LEGALIDAD INFORMATICA

Tratamiento y delitos de violación de datos personales en Colombia (I de III).

2009-12-29T22:23:00.003+01:00

Vía Chema Alonso me llega un trabajo muy interesante de la puesta al día en el tratamiento de los datos de Carácter Personal en Colombia. Esta iniciativa que desafortunadamente no se lleva a cabo en muchos países, permite una equiparación con el tratamiento legislativo que se sigue en Europa. Este tipo de iniciativas, permitirá un intercambio y tratamiento de datos personales, entre países. Muy importante sobre todo para oganizaciones que tengan sedes en múltiples países, o se encuentren hermandas con empresas de dichos países. El hecho de que lo países se unan a estas iniciativas dan buena cuanta del interés que suscita los datos personales y como no de su importancia. Sin una buena legislación podemos encontrarnos desamparados ante la ley.

El desarrollo que han seguido para llevar a cabo una reglamentación en materia sancionadora no es ni muchos menos simple. No hay que olvidar el tiempo desde que se acuerda a nivel europeo la necesidad de aplicar mecanismos de regulación, y se aplican o el que ha llevado la generación del reglamento de desarrollo de la LOPD. Sin lugar a dudas es un trabajo arduo pero que seguramente habrá sido finalmente gratificante para sus desarrolladores, el ver que finalmente ha salido a la luz.
Felicitar ante todo a Alexander Díaz García, Juez Segundo de Control de Garantías de Rovira Tolima Colombia por el gran trabajo realizado.

El delito de Violación de Datos Personales, pone a tono a Colombia, con la Comunidad Mundial en el Tratamiento de Datos Personales.

Por: Alexander Díaz García

1. Violación de datos personales en Colombia

Con la entrada en vigencia del artículo 269 F, de la Ley 1273 de 2009, llamada también de DELITOS INFORMÁTICOS, de cuyo texto original soy su autor, y que en su trámite legislativo contribuyeron otros estudiosos del derecho informático. Colombia se ha puesto en la vanguardia en el tratamiento de datos personales como lo están la mayoría de las naciones del mundo, especialmente la Comunidad Europea. Es uno de los grandes avances legislativos que tuvo el país este año que está por terminar, especialmente si consideramos que somos de los pocos países que penalizan la violación de datos personales.

En la investigación que realizamos por algo más de diez años, para la redacción de los artículos propuestos en mi proyecto de ley, se dejaron finalmente siete de los diez artículos que originalmente habíamos sugerido, en donde se excluyeron tipos tan importantes como la FALSEDAD INFORMÁTICA, ESPIONAJE INFORMÁTICO y el SPAM, le modificaron el epígrafe a la ESTAFA INFORMÁTICA por TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. Por fortuna no se tocó el que nos motiva la atención de esta nota, LA VIOLACIÓN DE DATOS PERSONALES.

Si bien es cierto que en nuestro país, está vigente desde el 31 de diciembre 2008, la ley estatutaria de Hábeas Data, la 1266, no es menos verdad que esta se refiere casi exclusivamente a la protección del dato financiero, sin extender a una protección efectiva a todos los datos personales; de ahí el porque nos preocupamos en la redacción del artículo 269 F, denominado VIOLACIÓN DE DATOS PERSONALES, estuviese enriquecido con los siguientes verbos rectores:

“El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”. Como observamos la consumación de violación de datos personales, su adecuación no va a ser muy difícil, logrando la exigencia de otros países en el tema de tratamiento de datos personales, pues la riqueza de los verbos rectores van a permitir que las conductas reprochables, se conjuguen con alguno de ellos, sin olvidar una pena privativa de la libertad drástica y una sanción pecuniaria que afectará los intereses económicos de los delincuentes.

2. El tratamiento de datos personales en el ámbito particular.

La poca cultura que ha tenido Colombia en la historia en el tratamiento de Datos Personales, nos obliga a pensar que será un proceso largo concienciar a los especialistas judiciales, a los operadores de ficheros que almacenen datos personales, al igual que al público en general, sobre cómo debemos tratar nuestros datos personales y darle la relevancia personal y jurídica que le corresponde.

La existencia del artículo 269 F, ha generado y generará muchas (más) implicaciones modificatorias sociales y oficiales; no sólo la consumación ex profeso del delito, sino también para hacer correctivos a costumbres mal sanas que violan los datos personales en el diario vivir de los colombianos. Este artículo frenará o por los menos disuadirá a los delincuentes informáticos a no cometer esta clase de infracciones, Vg. Cuando se publica información sensible en redes sociales, cuando se actualiza una obligación prescrita sin el consentimiento del titular1, en los ficheros de compañías que compra cartera castigada, para mantener ilegal e indefinidamente los registros negativos en las centrales de riesgo. Cuando en los bancos o terceros se apropian de la identidad de una persona sin su consentimiento, para hacerla aparecer como clientes o deudores de grandes sumas de dinero. Estos son algunos de tantos casos que se conocen con la violación de datos personales.

Igual ocurre cuando las entidades públicas ora sus contratistas para cumplir fines de programas del Estado, capturan información sensible sin advertir que la calidad de la información que entregan los ciudadanos a los encuestadores o representantes de éstos, ha de dársele un tratamiento especial por tratarse de datos personales. Hemos observado que en los formularios o dispositivos electrónicos no aparece información pertinente en donde se concluya un tratamiento especial por la calidad, veracidad, confiabilidad, pertinencia y por consiguiente su prohibición a divulgación o a dársele un fin diferente al originalmente argüido por el empadronador.

LOPD y fichero de nóminas

2009-09-23T22:50:00.003+02:00

Dentro de los eventos del SIMO que están teniendo lugar durante esta semana, hoy me ha tocado la exposición de tres sesiones HOL relacionadas con la seguridad: Forense, Forefront TMG y LOPD.

Dentro de la acción de LOPD, ha surgido la pregunta de que nivel de seguridad sería de aplicación, para los ficheros de nóminas, teniendo en cuenta que en dichos ficheros pueden mantener información relativas a minusvalía entre otros. Frente a la opinión generalizada de que estos ficheros tienen que ser tratados como datos de nivel alto, aparece en el nuevo Reglamento y como nota aclaratoria de la Agencia de Protección de Datos, que dichos ficheros deben ser considerados a todos los efectos como datos de Nivel Básico, aunque si apareciera otra información adicional al grado de minusvalía podría quedar tipificada como de tipo medio, pero inicialmente no es de aplicación el de tipo alto.

Para todo aquel interesado en aclararse con respecto a este hecho, referencio a continuación, el enlace expuesto por la Agencia donde se trata y detalla dicha exposición: LOPD y nóminas.

Para comentaros inicialmente la información, os adjunto algunos de los datos de referencia que podéis encontrar en dicho informe:

"Respecto a las medidas de seguridad que debe de aplicarse al fichero de nóminas, el artículo 81.6 del Real Decreto 1720/2007 señala que “6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.”

Por ello, los datos relativos a la minusvalía siguen siendo datos relativos a la salud, lo único que se permite es adoptar medidas de seguridad de nivel básico en cuanto a dicho dato se encuentre afectado o vinculado al cumplimiento de deberes públicos, como sería el supuesto del fichero de nóminas en el que aparezca un porcentaje de minusvalía para calcular el nivel de retención aplicable en nómina, conforme a lo previsto en el artículo 103.1 del Real Decreto Legislativo 3/2004, de 5 de marzo por el que se aprueba el Texto Refundido del Impuesto sobre la Renta de las Personas Físicas. En consecuencia si el dato de minusvalía se tratará para cuestiones que no constituyan el cumplimiento de deberes públicos, sí deberán de adaptarse mediadas de seguridad de nivel alto.

Del mismo modo si el consultante, no tiene ningún empleado con minusvalía, el fichero de nóminas será de nivel básico, siempre y cuando no aparezca ningún otro dato que exija adoptar otro tipo de medidas de seguridad."

Adicionalmente a esta consulta, tenéis otras muy interesantes, como por ejemplo la asignación tributaria a la Iglesia en el IRPF, no consigna valor de creencia religiosa en la LOPD.

Dichos informes pueden ser consultados a través del enlce en la página de la AEPD.

Espero que esta información os haya servido de aclaración para todos los que habéis asistido a la sesión LOPD del Simo y otros que tengan esta inquietud.

Saludos.

Vuelta a las trincheras.

2009-08-31T23:35:00.002+02:00

Muy buenas a todos.

Después del parón veraniego, volvemos a la cruenta guerra con la informática. Para que no nos falten medios traemos... nuevas armas y nuevos conocimientos. Durante el mes de septiembre y octubre traeremos alguna sorpresa que ya iremos desvelando, pero para abrir boca, 2 acciones inmediatas a las que podéis acceder.

En primer lugar para los que manejan o conocen ISA Server (para los que no también), supongo que sabréis que tendremos en breve una nueva versión evolucionada del producto: Forefront TMG. Nuevo nombre y cambios interesantes. Para los que queráis acercaros al producto y os de pereza montar un escenario o leer documentación, realizaré junto con Microsoft 4 webcast relacionados con este nuevo producto durante el mes de Septiembre. Los dos primeros tendrán lugar el 14 y 17 de septiembre. El evento como siempre es de foma online, aunque para los que no podáis verlo en directo, se grabará para que podáis acceder posteriormente a él.

Como siempre el registro gratuito se realizara a través de Technet a través de este enlace para el primero sobre configuración y despliege y este enlace para el segundo sobre protección frente a amenazas.

La segunda acción inminente tendrá lugar a partir del 21 de Septiembre en dos cursos del plan de formación de empleo de la Comunidad de Madrid. Estos cursos destinados a personas desempleadas o en busca de mejora de empleo, se realizarán en las instalaciones del Centro de Formación en Tecnologías de la Información y las Comunicaciones - Madrid Sur situado en Getafe en la Avenida Arcas de Aguas S/N. Como se desea que los cursos partan con un nivel mínimo para que puedan cumplirse los objetivos previstos, se realizará una prueba de selección el Miércoles 2 de Septiembre en dicho centro, en dos convocatorias de mañana y tarde. Si queréis más información la tenéis en la propia página del Servicio Regional de Empleo o contactando a través del centro en el número de teléfono 916 83 81 60.

Saludos a todos

Libros de Informática 64.

2009-08-06T18:19:00.006+02:00

Bueno después de un tiempo ya han nacido las criaturas. Como supongo que mucho de vosotros ya os habéis enterado, quiero que veáis la visión de uno de los "autores", aunque realmente esto es una labor de muchos, aunque en la portada aparezcan solo unos nombres.

Todo empezo el año pasado en unas fechas como estas. Recuerdo que estábamos hablando Juanito y yo cuando Chema se acercó y nos comentó, oyes chicos se me ha ocurrido una idea, por qué no ...?

Estas frases que en cualquier entorno suenan a problemas y a escabullirse, después de casi 10 años en Informática64, constituyen en la mayor parte de ocasiones una idea nueva, fresca, proyecto interesante y como no trabajo, trabajo y trabajo. La experiencia me dice que no deben ponerse trabas a una idea; matizarlas o argumentarlas si no te convencen, pero siempre tenerlas en cosideración. Cuando una persona como Chema lanza una idea hay que tenerla muy en cuenta, porque además de ser interesante abre una nueva perspectiva, inquietante pero enriquecedora. Pero quizás esa es la magia de una empresa que aporta labor humana y un trabajo constante para hacerse hueco en el difícil y competitivo mundo de la informática.

