lunes, 31 de diciembre de 2012

¡Feliz 2013! (Resumen 2012)

En el último día del año, y con mis mejores deseos para el próximo 2013, haré un resumen de la actividad de este modesto blog en 2012.

Han sido 14 entradas, en las que se ha hablado de Protección de Datos, Privacidad, Cloud Computing, BYOD, Cookies, Ciberseguridad o Malware.  La entrada con más visitas ha sido, con diferencia, la que trataba sobre el análisis de una infección por Ransomware, el llamado "virus de la policía".  También han tenido un número elevado de visitas los post sobre BYOD, el que recogía la opinión del Grupo de Trabajo del Artículo 29 sobre la exención del consentimiento en las cookies, o el que hacía referencia a mi artículo sobre privacidad en los escáneres corporales en los aeropuertos de la UE que se publicó en el número de Mayo-Junio de la revista Novática de la Asociación de Técnicos de Informática (ATI).

Este es el índice de los 14 post de 2012:


Os deseo a todos un "seguro" 2013, lleno de prosperidad, en el que espero seguir publicando artículos de vuestro interés en este blog.

lunes, 26 de noviembre de 2012

Los delitos informáticos en las Organizaciones

El pasado jueves, 22 de noviembre, ATI (Asociación de Técnicos de Informática) organizó un nuevo encuentro Picnic4Working contando, en esta ocasión, con la colaboración de la ACPJT (Asociación Catalana de Peritos Judiciales Tecnológicos).


La sesión, bajo el título "Los delitos informáticos en las organizaciones" contó con los siguientes ponentes:
Desde la perspectiva de la empresa, de un experto en seguridad, o de un perito judicial, cada uno de ellos aportó su visión sobre la seguridad y los delitos informáticos.

En su intervención, el abogado Juan Núñez destacó que la principal preocupación de un empresario es dar servicio a los clientes de una forma rápida y eficaz para obtener la máxima rentabilidad en su negocio.  Así, en la empresa actual, donde los procesos de negocio dependen de los sistemas informáticos, éstos son considerados como un "coste necesario".  Para un empresario, la seguridad debería ser algo intrínseco a la informática y sus preocupaciones en este sentido vienen por el temor a perder datos, a no tener acceso a los mismos, a la pérdida de confidencialidad, o a la manipulación indebida, lo que, en la mayoría de casos, le impediría prestar sus servicios a los clientes.

Si el abogado nos habló de lo que preocupa a la empresa, el experto en seguridad Miguel Santander, nos habló de lo que debería preocupar a la empresa.  Según sus palabras "Para una empresa el sistema de información representa su valor, es lo esencial que hay que proteger.  Si se compromete esto, la empresa estará comprometida".  El ponente hizo un muy buen resumen sobre conceptos clave en seguridad informática: tipos de amenazas, clasificación de incidentes informáticos, vulnerabilidades, errores comunes, medidas de prevención, etc. todo acompañado de interesantes ejemplos.  A modo de conclusión, destacar la idea de "entender la seguridad como un proceso".


Finalmente, el périto judicial Rafael López Rivera, aportó un punto de vista intermedio entre la empresa -que se preocupa por su negocio- y el que pretende obtener los datos de esa empresa.  Cuando se produce un incidente de seguridad, se genera un conflicto entre el empresario, que quiere continuar trabajando, sin para ningún equipo, y el Responsable de Seguridad que necesita hacerse cargo de la situación para recopilar las evidencias.

El papel del perito judicial es, precisamente, recoger las evidencias cuando se ha cometido una intrusión o un incidente de seguridad que requiera de un análisis forenseRafael López explicó con detalle las fases de una actuación pericial de campo, haciendo hincapié en mantener en todo momento la cadena de custodia, de principio a fin, empezando por "no tocar nada si no tengo autorización para ello" y siendo muy meticulosos en seguir adecuadamente todos los procedimientos.

Tras las intervenciones de los ponentes, se inició un interesante debate entre los asistentes en el que se destacó que en la mayoría de empresas no hay una "cultura de la seguridad".  Aunque, sin duda, es esencial formar y concienciar a los usuarios en cuestiones de seguridad, más importante es que esta concienciación empiece en los niveles más altos del organigrama de la compañía, de donde debería partir el compromiso por la seguridad de los sistemas de información.

Como todo Picnic4Working, el debate continuó en el refrigerio posterior, donde de una forma distendida pudimos comentar con los ponentes y aprovechar para realizar networking con el resto de asistentes.
 
