Security Art Work

Durante la fase de post-explotación en una intrusión, tras conseguir una shell en un equipo, uno de los pasos para seguir ganando acceso a otras máquinas o dispositivos de networking es esnifar tráfico. Simplemente escuchando el tráfico que pasa por dicha máquina, aunque la misma se encuentre en un entorno conmutado, puede darnos información muy útil sobre la topología de red en la que se encuentra o las posibles vulnerabilidades que podremos explotar más adelante: nombres netbios, users/passwords en claro, paquetes ARP, CDP, DHCP, HSRP, VRRP, etc.

Para escuchar tráfico desde una shell, sin embargo, tendremos que hacer uso de herramientas externas que deberemos descargar y ejecutar en el equipo comprometido. Una buena elección es rawcap la cual permite capturar paquetes sin apoyarse en drivers de captura como WinPcap (librería libpcap para Windows utilizada por multitud de herramientas de análisis de tráfico).

Otra opción es utilizar Meterpreter desde donde podremos apoyarnos en módulos de captura sin necesidad de tocar disco. Meterpreter cuenta para ello con la extensión sniffer o el módulo packetrecorder de @Carlos_Perez aka Darkoperator, los cuales permiten generar y guardar en local el fichero pcap con el tráfico capturado.

Como una alternativa más a estas dos opciones, he creado un pequeño módulo (rpcapd_start) que permite activar el servicio rpcapd para poder capturar tráfico remotamente. No es extraño encontrarse con equipos de usuario, incluso servidores Windows, que tengan instalado WinPcap así que, que mejor forma de obtener tráfico que utilizando dicho servicio de forma remota. Como ventaja adicional no dependeremos de la sesión de meterpreter, ya que una vez activado, podremos capturar tráfico con cualquier software que soporte rpcap.

La instalación de WinPcap creará un nuevo servicio llamado rpcapd aunque el mismo se encuentra inactivo por defecto.

El módulo únicamente activará rpcapd, especificando el puerto y el modo de funcionamiento (activo o pasivo). Podremos elegir también si queremos autenticación o no.

Ya que lo más probable es que el equipo esté nateado tras un router o firewall, en la práctica, el modo más útil será el activo, en donde la máquina comprometida será la que se conecte a nosotros.

Tras levantar el servicio y en el caso de utilizar una conexión pasiva (como en el ejemplo) se añadirá una nueva regla en el Firewall de Windows bajo el nombre “Windows Service” para permitir el tráfico entrante.

Posteriormente podremos conectarnos a la máquina desde cualquier herramienta que soporte rpcap y empezar a capturar tráfico.

El módulo está ya incluido en Metasploit así que bastará con actualizarlo para su descarga

Aunque he probado muchos de los proxys que permiten modificar peticiones web “en vivo” como pueden ser burp, webscarab, etc. recientemente descubrí uno bastante interesante, no sólo por los desarrolladores y el contexto en el que se presentó, sino también por las características que presenta y la arquitectura que lo integra. Se trata de Mallory Proxy, un proxy desarrollado por el grupo de expertos en seguridad informática Intrepidus que fue presentado en la Black Hat de 2010.

Mallory está desarrollado en python y se presenta con una parte de la aplicación que se ejecuta en modo servicio y otra como interfaz de configuración e interacción para el usuario.

Para el que quiera probar Mallory, la aplicación dispone de 2 opciones básicamente. La primera es seguir las instrucciones de instalación y descargar e instalar tanto los fuentes del proxy como las dependencias. La segunda es descargase una imagen de VMWare cuyo sistema operativo de base es Ubuntu y que viene tanto con el software como con las dependencias.

[Read more…]

Ahora a todo el mundo se le llena la boca hablando de la próxima directiva europea de protección de datos, del cloud, etc. Pero de vez en cuando está bien echar una mirada atrás para ver de dónde venimos. En este post voy a rememorar una aplicación clásica en protección de datos: el RGPD.