La idea era escribir dos libros, en los que desde el principio hasta el final tenían que tener marca de Informática64. A nuestro estilo, a nuestra forma de hacer las cosas. Forense yLOPD, eran las ideas; como no, los objetivos estaban claros y las personas "indicadas" preparadas para el pistoletazo de salida. Creemos que hasta altura, experiencia técnica no faltaba aunque el proyecto era muy ambicioso.

Desde mi propia experiencia, tengo que comentar que la labor es bastante compleja a nivel de sacar ideas. Principalmente porque de LOPD se ha escrito y hablado mucho. La idea a plasmar era acercar dos mundos a veces enfrentados: técnico - legal y operar como un catalizador que permita integrar los dos entornos. Adicionalmente la información tendría que llegar también a empresas (en ocasiones Pymes) que en ocasiones desconocen ambos entornos, conjúgalo con el nuevo reglamento y tienes todos los ingredientes en la coctelera. Ahí la cabeza empieza a trabajar y a escupir ideas que se van plasmando en unos textos iniciales, desarrollando un índice que previamente se ha elaborado.

Una de las cuestiones claves en este sentido me las dió mi compañero Manuel: escribe lo que quieras y como quieras, pero básate en un índice para que no quede inconexo. Y la verdad es que sin tener en mente el desarrollo del libro, como lo empiezas y acabes de forma diferente a lo planteado, puede ser caótico, sin sentido y frustrante. las ideas pueden mejorar y las líneas mejorarán el contenido y lo ampliarán, pero ten en cuenta tus objetivos, si no lo que escribar inicialmente quedará raro con lo que escribas al final.

Las páginas iban creándose y con el corrector de Word se iban corrigiendo las faltas de puntuación. Pero desgraciadamente ni yo, ni word, somos Cervantes y detrás mis primeros balbuceos hay un equipo encargado de hacerlo legible, corregirlo mil veces y maquetarlo. Manuel, Alberto y Antonio son los encargados de ello. Como comenté anteriormente esto es labor de equipo aunque el nombre sea uno solo. Luego llego la hora de hacer el prólogo, y la persona elegida no podía ser más óptima. Antonio desde aquí agradecerle la contribución al libro con un prólogo que sintetiza la importacia de la normativa y la filosofía con la que ha sido escrito este libro. Antonio es un doctor en toda regla y no solo en informática, las veces que con las que he podido intercambiar ideas y proyectos me ha enseñado cosas que son todo un lujo de experiencia.

Luego el mago del diseño, Rodol, se ha encargado de realizar una portada a la vez que estaba enfrascado en la realización de arduas tareas en el libro de Juanillo. Hay que tener en cuenta que el equipo de "post-producción" para ambos libros ha sido el mismo y por lo tanto más complicado hacer salir los dos libros conjuntamente. Aunque en lo concerniente al libro de Juanillo, será él mejor que nadie el que pueda expresar su experiencia, os comentaré alguna cosilla. Yo incorporé desde mi experiencia algunos textos que aparecen en el libro y que junto con lo aportado por Chema completan las ideas salidas de la experiencia y brillante cabeza de Juanito. Con Juanillo he compartido durante el tiempo que lleva en Informática64 muchos proyectos codo con codo, llevando conjuntamente algunos de los proyectos forenses en los que ha estado enfrascado Informática64. Su frescura, ideas, experiencia y buen hacer se plasman como no en este libro. La verdad que poder compartir estos proyectos junto con Chema y Juanito son un orgullo y toda una experiencia que a buen seguro se repetirán. Son compañeros de trabajo, pero ante todo amigos y trabajar en este entorno es más fácil y gratifiante.

La labor no ha sido fácil, escribir libros tras la experiencia puedo asegurar que es complicada. El tiempo y dedicación mellan y requieren serenidad de ideas y una mentalidad que te permita continuar en las horas más bajas. Gente a tu lado que te apoya es importante y la meta como objetivo la debes visualizar en cada momento crítico. Cuando las páginas blancas son un muro a superar, cuando te despiertas a las 3 de la madrugada y tienes que bajar corriendo a un portátil que siempre está encendido no sea que por la mañana se haya olvidado la idea en la que habías pensado, para continuar en esa página que se te ha atragantado, cuando esta frase que la escribes, la borras, la reescribes, la borras... y te acuerdas que detrás hay alguien que con otra visión hará legible lo qe intentas plantear...

Bueno después de todo, la criatura ya está aquí, ya salió de la imprenta, ya está disponible. A estas horas alguno ya lo tendréis. A los que lo leáis me gustaría conocer buestra impresión, aunque sean críticas. Todo en esta vida es constructivo y te hace mejorar. Una de mis frase favoritas es "experiencia que no mata te hace más muerte". Y como esta no me ha matado, me ha hecho más...

Bueno pero esta labor en nuestro hacer diario, ya es pasado para el equipo técnico de Informática64, ya hay nuevos proyectos, nuevas ideas, oye chicos porque no ...

Gracias a todos aquellos que hayáis aportado vuestro grano de arena a los libros y a los que los acabéis leyéndolo.

Las técnicas antiforense

2009-07-28T08:40:00.002+02:00

Uno de los grandes problemas a los que nos enfrentamos a la hora de realizar el análisis forense, es la detección de aplicaciones antiforense que han podido ser utilizadas para ocultar o eliminar información que pudiera estar en un sistema. El gran inconveniente de detectar este tipo de herramientas en un equipo, es la inquietud de saber que este equipo, portaba información de interés pero que desgraciadamente no podremos tener acceso a ella.

Para el que no conozca este tipo de herramientas, os comentaré que aunque siguiendo mecanismos diferentes, todas tienen persiguen un mismo objetivo, dificultar la trazabilidad en un escenario forense. Podemos diferenciarlas en los siguientes tipos:
- Las enfocadas a la eliminación de la información.
- Las enfocadas a la ofuscación de la información.
- Las enfocadas a generar la incertidumbre en la investigación.

Todas por ellas mismas son ciertamente peculiares, tanto en su uso como en los fines que persiguen. El buen uso (o mal uso según la circunstancia) permiten que un potencial delito pudiera quedar impune. Desgraciadamente la falta de evidencias (objetivo que persiguen este tipo de aplicaciones), limita la posibilidad de enjuiciamiento. La "clara evidencia" del empleo de una herramienta de antiforense, no permite determinar a efectos jurídicos el posible hecho delictivo, debido a la ausencia "clara de evidencias", a lo sumo la existencia de conjeturas. No obstante y afortunadamente no siempre el empleo de estas herramientas es definitivo, puesto que aunque se elimina información relevante, no se hace realmente extensivo a los ficheros de carácter temporal que pudiera estar siendo utilizado por el Sistema Operativo y que puede quedar revelado en un análisis forense.

En análisis forense realizados con la herramienta FTK Access data en un entorno de laboratorio, emulando las posibles acciones en un potencial delito, revelaba el uso de la herramienta Evidence Eliminator, mediante el empleo de las firmas KFF. Esta aplicación está basada en un interface cómodo, que permite realizar varias pasadas de 1 y/o 0 (Wipe) para sobreescribir determinada información que pudiera ser comprometida. Puesto que el tiempo que se tarda en realizar estas operaciones puede ser mpli, se pueden limitar las opciones de eliminación. En esta circunstancias en el análisis en el fichero de paginación, se reveló (puesto que no fué eliminado debido al tiempo que tardaba en realizarse la operción) las acciones realizadas en el equipo y la recuperación de información que pudiera ser transcendental al caso.

La existencia o la detección del uso de herramientas antiforense, debieran incitar a una investigación, con más ahinco si cabe, puesto que denota a través de su uso la posible importancia de las evidencias. El problema al que se enfrenta el investigador, es la desventaja moral con la que parte al saber que en un porcentaje muy alto de las circunstancias, sus esfuerzos no obtendrán ningún fruto.

Dentro de los tipos de herramientas que se han comentado previamente, podríamos citar algunas que identifican claramente el objetivo a perseguir.

- Eliminación de evidencias. Además de la citada evidence eliminator, podríamos incluir en este grupo la suite DBan. Esta herramienta en sí, es un disco de arranque que permite la eliminación segura de un disco. Además del posible uso delictivo que se pueda dar, puede ser también utilizado como mecanismo de destrucción documental o eliminación segura de información crítica. Por ejemplo cuando un equipo de una organización vaya a ser desechado (el formateo del disco, únicamente no es una buena práctica).

- Dentro de los sistemas de ofuscación, herramientas de cifrado como Truecrypt o el empleo de técnicas de esteganografía o malware, permiten que alguien conocedor del hecho pueda acceder a la información dificultando no obstante una posible investigación.

- Las enfocadas a generar la incertidumbre, no tienen como objetivo la eliminación u ocultación de la información. Simplemente confundir con la información existente. Tenemos un ejemplo con el uso de la herramienta TimeStomp. Petenenciente al grupo de herramientas MAFIA (Metasploit Anti-Forensic Investigation Arsenal ) del proyecto Metasploit, persigue alterar la información de tiempos de ficheros. Permite poner fechas inverosímiles, complicando el análisis al conseguir la ruptura de la linea temporal de la investigación.

Este tipo de herrmientas pueden complicar la vida en una investigación enormente. Uno no sabe si es mejor detectar su empleo en un equipo analizado o no. Porque a veces saber que se han empleado, dejan con la miel en lo labios y una rabia contenida de no saber, que se ha podido hacer con ellas.

Las leyes y normas en Europa (I)

2009-07-22T09:42:00.005+02:00

En España estamos acostumbrados a oír palabras como Ley Orgánica, Ley ordinaria, Real Decreto, etc. Son parte de nuestro ordenamiento jurídico y de una u otra forma pueden saberse a que están sujetos las diferentes figuras jurídicas. Nuestro ordenamiento Nacional, promueve una idea única en lo que concierne a la aplicación legal de las normas, pero ¿qué pasa con Europa? Tantas naciones y un ordenamiento júridico específico para cada uno de ellas. Cuando de vez en cuando surge en la noticias que tal ley europea conmina a los países a cumplir una norma ¿no entrará en conflicto con las leyes de un país? ¿Qué tiene mayor rango y cual prevalece en caso de "conflicto"?

Esto lo vamos a ir abordando poco a poco. Lo primero conocer los tipos de normas que son aplicadas desde Europa y poco a poco se irán desgranando las ideas para conocer porque temas como el de la LOPD se ha hecho extensivo a toda Europa, aunque su aplicación no ha sido de forma uniforme y con las mismas características.

Las diferentes normativas existentes en Europa son las siguientes:
- Leyes constitucionales: Amplían y modifican la propia Constitución europea.

- Leyes orgánicas: Regulan las actividades propias de los órganos constituyentes de la unión europea. Regula entre otras cosas los cometidos facultados para el órgana, así como su constitución y los integrantes.

- Ley Europea: Norma legislatva de carácter general y aplicable directamente a todos los estados miembros de la Unión Europea. Será de aplicación todas los puntos contenidos en la normativa.

- Ley Marco: Es un acto legislativo que obliga al estado miembro destino de la ley a cumplir una legislación en la forma y medios que las autoridades nacionales competentes estimen oportunas.

- Reglamento: Instrumento jurídico del Consejo y el Parlamento europeo que como norma de aplicación directa tiene carácter de obligado cumplimiento.

- Directiva comunitaria: Es una decisión colectiva mutuamente obligatoria aprobada por los Estados miembros. Obliga a todos o parte de los Estados a cumplir unos objetivos, pero permite elegir la fórmula para su cumplimiento.

- Decisión: Tiene carácter de obligado cumplimiento, aunque vincula a unos destinatarios exclusivamente (no necesariamente el estado miembro como institución única), declarados en la decisión específicamente.