Pulsa aquí para ver la agenda del encuentro: http://www.ati.es/spip.php?article2238

martes, 20 de noviembre de 2012

Opinión del Supervisor Europeo de Protección de Datos sobre Cloud Computing

El 27 de septiembre, la Comisión Europea publicó el Informe "Liberar el potencial  de la computación en la nube en Europa" [sic] (Unleashing the Potential of Cloud Computing in Europe) donde se expone la estrategia de la Comisión para acelerar e incrementar el uso del cloud computing en Europa.

Como respuesta a este informe el Supervisor Europeo de Protección de Datos (EDPS), por iniciativa propia, acaba de publicar una Opinión sobre la relación entre el cloud computing y la protección de datos personales, aunque no se limita exclusivamente al contenido del citado Informe.  Conviene recordar que la Comisión consultó "informalmente" al EDPS antes de publicar el Informe y que algunos de esos comentarios "informales" fueron tomados en consideración en el Informe final.
(Enlaces a los documentos al final del post)

La Opinión se centra en tres aspectos principales:
  • Destacar la importancia de la privacidad y la protección de datos en las iniciativas actuales de entornos en la nube (en particular, que el nivel de protección en la nube no debe ser inferior al que le correspondería en cualquier otro contexto de tratamiento de datos).
  • Los retos que derivan para determinar sin ambigüedades las responsabilidades que corresponden a cada una de las partes implicadas.
  • Identificar que acciones serán necesarias, por parte de los estamentos europeos, para dar apoyo al despliegue de los servicios en la nube en Europa (guías, estándares, certificaciones, modelos contractuales, etc).

jueves, 8 de noviembre de 2012

Mes Europeo de la Ciberseguridad



Durante este mes de octubre se ha llevado a cabo la campaña "Mes Europeo de la Seguridad Cibernética" organizada por la Comisión Europea, en sincronía con el National Cyber Security Awareness Month que desde 2004 se organiza cada octubre en Estados Unidos.

ENISA (European Network and Information Security Agency) ha puesto a disposición de los Estados Miembros y de los ciudadanos diverso material de apoyo con fines educativos y de concienciación: publicaciones, videoclips, posters, material gráfico, etc. disponible para su descarga gratuíta en la web: http://www.enisa.europa.eu/activities/cert/security-month/material

Con esta campaña se pretende que los ciudadanos tomen conciencia acerca de la importancia de la seguridad de la información, proporcionando unos simples consejos que les ayuden a proteger sus datos, ya sean personales, financieros o profesionales.  Concienciar y promover hábitos seguros han sido los principales objetivos de la campaña.


En España, INTECO (Instituto Nacional de Tecnologías de la Comunicación) es quien coordina los actos de esta campaña, que tuvo uno de sus grandes momentos en la celebración de la sexta edición de ENISE  (Encuentro Internacional de Seguridad de la Información) que, un año más, reunió a "profesionales del mundo de la seguridad, instituciones y administraciones públicas para debatir sobre los retos más importantes que afronta en la actualidad el sector de la ciberseguridad".

miércoles, 5 de septiembre de 2012

Privacidad en los escáneres corporales de los aeropuertos

En el anterior post comentaba la monografía sobre "Privacidad y nuevas tecnologías" que ha publicado Novática en la que se incluye mi artículo titulado "Privacidad en los escáneres corporales en los aeropuertos de la U.E.".  En esta entrada voy a centrarme en el contenido de este artículo, cuyo contenido completo podeis descargar más abajo, si es de vuestro interés.
 
En él analizo la situación actual de los llamados "escáneres de seguridad de cuerpo completo", conocidos también como escáneres corporales o escáneres de seguridad, desplegados en fase de pruebas en algunos aeropuertos europeos para la mejora de los controles de seguridad aérea. 
 
Estos escáneres realizan una exploración completa del cuerpo del pasajero, mostrando una imagen detallada del cuerpo humano con el fin de detectar tanto objetos metálicos como no metálicos escondidos bajo la vestimenta.  La implantación de estos escáneres puede suponer una invasión en la privacidad de las personas ya que muestra imágenes definidas del cuerpo del pasajero sin ropa, mostrando detalles anatómicos y partes íntimas, incluidas prótesis médicas.
 
