Cloud Computing y Protección de Datos Personales

El 19 de mayo, en el marco del I CONGRESO NACIONAL DE PRIVACIDAD organizado por APEP (Asociación Profesional Española de Privacidad), se presentó el documento de trabajo titulado "Computación en la nube y protección de datos personales: Privacidad y Web global, riesgos y recursos para los ciudadanos de la Red" elaborado conjuntamente por la European Privacy Association (EPA) y el Istituto Italiano per la Privacy (IIP).

La presentación corrió a cargo de Paolo Balboni (http://www.paolobalboni.eu/), Director Ejecutivo de la EPA, apoyado por Luca Bolognini y Pietro Paganini del IIP, los cuáles contaron con la colaboración de Cecilia Álvarez, vicepresidenta 3ª de APEP.

El documento es de gran importancia.  En estos momentos, la directiva de referencia en protección de datos, la Directiva 95/49/CE, está en fase de revisión y, sin lugar a dudas, deberá tener en cuenta el impacto de los nuevos paradigmas tecnológicos (Cloud Computing, Redes Sociales, ...) en la privacidad.

La Computación en la Nube es "un modelo que proporciona recursos informáticos bajo demanda (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser desplegados rápidamente y de forma deslocalizada".  Una de las ventajas de este modelo es el ahorro de costes (hardware, infraestructuras, personal, mantenimiento, consumo energético).  Según un informe del Centre for Economics and Business Research, la computación en la nube ahorraría £645bn (billones de libras) a la economía europea en los próximos 5 años.

Otra de las ventajas del Cloud Computing es que, con el fin de optimizar el rendimiento de los recursos informáticos, los datos pueden ser rápidamente transferidos de un Datacenter a otro, situación que entraría en conflicto con las normativas europeas de protección de datos por lo que respecta a la transferencia de datos personales a terceros países.  ¿Podemos exigir a un proveedor de servicios de Cloud (CSP) que nos garantice que nuestros datos no saldrán del ambito de la UE?  Pues, en principio, sí, pero con un coste económico: el coste de tener los Datacenters en Europa, de tener personal cualificado, de no poder distribuir las cargas hacia otros servidores o redes fuera de nuestras fronteras, etc.

Los principios de la protección de datos: confidencialidad, integridad y disponibilidad recaen en los proveedores CSP, en su función de Encargados del Tratamiento.  Desde este punto de vista, un Responsable no puede tener un Encargado del Tratamiento que no cumpla unas determinadas medidas de seguridad.  Ver el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29.

En conclusión, según Balboni, "rapidez, escalabilidad, economía y ubicuidad de las informaciones deben conjugarse con exigencias de seguridad, privacidad, acceso y responsabilidad". 

El informe apunta distintas soluciones:

• Avanzar en los Estándares Internaciones de privacidad según la propuesta surgida en la 31ª Conferencia Internacional de Autoridades de Protección de Datos (Madrid, 2009) e integrar éstos con las leyes nacionales de cada Estado.
• Apoyar la adopción de Reglas Corporativas Vinculantes (Binding Corporate Rules) así como los sistemas de resolución alternativa de disputas (arbitrajes, por ejemplo).
• Adoptar las soluciones tecnológicas que protejan la privacidad (Privacy by Design).

En definitiva, se augura un brillante futuro para la computación en la nube aunque, ante sus innumerables beneficios hay que contraponer los riegos de privacidad que lleva asociados.  Las autoridades, instituciones y los propios proveedores del servicio deben establecer conjuntamente las reglas para que, en este modelo,  queden garantizados los derechos de protección de datos y privacidad de los ciudadanos.

Etiquetas RFID para proteger las toallas de los hoteles

Me ha parecido curioso este artículo que, el gurú de la seguridad, Bruce Schneier ha publicado hoy en su blog. Más aún cuando el Grupo de Trabajo del Artículo 29 (GT 29) acaba de elaborar el dictamen 9/2011 sobre la Evaluación del Impacto sobre la Protección de Datos y la Intimidad en las Aplicaciones Basadas en RFID. Las toallas nos delatarán.