Recientemente comentaba con unos compañeros del trabajo si se acordaban de la aplicación que había antes del formulario NOTA para inscribir ficheros ante la Agencia de Protección de Datos. Lo único que recibí fue miradas extrañadas por su parte. Empecé a pensar que quizás mi memoria me estaba jugando una mala pasada, pero en mi fuero interno yo sabía que esa aplicación existió, tenía que desentrañar aquella intrincada cuestión.

Así pues fui a hablar con la persona de mi empresa que más tiempo lleva en esto de la protección de datos, es decir mi Responsable. Cuando le plantee la cuestión al principio mostró cierto grado de escepticismo, pero luego recordó que así era… esa aplicación existía… Para más inri, todavía tenía el instalable y lo que es mejor, aun sigue funcionando en Windows 7.

La aplicación era propia de la Agencia de Protección de Datos y dejó de tener soporte si no recuerdo mal allá por 2007, lo que quiere decir que nunca fue adaptada a las disposiciones del RD1720/2007. Únicamente la utilicé durante menos de un año, puesto que por aquel entonces la aplicación convivía ya con los formularios NOTA. Al igual que el NOTA existían dos versiones, una dedicada a entidades públicas y otra para entidades privadas.

Si me permiten voy refrescarles la memoria para que se hagan una idea. Básicamente se trata de lo que podemos encontrar en una formulario NOTA pero en aplicación local.

El menú principal de la aplicación nos permitía trabajar con las notificaciones, la copia de las mismas a un soporte “magnético”, y el envío a través de las notificaciones a la Agencia. Por otra parte también permitía importar y exportar notificaciones a formato .DAT. Aunque sea únicamente por el “valor arqueológico” e “histórico”, vamos a mostrar en unas cuantas capturas el proceso de creación de fichero (los datos empleados son ficticios, salvo el CIF el cual debe ser válido).

En primer lugar accedemos al menú de notificaciones y pulsamos sobre nueva notificación.

En ese instante la aplicación nos ofrece la posibilidad de creación, supresión y modificación. Accediendo a creación nos muestra un formulario con los apartados a cumplimentar:

Como han podido comprobar existe una correlación directa con la información requerida del formulario NOTA, si bien existe algún apartado que no se encuentra en los NOTA como es el punto 6. Sistema de Tratamiento.

Una vez cumplimentados todos los apartados podíamos guardar todas las notificaciones y enviarlos a la AEPD. Personalmente creo que esta aplicación presentaba alguna ventaja con respecto a los formularios NOTA. Resulta más “ligera” y más operativa dado que podemos replicar ficheros y cambiar solo la información que consideremos oportuno, lo que supone el ahorro de no tener que volver a introducir toda la información común como cuando creamos las notificaciones de una organización.

Hay una cosa que me ha resultado curiosa, y es lo difícil que ha sido encontrar información sobre esta aplicación en la red, y es que hay veces que incluso internet olvida. Obviamente la aplicación no es un modelo SaaS preparada para uso en smartphones, tablets. Pero no me pueden negar que tiene su encanto ¿no?

Desde que los Smartphones se han instalado en nuestras vidas, ya sea cotidianas o profesionales, uno de los mayores miedos es el de perderlo y no volver a encontrarlo. Aunque este miedo puede surgir por distintos motivos, uno de los principales es la cantidad de información sensible que almacena y a los que una persona malintencionada tendría acceso. Este problema se ve incrementado cuando se trata de smartphones profesionales, en los que no sólo tenemos información personal, sino información corporativa y sistemas de acceso al entorno corporativo.

¿Qué ocurre cuando perdemos el teléfono móvil? Si lo tenemos correctamente bastionado no será un problema mayor. La persona que haya encontrado el dispositivo deberá conocer el código o patrón de desbloqueo de pantalla. En el mejor de los casos, tras N reiterados intentos el dispositivo hará un wipe (borrado completo de los datos del usuario). (Nota de un paranoico: No dejar marcadas las huellas si usamos un patrón para desbloquear la pantalla).