 
El objetivo del artículo es analizar como el uso de estos escáneres pueden afectar a nuestra privacidad.  De una parte se repasa el marco normativo en el ámbito de la U.E. y la propuesta de la Comisión Europea para regular el uso de los escáneres corporales y, de otra, para entender el funcionamiento de estos equipos, se da una pincelada técnica sobre las diferentes tecnologías de escaneo: de onda milimétrica - activas o pasivas - y de retrodispersión por rayos X.  Todo ello concluye con un análisis del nivel de implantación en los países que han optado por ello (*): Francia, Gran Bretaña, Italia, Finlandia, Países Bajos y Alemania.
(*) El artículo está redactado en febrero de 2012
 
Desde este enlace podéis descargar el artículo completo en formato PDF [283 Kb]:
http://www.joanfi.net/docs/Nv217-39_JoanFigueras.pdf
  
Y, finalmente, aquí dejo la transcripción de la referencia al artículo que los editores (Gemma Galdón y Gus Hosein) realizan en la presentación de la monografía:
 
« Joan Figueras vuelve a recordarnos que las controversias relacionadas con la tecnología, la privacidad y la seguridad no sólo se producen online, a pesar del evidente peso de los medios y redes sociales en el estudio del impacto social y sobre la privacidad de las nuevas tecnologías.

En su artículo sobre los escáneres corporales en los aeropuertos, Figueras traslada los debates abiertos por el resto de autores al espacio de la gestión de la seguridad en la aviación civil y los debates generados a nivel europeo desde la introducción de esta medida, a principios de 2010, así como la primera propuesta de marco común publicada por la Comisión Europea en 2011. 
 
En los meses de fase de pruebas, diferentes escáneres con diferentes tecnologías han sido instalados en muchos países (el autor aborda con detalle los casos de Francia, Gran Bretaña, Finlandia, Países Bajos, Italia y Alemania), y aunque la propuesta de la CE supone un primer paso hacia la homogenización y el desarrollo de un marco garantista en relación con el respeto a la privacidad y la dignidad de los usuarios, el autor identifica diferentes cuestiones aún no resueltas y que apuntan a la necesidad de un enfoque más amplio y respetuoso con los derechos fundamentales »

martes, 4 de septiembre de 2012

Monografía sobre "Privacidad y nuevas tecnologías" en Novática

Hace unas semanas recibí en casa el número 217 de la revista Novática.  Como socio de ATI (Asociación de Técnicos de Informática) recibo todas las entregas de Novática, siempre con artículos de gran calidad y de interesante lectura.  En esta ocasión, me ha hecho especial ilusión recibir la revista, no solo porque el tema central del número "Privacidad y nuevas tecnologías" sea de gran interés para mí, sino porque en la monografía se ha incluido un artículo mío ;-) 
 
Quiero agradecer, desde aquí, al coordinador de la revista, Llorenç Pagés, y a los editores invitados de la monografía sobre privacidad, Gemma Galdón y Gus Hosein, que hayan contado conmigo y hayan incluido mi articulo "Privacidad en los escáneres corporales en los aeropuertos de la U.E." en la misma.
 
Novática, fundada en 1975 y decana de la prensa informática española, es la revista de la Asociación de Técnicos de Informática, organización que edita también la revista REICIS (Revista Española de Innovación, Calidad e Ingeniería del Software).
 
 
(Portada del nº 217 de Novática, "La casa durmiente" - Concha Arias Pérez © 2012 ATI)
 

El contenido completo de Novática 217 está disponible en la Intranet de ATI accesible solo para socios, mientras que en la parte pública se pueden consultar los resúmenes y el bloque editorial:
http://www.ati.es/novatica/2012/217/nv217sum.html

El índice de la monografía sobre "Privacidad y nuevas tecnologías" es el siguiente:


Presentación. Privacidad y nuevas tecnologías: redes sociales, datos personales y tecnologías de vigilancia ante el reto del respeto a los derechos de las personas
Gemma Galdon Clavell, Gus Hosein
[contenido completo en formato PDF]

La protección de datos en Europa y la inquietante presencia de la privacidad
Gloria González Fuster, Rocco Bellanova
[resumen]

Tecnología de vigilancia y controles territoriales: Gobernanza y el pulso de la privacidad
Darren Palmer, Ian Warren
[resumen]

Google: Navegando entre la seguridad, el derecho de información y la privacidad
Cristina Blasi Casagran, Eduard Blasi Casagran
[resumen]