- Recomendación y dictamen: No son de obligado cumplimiento y tiene unicamente valor de declaración de hechos.

¿controlar o espiar el correo electrónico?

2009-07-08T09:18:00.004+02:00

Cuando impartimos cursos de seguridad, hay una pregunta que de forma tímida, inicialmente pero que acaba en un debate a veces bastante interesante, suele surgir inevitablemente. Es el efecto correo electrónico de una empresa y el temido ¿control/espionaje? del mismo. En función de quien pregunte y la entonación que de a la misma, se ve claramente su posición con respecto a la misma. Estos son dos de los típicos ejemplos en los cuales algunos de los lectores podrán reflejarse claramente.

- Mira en mi empresa me han pedido abrir el correo electrónico de un usuario ¿podemos hacerlo? ¿no es ilegal? (todo ello de forma habitualmente tímida).

- Mi empresa me quiere abrir el correo, eso no pueden hacerlo ¿no? (de forma enérgica).

La única respuesta que puede darles a ambos es la misma: Sí y no, depende de la empresa y lo estipulado en lo concernierte a su seguridad para con los trabajadores.

Ante la respuesta... momentos de duda, y a continuación... como se come eso.

Bueno la respuesta es bastante compleja puesto que se anteponen dos hechos indiscutibles:

- El derecho a la intimidad individual.
- El derecho de la empresa a ejercer el control para verificar el cumplimiento de obligaciones y deberes laborales.

Aunque ya hablé de este tema en este blog en el artículo la privacidad en el correo electrónico de la empresa, lo retomo nuevamente porque buscando entre el maremágnum de la documentación en la Agencia de Protección de datos, para otra casuistica, he localizado un informe jurídico, que pudiera ser interesante como apoyo legal para muchas organizaciones.

A través de este informe, el gabinete jurídico responde a una consulta planteada sobre procedimientos que deben seguirse en cuanto al uso del correo electrónico de los trabajadores de una empresa con respecto a la LOPD.

La resolución viene a defir más o menos lo que yo comenté en el articulo sobre privacidad en el correo electrónico.

Bueno pues algunos que me habéis hecho la consulta y que os he dado la misma respuesta, tenéis una base jurídica adicional en la que sentar las bases para el control del correo electrónico.

Un saludo

El incremento de las sanciones en las cámaras de videovigilancia

2009-07-06T16:38:00.003+02:00

Uno de los mayores incrementos relativos a las denuncias efectuadas a la Agencia de Protección de Datos, lo constituyen las relacionadas con las cámaras de videovigilancia. Concretamente suponen más de un 15% de todas las denuncias efectuadas y tomando como dato significativo el incremento del 633% que aparece en la memoria de la agencia en el ejercicio del 2008. Ocupa de esta forma el tercer lugar entre las categorías sancionables por la LOPD. Este aumento significativo tiene una relación directa con la preocupación sobre la intimidad y la poca seguridad e importancia que en ocasiones se les da a las cámaras.

Desde hace muchos años llevo explicando en los cursos de seguridad las técnicas de hacking google para acceder a dispositivos físicos que a veces por despreocupación y otras por desconocimiento son accesibles fácilmente a través de un navegador web y una conexión a Internet. Pues bien la Agencia quiere anular estas prácticas permisivas por parte de las empresas y atajar "un gran hermano privado" antes de que sea descontralado. Accesos sin claves o bien con valores por defecto, preocupan bastante en la Agencia y quieren cortarlos desde la raíz.

Para cumplimentar este objetivo han generado una serie de guías de videovigilancia y el incremento de las inspecciones de oficio que puede llevar a cabo. De hecho en la primera de ellas han iniciadoya, siete procedimientos sancionadores relacionados con el incumplimiento de la instrucción sobre la videovigilancia.

Recordad además que las comunidades de vecinos también están obligados a este cumplimiento...

Un saludos a todos y poneros al día en lo referido a la videovigilancia que va a pegar muy fuerte este año.

El delito de una muerte virtual.

2009-07-05T10:24:00.004+02:00

A veces los límites de la justicia no tiene ninguna frontera y se extrapolan a cualquier circunstancia de la vida. Los límites donde debe operar y la locura, a veces se conjuga con una realidad "virtual". En estas circunstancias el año pasado japón nos dejo la muerte turbulenta de un avatar en el juego Maple Story. Una sólida relación de pareja en el juego, concluyó de una forma inesperada cuando se recibió a través del juego la notificación del divorcio virtual. La mujer del cabreo que se pilló, hackeo la cuenta de su "marido" y destrozó su avatar, así como los contactos que se mantenían en la misma. Las declaraciones de la mujer no tienen desperdicio: "De pronto me quedé divorciada sin preaviso. Eso me molestó mucho", .

Este hecho no dejaría de ser una mera anécdota, si no fuera porque el "supuesto marido" denunció el citado hecho. El resultado final puede suponer bien 5 años de prisión o multa de más de 5000 $, y con muchos visos de prosperar.

A estas alturas alguno estará con las manos en la cabeza y pensando hasta donde vamos a llegar. Pero la denuncia y el resultado del juicio, tienen cierta justificación, basandose en el acceso ilegal al ordenador de la víctima y la manipulación electrónica de los datos. Considerado como hacking directo este hecho está penado en el ordenamiento jurídico japonés. Noticia curiosa, no exenta de polémica, pero tan real como la vida misma.

A un ex-empedernido jugador de Ogame como yo, estas prácticas les resultaban cotidianas a través de las noticias que podían leerse en los foros de este juego, pero nunca hubo constancias de denuncia jurídica. Aunque visto lo visto, es posible que hubieran podido prosperar.

Desde luego ni jugando está ya uno tranquilo.

Saludos

De leyes por Europa.

2009-07-04T09:17:00.004+02:00

Es bastante curiosa la poca (o ninguna) conciencia que tenemos de las Leyes Europea y sin embargo lo significativamente que nos acaban afectando. Parece que esto de la Unión Europea nos queda bastante lejos (como referencia el índice de participación en las últimas elecciones) pero luego nos ataca tocando en la línea de flotación. Zas, directiva europea, ley al canto. Y desgraciadamente en circunstancias, por ser más papistas que el papa, sacamos la ley más dura de todos los miembros de la Unión Europea, como ha pasado con la LOPD, tal cual revela un estudio de la Cámara de Comercio.

No es objetivo hoy dar a conocer como funciona la aplicación legal desde la Unión Europea (ya lo haré en post futuros), si no indicaros la dirección donde puede seguirse todos los temas que están siendo tratados y evaluar así en que modo nos acabarán afectando. Se aplica para ello el perfecto axioma de cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar, y en este caso ponte además algo de anestesia en la cara, porque a veces la cuchilla viene sin afilar.

A través de url:

http://eur-lex.europa.eu/

tienes acceso a toda la lesgilación de tipo europeo, incluyendo además de las normas, los tratados, acuerdos, trabajos preparatorios y jurisprudencia. Dentro de la legislación que nos compete al sector IT, la relativa a la aplicación de normativas al sector de la sociedad de la información nos implica consecuentemente.

Un ejemplo de información que podemos encontrar aquí lo tenemos a través del texo sobre las perspectivas futuras de las tecnologías de la información y de las comunicaciones (TIC) o los más recientes dictámenes en e-justicia.

Iremos poco a poco desglosando algunas de las directivas y perspectivas fundamentales que nos afectarán a corto plazo.

Saludos a todos.

La lista Robinson

2009-07-01T23:20:00.002+02:00

Muchos, como me pasa a mí, estarán cansados de recibir llamadas telefónicas, ofertando directamente tal artículo, promocionando otro, u ofreciendo gratuitamente algo para enganchar con otra venta. Estas prácticas aunque a veces pesadas, están legalizadas plenamente por la Ley.

Puesto que argumentan como hecho, que nuestros datos han sido recogidos de una fuente pública del cual aunque no son sus poseedores, sirven como fuente de información, legitima tal hecho. Fuentes públicas entre otros pueden ser considerado por ejemplo las páginas blancas u otras BBDD de índole pública y así queda recogido en el Reglamento de Desarrollo de la LOPD.

Con objeto de limitar estas prácticas y en virtud de la defensa de los derechos de los ciudadanos, la AEPD ha hecho extensiva una lista denominada Robinson, para no recibir publicidad dirigida a una dirección de correo electrónico o número de teléfono fijo o móvil, en cualquier modalidad de comunicación. Hasta la fecha esta lista estaba limitada exclusivamente al correo postal, pero ya se ha hecho extensible a los medios citados anteriormente.

Mediante esta lista promovida por la Federación de Comercio Electrónico y Marketing Directo (FECEMD), se genera un tipo de lista de exclusión tal y como establecía el Reglamento de Desarrollo 1720/2007 en su articulado. A través de la lista, los ciudadanos podrán solicitar el no recibir envío de publicidad a través de cualquier mecanismo de comunicación, limitando para ello el canal que podrá o no ser utilizado para tal fin. Tal y como marcaba el Reglamento de Desarrollo, las empresas que deseen hacer una campaña publicitaria, deberán consultar previamente la lista, con objeto de excluir de la misma a las personas que se encontraran en ella.

Solicitar la inclusión en la lista Robinson, puede ser realizado a través de la dirección URL:
http://www.listarobinson.es

A partir de ahora y si te encuentras en la lista, podrás ejercer otro derecho adicional en el caso de que un/a pesado/a te llame a casa.

Saludos a todos

ENFSI y la comisión europea de investigación.

2009-06-29T23:04:00.005+02:00

A menudo nos pregutamos, que se cuece por Europa y en que forma nos afecta. Aunque la LOPD es bastante conocida, no lo es tanto el hecho de que su necesidad surge principalmente por una directiva Europea. Son numerosas en este sentido las iniciativas y prerogativas que la Unión Europea conmina a todos sus estados miembros.

Puesto que para muchos los temas relacionados con la UE, son bastante desconocidos, voy a tratar de acercar a través de una serie depost, las iniciativas, organismos y directivas que relacionados con la seguridad de la información pueden afetarnos a los profesionales del sector.

En este primero os invito a conocer el portal de ENFSI (European Network of Forensic Science Institute). Agrupado sobre el mismo, todo lo relacionado con la ciencia forense es expuesto en la plataforma siendo interesante la información que se puede encontrar de forma compartida entre los empleados y sus miembros. El portal como no podía ser de otra forma cuenta con un apartado específico sobre Forense Digital, donde puede encontrarse una guía de buenas prácticas para la aplicación de la ciencia.

También bastante relacionado con la ciencia forense, encontramos la comisión europea de investigación, con especialización en la lucha contra el fraude y la delincuencia. Entre sus trabajos cabe destacar CTOSE (Cyber Tools On-Line Search for Evidence).

Y para finalizar este post sobre la UE, las cosas parece que se pondrán serias en materias relativas a la seguridad y al Cibercrimen. En este sentido el nuevo programa marco de Justicia e Interior, promoverá entre otras cosas programas de intercambios de profesionales de investigación y justicia entre países y la mejora en los sistemas judiciales en lo referente a seguridad entre los países miembros. Esperemos que entre las nuevas normativas aclaren definitivamente lo referente a las evidencias digitales, regulen los procedimientos forenses y formen consecuemente a sus profesionales.

Libro de LOPD Microsoft

2009-04-28T18:59:00.003+02:00

Muy buenas a todos.

Ante todo disculpas por haberos abandonado durante mucho tiempo, pero ciertos tipos de trabajo me han tenido bastante ocupado y eso se ha resentido en algunas de la tareas que realizaba, incluido la de escribir este blog.