Pero, ¿y si lo que queremos es localizarlo? Quién sabe, quizá nadie lo haya encontrado y siga en el mismo sitio donde se cayó. Para este caso necesitamos de terceras aplicaciones que nos permitan llevar a cabo estas acciones. Existen multitud de ellas, gratuitas o de pago, pero se van a describir brevemente las más conocidas, aunque cualquier aportación del lector es evidentemente bienvenida.

Productos comerciales

Por un lado tenemos las aplicaciones comerciales cuyo importe económico y si realmente merece la pena o no pagar por ello tendrá que ser valorado por cada persona.

StealthGenie

Este producto es de una compañía americana que ofrece un producto para realizar un rastreo completo de un dispositivo móvil con una aplicación disponible para Android, iOS o Blackberry.

A cambio es necesario desembolsar una cantidad considerable de dinero, $99.99, que son aproximadamente 77.14€/año.

La versión básica incluye las siguientes características:

• Registro de llamadas.
• SMS recibidos/enviados.
• Acceso a la agenda.
• Tareas y calendario.
• Historial y marcadores Web.
• GPS tracking.
• Notificación por cambio de SIM.

La versión ‘Platinum’ ofrece la posibilidad de escuchar las llamadas telefónicas realizadas entre otras opciones. Esta versión ‘full-equipe’ cuesta $199.99/año o lo que es lo mismo, 154.30€.

Es posible acceder a una demo del dashboard (o panel de control) en el siguiente enlace: http://demo.stealthgenie.com/dashboard

Cerberus

En alguna ocasión hemos hablado de Cerberus, como es el caso de un uso malintencionado visto en un post anterior.

Esta aplicación está disponible a partir de 2.99€, con una licencia vitalicia que permite controlar hasta cinco dispositivos distintos.

Desde el dashboard de Cerberus podemos encontrar la siguiente lista de posibles acciones que permite llevar a cabo para controlar el dispositivo, entre los que se encuentra el rastreo a través del GPS.

Este producto solo está disponible para smartphones Android.

Productos gratuitos

Por otro lado, existen otras aplicaciones que de forma gratuita permiten hacer un seguimiento del dispositivo móvil. Las características son más limitadas que las ofrecidas por las soluciones comerciales, pero para algunos usuarios pueden cumplir con las necesidades básicas.

InstaMapper

Esta sencilla aplicación únicamente permite el rastreo del dispositivo a través del GPS. Aunque es gratuita está en periodo de cierre. A partir del día 13 de Diciembre van a dejar de dar este servicio por no poder mantener el gasto que esto supone, aspecto que puede ser interesante para aquellos usuarios que actualmente la estén utilizando.

Este producto solo está disponible para smartphones Android.

Prey

Esta es una de las soluciones que más me ha llamado la atención, ya que desde sus comienzos era un producto para seguir el rastro de un equipo informático (Windows o Mac OS X). Poco a poco Prey ha ampliado su abanico y actualmente se puede instalar en Android, iOS e incluso Linux.

Las ventajas de este producto es que existe una versión de pago que va desde los 3,8€ hasta 308.61€ mensuales en función del número de dispositivos y funcionalidades requeridas. En la página del producto se puede encontrar más información.

A continuación se muestra una captura de pantalla del dashboard sobre un dispositivo Android que tiene este producto instalado.

Tal como se puede observar en la imagen anterior, la función de geolocalización no está activada a menos que se indique que el dispositivo ha sido extraviado, lo cual es una de las diferencias que tiene con Cerberus.

Otra opción a destacar es el bloqueo del dispositivo móvil con una contraseña. En el momento en que se activa esta funcionalidad (esté marcado el móvil como extraviado o no) el dispositivo se bloquea hasta que su propietario introduce una contraseña, especificada en el panel de control, tal como muestra la imagen:

Plan B

¿Qué ocurriría en caso de extravío si tenemos instalada ninguna de las anteriores aplicaciones? Como su nombre bien indica, hay un plan B.

Esta aplicación disponible para descargar desde Google Play puede instalarse remotamente en el dispositivo gracias a la función de instalación de aplicaciones desde Google Play. Hemos realizado la prueba de instalación y en cuestión de minutos ha aparecido la aplicación correctamente instalada.