Rastros humanos en Internet: privacidad y seguimiento online en sitios web populares del Brasil
Fernanda Glória Bruno, Liliane da Costa Nascimento, Rodrigo José Firmino, Marta M.
Kanashiro, Rafael Evangelista
[resumen]

Las redes sociales y la tutela de la privacidad. Cuando la privacidad no se contempla como un derecho
Massimo Ragnedda
[resumen]

Privacidad en los escáneres corporales en los aeropuertos de la U.E.
Joan Figueras Tugas
[resumen]

El contenido completo del artículo "Privacidad en los escáneres corporales de la U.E." en el próximo post.

lunes, 23 de julio de 2012

BYOD (o TSPD "Traiga su propio dispositivo")

A raíz de uno de los encuentros Picnic4Working organizados por ATI Catalunya, ya cité en un post anterior el concepto de consumerización (fenómeno por el cual las nuevas tecnologías de la información surgen primero en el mercado de consumo y después se implantan en las empresas). Ahora, con la consumerización nos ha llegado un nuevo concepto: BYOD (Bring your own device), al que aquí podríamos llamar TSPD (Traiga su propio dispositivo) ¿no?.

Recuerdo reuniones para redactar las políticas de seguridad de las empresas en las que era usual incluir una cláusula mediante la cual se prohibía el uso (o la conexión) de cualquier dispositivo ajeno a la compañía. - Por motivos de seguridad” intentaba explicarles, aunque Dirección solo viera en ello una manera de impedir que los empleados utilizaran esos recursos para cuestiones extralaborales. No les negaré sus razones, ya que en una ocasión recibí una petición de un usuario (formal, eso sí, siguiendo todo el circuito) solicitando acceso a la Wi-Fi corporativa ¡para la PSP!.

Pues bien, actualmente en el mismo tipo de reuniones se genera un controvertido debate sobre si autorizar a los usuarios a utilizar sus propios dispositivos (generalmente smartphones, tablets y notebooks). Aunque con conclusiones diversas - según la tipología de la empresa - observo una tendencia generalizada a permitir el uso de smartphones y tablets personales. Eso, claro está, para los que han debatido esta cuestión; muchas empresas ni siquiera se lo han planteado y de repente se encuentran con que los usuarios están utilizando sus propios BYOD sin ningún control.


miércoles, 18 de julio de 2012

#limpiandomisfavoritos 3

Esta es una recopilación de enlaces a vídeos de eventos, cursos o jornadas que me han interesado.  Espero que os puedan ser de ayuda.

SEGURIDAD:

Una interesantísima charla de Andrés Velázquez (www.crimendigital.com) en la Campus Party México sobre "Cómputo Forense Reloaded (porque todo deja rastro)".

http://youtu.be/fZ2kPqtFBEs
Desde GlobbTV podemos revisionar la mesa redonda moderada por Security By Default en la NoConName que trató el tema ¿Se toman en serio la seguridad las empresas?

http://www.globbtv.com/49/microsite/1535/no-con-name-se-toman-en-serio-la-seguridad-las-empresas

En marzo de 2012 asistí al congreso de seguridad informática /RootedCON.  En su página web han publicado los vídeos de las ponencias:

http://www.rootedcon.es/index.php/videos-de-rooted-con-2012/

INTECO organizó el seminario técnico "Navega a través del interior del DNIe" de forma presencial y on-line.  El webcast del seminario ya está disponible:

http://zonatic05.webcastlive.es/

DERECHO Y TIC:

El 29 de junio de 2012 se celebro el Digital Law World Congress (http://www.digitallawworldcongress.com/) en el ICAB (Barcelona).  En la web de Nubbius disponemos de los vídeos de las ponencias:

http://nubbius.com/blog/digital-law-world-congress


Y, para finalizar, en la web de la AEPD (www.agpd.es) están disponibles los vídeos de la 4º Sesión Anual Abierta de la Agencia Española de Protección de Datos, celebrada en Madrid en enero de 2012:

http://www.agpd.es/portalwebAGPD/jornadas/4_sesion_abierta_2011/index-ides-idphp.php

viernes, 6 de julio de 2012

Utilización del Cloud Computing por los Despachos de Abogados

Mediante nota de prensa del 14/06/2012, la AEPD (Agencia Española de Protección de Datos) y el CGAE (Consejo General de la Abogacía Española) nos comunican la presentación del Informe "Utilización del cloud computing por los despachos de abogados y protección de datos de carácter personal", elaborado por ambas instituciones.