Bueno pues precisamente el motivo de este post es anunciaros la publicación de un libro de LOPD versado en las nuevas tecnologías de Microsoft y adaptado al nuevo reglamento. En este libro hemos colaborado tanto Chema Alonso, como yo, desarrollando la implementación técnica de las medidas de seguridad sobre las plataformas de Sistema Operativo, Correo electrónico y Sistemas Ofimáticos, así como el desarrollo de los sistemas de seguridad de Microsoft y la evolución en los nuevos sistemas.

Espero que os guste y lo más importante el enlace para la descarga de este libro gratuito que lo tenéis en formato PDF y XPS, en la página de Technet a través de información destacada.

Libro LOPD tecnologías Microsoft v2.

Un saludo y espero poder retomar con asiduidad el postear en el blog.

LOPD y Delitos Informáticos en Septiembre.

2008-09-02T20:12:00.002+02:00

Muy buenas a todos.
Espero que tras las vacaciones vengáis con fuerza para afrontar todos aquellos nuevos retos y retomar aquellos pendientes. Ya queda atrás la playa, el sol, la montaña, la relajación,… y vuelta al terreno con nuevas cosas y pendientes de que otras ya finalizadas vean la luz.
Para comentaros inicialmente para aquellos que estéis interesados en temas de LOPD y temas legales una serie de citas que tenéis en el mes de Septiembre en términos formativos y que se plantean interesantes.

El primero y más cercano es este Jueves 4 de Septiembre una conferencia sobre Privacidad y seguridad de la información en la sede de la Agencia de Protección de Datos de la Comunidad de Madrid. Para más información podéis consultar en el siguiente enlace de la APDCM.

El segundo y también por parte de la Agencia de Protección de Datos de la Comunidad de Madrid que organiza la IV jornada de protección de datos en los colegios profesionales. Este se realizará el Miércoles 24 de Septiembre y la información relativa al evento la tenéis en el siguiente enlace de la APDCM.

Para todos que tengáis interés en conocer un poco más el tema de los delitos informáticos, como están tipificados en el Código español, los canales de denuncia, los procedimientos que deben llevar a cabo las empresas, las diferentes definiciones y cuál es la evolución, el Martes23 de Septiembre realizaré un Webcast de Technet, sobre estos temas. Como todos los Webcast, se realiza en horario de tarde a las 16:00 y lo podréis seguir desde vuestros ordenadores simplemente registrándoos en la siguiente URL del evento. Para aquellos que no podáis hacer el seguimiento de forma online, estará disponible con posterioridad a su realización en los Webcast grabados.

Por último entre el 15 y 18 de Septiembre, y dentro de la campaña de Hand on Lab, realizaré un curso de 24 horas y como única temática la LOPD. Aquí trataremos desde el nuevo reglamento, hasta implementaciones de la ley en diferentes escenarios que podemos encontrar en empresas de todo ámbito en territorio español. Estableceremos para el curso la doble vertiente técnico-legal, donde evaluaremos todos aquellos aspectos legales necesarios y su resolución técnicas. Se reflejarán ideas y medidas de índole organizativo para el tratamiento de los procedimientos y se verán ejemplos de dichas medidas así como de otras importantes como los documentos de seguridad y/o notificaciones. También tocaremos como aspecto fundamental la auditoría de tipo bienal que debe realizarse para datos de tipo medio y alto, y que consideraciones deben tenerse en cuenta para una correcta ejecución de la misma. Como siempre para cualquier información adicional sobre este y otros HOL, podéis hacerlo a través de la página web de Informática64 o de Microsoft.

Legaliz@IT

2008-07-02T16:24:00.004+02:00

Muy buenas a todos.

Como sabéis Informática64 lleva tiempo desarrollando los Hand on Lab con Microsoft, abarcando un gran número de entornos, escenarios y elementos. Yo además de escenarios y laboratorios de seguridad he estado llevando escenarios legales, fruto final de todos ellos ha sido la idea de Legaliz@IT. Algunas personas me han preguntado recientemente si lo íbamos a repetir en otras fechas y ya les comenté que no sabía pero lo intentaría comunicar a través del blog en cuanto lo supiera.

Debido a que participaré en otros proyectos y por otros múltiples motivos, seguramente este sea el último Legaliz@IT que se realice, por lo que si estabas pensando en realizar alguno, el de la semana que viene será la última oportunidad para realizarlo. Siento comunicarlo tan tarde pero estas cuestiones surgen muchas veces sobre la marcha. Por ahora la inscripción para el HOL sigue abierta y hay disponibilidad de plazas para la semana que viene.

Esta misma circunstancia ocurre con otros de los laboratorios que planteamos para los HOL, por lo que si has estado esperando un tiempo para realizarlo, cuidado porque es posible que no se publique de nuevo aquel que estabas esperando y sea sustituido por otros laboratorios y tecnologías.

Como siempre toda la información sobre los hand on lab la podéis conseguir en las siguientes direcciones url:

http://www.informatica64.com/

http://www.microsoft.com/spain/seminarios/hol.mspx

Un saludo y gracias.

Ley del Impulso de la Sociedad de la Información

2008-06-30T15:43:00.007+02:00

Muy buena a todos.

Lo primero pedir disculpas por no haber posteado antes, pero multitud de cosas, entre las que se encuentran escribir un libro de LOPD para Microsoft, sobre su entorno y actualización al nuevo reglamento, me han copado gran parte de mi tiempo disponible. Ahora que ya me he liberado un poco de estas tareas y ya empiezo a ver cielo abierto, retornaré también a la tarea de postear en el blog de forma más o menos regular.

Empezamos de nuevo con una de las leyes de nueva hornada que no pasarán desapercibidas a ninguna empresa en breve: La LISI.

Uno de los objetivos del actual Gobierno es llevarnos en volandas a la aplicación de normativas orientada a los sistemas informáticos y que aprovechen a su vez las tecnologías que ya se encuentran implementadas en España o en su proceso de implantación.

Las LOPD, LSSI, LAE, Firma electrónica, son ejemplos de estas iniciativas, a las que el año pasado y en fecha de 29 de Diciembre fue aprobada la ley 56/2007 de Impulso de la Sociedad de la Información. Esta ley como medida impulsora la veo como un avance para la ciudadanía, pero desde el punto de vista de empresa supone una problemática para su aplicación que va a ser muy complicada de llevar.

¿Por qué esta complicación?

En su articulado establece la necesidad de facilitar la interlocución electrónica en estas circunstancias a través de sistemas de firma electrónica reconocidas.

" Artículo 2. Obligación de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica.

1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

2. A los efectos de lo dispuesto en el apartado anterior, tendrán la consideración de empresas que presten servicios al público en general de especial trascendencia económica, las que agrupen a más de cien trabajadores o su volumen anual de operaciones, calculado conforme a lo establecido en la normativa del Impuesto sobre el Valor Añadido, exceda de 6.010.121,04 euros y que, en ambos casos, operen en los siguientes sectores económicos:

a) Servicios de comunicaciones electrónicas a consumidores, en los términos definidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

b) Servicios financieros destinados a consumidores, que incluirán los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de mediación de seguros. En particular, se entenderá por:
1. Servicios bancarios, de crédito o de pago: las actividades relacionadas en el artículo 52 de la Ley 26/1988, de 29 de julio, sobre Disciplina e Intervención de las Entidades de Crédito.

2. Servicios de inversión: los definidos como tales en la Ley 24/1988, de 28 de julio, del Mercado de Valores.

3. Operaciones de seguros privados: las definidas en el artículo 3 del texto refundido de la Ley de ordenación y supervisión de los seguros privados, aprobado por Real Decreto Legislativo 6/2004, de 29 de octubre.

4. Planes de pensiones: los definidos en el artículo 1 del texto refundido de la Ley de Regulación de los Planes y Fondos de Pensiones, aprobado por Real Decreto Legislativo 1/2002, de 29 de noviembre.

5. Actividad de corredor de seguros: la definida en la Ley 26/2006, de 17 de julio, de mediación en seguros y reaseguros privados.

c) Servicios de suministro de agua a consumidores, definidos de acuerdo con la normativa específica.

d) Servicios de suministro de gas al por menor, de acuerdo con lo dispuesto en la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos.

e) Servicios de suministro eléctrico a consumidores finales, de acuerdo con lo dispuesto en el título VIII de la Ley 54/1997, de 27 noviembre, del Sector Eléctrico.

f) Servicios de agencia de viajes, de acuerdo con lo dispuesto en el Real Decreto 271/1988, de 25 de marzo, por el que se regula el ejercicio de las actividades propias de las agencias de viajes.

g) Servicios de transporte de viajeros por carretera, ferrocarril, por vía marítima, o por vía aérea, de acuerdo con lo dispuesto en la normativa específica aplicable.

h) Actividades de comercio al por menor, en los términos fijados en el apartado 2 del artículo 1 de la Ley 7/1996, de 15 de enero, de ordenación del comercio minorista y en su normativa de desarrollo, a las que serán de aplicación únicamente los apartados c) y d) del apartado 1 del presente artículo."

Para todos aquellos que piense si se pueden ver afectados por la presente ley, les comentaré básicamente que las condiciones son las que agrupen a más de cien trabajadores o su volumen anual de operaciones, calculado conforme a lo establecido en la normativa del Impuesto sobre el Valor Añadido, exceda de 6.010.121,04 euros y que, en ambos casos, operen en una serie de sectores económicos entre los que se incluye el comercio de minorista.

La definición de comercio minorista es la siguiente:

"Artículo 1. Objeto.

1. La presente Ley tiene por objeto principal establecer el régimen jurídico general del comercio minorista, así como regular determinadas ventas especiales y actividades de promoción comercial, sin perjuicio de las leyes dictadas por las Comunidades Autónomas en el ejercicio de sus competencias en la materia.

2. A los efectos de la presente Ley, se entiende por comercio minorista aquella actividad desarrollada profesionalmente con ánimo de lucro consistente en ofertar la venta de cualquier clase de artículos a los destinatarios finales de los mismos, utilizando o no un establecimiento."
Como ya os habéis imaginado numerosas empresas quedarán encuadradas y afectadas por la LISI.

Las consecuencias por lo tanto para una empresa de este tipo será la de implementar accesos que bien DNI electrónico u otras faciliten que un usuario de un servicio pueda acceder a sus datos, facturación electrónica, etc., independientemente de otros métodos empleados actualmente por la empresa.

Consciente de la criticidad de estos elementos, la semana que viene entre el 7 y 11 de Julio, voy a llevar un seminario de Legaliz@IT donde entre otros elementos como LOPD, LSSI-CE, Jurisdisprudencia aplicada a la Informática y delitos informáticos, se evaluarán los mecanismos y sistemas afectados por este LEY y la aplicación de la misma. Todavía quedan plazas para dicho seminario y como siempre puedes consultar la información a través de las siguiente url:

http://www.microsoft.com/spain/seminarios/hol.mspx

http://www.informatica64.com/

Formación HOL en Barcelona y Master en Madrid.

2008-05-21T21:40:00.003+02:00

Muy buenas a todos.

La verdad, aunque parezca mentira, hacía tiempo que no iba por Barcelona (desde Diciembre del año pasado), y es que he pasado tantas semanas por allí que la puedo considerar casi mi 3ª ciudad, después de Bronxtoles y Madrid, aunque bastante reñida con Valencia. Pues una vez más, visito esa maravillosa ciudad, participando en la campaña de Hand on Lab de Microsoft.