Una vez instalada, en el momento que el dispositivo tiene cobertura GPS envía las coordenadas a la cuenta Gmail que hay asociada a éste a través de un correo electrónico.

Este producto solo está disponible para smartphones Android.

Valoraciones personales

Entrando en un enfoque más paranoico, la aplicación que mejor seguridad/privacidad (llamémosle confianza) aparenta tener es Prey, no sólo por disponer de una versión gratuita sino por las opciones de rastreo, que quizá no son tan completas como sus competidores, pero al tratarse de un producto OpenSource presenta la ventaja de que el código es auditable y se puede comprobar que no realiza acciones ilícitas a nuestras espaldas.

Por supuesto, con esto quiero volver a remarcar el peligro que vimos en el anterior post sobre encontrarse un dispositivo móvil por la calle y sin tomar las precauciones convenientes, comenzar a utilizarlo para nuestras tareas cotidianas (o comerciales, más peligroso todavía).

¿Cuánto vale nuestra reputación? Para dar respuesta a esta cuestión (nada sencilla salvo que la repuesta vaya a ser “mucho”) tenemos que considerar la relación entre reputación y éxito. Y cuando digo “éxito” me refiero a alcanzar o no nuestros objetivos, tanto personales como profesionales. En determinados colectivos, la reputación es un elemento fundamental para su éxito o declive. Podríamos incluir en ese grupo personas con cargo público como alcaldes, concejales, ministros, etc. Pero también afecta directamente a profesionales del sector privado como actores, cantantes, diseñadores y un largo etcétera.

En la presente entrada hablaremos sobre las particularidades de la reputación online y expondremos algunos ejemplos que demuestran la importancia de ésta. Empecemos pues, definiendo lo que es la reputación online. Aunque se le puede dar muchas vueltas a este concepto, nos quedaremos con la definición más sencilla (cortesía de Wikipedia): La reputación online es el reflejo del prestigio o estima de una persona o marca en Internet.

Por todos es sabido que conseguir y mantener una buena reputación requiere mucho esfuerzo, constancia, dedicación y tiempo. Por el contrario, la “mala fama” puede llegar en el momento más inesperado ya bien sea de la mano de un escándalo, error o un simple malentendido. Lo mismo ocurre con la “reputación online” pero con la particularidad de que las tecnologías de la información acentúan la repercusión que tienen nuestras acciones. Si son buenas, existen los medios para publicitarlas, difundirlas y sacar el máximo partido a nuestro esfuerzo. Sin embargo, nuestros patinazos también serán más sonados. Por lo tanto, podríamos decir que la reputación online es más “frágil” que lo que hasta el momento era la reputación en general. Ni decir tiene que ambos conceptos (reputación y reputación online) guardan una estrecha relación.

[Read more…]

Recientemente he tenido que jugar con la biblioteca Scapy para Python. Ésta permite crear cualquier tipo de paquete de red con un par de simples comandos, incluso para protocolos no existentes mediante paquetes RAW.

En este caso pondré de ejemplo la necesidad de tener que enviar paquetes TCP a un puerto determinando usando cualquier combinación de flags TCP, con el objetivo de evaluar el comportamiento de la pila TCP al recibir cualquier combinación de flags.

Hay que tener en cuenta que no estamos hablando de permutaciones, puesto que es lo mismo enviar un paquete con el flags Syn y Ack que enviar un paquete con los flags Ack y Syn. Sí, seguramente habrán recordado la frase “el orden de los factores no altera el producto“. Por tanto es necesario generar cualquier combinación teniendo en cuenta que el orden no afecta y que no se desea enviar más paquetes de los estrictamente necesarios.

[Read more…]

Hace un par de meses, nuestro compañero Jose Vila habló sobre la potencia de los túneles SSH y mostró cómo evitar firewalls y eludir los diferentes filtros usando tráfico tunelizado.

En esta entrada voy a mostrar un enfoque diferente.