El informe establece orientaciones y aclara conceptos para que los despachos de abogados puedan elegir el servicio de Cloud Computing. También establece los requisitos que se deben observar a la hora de contratar un servicio de estas características en su gestión como profesionales.



El secreto profesional es uno de los principios esenciales de un despacho de abogados, y la protección y seguridad de los datos une exigencia legal que se debe cumplir y garantizar.  El informe desarrolla los tres aspectos claves en la contratación de servicios de Cloud:
  • La responsabilidad del despacho sobre el tratamiento de los datos y la normativa y jurisdicción aplicable.
  • La seguridad y confidencialidad de los datos.
  • Aspectos esenciales del contrato de servicios que debe firmarse, tanto desde el punto de vista técnico como jurídico.
El Informe (de 19 páginas) está dividido en 5 capítulos:
  1. Introducción. El concepto del Cloud Computing y los servicios para los despachos de Abogados
  2. Aplicación de la normativa sobre protección de datos
  3. Territorialidad y jurisdicción aplicable
  4. La seguridad y confidencialidad de los datos: el secreto profesional
  5. Aspectos esenciales del contrato de servicios que debe firmarse, tanto desde el punto de vista técnico como jurídico
DESCARGAR el informe:
Descarga del Informe "Utilización del Cloud Computing por los despachos de abogados"
Descarga del Díptico "Todo lo que siempre quiso saber sobre el Cloud Computing"

lunes, 18 de junio de 2012

APEP manifiesta su malestar ante el Convenio de asesoramiento en protección de datos suscrito por la Federación de Municipios de Castilla la Mancha

APEP (Asociación Profesional Española de Privacidad) ha mostrado su rechazo frente al anuncio del Convenio de asesoramiento en materia de LOPD que ha firmado la Federación de Municipios y Provincias de Castilla-La Mancha.  Este desafortunado convenio alienta la práctica fraudulenta conocida como "LOPD a Coste Cero" que desde la Asociación hace tiempo venimos denunciando.


Bajo esta denominación se incluyen las prácticas de ofrecer servicios gratuitos de implantación de LOPD,  financiados con las subvenciones que ofrece la Fundación Tripartita para la formación de los trabajadores.  La propia Fundación Tripartita reconoció estos hechos como constitutivos de fraude (Ver nota informativa de la Fundación Tripartita del 14/04/2010).

Tras conocerse la notícia de la firma del convenio, en la que se hace referencia a la implantación gratuita de la LOPD, APEP publicó una "Carta abierta a la Federación de Municipios y Provincias de Castilla-La Mancha y la Fundación Tripartita" (12/06/2012) mostrando su preocupación por la licitud del objeto del convenio:

Estimados señores:
Leemos con enorme interés la nota de prensa publicada por ABC, así como la nota en la propia web de la Federación, en relación con el convenio de asesoramiento en protección de datos con una conocida empresa. Es positivo que empresas y administraciones se acerquen y hay que felicitarse por ello. Sin embargo, una frase citada entrecomillada, y por tanto no imputable al periodista, nos ha llamado poderosamente la atención: «y todo ello, a coste cero». Bajo ese epígrafe “LOPD a coste cero” se han desarrollado actividades de asesoramiento y consultoría “disfrazadas” de formación y con cargo a la Fundación Tripartita, prácticas que esta Fundación ha considerado fuera de los fines por los cuales se conceden las subvenciones. El expuesto en su comunicado ¿es otro “coste cero” distinto de aquel contra el que la Fundación Tripartita ha advertido en dos ocasiones (http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=458http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=576)?
(...)
Desde APEP, y en base a experiencias anteriores, rogamos se verifique si existe algún problema de legalidad en el citado Convenio. En caso positivo, los españoles que contribuyen con sus impuestos a la financiación de la formación laboral en España merecen alguna actuación y alguna explicación. 
  