En esta circunstancia no llevaré temas legales, hacking, forense, etc., sino que realizaré una semana de productos de la línea Forefront y System Center. En este sentido ISA Server (un producto de los que más gratos momento me ha facilitado, tanto en los labs, como en implantaciones), Forefront (un nuevo pero a la vez antiguo amigo) e IAG (más nuevo en escenarios Microsoft pero con un largo camino ya recorrido, y por todo lo que ya he probado de él, uno aún mayor para recorrer), se convierte en la línea de productos de seguridad que veremos en las sesiones de la mañana.

Por la tarde realizaremos 2 hol de productos System Center: SCCM2007 y SCOM2007. Aunque muchos me conocéis por el tema de seguridad os tengo que comentar que de los primeros productos que investigué y toqué a fondo en los entorno microsoft, fue un ambicioso sistema llamado SMS 1.2, desde el cual he ido llevando por el camino hasta llegal al actual SCCM 2007, entre escenarios de amor/odio, presentaciones, curso, etc. Aunque MOM es un producto con el que llevo menos tiempo, lo toque menos en su versión 2000, me puse más fuerte en la versión 2005 y ahora a evolucionar con él.

Para más información podéis consultar la página de Microsoft o Informática64.

Por otro lado en Madrid, después de mucho tiempo madurando la idea y esperando el momento adecuado (y por que no decir tener profesionales y un equipo en todos los campos, para dar un Master como a nosotros siempre nos había gustado dar), daremos entre Junio y Julio un curso de formación de Seguridad en los que... bueno para que hablar de mis compañeros, me faltarían palabras para hablar de sus logros, conocimientos, etc. En este sentido recomiendo una lectura de un post que ha hecho mi compañero Juan Garrido en su blogs y que no tiene desperdicio.

Yo por mi parte comentaros que para el curso, cada uno de los Profesores estará con su especialidad, así que el problema, creo, será frenarnos una vez que nos lancemos y solicitamos para ello, un poquito de nivel para el que quiera realizarlo, con objeto de aprovechar al máximo los conocimientos que podamos proporcionar.

Abordaremos la temática de la seguridad, desde varias perspectivas incluida la del Hacking ético y tanto en entornos Windows como Linux. Para más información podéis consultar la página web de Informática64.

MS COFEE, ayudando en la lucha contra el Cibercrimen

2008-05-21T00:27:00.002+02:00

Atendiendo a una petición que me hicieron a través de un comentario, hago este post para intentar arrojar algo de luz sobre este conjunto de herramientas que Microsoft ha consolidado en un dispositivo tipo USB y que está siendo proporcionado a diferentes cuerpos de seguridad para la ayuda en casos forenses, en lucha contra el cibercrimen.

En primer lugar decir que esta idea no es nueva y numerosas aplicaciones del mercado, como Windows Forensics Toolchest, incorpora una serie de aplicaciones free, que tienen como objetivo obtener y presentar información importante, extraída de un sistema opertativo Windows. Cofee (Computer Online Forensics Evidence Extractors), agrupa un conjunto de más de 100 aplicaciones que extraerán información de la máquina y presentarán la información, de forma que su análisis pueda ser más rápida, que los procedimientos que a día de hoy siguen los diferentes cuerpos de seguridad del estado.

Uno de los enfoques principales de la herramienta, es la de obtener información de aquellos elementos considerados como volátiles y que de una u otra forma pudieran perderse al trasladar la máquina al laboratorio o simplemente apagarla para realizar el clonado del disco. Siguiendo los protocolos para la recogida de evidencias, se establece la necesidad de obtener en primera instancia todas aquellas evidencias susceptibles de perderse y no poder ser recuperadas. Muchos cuerpos de seguridad del estado en todo el mundo, deshechan la información presente en la memoria principalmente por tres características importantes:
- Falta de tiempo para realizar análisis de toda la información de la máquina.
- Complejidad de las herramientas y procedimientos para el análisis de la memoria.
- Problemática de procedimientos legales.

La herramienta ha ido madurando poco a poco en Microsoft, la idea surge en el año 2006 y se concretó ya en pruebas desde el año pasado. La herramienta en sí, en contra de diferentes comentarios que he leído a lo largo de estos días, solo revela información que pueda ser accedida mediante otros procedimientos, y no permite el acceso a datos cifrados con sistemas como EFS o Bitlocker en modo offline. Incorpora aplicaciones de Sysinternal, comandos windows, analizadores de registro, etc., pero ninguna herramienta considerada como nueva para investigaciones de tipo forense.

Aunque la herramienta permite la obtención y presentación de evidencias de forma sencilla, nos encontramos que en los procedimientos legales de muchos países para la toma de evidencias, impiden el uso de elementos online (para evitar que usos indebidos puedan modificar o alterar las evidencias), requiriendo siempre partir del estudio de las evidencias, obtenidas a través de la clonación de los sistemas de almacenamiento sujetos a investigación.

Luego por poner un ejemplo nos encontramos casos como los análisis de máquinas en cibercafé que utilizan aplicaciones tipo Diskfreeze, que utilizas este tipo de herramientas o despídete de conseguir alguna evidencia válida. Es en esto entorno donde Cofee puede ser más vital.

Yo desde mi punto de vista y conociendo de primera mano los esfuerzos y problemas a los que se enfrentan habitualmente los diferentes Cuerpos de Seguridad del Estado en este país, considero importantísima esta iniciativa (como otras tantas que se ponen en marcha) por parte de Microsoft, para disminuir los tiempos de análisis en investigación, permitiendo cribar mejor la información importante de la trivial. El problema que se planteará en un futuro no muy lejano es si la herramienta será judicialmente válida en los diferentes países en los que podría utilizarse.

Seminario de Legalidad

2008-05-14T23:08:00.004+02:00

Este mes de Mayo entre los días 26 y 30 de Mayo, dirigiré un seminario en Microsoft dentro de la campaña Hand On Lab, donde se tratarán aspectos legales aplicables a la informática desde una perspectiva técnica/legal. Dentro del seminario trataremos diferentes leyes aplicables a los Sistemas Informáticos, normativas vinculantes como el Estatuto de los trabajadores y reglamentos y diferentes mecanismos de aplicación de normativas como los estándares 27000 para la gestión de sistemas de la información o la gestión y aplicación de casos forenses en entornos judicializados.

Se elaborarán y desarrollarán diferentes escenarios y laboratorios prácticos, con una resolución técnica de aplicación sobre los aspectos legales que se verán a lo largo del curso.

Los diferentes Hand on Lab, cuentan con la subvención de Microsoft, aunando por un lado laboratorios técnicos de diferentes Productos tales como Windows Server 2008, Windows Vista, Forefront, SQL Server 2008, Exchange 2007, etc., y por otro lado, formaciones de Seguridad o Legales, como el que se impartirá.

Para más información y ver el contenido completo de los diferentes laboratorios podéis dirigiros a la página Web de Informática64 o a la de Microsoft.

Adquiriendo evidencias (I)

2008-05-14T22:45:00.003+02:00

Uno de los grandes problemas a los que nos enfretamos a la hora de realizar una toma de evidencias en un escenario de posible judicialización, es la necesidad de realizarlo sin la corrupción de las propias evidencias (por ejemplo modificación de fechas) y que nos faculte para poder realizar un análisis offline de la misma.

Yo en este sentido y puesto que no dispongo de una clonadora física, utilizo como mecanismo el uso de Adepto como sistema para la clonación de discos a través del software de Análisis Forense Helix. Este software es una distribución de Knoppix, que tiene dos formas de funcionalidad:

Modo online para windows con el Sistema Operativo activo que permite el análisis de aspectos importantes del sistema, como procesos, memoria, datos coultos, contraseñas, etc. Aunque presenta el problema que modifica datos y podría ser esgrimido como manipulación de pruebas. De las herramientas incluidas destaco Windows Forensic Toolchest: conjunto de herramientas "free" que adquieren datos importantes de la máquina para un forense de procesos. También como característica importante permite mediante el uso de DD de la captura online de una partición, el disco físico o la memoria RAM.
Modo offline, mediante LiveCD carga las particiones del disco en modo de solo lectura, impidiendo la manipulación de datos. Presenta herramientas para la adquisición de información de una máquina mediante aplicaciones forense, aunque la funcionalidad principal es un conjunto e paquetes orientado a la captuar de unidades de Disco, USB y otros sistemas de almacenamiento, que no solo realizan copiados binarios y generación de imágenes sino permiten la generación de los hashes de la copia y los ficheros de Cadena de Custodia que pueden ser presentados judicialmente. Destaco de entre estas herramientas Adepto.

En el siguiente Post enseñaré a realizar una captura de un disco con Adepto y a la obtención de los hash de la copia y los ficheros de custodia.

Jornada LOPD sobre el Nuevo Reglamento

2008-05-08T11:39:00.007+02:00

Con fecha 5 de Junio de 2008 y acompañando a Germán Díaz, Product Manager de Microsoft Ibérica, mi compañero Chema Alonso y yo, participaremos en la Jornada Gratuita que organiza Borrmart sobre la Puesta en marcha del Nuevo Reglamento de la LOPD.

Fig.- Agenda del Evento

En dicho evento nosotros hablaremos de las nuevas funcionalidad que aportan los Nuevos sistemas Microsoft, de cara a la implementación del nuevo Reglamento. La jornada parece muy interesante además puesto que participarán otros ponentes destacados y entre ellos por parte de la Agencia Española de Protección de Datos, María Jose Blanco Antón, Subdirectora General del Registro General de Protección de Datos de la AEPD. Este encuentro permitirá además la resolución de dudas que serán tratadas por parte de los diferentes ponentes.

La Jornada se realizará en una jornada de mañana en el Hotel Meliá Castilla (C/ Capitán Haya nº 43) de Madrid y hay que tener en cuenta que la asistencia es gratuita pero las Plazas limitadas. La inscripción a la jornada puede hacerse a través de este contacto: Carmen Granados(eventos@borrmart.es o en el teléfono 914029607).

Un saludo a todos y para el que asista al evento, allí nos vemos.

La privacidad en el Correo Electrónico de la Empresa.

2008-05-07T20:35:00.004+02:00

Uno de los asuntos que más controversia suele surgir en los cursos técnicos/legales es el relativo a la privacidad de los buzones y el correo electrónico que la empresa proporciona a los empleados. En este sentido unos esgrimen que puesto que es un medio proporcionado por la empresa, ellos pueden controlarlo, mientras que otros articulan que deben garantizarse una serie de derechos fundamentales con respecto a la intimidad y por lo tanto no debe ser controlado por la empresa.

En este sentido y en el sentido estrictos hay dos condiciones legales que pueden contraponerse:

Estatuto de los trabajadores. Que concede a la empresa las garantías para poder velar por el patrimonio empresarial y la productividad de los empleados:

20.3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

Constitución. En el Artículo 18 se establece las garantías para el honor y la intimidad donde se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial" , y además "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Adicionalmente en el Código Penal se recoge en su articulado la siguiente información:

“Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.”

La última norma a tener en cuenta es la DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que establece la necesidad de que los estados miembro garanticen la privacidad de datos en comunicaciones, incluidas las del correo electrónico.

Aunque en estos sentidos las normas fundamentales sobre el derecho a la intimidad son las garantías fundamentales y las que deben prevalecer, es bueno conocer en este sentido como se aplica la justicia. En este sentido los jueces declaran despido improcedente en aquellos casos en los que se había producido un despido donde la empresa había accedido al contenido de los correos electrónicos enviados por los empleados, salvo en los casos en los la empresa había notificado y recogido por parte de los trabajadores de una serie de conductas y normativas de uso de los sistemas informáticos en la empresa, donde sean notificadas que malos usos de las Tecnologías Informáticas pueden incurrir en despido, así como la ejecución de controles tal y como queda previsto en el Estatuto de los Trabajadores.

