenta tres aspectos:

• Declaración del fichero ante la Agencia Española de Protección de Datos.
• Deberán proporcionar el derecho de información que exije el artículo 5 de la LOPD.
• En cuanto a su almacenamiento, lo habitual es seguir uno de estos enfoques: a) tratarlos exclusivamente en soporte papel, imprimiendo los correos electrónicos y borrando estos últimos, y b) tratarlos exclusivamente en soporte electrónico, pasando a soporte electrónico los curricula recibidos en soporte papel y protegiéndolos adecuadamente con control de accesos.

— Tenemos un formulario de sugerencias en nuestra página web a través de la que nuestros clientes pueden remitirnos consultas, comentarios, sugerencias. En algún caso hemos recibido comentarios que incluyen datos de salud. ¿Debemos declarar dicha base de datos como de nivel alto? (Andrés)

No (perdonen el lapsus mental). Sí, dado que se trata de un tratamiento automatizado. Tal y como indica el artículo 81.5 del RDLOPD, no será necesario cuando esto suceda en tratamientos no automatizados:

No obstante, se recomienda eliminar la información de nivel alto que no esté directamente relacionada con la finalidad del tratamiento, y mantener el nivel del tratamiento. En cualquier caso, sería necesario estudiar los detalles concretos para dar un veredicto definitivo.

— El nuevo reglamento nos traslada más obligaciones a las empresas a la hora de subcontratar servicios a otras empresas. ¿En qué consisten esas obligaciones? (Laura)

Efectivamente, así es, y no sólo “cuando hay datos personales por en medio”. También introduce la novedad de tener que firmar acuerdos de confidencialidad con las empresas a las que se subcontratan servicios que “en teoría” no deben tener vinculación con el tratamiento de datos personales, pero que puntualmente podrían tenerlo. Son los casos típicos de las empresas de limpieza, empresas de retirada de residuos, empresas de vigilancia, etc.

En relación con las prestaciones en las que sí se tratan datos personales, ya existía la obligación de lo que los abogados llaman el “deber in vigilando” (la obligación de velar por que las cosas se estén haciendo bien…). Pero el RDLOPD detalla en sus artículos 20 y 21 que no basta con firmar un contrato de acceso a datos que recoja los requisitos del artículo 12 de la LOPD: “el responsable del tratamiento […] deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento”.

Otra cosa es cómo comprobar este punto. Y aquí pueden intervenir factores externos, como puede ser la “relación de fuerzas” entre ambas entidades. Por nuestra experiencia, lo habitual es que el encargado del tratamiento acredite que está “al día” en cuanto al cumplimiento de la LOPD. En otros casos incluso se exige que se facilite el informe de su última auditoría bienal. Finalmente —y de hecho estamos haciéndolo así para un cliente del sector privado sanitario— se puede estipular en el contrato que se abordarán auditorías de cumplimiento en el tercero.

— ¿Qué indemnización cabe recibir de una empresa que me sigue enviando publicidad después de ser cliente suyo? (María)

La LOPD no fija ninguna indemnización para los titulares de los datos, y esta es una idea que le choca a algunas personas. La LOPD puede sancionar a la empresa, pero de esta sanción no se deriva ningún beneficio económico para el perjudicado por un mal tratamiento. En este caso, si usted considera que merece una indemnización, deberá emprender acciones legales contra la empresa.

— A pesar de disponer de carpetas departamentales, muchos empleados de mi empresa siguen utilizando sus unidades locales para almacenamiento de bases de datos, excels y ficheros con datos de carácter personal. ¿Es necesario hacer copias de esta información también? (Luis)

Sí, puesto que dichos datos de carácter personal son responsabilidad de la empresa. Por tanto, no se puede delegar en los empleados la realización de las copias de sus equipos, ni obviar el hecho de que estén gestionando datos de carácter personal sin las adecuadas medidas de seguridad. Puede obtener más información en esta entrada. En cualquier caso, nuestra recomendación es la implantación de una normativa que prohíba el almacenamiento de información corporativa en general en los equipos personales, obligando a la utilización de los discos de red.

La semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados” por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

[Read more…]

Hace un rato he bajado la última versión del navegador Opera, concretamente Opera 10 Beta, en base a las noticias que dicen que es más rápido, más estándar, y más todo. Lo es, casi puedo asegurarlo. Incluida la parte del “todo”, y eso no siempre es bueno.

La cuestión es que dicho navegador tiene un modo “Turbo”, que se activa pinchando en un icono que hay en la esquina inferior izquierda. Quizá esto no sea nuevo para los usuarios habituales de Opera, pero sí lo es para mí. Accediendo al blog a través de Opera, me doy cuenta de que el acceso no aparece proveniente de mi IP privada, sino como procedente de la IP 94.246.126.147. Qué raro. Indagando lo mínimo, veo que:

[Read more…]