Hoy en día es peligroso conectar el smartphone sin protección a una conexión Wi-Fi libre. No es descartable que alguien está capturando el tráfico o que podamos sufrir un ataque de envenenamiento ARP. Entonces ¿cómo se puede estar seguro en una red Wi-Fi? Una vez más, con túneles SSH. ¿Y cómo construir túneles SSH con mi Android? Con túnel SSH.

[Read more…]

Hace unas semanas saltaba en la prensa una noticia que no me pudo pasar desapercibida [1] [2] [3] [4]. La noticia decía que unos 20 diputados españoles habían perdido el iPad que a principios de la legislatura, hace menos de un año, les habían dado para el desempeño de sus funciones. Dejando a un lado la controversia suscitada acerca de la necesidad o no de esta herramienta para todos los diputados y la responsabilidad que tienen estos diputados respecto a los dispositivos corporativos, vayamos a lo que nos preocupa en este blog: la seguridad.

Como es evidente, en estos dispositivos se pueden guardar documentos, correos electrónicos, teléfonos, en general información que podemos considerar sensible para una organización y en este caso para el conjunto del Estado. Me gustaría pensar que para usar estos dispositivos habrán tomado todas las medidas de seguridad necesarias, como puede ser cifrado, bloqueo e incluso borrado de la información ante varios intentos de acceso fallidos, acceso mediante contraseña, etc., además de tomar las medidas adecuadas para que ante una posible pérdida estos puedan ser bloqueados remotamente e incluso ser borrado su contenido.

Pues al parecer, esto va a quedarse en un mero deseo pues ya ha salido en algunos medios información indicando que estos dispositivos ni siquiera tenían activada la herramienta “Find my iPad” que se puede instalar en los dispositivos con iOS y que en caso de pérdida permite localizarlo, enviar un mensaje al dispositivo, incluso borrar el contenido del mismo. Después de conocer esto yo pregunto: ¿qué información contenían esos dispositivos? ¿Podían contener información confidencial? ¿Podían contener información con datos de carácter personal?

Como toda organización el Congreso de los Diputados debería tener y aplicar, cosas que desconozco, una política de uso de los dispositivos que ponen a disposición de los parlamentarios para el desempeño de sus funciones y estos firmar una aceptación de la misma. Además el servicio, área o departamento competente para los asuntos tecnológicos debería tomar las medidas oportunas para evitar que ante una pérdida del dispositivo cualquier persona pudiera acceder a la información confidencial y sensible, aun cuando este tipo de medidas chocasen con las reticencias de los diputados. Me parece que nunca vamos a saber la información que contenían esos dispositivos, ni siquiera las medidas de seguridad aplicadas, pero quiero seguir pensando que la información no era importante o confidencial y que se habían tenido en cuenta medidas como las que desde S2 Grupo hacíamos algún tiempo para la seguridad del iPad.

Los próximos días 30 de noviembre y 1 de diciembre, tendrá lugar en Albacete la Segunda Conferencia de Seguridad “Navaja Negra”, con una serie de charlas centradas en la Seguridad de la Información como:

• All your appliances are belong to us. Presentación de un 0-day.
• Show me your Intents.
• HASH COLLISIONS: Welcome to the (un)real World!
• Take a walk on the wild side.
• A brief introduction to reversing code with OllyDbg and other tools.
• From mail to jail: Exploit your ex.girlfriend.
• (in)Security in Mobile Communications.
• IPv6 vs IDS, se aceptan apuestas…

Las charlas realizarán en el SALÓN DE ACTOS DEL CEEI (Centro Europeo de Empresas de Innovación) el viernes en horario de tarde y el sábado en horario de mañana y serán impartidas por reconocidos profesionales.

Son completamente gratuitas pero es necesario registrarse (no quedan plazas libres aunque las conferencias se emitirán en streaming).

La información sobre las charlas está disponible en el apartado Itinerario del Congreso. Si os desplazais desde fuera de Albacete, tenemos descuentos de Renfe y del Hotel Beatriz para alojaros. También teneis el Cartel Oficial para descargar.

Toda la información se encuentra disponible en http://www.navajanegra.com y para cualquier duda podéis enviarnos un email a contacto<en>navajanegra<punto>com.