Esta es una traducción libre. Aquí tenéis el link al original en su blog (http://www.schneier.com/)

Etiquetas RFID para proteger las toallas de los hoteles
(por Bruce Schneier)

El hurto de toallas de hotel no es, ciertamente, un gran problema en el esquema de los problemas mundiales, aunque puede suponer elevados costes para los hoteles.  Si bien la conciencia moral evita que la mayoría de personas se lleven las toallas de un hotel, estos establecimientos suelen incluir su nombre o logo en las toallas, lo que suele funcionar como un sistema de seguridad reputacional: no queremos que nuestros amigos vean toallas robadas en el baño de nuestra casa,  No obstante, a veces se consigue el efecto contrario: gente que se lleva toallas y otros objetos personalizados del hotel a modo de souvenir.

 
Es cierto que va contra la ley apoderarse de las toallas de un hotel, pero salvo en casos de robo a gran escala, la justicia no perseguirá a nadie por ello (aunque esto no es cierto en todos los países, en 2010, una mujer fue condenada a tres meses de prisión por llevarse dos toallas y una plancha de un hotel en Nigeria).  La cuestión es que desaparecen más toallas de las que el hotel desearía y, para hoteles y resorts de gran categoría, estas toallas tienen un coste elevado.

 
Lo único que puede hacer el hotel es implementar sus propias medidas de seguridad.  Un sistema, que cada vez es más habitual, consiste en fijar precios para las toallas y otros complementos (suele ser muy común para los albornoces) y cargar el importe de éstos si, en el momento del checkout cliente, no están en la habitación.  Esto no siempre funciona, porque -por ejemplo- en los hoteles con piscina pueden quedar toallas de la habitación en la piscina y viceversa.

 
Un sistema más reciente, aunque aún no muy extendido, es insertar etiquetas RFID lavables en las toallas para poder realizar su seguimiento.  La única referencia que tenemos al respecto es la de un hotel de Hawai que asegura haber reducido el robo de toallas de 4.000 al mes a 750, lo que supone un ahorro de 16.000 dólares mensuales.

 
Considerando que las etiquetas RFID son relativamente económicas y pueden durar bastante, parecen una medida de seguridad bastante aceptable.

Actualización evolución ataque PlayStation Network

Viene del post: "Evolución del ataque a PlayStation Network de Sony" del 02/05/2011.

En el anterior post nos habíamos quedado en el fin de semana del 30 de abril, 10 días después de la intrusión.  El New York Times publicaba que en foros underground de Internet se intentaba vender la base de datos robada a Sony, mientras el CEO de Sony daba una rueda de prensa pidiendo disculpas -y paciencia- a los usuarios de PSN.  Esta semana, se han ido conociendo más detalles sobre el ataque y sus repercusiones.

El martes, 3 de mayo, se hacía pública la existencia de otro ataque, en esta ocasión contra la plataforma Sony Online Entertaintment (SOE), en el que quedaron expuestos datos personales de más de 24 millones de clientes de este servicio de la multinacional nipona.

El 4 de mayo, Kazuo Hirai, CEO de Sony, respondía por escrito a todas las preguntas de la carta enviada  desde la Cámara de Representantes del Congreso de los Estados Unidos (aquí el documento original publicado por Sony).  Aseguran haber sido víctimas de un ciberataque criminal altamente sofisticado, meticulosamente planeado y muy profesional.  Mencionan de nuevo el ataque DDoS que sufrieron hace unas semanas por parte de Anonymous y aseguran haber encontrado un archivo con el texto "We are Legion" (el lema de Anonymous) en el servidor comprometido, aunque la respuesta a la pregunta 7ª es clara: 

• (Q) 7. Have you identified the individual(s) responsible for the breach?
• (A) No. 

Este mismo día sabemos que Sony ha contratado los servicios de tres importantes compañías de seguridad para trabajar junto al FBI en la investigación, además de contar con los servicios legales de Baker & McKenzie.

En una sesión sobre Robo de Datos del Departamento de Comercio de los Estados Unidos, Gene Spafford, editor de la revista Computers & Security se refirió a que Sony estaba utilizando una versión desactualizada de Apache Web Server, sin parchear, y que hace meses que esto era conocido.