Así pues como condición, mientras no haya una notificación, puesto en conocimiento y aceptación por parte del empleado de los controles sobre el correo y los mecanismos sancionadores en caso del incumplimiento de las normativas, el correo se puede considerar a todos los efectos privados y no controlables.

Sanciones y demás.

2008-04-29T22:54:00.002+02:00

En numerosas circunstancias los asistentes a eventos y cursos de formación me han preguntado si realmete se aplican sanciones, porque se aplican y como actúa las Agencia de Protección de Datos.

En este sentido la respuesta es siempre la misma, si se sanciona, por incumpliento de la normativa y el reglamento de seguridad y la Agencia (hasta el momento) actúa bajo denuncia previa.

En el sentido sancionador o bien la gente empieza a estar más concienciada con el asunto o realmente las cosas se hacen muy mal, porque cada vez es más habitual el la aparición de resolución de denuncias efectuadas a la Agencia de Protección de Datos y la cuantía aplicada a las misma.

Una de las últimas que parece un típico ya, es la sanción a la clínica ginecológica Centro Médico Lasaitasuna de Bilbao, que ha sido sancionada con 150.000 Euros tras localizar 11.300 datos de Pacientes que estaban circulando por Internet. La peculiaridad del caso reside que la base de datos estaba circulando por Internet en una plataforma P2P y cuando se realizó la inspección, se detectó que uno de los ordenadores que tenía acceso a los datos en la clínica tenía instalado una versión del Emule.

Aunque la sanción debería haber sido superior (de 300.000 a 600.000 Euros), debido a la falta de intencionalidad y colaboración por parte de la clínica se ha rebajado la sanción.

Desde el punto de vista técnico, muchos se estarán planteando que pintaba una aplicación tipo Emule en un Ordenador que puede manejar información crítica, aunque desgraciadamente este hecho no es una excepción y ya se ha dado con anterioridad. De aquí se ve que el gran problema de la aplicación de elementos de Seguridad basado en el reglamento de la LOPD, no se encuentra solamente en que mecanismos y procedimiento en base al Documento de Seguridad de la empresa, si no, que otras cosas deberemos evitar además para no incurrir en una falta Muy Grave.

Ya sabéis no montéis el Emule en una máquina que pueda tener o acceder a datos de Carácter Personal,... y mil cosas más.

Un saludo

La importancia de los Datos Cifrados

2008-04-28T23:14:00.002+02:00

La semana pasada muchos oiríais una noticia peculiar, por el escenario, pero no atípica entre aquellos relacionados con el mundo de la seguridad: el robo de un equipo de un directivo. La noticia hubiera sido intranscendente o hubiera pasado desapercibida si no hubiera sido de relevancia la persona contra la que se cometió el delito: Joan Laporta.

La noticia publicada en muchos periódicos , supone para muchos una anécdota pero sabemos realmente que la cuestión va más allá de todo esto, puesto que el equipo portarí información crítica por los motivos que fueran. Claro, este tipo de sucesos nos lleva a plantearnos muchas cuestiones: fallos en los procedimientos, inseguridad en los datos, necesidad de aplicación de sistemas de cifrado, consecuencias legales... Lo que puede acarrear un simple portátil.

Muchos pensarán que eso ha pasado por el mal hábito de almacenar los datos en el puesto de trabajo; que para algo están los servidores ¿No?, pero esto es demasiado habitual y cualquiera puede llegar a cometerlo: para llevarme trabajo a casa... porque tarda menos en abrir... total si conmigo está más seguro que en ninguna otra parte...

Si no confiamos al 100% en los procedimientos, deberemos por lo tanto disponer de otros mecanismos para salvaguardar los datos, y no es una necesidad impuesta por una Ley como la LOPD, si no el sentido común. Hay que tener en cuenta que cuando abandonamos nuestro puesto de trabajo dejamos a su suerte a nuestro sistema informático y el punto vulnerable lo constituye el Puesto de Trabajo. Si alguien tiene acceso físico al equipo, o hemos planteado un sistema de seguridad robusto (y eso no consiste en una Password de Bios o la contraseña del usuario de 40 caracteres), o hemos utilizado correctamente el protocolo de que en los puestos de trabajo se trabaja y el servidor almacena.

Con otro sentido, pero siguiendo la misma filosogía expuse en el Blog de Vista Técnica motivos para el Cifrado de la información. Esto daba pie a una serie de artículos sobre Bitlocker que no solo mostraban la necesidad de implantar un sistema de cifrado de disco, si no también los procedimientos técnicos para utilizar Bitlocker en un equipo.

Cifrando evita problemas legales y en muchas circunstancias que acabes con la cara roja porque tus proyectos o datos de clientes han caído en manos de un desaprensivo y los ha publicado indiscriminadamente en un sistema P2P.

Un saludo

Jugemos a las diferencias

2008-04-25T00:23:00.004+02:00

Dentro del reglamento de Seguridad para la LOPD, hay un elemento que me inquieta significativamente y del cual he intentado buscar soluciones como elemento diferenciador para Datos de nivel básico y alto. Este es el caso relativo a la salida de soportes con datos de carácter personal fuera de la organización.

Esto es lo que nos cuenta el reglamento relativo a este tema:

Para datos de tipo básico:

Artículo 92. Gestión de soportes y documentos.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Para datos de tipo Alto.

Artículo 101. Gestión y distribución de soportes.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

Pues en este sentido para los datos de tipo básico, ya tengo claro que recomendar a mis clientes para aplicar las medidas:
- Sustracción: Rodear al portador de los datos de 4 matones.

- Pérdida: Meter los datos en un maletín y esposarlo al portador.

- Acceso indebido: Que el portador aprenda técnicas de defensa personal y al que se acerque indebidamente le aplique un correctivo o en su defecto que la técnica la apliquen los 4 sujetos del primer punto.

Porque todo esto, ¡Pues porque no voy a cifrar ya que eso me lo exigen solo para datos altos!, parecería excesivo que aplicara cifrado a datos de tipo básico, habiendo otras soluciones :) (un poco más caras pero no por ello no efectivas).

Si alguno puede aportar alguna idea se aceptarán gustosamente.

Un saludo.

El problema de registros de accesos en la LOPD

2008-04-23T23:09:00.004+02:00

Cuando planteamos en las empresas la necesidad de realizar un tratamiento de seguridad en función de la normativa vigente, no solo planteamos la aplicación una serie de medidas de seguridad, sino también una inversión en coste ecnonómico y lo que a veces es más importante, en tiempo.

Evidentemente este no cae en saco roto, pero a veces los planteamientos son tan exigentes que son difíciles de cumplimentar. El mejor ejemplo que puede plantearse, es la necesidad impuesta por el reglamento de seguridad, para datos de Carácter Personal de Nivel Alto, del mantenimiento de un sistema de registro de acceso a la información:

"Artículo 103. Registro de accesos.

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad."

Si alguno no se ha fijado bien, hay dos elementos aquí que puden considerarse cuanto menos complicados para su cumplimiento:

4. El período mínimo de conservación de los datos registrados será de dos años.

Hombre casi todos pensaréis que todo depende de los Logs y que yo tampoco genero tantos, pero el administrador de un hospital, por poner un ejemplo, seguro que se estará echándo a temblar, puesto que habría que evaluar la cantidad y capacidad necesaria de almacenamiento para mantener todos estos registros durante 2 años. Cintas, cintas, cintas,... y un buen sistema de gestión y almacén para salvaguardarlas convenientemente.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Puff, pues ya puede armarse de un cargamento de tila, para ir analizando los logs en busca de una posible incidencia (claro si hay alguna, pero mejor mirarlo todo por si acaso), que implique la aplicación de una medida correctora. Si tenemos en cuenta que el responsable de seguridad tendrá numerosos cometidos, la dedicación a la generación del informe, supondría un coste en tiempo (y también en paciencia) que implicará otras cuestiones adicionales a la del puro análisis.

En este sentido yo suelo recomendar el uso de consolidadores de logs, que permiten la recolección de las auditorías, permitiéndonos establecer un sistema de preaviso y reactivo ante incidencias, a la vez que nos permite la generación de un sistema de informes que con un golpe de click nos ahorre la tediosa tarea de su generación manual. Si nunca habéis trabajo con un consolidador de logs, y tenéis entornos Windows os recomiento uno que es relativamente fácil de configurar y utilizar, pero no por ello deja a un lado la potencia: GFI Event Manager.

Para otros entornos existen otros tipo de consolidadores de logs que dan respuesta a múltiples necesidades.

Un saludo y que no os coman los informes.

Webcast legales

2008-03-14T11:55:00.003+01:00

Para los días 25 y 26 de Marzo tengo previsto en horario de 17:00 horas realizar dos webcast más que tratarán nuevamente de aspectos legales.

En esta circunstancia y siguiendo con el ciclo abierto en los anteriores wecast, realizaremos una nueva incursión en el mundo de la LOPD, esta vez tratada desde el punto de vista de las Bases de Datos, Correo Electrónico y los sistemas Documentales.

Para el siguiente Webcast, tendremos como temática la aplicación de una normativa muy importante para muchas empresas, que basan sus negocion en el comercio electrónico y donde se abordarán aspectos legales sobre el Spam entre otras y casuisticas aplicables a la misma: La LSSI

Para todos aquellos preocupados con la seguridad y ya en formato tipo Hand on Lab, en la primera semana de Abril realizaremos un laboratorio ProtegeIT, con la temática de la protección del puesto de trabajo Cliente. Para todos aquellos que quieran conocer un poco más de los Hand on Lab o la información disponible para este laboratorio u otro de los que impartimos podéis consultar la página Web de Informática64 o bien a través del enlace correspondiente en la página de Microsoft.

Un saludo y nos vemos.

La LOPD y el correo electrónico

2008-03-12T10:52:00.002+01:00

Curiosamente uno de los grandes problemas que nos encontramos a la hora de realizar una aplicación de mecanismos de seguridad enfocada a la LOPD, es la problemática del correo.

No se si alguna vez os habéis parado a pensar lo mecanimos de intercambio de información que pueden afectar a los datos de carácter personal y que pueden manejar nuestras empresas. Seguramente que entre otros, el correo electrónico pudiera constituir uno de ellos. Claro está, que cuando pensamos en datos de carácter personal, nuestra vista se fija inmediatamente en los servidores de base de datos que alojan la información o bien en los servidores de ficheros o colaboración. Pero ¿que es el servidor de correo electrónico, sino una base de datos tambien (no relacional, pero al fin y al cabo supone un almacenamiento)? Los buzones que aloja también depositan información, y alguna de esta pueda estar sujeta a LOPD.

Cuando me preguntan en cursos o reuniones si hay que aplicar también LOPD sobre los servidores de correo, yo siempre pregunto, si cuando intercambian la información de datos de un servicio ofrecido para depositar dichos datos en la base de datos, se borra con posterioridad esos correos, o quedan depositados como un repositorio más en la empresa.

Si es este último ejemplo, entonces sí tendremos que tener en cuenta este hecho para la aplicación de mecanismos de LOPD sobre el sistema de correo. De todas formas y afortunadamente nuestros sistemas ya cuentan con funcionalidades, que por el simple hecho de aplicarlas, ya nos ayudan a implementar los sistemas de seguridad exigibles por el reglamento.

Todas las evidencias válidas???