Hace mucho que no hablamos de la LOPD por aquí, así que hoy toca. Como sabrán, la LOPD distingue entre una serie de figuras, que podemos agrupar en “internas” y “externas”. En el primer grupo encontramos principalmente el Responsable de Seguridad y el Responsable del Fichero. Nótese que aunque algunas funciones puedan ser delegadas en empresas externas, en ningún caso es posible delegar la responsabilidad, de ahí que consideremos a dichas figuras “internas”.

En el segundo grupo, objeto de esta entrada, encontramos al Encargado del Tratamiento (y al Subencargado), al Cesionario y al prestador de servicios sin acceso a datos de carácter personal (DCP en lo que sigue). Como se imaginarán si conocen la LOPD y su reglamento, cada una de estas figuras presenta además de características específicas también sus propias ambigüedades. Vamos con ello.

• Encargado del Fichero o Tratamiento: La LOPD define esta figura en el Artículo 3, g) como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“. Intuitivamente, no tiene demasiado secreto; es la entidad que trata los datos “por encargo” del responsable del tratamiento.

  Sin embargo, para que la definición quede clara, veamos que entiende la LOPD por “tratamiento” en el apartado c) del mismo artículo: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“.

  Vamos con un par de ejemplos evidentes. El primero y más habitual, la gestoría. Supongamos que la empresa A contrata a la gestoría B la elaboración de la nóminas del personal. Es evidente que en la elaboración de la nómina la gestoría está tratando DCP “en nombre”, “por cuenta” o “por encargo” de la empresa A. Por tanto, la gestoría es un encargado del tratamiento.

  Sea ahora la misma empresa A que contrata a la empresa C la gestión de su CAU, que da soporte a usuarios internos y externos. En éste recogen incidencias reportadas por los usuarios de la organización, entre cuyos datos figura el nombre y apellidos del usuario además de otra información de contacto. De nuevo, parece claro que C trata o gestiona DCP de los usuarios de A, por lo que de nuevo, es un encargado del tratamiento.

  En estos casos, es necesario que la empresa A firme, aparte del contrato de prestación de servicios, un contrato de acceso a datos tal y como especifica el artículo 12.2 de la LOPD: “La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato […] estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán […] las medidas de seguridad […] que el encargado del tratamiento está obligado a implementar.”

  Cabe señalar que dado que el responsable del tratamiento (es decir, el que en última instancia debe velar por la seguridad de los datos) es la empresa A, ni la gestoría ni la empresa de gestión del CAU tienen que declarar el tratamiento en el Registro General de la AEPD (RGAEPD), dado que el tratamiento “no es suyo”.

  Dejémoslo aquí y pasemos al siguiente.

• Prestador de servicios sin acceso a DCP: Aunque la LOPD no define explícitamente esta figura (no olvidemos que entre la LOPD y su reglamento hay poco más de 8 años), el reglamento habla de ella en su artículo 83, “Prestaciones de servicios sin acceso a datos personales”. El nombre no deja lugar a muchas dudas, en cualquier caso. En este caso encontraremos a empresas cuya prestación de servicios no está relacionada con DCP pero que pueden tener un acceso esporádico a dicha información.

  Sigamos con A y veamos un par de casos. Esta empresa ha contratado a E, una empresa de limpieza, cuyo contrato no está obviamente relacionado con la gestión de DCP. No obstante, cabe la posibilidad de que en el desempeño de sus tareas, los empleados de E puedan ver DCP.

  La empresa A también ha contratado a una empresa de seguridad, llamémosla por ejemplo F, quien les ha puesto un guardia de seguridad vigilando el perímetro de la empresa. De nuevo, en su trabajo Felipe (que así se llama el guardia) no gestiona DCP, pero es evidente que puede ver personas entrar y salir de la empresa aparte de otros tratamientos esporádicos.

  Ahora bien, si a Felipe le dan nuevas atribuciones y pasa a llevar el registro de entrada y salida del personal y de los visitantes, la empresa de seguridad pasa a ser un encargado del tratamiento, al gestionar DCP “por cuenta”, “por encargo”, “en nombre” de la empresa A.