El 15 de junio la APEP publicó la Nota de Prensa a la que hace referencia el título de este post:
"APEP manifiesta su malestar ante el Convenio de asesoramiento en protección de datos suscrito por la Federación de Municipios de Castilla la Mancha":

Nota de Prensa
Un gran número de asociados ponen en conocimiento los hechos ante la Fundación Tripartita.
El anuncio público de la firma de un Convenio celebrado por la Federación de Municipios y Provincias de Castilla la Mancha en relación con el asesoramiento en materia de LOPD ha generado una reacción de rechazo entre los profesionales de la privacidad en España.
Esta reacción sin duda se debe a que en su denominación se habla de una implantación gratuita: “Convenio de Colaboración entre la Federación de Municipios y Provincias de Castilla-La Mancha y Professional Group Conversia, SLU, sobre la implantación gratuita de la Ley de Protección de Datos en las Entidades Locales de Castilla-La Mancha”
(...)
Debe destacarse que, de acuerdo con el Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, tanto cada Ayuntamiento como la Federación, esta en su consideración de poder adjudicador, se encuentran sometidos a estrictas normas de contratación cuyos objetivos son facilitar la libre concurrencia de ofertas con plena publicidad y en condiciones de igualdad para los licitadores. Cabe preguntarse si estos objetivos se logran adecuadamente con una recomendación recompensada con la gratuidad de un asesoramiento LOPD con un alcance indeterminado.
APEP se abstiene de calificar jurídicamente estos hechos, sin perjuicio de ponerlos en conocimiento de la sociedad y, en su caso, de las autoridades que pudieran ser competentes. 

martes, 12 de junio de 2012

Exención de consentimiento en las cookies

El Grupo de Trabajo del Artículo 29 (Article 29 Working Party) - GT29 -, que engloba a las Autoridades Europeas de Protección de Datos, ha publicado hoy un Comunicado de Prensa para presentar su opinión sobre la exención del consentimiento informado en las «cookies».

El documento (en inglés) "Opinion 04/2012 on Cookie Consent Exemption" está disponible aquí:

El Artículo 5.3 de la Directiva 2002/58/CE, revisado por la Directiva 2009/136/CE (conocida como la "Directiva de «cookies»") establecía el requisito del Consentimiento Informado, antes de que los datos sean tratados en el equipo del usuario.  En España, este apartado se recogíó en la reciente modificación de la LSSI del pasado 30 de marzo.

En virtud de ese artículo, se establecía la exención del consentimiento informado al cumplirse alguno de estos dos criterios:

  • Cuando la cookie sea utilizada "al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas".
  • Cuando la cookie resulte "estrictamente necesaria para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario".
El Documento publicado por el GT29 analiza con detenimiento estos dos requisitos para determinar si una cookie está exenta o no del consentimiento informado.


Después de un análisis de las características de una cookie y de los diferentes escenarios posibles, concluye que las siguientes cookies pueden estar exentas de la obligación del consentimiento informado, bajo determinadas condiciones y siempre que no sean utilizadas para otros fines.

  1. "User input cookies" (cookies de sesión utilizadas típicamente cuando el usuario rellena un formulario), son temporales y se eliminan al finalizar la sesión.
  2. Cookies de autenticación, para la autenticación del usuario en un sitio web y únicamente mientras dure la sesión (no cuando se trate de cookies persistentes).
  3. Cookies de seguridad, utilizadas para prevenir abusos en la autenticación (por ejemplo, detectar repetidos intentos fallidos de validación), siempre que tengan una duración limitada y no se refiera a servicios no solicitados por el usuario.
  4. Cookies de sesión de contenido multimedia, contienen datos técnicos de la sesión para reproducir video o audio (por ejemplo de Flash Player) mientras dure la sesión.
  5. Cookies de sesión de balanceo de carga, mientras dure la sesión.
  6. Cookies para la personalización del interface - "UI customization cookies" (por ejemplo, selección del idioma), de duración determinada y no pueden estar enlazadas con cookies persistentes como el nombre de usuario.
  7. Cookies de plug-in de redes sociales - "Social plug-in content shared cookies" que identifican a los miembros de una determinada red social, siempre y cuando el usuario no haya realizado un "log-out" de la red social.
En todos los casos se trata, como vemos, de cookies de sesión  o con una duración determinada, aunque el GT29 señala que antes de entrar en cuestiones técnicas, debería analizarse la finalidad de la cookie para determinar si queda o no exenta de la obligación del consentimiento informado.  En cualquier caso, siempre será necesario obtener el consentimiento informado cuando se trate de cookies de terceros.

En relación al segundo criterio, el GT29 señala que es importante analizar lo que es "estrictamente necesario" siempre desde el punto de vista del usuario, no del proveedor de servicios.

jueves, 17 de mayo de 2012

Cuidado, Pietro Paolo ¡Cuidado!