2008-02-04T19:51:00.000+01:00

La semana pasada estuve con la gente de IIR Portugal (aprovecho para saludar tanto a los organizadores como a los asistentes, por la acogida y el discurrir del evento), dando un seminario de Forense Digital. Como suele ocurrir en este tipo de evento, surgen siempre una serie de incertidumbres relativas a la toma de Evidencias que implican evaluar determinados aspectos legales para comprobar su validez.

Uno de los temas más controvertidos, siempre suele surgir cuando se estima, la posible validez de los datos presentados en un Juicio a partir de una evidencia como pudiera ser la RAM. Un correcto análisis de esta puede revelar datos muy relevantes de la información y procesos existentes en un ordenador, pero implica la toma de estos datos en caliente.

El problema por lo tanto surge, cuando tenemos que conseguir dichos datos, sin alterar la información que pudieran llevar (claro sin instalar ninguna aplicación o iniciarla y que esta no quede registrada en la misma RAM). Las disyuntiva en sí no radica en la toma de esta memoria, si no que en un Juicio la otra parte pueda alegar que se ha podido producir una posible alteración o manipulación de todas las evidencias, por haber hecho uso o instalación de una aplicación antes de haberse producido la toma de las evidencias.

En los procedimientos habituales la toma de evidencias se toma de forma off-line, y validándolas mediante la firma digital, asegurando por lo tanto, que no se va a producir una alteración de estas evidencias. Este procedimiento no puede ser utilizado por la RAM, por lo que dudosamente pueda presentarse conclusiones en un juicio partiendo de la RAM como evidencia.

Y si perdemos esa información, donde podemos encontrar información relevante... pues en el Fichero de Paginación.

En el caso de no querer judicializar el caso la información presente en la RAM, puede ser determinante, especialmente en escenarios de Malware. Si queréis conocer como se realizan los procedimientos de análisis en RAM, os recomiendo le echéis un vistazo al Diario de Juanito, donde entre otras cosas y a un gran nivel técnico nos revela procedimientos y metodologías para el análisis de memoria RAM.

Entrada en vigor del nuevo Reglamento de la LOPD

2008-02-04T16:11:00.000+01:00

Curiosamente cuando cree el anterior post "Sobre la entrada en vigor del nuevo Reglamento", me hacía eco de la noticia que indicaba que había sido aprobado en consejo de Ministros, pero que todavía no había sido publicado en el BOE, pues no tuvimos que tardar mucho tiempo para que finalmente apareciera.

Con fecha del 19 de Enero del 2008, se publica en el BOE nº 17 del año, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99 sobre la protección de Datos de Carácter Personal.

Aunque la publicación del Real Decreto ya se ha hecho efectiva, disponemos hasta el 19 de Abril, para evaluar y aplicar las medidas correctoras oportunas, fecha en la que se producirá la entrada en vigor del mismo. Este Real Decreto deroga los antiguos 94/14121 y 99/13967.

Como ya comenté en su momento este reglamento, aunque amplía, define y modifica, algunos articulados en cuanto al tratamiento de los Datos de Caráter Personal automatizados, viene a definir también el tratamiento que debe hacerse de los mismos en ficheros no automatizados.

Bueno ya lo sabemos todos y que no nos pille el toro.

Los delitos informáticos a nivel internacional

2008-01-23T23:49:00.000+01:00

Puesto que la informática ha conseguido la eliminación de las barreras físicas o lógicas de los países, así como las bases legales de cada uno, muchas veces nos planteamos que pasa cuando se comete un delito en el que se ven involucrados varios países.

Uno de los problemas en materia reguladora de Cibercrimen y la aplicación de las leyes, son los diferentes acuerdos y normativas que deberían aplicarse como normativas en los Países. El problema es el descontrol ocasionado y las distintas medidas aplicadas en los mismos. Los diferentes organismos de la Unión Europea tienen precisamente como objetivo regular y establecer los mecanismos de control sobre legislación y relación entre los países miembros, pero claro está estos acuerdos suelen quedarse únicamente en los estados miembros de la Unión Europea.

Pero curiosamente el 23 de Noviembre de 2001 se firma en Budapest un convenio de Ciberdelincuencia del Consejo de Europa al que se suman también EEUU, Canadá y Japón, y que luego es también suscrito posteriormente por otros países en el marco europeo e internacional, y queda abierta la inclusión por invitación o requerimiento de cualquier país al que quiera suscribirse. Aunque este convenio solo definía en esencia unas bases normativas y legales ya ha proporcionado la base de apoyo y acuerdos de Cuerpos de Seguridad del Estado de diferentes países para un esfuerzo común, como la que se ha producido en la lucha contra la Pederastia en distintas operaciones realizadas.

No obstante el hecho de que muchos países no tengan unos mecanismos reguladores en estas materias y no mantengan acuerdos internacionalidad (a veces incluso ni los mecanismos de control necesarios), se convierten en verdaderos paraísos para la comisión de delitos que quedan impunes y del que una buena investigación pueda acabar finalmente en un abismo de imposible resolución.

Con la RFC por delante

2008-01-21T21:54:00.000+01:00

Resulta claro que las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa. Muchas veces me han preguntado un código de buenas prácticas para tomar evidencias o una referencia para estas. Evidentemente las circunstancias varían en función de muchas características:

- Los sistemas operativos involucrados.
- Donde se encuentra la información.
- Las consecuencias legales.
- Que herramientas utilizamos para la toma de información.
- …

Aunque al final cada cual establece un mecanismo para la recogida de las evidencias, su almacenamiento y establece sus controles oportunos, fue emitida por la Internet Society y la IETF, una RFC con una Guía para la recolección y almacenamiento de evidencias. Esta guía, la ETF RFC 3227, determina una serie de buenas prácticas, para la recogida, almacenamiento y análisis de las evidencias.

Evidentemente por muy buena RFC que pueda ser, la supeditación a las normativas vigentes en cada País es algo muy claro, máxime en el caso de las evidencias digitales, debido a la facilidad de su alteración y manipulación. Por ejemplo la RFC establece la necesidad de tomar evidencias en función de la volatilidad de las mismas:

“2.1 Order of Volatility

When collecting evidence you should proceed from the volatile to the
less volatile. Here is an example order of volatility for a typical
system.

- registers, cache

- routing table, arp cache, process table, kernel statistics,
memory

- temporary file systems

- disk

- remote logging and monitoring data that is relevant to the
system in question

- physical configuration, network topology

- archival media”

Claro que esto supone un pequeño problema. Algunas de las recogidas de estas evidencias, supone el uso de herramientas in situ, sobre la máquina afectada que podría implicar una modificación del estado de la máquina por muy cuidadoso que quiera ser uno, y claro si la necesidad del caso implica la judicialización del mismo, ¿Quién se arriesga posteriormente a que las pruebas presentadas puedan ser rechazadas por manipulación del entorno?

Este tema siempre ha abierto un debate muy interesante allí donde lo he llevado, puesto que por el hecho de no modificar el escenario puedes perder información relevante, pero si la tomas puedes invalidar el resto, con un astuto abogado por la otra parte o …

Bueno esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe y como me dijeron una vez, ¡ante la duda tira de cable y luego haz la copia!

Webcast

2008-01-19T19:29:00.000+01:00

Los próximos días 5 y 7 de febrero realizaré dos Webcast en horario de 17:00 a 18:00horas. Estos Webcast como todos requieren del registro para poder hacer el seguimiento en directo, aunque el que no pueda a esta hora podrá acceder posteriormente a él unos días después.

Estos webcast trataran como no sobre aspectos leglaes y su aplicación sobre entornos Microsoft.

El primero de los Webcast llamado normas y reglamentaciones aplicables a Tecnologías Informáticas, tratará de explicar que leyes se están aplicando acutalmente en España y como deben ser tratadas desde el punto de vista IT. Se analizará también la adecuación de los entornos a dichas leyes.

En el segundo de los Webcast sobre introducción a la LOPD, se tratará sobre la Ley de Protección de datos de Carácter Personal así como su reglamento de seguridad correspondiente (nombraré también el nuevo reglamento de seguridad) y analizaremos algún escenario visto desde el punto de vista de entornos Windows.

Un saludo

Drogas, alcohol, velocidad y ... Hacking ético

2008-01-18T18:39:00.000+01:00

Con ese titular, solo puede ser … cachondeo … pues no también la reforma del código penal. A pesar de que una de las repercusiones mayores que ha tenido el código penal corresponde al hecho de que en cualquier momento cualquiera será un criminal por beber, drogarse, o hacer de Fernando Alonso, resulta que una modificación en el Código Penal incide también en la figura del Hacking Directo (entre nosotros Hacking Ético).

Hasta ahora un pequeño tirón de orejas o soltar la calderilla del bolsillo (unos 600€), constituía el hecho de haber hecho unos pequeños pinitos en el mundo de Internet.

Pues ahora tendremos que andar con un poco más de cuidado si no queremos dar con nuestros huesos en un juzgado y pasar por… bueno como Carabanchel cerró pues ahora por Navalcarnero, si cometéis más de una pifia.

La reforma corresponde a la modificación del artículo 197 de la Ley Orgánica 10/1995 del Código Penal, por el que se añade un epígrafe 3 donde se expone:

“3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.”

… Y esto significa ¡premio para el Hacking Ético! Ya no solo está penado la substracción, eliminación o alteración de datos, si no también el acceso que vulnere las medidas de seguridad. Algunos aunque se afanen en hacer uso de Proxy o demás intentando burlar la legalidad internacional, hay que tener cuidado porque nunca sabremos si existen acuerdos internacionales en materias de delitos informáticos (ya iré hablando de ellos) o si pueden rastrear nuestra conexión de forma inversa.

Y puesto que decimos que las pruebas mejor con Gaseosa y alguno quiere hacer sus pinitos en esto del mundo de la seguridad o mejorar y conocer nuevas técnicas, os recomiendo que probéis los Retos Hacking de El Lado del Mal, de los cuales podréis acceder a través del blog www.elladodelmal.com
Suerte a los que queráis probar los retos y cuidado con lo que hacéis…

¡Cuidado con las evidencias!

2008-01-17T10:41:00.000+01:00

Cuando en las presentaciones, seminarios o cursos que doy sobre Forense Digital, refiero la importancia no solo tomar tanto correctamente aquellas evidencias que puedan ofrecernos resultados, sino que sean judicialmente válidas, no sea que por un uso indebido o simplemente no puedan recogerse, podamos invalidarlas o incluso volverse en nuestra contra.

Pongo como ejemplo un caso bastante peculiar, que aunque no tiene relación con casos forenses y ya tiene algunos años, si nos muestra que una incorrecta recogida de determinada información y presentada inoportunamente pueden dar con nuestros huesos en la cárcel. Aunque tenéis toda la información en este artículo del País, os detallo la noticia y sus consecuencias visto también desde la perspectiva de un Peritaje Forense.

En este caso un hombre instala un software de recogida de información en su ordenador personal doméstico, para conocer el uso que se le está dando al mismo, porque sospecha que la asistenta lo utiliza, debido al incremento de la tarifa telefónica. Su sorpresa, cuando empieza a recibir los reportes, es que no es su asistenta, sino su mujer quien hace uso del equipo para contactar con otra persona con la que contenía contactos sexuales y de las que se desprendía además que iba a iniciar un proceso de separación.

Ante el miedo de que la hija en común quedara desatendida por su madre, en base a ciertas conversaciones que había recogido, se elabora por parte de una detective un informe que es entregado en el Juzgado de familia tras iniciarse el proceso de separación. Tras la revisión del informe por parte de la magistratura, el marido obtiene la custodia de la hija.