  En estos casos, el contrato de prestación de servicios “recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio” (Art. 83 RDLOPD), aunque también suele ser habitual es que esa información figure en un compromiso de confidencialidad independiente del contrato de prestación de servicios.

  De nuevo, tampoco en este caso la empresa de seguridad deberá declarar el tratamiento, porque mientras se dedique a la vigilancia perimetral no hay tal tratamiento, y en otro caso es un tratamiento de la empresa A, no suyo.

• Cesionario: Por último, llegamos al cesionario, o receptor de una comunicación de datos. La LOPD define en su artículo 3.i) la cesión o comunicación de datos como “toda revelación de datos realizada a una persona distinta del interesado“. No obstante, cuando esta comunicación de datos esté relacionada con una prestación de servicios, no se considerará cesión de datos, tal y como especifica el artículo 12.1 de la LOPD: “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento“. El artículo 20.1 del RDLOPD añade una consideración importante: “No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado“.

  Nótese que esta figura es la más relacionada con infracciones de la LOPD, ya que a menudo las garantías que deben establecerse para la cesión de datos (en general, consentimiento del afectado) no se cumplen. Digámoslo de esta manera, un cesionario es “alguien” que desea realizar tratamientos “propios” sobre los datos que recibe, y en algunos casos el usuario no daría su consentimiento para esos tratamientos. A diferencia de los casos anteriores, dado que existe un nuevo tratamiento de datos y un nuevo vínculo entre el usuario y la empresa destinataria de los datos, sí es necesario que la empresa cesionaria declare el tratamiento correspondiente ante el RGAEPD.

  Veamos un par de ejemplos de qué es una cesión de datos.

  Imaginemos que la empresa A le proporciona (vende, cambia, envía) los datos de sus empleados a una empresa de telemarketing para que ésta los utilice para sus campañas. En este caso estaríamos hablando de una comunicación de datos legal si se ha solicitado previamente consentimiento al usuario (y por tanto se han proporcionado únicamente los datos de aquellos que han otorgado dicho consentimiento), e ilegal si no ha sido así. Téngase en cuenta que este caso es diferente del caso en el que la gestoría B decide por su cuenta y riesgo utilizar los datos de los empleados de la empresa A para mandarles propaganda sobre declaraciones de impuestos, tal y como indica el artículo 12.4: “En el caso de que el encargado del tratamiento destine los datos a otra finalidad […] incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento […]“.

  Asimismo, también es diferente al caso en el que la empresa A contrata a la empresa de telemarketing H para realizar una campaña comercial, dado que en este caso se trataría de un encargado del tratamiento y quien podría incurrir en una ilegalidad es la empresa A. Es habitual ver este caso para intentar evitar la LOPD: una empresa española contrata a una empresa india para que envíe información comercial a sus clientes, a cuya entidad (la empresa india) no aplica la LOPD. No obstante, dado que el tratamiento de datos es realizado “en el marco de las actividades de un establecimiento del responsable del tratamiento” (Artículo 3.1.a RDLOPD), le aplica la LOPD.

  Veamos para acabar otro caso más legal. La empresa A decide contratar un seguro de salud para sus empleados con la empresa J. Dado que dicho tratamiento de datos no está directamente relacionado con ningún contrato de prestación de servicios entre A y J, se trata de una comunicación de datos para la que A debe solicitar consentimiento. Además, en este caso es evidente que se crea un nuevo vínculo independiente entre el empleado y la empresa aseguradora en el que la empresa A no interviene, que puede mantenerse incluso cuando la relación laboral entre el empleado y la empresa A haya finalizado, si el primero lo desea.

Evidentemente, hay muchos otros aspectos de estas figuras que sería destacable mencionar, pero antes de nada, es imprescindible que una organización sepa indicar qué es un encargado del tratamiento, qué un cesionario y qué un prestador de servicios sin acceso a datos, dado que cada una de estas figuras requiere un tratamiento diferente. Espero que haya resultado esclarecedor, pero sírvanse de preguntar en los comentarios si les queda alguna duda.