Ya sabeis que hace tiempo que ando detrás de un tablet, aunque van pasando las semanas y no acabo de decidirme.  Mientras, cada vez que tengo ocasión aprovecho para probar y trastear cualquier tableta que se cruce en mi camino, así que el otro día estuve un buen rato probando los que tenían expuestos en esa conocida multinacional francesa del ocio y la cultura.


Tablets expuestos en un centro comercial

Estaba entretenido revisando las aplicaciones de uno de los tablets cuando, al pulsar sobre el icono del correo, ¡Zasca! se abre el buzón de Gmail del bueno de Pietro Paolo (el nombre es ficticio, pero el despreocupado usuario tenía un nombre claramente italiano, como Enzo, Francesco o Marco, y un apellido también claramente italiano, como pueden serlo Garibaldi, Rossi o Antonietti).

A mí, se me hace impensable que alguien consulte su correo personal en un ordenador de prueba de unos grandes almacenes, pero encima que cuando se vaya deje el equipo sin preocuparse de cerrar la sesión “es de ser inútiles, eh?” [sic].

Por supuesto,  no accedí a ninguno de los correos del italiano, pero estaba todo ahí, al alcance de cualquiera, y supongo que no hace falta que os cuente lo que se puede llegar a hacer teniendo acceso a una sesión iniciada en Google, ¿no?

En estos casos, siempre hago la misma reflexión: los que nos dedicamos a la seguridad informática o a la privacidad damos por consabido determinados conceptos y comportamientos (que forman parte de nuestro día a día) aunque luego la realidad nos demuestra que los usuarios no están lo suficientemente concienciados en estas materias. Para ello, aquí os dejo las recomendaciones de la OSI (Oficina de Seguridad del Internauta) en relación al uso de ordenadores públicos:
Consideraciones a tener en cuenta al utilizar ordenadores públicos

Aprovechando que hoy es el “Día Mundial de la Sociedad de la Información”, más conocido como el “Día de Internet” (http://www.diadeinternet.org) dejo algunos enlaces de iniciativas relacionadas con la concienciación sobre la seguridad y la privacidad en Internet:

Pienso luego clico, campaña dirigida a jóvenes: www.piensoluegoclico.com
Menores OSI, dirigida a los más pequeños: http://menores.osi.es
Protege Tu Información, promovido por ISMS Forum: www.protegetuinformacion.com
A Internet, posa-hi seny! (en catalán), campaña del CESICAT (Centre de Seguretat de la Informació de Catalunya): http://internetambseny.cesicat.cat/

Y, por si mi "amigo" Pietro Paolo lee este post, este es el portal de seguridad Portale Sicurezza (en italiano) promovido por Infostrada: http://www.infostrada.it/it/sicurezza

jueves, 5 de abril de 2012

Ransomware: peleando contra el Virus de la Policía

Llevo ya unas cuantas semanas encontrándome con ordenadores infectados por el llamado "virus de la policía".  Se trata de un malware que bloquea el ordenador solicitando el pago de un importe para desbloquearlo.  El mensaje, que acusa al usuario de haber accedido a páginas de pornografía, zoofilia, violencia sobre menores, etc. utiliza los logos y la imagen de la Policía Nacional (aunque también de cuerpos de policía de otros países).

Técnicamente se trata de un "Ransomware" (del inglés "ransom", extorsionar o pedir un rescate).  El programa maligno modifica determinadas claves del Registro para que se cargue al iniciar el sistema, mostrando el mensaje de aviso y bloqueando por completo el equipo.


He observado que algunas versiones de este malware cambian la "shell" (interfaz gráfica) de Windows (típicamente "Explorer.exe") por el nombre del programa en la siguiente ruta del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon

De este modo se asegura su ejecución en el inicio de Windows, bloqueando el equipo.  Por suerte, siempre configuro los equipos con la cuenta del Usuario con permisos restringidos; en este caso, los permisos del usuario impiden al malware que modifique esa clave del Registro y pueda autoejecutarse.

En este link de Hispasec hay más detalles sobre como una adecuada asignación de permisos nos protege de este virus:
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html

Otras versiones, en cambio, modifican una clave del Registro en la que el usuario sí que tiene permisos:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Esta clave (en Windows XP) corresponde a la carpeta  C:\Documents and Settings\Usuario\Menú Inicio\Programas\Inicio  donde aparecen los programas que -para ese usuario- se cargan al iniciar sesión.