El problema se presenta cuando la ex-mujer denuncia a su marido y a la detective por descubrimiento y revelación de secreto alegando que se ha violado la intimidad, cuestión que es España está considerada como antijurídico y que ocasiona que aunque la detective quede absuelta, por limitarse a elaborar un informe, el ex-marido es acusado a pena de seis meses de cárcel por vulnerar la intimidad y todas las consecuencias que este pudiera llevar.

Desde el punto de vista Forense Pericial, esta misma circunstancia implicaría la malversación de las pruebas por haberse obtenido mediante un mecanismo no lícito, sin la debida judicialización del caso, que sí permitiría tomar unas evidencias bajo el amparo de la justicia, respetando no obstante las normativas derivadas.

Por ello cuando hablamos de la debida y correcta manipulación de pruebas y evidencias debemos tener en cuenta que por divulgación de la información, aunque estas puedan ser constitutivas de delito, existe una máxima que nos dice que un delito no exime a otro delito y que la omisión del conocimiento de una ley (o una infracción) tampoco exime de haber cometido el delito.

Entrada en vigor del nuevo reglamento de la LOPD

2008-01-16T22:52:00.000+01:00

Bueno aunque con retraso y como respuesta al post que ya había puesto sobre el "Reglamento que viene", el pasado 21 de Diciembre de 2007 fue aprobado en Congreso de Ministros el nuevo reglamento de desarrollo de la LOPD y establece la entrada en vigor 3 meses después de la publicación en el BOE (Cosa que a fecha de hoy no se ha realizado).

Como ya comenté (y ya he empezado a desgranar con el Post anterior) iremos viendo en que medida nos puede afectar a todos esta nueva entrada en vigor. Ya de entrada como necesidad importante (aunque parece que no nos afecta inicialmente para el personal IT), la aplicación de los mecanimos de protección de datos en soporte no informatizado, por lo que se deben ir haciendo ya los ajustes necesarios.

La información podéis seguirla a través del siguiente enlace:
http://www.la-moncloa.es/ConsejodeMinistros/Referencias/_2007/refc20071221.htm#Datos

Aunque iremos tratando el tema, tendremos una cita el día que se publique dicho reglamento en el BOE y analizaremos si este reglamento ha sufrido alguna modificación con respecto al último borrador existente y del que ya había puesto el enlace en el Post anteriormente mencionado.

Legaliz@IT

2008-01-16T21:00:00.000+01:00

Para esta nueva campaña de Hand On Lab que comienza en Enero hemos incorporado una nueva serie de laboratorios y componentes que han sido demandados por los asistentes de anteriores ediciones. Uno de los temas que más ha preocupado en general, ha sido todo aquello lo tocante en aspectos legales que pudieran afectar a todo el entorno IT, y del que desgraciadamente se desconoce bastante pero que nos influye significativamente.

Ya iniciamos una andadura en este campo, con los Hand On Lab basados en la LOPD, con una gran aceptación y que llevados tanto a sus aspectos legales como su posible aplicación técnica en entornos Windows, han conseguido llegar esta normativa a informáticos, estableciendo esa vinculación técnica-legal necesaria. Evidentemente y ante la acogida recibida entre el personal IT y la demanda para la ampliación de la misma a otras Leyes, Reglamentos e Instrucciones existentes, lanzamos un nuevo HOL con duración de 30 horas con el nombre de LEGALIZ@IT y que recoge estas demandas en un escenario nuevamente técnico-legal. En este nuevo laboratorio nos vamos a encontrar además de la LOPD visto desde nuevos escenarios y con la base de aplicación del nuevo Reglamente de Seguridad, que amplía y ofrece una nueva perspectiva a los HOL sobre LOPD impartidos anteriormente, normativas sobre el Código Penal referente a los delitos informáticos, Ley de Acceso electrónico, Ley de Propiedad, LSSI, los reglamentos correspondientes a estas leyes y otras normativas tales como la PCI-DSS y la ISO 27000. Además de los aspectos legales, se realizarán laboratorios con resolución de escenarios planteables para las normativas en vigor, basados en arquitecturas y productos de Microsoft.

La fecha de impartición del Hand On Lab LIT-01 Legaliz@IT será del 4 al 8 de Febrero en horario 8:30-14:30

Si quieres más información de la campaña puedes obtenerla a través de la web:
http://www.microsoft.com/spain/seminarios/hol.mspx

El factor usuario en el nuevo reglamento de la LOPD.

2008-01-16T20:45:00.000+01:00

Uno de los temas más controvertidos en el nuevo reglamento de LOPD, representa el hecho de que para los documentos de nivel Básico establece con respecto a la autentificación

"Artículo 91. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios. Para ello
podrán utilizarse entre otros, mecanismos basados en certificados digitales
electrónicos o en el reconocimiento de datos biométricos.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas
que, mientras estén vigentes, se almacenarán de forma ininteligible."

Como comprobaréis el epígrafe 2 establece la necesidad de crear objetos únicos relacionados para cada usuario que accedan a datos de carácter personal de tipo básico, en contra de lo establecido hasta ahora en el reglamento existente, que era de requerimiento solo para datos de nivel medio. Claro ¿qué empresa no tiene datos de caracter básico? ¿ todas cumplen estos requisitos?

Si analizamos la problemática, veremos que muchas aplicaciones de gestión o acceso a datos utilizan una única cuenta compartida por varios usuarios que evidentemente este artículo invalidaría por considerarlas genéricas. Este pequeño ajuste podría suponer cambios en las aplicaciones que posiblemente algunas empresas no puedan llevar a cabo o a generar nuevas versiones de aplicaciones de gestión muy comunes en las PYMES.

Si hacemos una última reflexión, que sentido tiene forzar a utilizar una cuenta para usuario si luego no tengo porque hacer un registro de las acciones; un sinsentido...

El reglamento que viene.

2007-12-03T15:50:00.000+01:00

En Diciembre de 1999 entraba en vigor una ley que regulaba el acceso, almacenamiento y uso de datos de carácter personal que pudieran afectar a los españoles. Esta ley que derogaba la anterior Ley Orgánica (LORTAD), nacía con el objetivo concreto no solo de dar regularidad a estos datos sobre soporte telemático sino también la adecuación a otros soportes con tratamiento no informático.

Evidentemente había una necesidad para ello, pero en aquellos momentos los mecanismos de seguridad planteable, bajo el reglamento de Seguridad existente, aplicable para la LORTAD, no coincidía totalmente con las medidas de seguridad exigibles en la LOPD, especialmente en aquellos aspectos en lo que concernía al tratamiento de la información no automatizada y al lógico devenir de los cambios en los sistemas informáticos. Debido a este hecho la Agencia generó un marco de tiempo lo suficientemente grande como para que la aplicación de los mecanismos de seguridad para información no documentada (octubre de 2007), pudieran aplicarse en base al nuevo Reglamento de Medidas de Seguridad que estaba en proyecto.

Este nuevo reglamento no solo debía dar respuesta a aquellos elementos que se habían quedado en el aire, sino que debía adaptarse a las nuevas tecnologías. El problema se nos plantea cuando buscamos en la agencia este “nuevo reglamento”. ¿Dónde está? ¿cómo localizarlo?..., será que todavía no ha entrado en vigor. Bueno, pues la agencia en su página nos presenta un cuadro resumen de las medidas de seguridad aplicables del Reglamento … RD 994/1999.

Y entonces el Nuevo Reglamento por donde anda… pues en borrador. En una reciente comparecencia del Director de la Agencia en la Comisión Constitucional del Congreso de los Diputados citaba la inminente aprobación, tras todos los trámites anteriores, por el congreso de ministros.

“A fecha de hoy, sin embargo, queda pendiente, para incrementar la seguridad jurídica en el ámbito de la LOPD, como sus Señorías conocen, la aprobación de su Reglamento de desarrollo.

Aún siendo una iniciativa de competencia del Ministerio de Justicia, deseo manifestarles mi satisfacción por el hecho de que el proyecto de Reglamento ya haya superado el trámite de Dictamen del Consejo de Estado y, por tanto, resulte inminente su aprobación por el Consejo de Ministros”.

Pues hasta que entre en vigor y para que nadie se lleve sorpresas, lo podéis encontrar a través de la Asociación de Internautas. Yo desde este blog, os iré desgranando aquellos aspectos técnicos que nos pueden afectar y que cambian significativamente con el actual Reglamento y que tenemos aplicado en nuestras empresas.

Leyes y normativas en vigor

2007-11-25T15:38:00.001+01:00

Algunas son la leyes que de una u otra forma más nos afectan a todos los técnicos informáticos. De forma directa o inderecta un buen día, nos toparemos con una operativa, acción o dato que pudiera estar sujeta a leyes, reglamento o normativas.

Actualmente España cuenta como leyes destacables las siguientes:
- LOPD. Ley orgánica de protección de datos de carácter personal.
- LSSI-CE. Ley de servicios de la sociedad de la Información y comercio electrónico.
- LAE. Ley de acceso electronico.
- LPI. Ley de la propiedad intelectual.
- Código Penal
- Ley de la firma electrónica.

También existen otros reglamentos e instrucciones que componen e intruyen las citadas leyes como los reglamentos de la LORTAD o de la LOPD, las instrucciones de videovigilancia, modificaciones y anexos a las leyes como la correspondiente al código Penal, los procedimientos de contratación informática...

A simple vista y de hecho lo es, es fácil llegar a incurrir en una falta administrativa (si no en algo más) sin saber ni como te ha podido pasar a ti y recordad:
"el desconocimiento de la ley no exime de responsabilidades".

Bienvenida

2007-11-25T15:38:00.000+01:00

Muy buenas a todos aquellos que entrais a este Blog. Quizás el nombre os resulte inquietante, pero para ello mejor contaros porque. Desde hace ya algún tiempo algunas personas me comentaban porque no hacía un blog personal y apoyaba también así desde este modelo de información a otras personas tal y como lo hacía desde hace tiempo en otros modelos. Llevo un tiempo junto a compañeros míos escribiendo en otro blog (Windows Vista), pero asistentes a los Hand on Labs y otros eventos en los que participaba, me comentaban en muchas circunstancias el desconocimiento y acceso a información técnica referente a aquellos aspectos legales que influyen en el complicado mundo de la informática, y me animabas bien a crear un foro o a abrir un blog donde ver estos temas y poder discutirlos o simplemente, compartir información.

Evidentemente todos aquellos que me conocen saben que ni soy abogado ni mucho menos jurista, soy "solamente un Técnico Informático". A lo largo de estos años, de formación y consultoría, entre los diferentes campos en los que me he ido centrado, dos de ellos me han apasionado especialmente: Computer Forensic y la aplicación legal a aspectos informáticos.

Son tantas veces en los cursos que han surgido incertidumbres tales como, "mi jefe me ha pedido que acceda el buzón de un usuario sin que se entere, ¿eso no es ilegal, no?", que en cierto modo se intuye un vacío y desconocimiento por parte del personal IT, que intentaré, en la medida de lo posible, cubrir a través de este blog con apoyo técnico-legal. Es cierto que es muy difícil cubrir en una misma persona en este doble perfil y evidentemente ambos parecen tan lejanos, que es complicado su fusión, pero bueno intentaremos aportar todos aquellos elementos de legalidad que muchas veces encontramos tan lejanos.

Trataremos leyes, reglamentos, normalizaciones y aplicaciones técnicas para las mismas. También a través de ciertos post os iré introduciendo también en el otro campo que me gusta. el de Forense Digital y su aspectos legales. Os anticiparé también en todas aquellas campañas, presentaciones y demás cosas en las que pueda participar yo o mis compañeros y os puedan interesar.

Gracias por vuestra lectura y nos vemos en cualquier lado... menos en lo juzgados.