A través de un comunicado de prensa de la ICO - UK Information Commissioner's Office (autoridad de protección de datos del Reino Unido), se informa que este organismo ha solicitado aclaraciones a Sony sobre lo ocurrido, por si pudieran verse afectados datos personales de ciudadanos ingleses.

A fecha de hoy, 5 de mayo -aunque todavía no he podido contrastar la fuente-, parece que la Agencia Española de Protección de Datos va a abrir una investigación para comprobar si se ha vulnerado la Ley Orgánica de Protección de Datos de Carácter Personal.

Evolución del ataque a PlayStation Network de Sony

"Una intrusión externa obliga a Sony a detener su servicio PlayStation Network".  Esta era una notícia del 21 de abril.  "Los hackers de Sony venden 2 millones de tarjetas de crédito" es una notícia de ayer sobre el mismo tema.  Veámos como ha evolucionado este suceso hasta ahora:

El 22 de abril, desde el Blog oficial de PlayStation Network, Patrick Seybold, directivo de Sony, confirmaba la noticia de la "intrusión externa" informando que desde el miércoles, 20 de abril, habían desactivado el servicio PSN para investigar los hechos.

Lo que en un principio parecía un ataque DDoS contra la red de la multinacional nipona ha resultado ser un sofisticado ataque en el que -aparte de dejar la red PlayStation Network (PSN) fuera de servicio- se han obtenido millones de datos de usuarios de PSN (nombres y direcciones, tarjetas de crédito, etc.)

Incluso el colectivo Anonymous, que en principio estuvo en el punto de mira, publicó un comunicado desvínculándose del asunto.  GeoHot, el hacker que rompió la seguridad de la PS3 y fué demanado por Sony, también dice no tener nada que ver con ello.

El día 26, lunes, PSN sigue desactivada.  Circulan las notícias sobre un sofisticado ataque de hackers que habrían robado datos (incluyendo tarjetas de crédito) de los 70 millones de usuarios de PSN.

Ante la avalancha de consultas de los usuarios, los días 27 y 28 en el blog de PlayStation Network publican sendos posts de Q&A, en el que tras pedir disculpas a los usuarios, dicen que esperan empezar a tener los servicios disponibles en una semana.  Aunque aseguran que los datos de las tarjetas de crédito se guardan cifrados y que no hay evidencias de que éstos hayan sido sustraídos, aconsejan revisar los extractos bancarios y contactar con el banco en caso de sospecha.

El 29 de abril, el Congreso de los Estados Unidos, envía una carta al CEO de Sony, Kazuo Hirai, solicitando explicaciones sobre el suceso (incluye una lista de 13 preguntas que deben responder antes del 6 de mayo).

El 30 de Abril, en la sede central en Tokio, Kazuo Hirai ofrece una rueda de prensa.  Asegura que están llevando a cabo una completa auditoría de seguridad en la que participan varias compañías de seguridad y que, paralelamente, se está trabajando en reforzar toda la seguridad, no sólo del data-center en San Diego, California, objeto del ataque, sino de toda la compañía.  Por su parte, el FBI está llevando la investigación para esclarecer los hechos y dar con el culpable o culpables.  En el otro comunicado, anuncian el ofrecimiento de un "welcome pack" a sus clientes a modo de disculpas (que podría consistir en cuota gratis durante un mes, contenidos de descarga gratuíta, etc.)

El New York Times publica que en ciertos foros underground de Internet, hackers aseguran tener las bases de datos robadas a Sony y las ponen a la venta.  Aseguran tener 2.2 millones de tarjetas de créditos, contraseñas y otros datos personales.

El 2 de mayo, Patrick Seybold, niega que nadie haya ofrecido a Sony la oportunidad de comprar la lista.

#Actualización 05/05/2011: Nuevo post: "Actualización evolución ataque PlayStation Network"
===============

Podemos seguir la versión oficial de Sony en el Blog de PSN:

Blog de PSN: http://blog.us.playstation.com/

Blog de PSN (traducción al español): http://blog.es.playstation.com/