Si estamos en esta situación, basta con reiniciar el equipo en "Modo Seguro" o iniciar sesión con otro usuario para acceder a la carpeta de Inicio y eliminar el acceso directo al programa maligno.


En este caso, el troyano se llamaba "ch8l0.exe".  Pero ¡atención!, al eliminar el acceso directo de la carpeta de inicio, impedimos que el malware se cargue al arrancar el equipo, pero el ejecutable dañino sigue estando ahí.  Antes de eliminar el acceso directo hay que ver a que archivo apunta y en que ruta se encuentra.  En mi caso estaba en la carpeta temporal del usuario (C:\Documents and Settings\Usuario\Configuración local\Temp).  Con un "DIR /O:D" se muestran los archivos ordenados por fecha, nos interesan los últimos, además la fecha y hora del ejecutable coinciden con la del acceso directo.  Tras eliminar estos archivos, reiniciamos y el ordenador arrancará con normalidad.


Por cierto, subí el ejecutable a VirusTotal.com y ¡sólo lo detectaron 2 de 42 antivirus!



He realizado varias pruebas (consigo infectarme a propósito, en menos de 5 minutos, navegando por determinadas páginas de dudosa reputación ;-)) y no he encontrado más variantes que modifiquen otras claves del Registro, aunque aquí hablan de que una nueva versión que impide el arranque en "Modo Seguro".

Como curiosidad, en alguna ocasión, la página que ha aparecido es la de la policía alemana (BundesPolizei) ¿será porque mi operador de Internet es una compañía alemana?


Y para acabar, y ya que estaba en ello, revisando los logs del firewall, observo que cuando el equipo infectado se pone en marcha, se conecta inmediatamente a una IP ubicada, aparentemente, en Rusia.


Si bloqueo esa IP, no se muestra la pantalla con el supuesto mensaje de la Policía, aunque el ordenador continúa infectado y bloqueado.  En su lugar aparece una ventana de error de Internet Explorer que no puede cerrarse.


martes, 27 de marzo de 2012

Privacidad y Protección de Datos Personales (Conferencia UE/EUA)

El 19 de marzo se realizó simultáneamente en Washington y en Bruselas la conferencia de alto nivel "EU Conference: Privacy and Protection of Personal Data" en la que Viviane Reding (Comisaria de Justicia de la UE y Vicepresidenta de la Comisión) y John Bryson (Secretario de Comercio norteamericano) mostraron el compromiso de la Unión Europea y los Estados Unidos para garantizar la protección de datos personales en los intercambios comerciales.

Se trata de un acercamiento con el fin de "reforzar la confianza de los consumidores y promover un crecimiento continuo de la economía global en Internet y la evolución del mercado digital común transatlántico".

En la web de la Comisión Europea se encuentran disponibles los vídeos de las ponencias así como la transcripción de algunas de las intervenciones:


En lo que va de año han sido diversas la iniciativas surgidas a ambos lados del atlántico con el ánimo de reforzar el derecho a la privacidad de los consumidores y usuarios:

miércoles, 25 de enero de 2012

Propuesta de reforma de la normativa de Protección de Datos en la Unión Europea

Viviane Reding, Comisaria de Justicia de la UE y Vicepresidenta de la Comisión, ha presentado hoy la propuesta de reforma general de la normativa de protección de datos en la Unión Europea.

La normativa actual fue aprobada en 1995 (Directiva 95/45/CE del Parlamento Europeo y del Consejo), cuando -según palabras de Viviane Reding- "menos de 1% de los europeos usaba Internet".  La nueva propuesta incluye, además de la Directiva, un Reglamento que sería de común aplicación en toda la Unión Europea.

La Comisión ha creado un mini-site para informar sobre la necesidad de esta reforma:


Según la Nota de Prensa publicada hoy estos son los cambios esenciales de la reforma:

  • Se impondrá un conjunto único de normas sobre protección de datos válido en toda la UE y se eliminarán requisitos administrativos innecesarios como los requisitos de notificación para las empresas. Esto les supondrá un ahorro cercano a 2 300 millones EUR anuales.
  • En lugar de la disposición actual que obliga a todas las empresas a notificar todas las actividades de protección de datos a los supervisores de protección de datos (requisito que ha generado a las empresas trámites y costes por un valor de 130 millones EUR anuales) el Reglamento intensifica la responsabilidad y la obligación de rendir cuentas de todos aquellos que procesen datos personales.