Esto de la LOPD ¿se cumple?

En demasiadas ocasiones ya he oído la frase: pero esto de la LOPD, no lo cumple nadie. En otra más que una afirmación, me la convierten en una pregunta ¿pero esto de la LOPD lo hace alguien? Evidentemente nadie puede tener los datos de cuántos realmente cumplen con la LOPD tal y cual los estipula el RD 1720/2007, pero sí al menos, se da la información de cuantos ficheros se encuentran inscritos en la Agencia Española de Protección de Datos.

A finales de Marzo la cifra de ficheros inscritos tanto de titularidad pública como privada, era de 2.719.739 ficheros. ¿Un dato alto? Aunque lo parezca, esto no referencia realmente empresas, si no la de los ficheros. Muchas empresas cuentan con un gran número de ficheros. También hay que tener en cuenta que asociaciones, comunidades de vecinos, etc., tienen también la obligación de declarar sus ficheros. Evidentemente la cifra no es tan alta como debiera, pero realmente supone un logro.

Fijémonos en el dato de que con la que está cayendo, solo en el mes de marzo, se dieron de alta 47.066 ficheros nuevos. Esto establece que hay voluntad, aunque solo sea que el miedo a la sanción, supera otras circunstancias.

Por sectores el que más ficheros inscritos tiene es el de las comunidades de propietarios con 335.307, seguido por el comercio con 299.957. Lo dicho anteriormente no era broma aunque muchos así lo crean cuando lo digo en formaciones o eventos. Las comunidades de propietarios están obligadas a declarar ficheros y también a aplicar la normativa de videovigilancia.

Si quieres ver los datos completos, se publican en las estadísticas mensuales que publica la AGPD.

El acuerdo de Schengen en el aire...

Uno de los valedores principales de la aparición de la protección de datos de carácter personal, lo supuso el acuerdo de Schengen. Entre otras muchas cosas se establecía la libertad de tránsito dentro del espacio común europeo, legitimando la necesidad de compartir medidas y controles en un marco común. Pues ayer mismo se daban dos noticias bastante curiosas con respecto al mismo.

Por un lado Francia y Alemania, hablan de la posibilidad de realizar cierres de fronteras provisionales ante determinadas circunstancias. Por ejemplo en el caso de que no se consiga controlar el flujo masivo de inmigrantes. Esto permitiría que ante una posibilidad de que un país no pueda realizar el control de acceso reglado en el espacio europeo, otro colindante al mismo pueda servir de freno cerrando unas fronteras que llevan casi 17 años sin dar esa funcionalidad.

La otra noticia me preocupa más. Ayer 19 de Abril se aprobaba en el Parlamento Europeo un acuerdo que obliga a aerolíneas europeas que vuelan con origen o destino a EEU (o bien hacen escala) a transmitir toda la información de los pasajeros. Incluido entre otros, datos simples como el nombre y apellidos pero otro más peligrosos como el la información de la tarjeta de crédito con el que se haya realizado la compra del billete. También si ha hecho una petición especial de comida por motivos religiosos o de otra índole. La información se almacenará de acorde a unos tiempos estipulados, de tal forma que inicialmente se eliminará la información sensible, luego se despersonalizaran y finalmente pasarán a una lista inactiva hasta que sean eliminados.

De forma previa existía un acuerdo del año 2004 en el que para garantizar la lucha antiterrorista podrían compartir la información. No habría información directa a los datos de los pasajeros sino que habría que solicitar la información al Departamento oportuno y caso por caso, previa justificación de la necesidad y siempre garantizando la seguridad de los datos proporcionados. Bueno pues parece que lo que nos dan por un lado por otro nos lo acaban quitando.

Queda claro que esto de la protección de datos se toma en serio en función de determinados intereses. Si hace poco hablaba de las iniciativas que se iban a llevar a efecto para garantizar la seguridad de los datos en Internet, luego no salen con algo como esto, donde nuestros datos más sensibles pasan a formar parte de una base de datos manejada por váyase a usted a saber quien.

Flu Project

Allá por finales del año 2010 dos prometedores jóvenes me presentaron un proyecto que habían ido madurando durante un tiempo y que se llamaba Flu (como el nombre que recibe un espécimen de virus biológico). En diciembre del año 2010 hacían público el mismo a través de su sitio web Flu Project.

He tenido la suerte de trabajar junto a ellos y ver su progresión. A día de hoy Pablo González y Juan Antonio Calles son dos profesionales como la copa de un pino y con todas aquellas virtudes que hacen que puedan destacar en este mundo competitivo. Puesto que he podido seguir sus carreras desde muy cerca, no podré decir que ha sido algo fácil para ellos en un mundo y escenario tan complejo como el actual, en los que a veces la juventud puede suponer un lastre. Evidentemente, lo han superado con tesón, dedicación y buen hacer, consiguiendo aupar su proyecto personal (y también el profesional) a la envergadura de lo que representa a día de hoy.

Ese esfuerzo tiene su recompensa y llega poco a poco. Evidentemente este proyecto supone una inversión muy grande en el terreno personal y en muchas ocasiones como única recompensa, la satisfacción de hacer bien las cosas y un reconocimiento profesional que llega poco a poco. Son ya significativas las intervenciones que han realizado en congresos, presentando y exponiendo su trabajo. Es digno de mencionar las posibilidades que en determinados escenarios (como el de la identificación y detención de pederastas) puede ser utilizado su herramienta principal, tal y como expusieron en la No cON nName 2011, en un ejemplo más de lo insospechado que puede llegar a ser el uso de cierto software.

Sirva desde este post mi más sincera enhorabuena por el trabajo realizado y por su puesto con un camino muy grande todavía de recorrer que espero esté repleto de éxitos. Por mi parte tal y como les propuse voy a colaborar a través de vuestro blog, aportando mi granito de arena. A través de mi visión sobre los casos forenses y como se deben tratar de un punto de vista judicial en una cadena que comenzó la semana pasada.

Legislación informática internacional

Determinados proyectos, que se acometen especialmente desde multinacionales o empresas que quieren posicionarse en otros países, se enfrentan a la posibilidad de estar sujetas a normativas diferentes e incluso a veces contradictorias. También es importante que los profesionales de las organizaciones conozcan a qué enfrentarse, puesto que sus acciones podrían ser miradas con diferentes raseros en función de donde se encontraran.

Para un proyecto en el que me encuentro inmerso, he estado buscando información sobre diferentes leyes y jurisprudencia aplicables a la informática, que pueden darse en diferentes países y me he encontrado con esta pequeña joya: informática-juridica.com. Organizada por países, se encuentran tanto las normativas destacadas y las modificaciones existentes. Así por lo menos lo he podido cotejar de la legislación española y de algunos países europeos de los cuales también conozco parte de su normativa.

Esta información como no ofrece una valiosa información para todos aquellos que necesitan conocer como pueden ser afectados sus intereses o en que afectarías a los trabajadores determinadas acciones. Evidentemente esto no es ni más ni menos que la punta del iceberg puesto que queda ir evaluando cada una de las normativas y comparando las acciones, cuestión que será bastante laboriosa pero los resultados serán bastante interesantes.

Por ejemplo hay datos significativos como que determinados países tales como Venezuela presenta una normativa específica sobre delitos informáticos. Me han resultado curiosos muchos de los textos en esa norma, quizás porque se aleja mucho de la visión que desde España tenemos de los delitos informáticos o bien de nuestra normativa. Sirva de ejemplo este texto recogido del artículo 17 de esa ley:

“Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.”

Está claro que en cada país tienen su visión de la tipificación de los delitos y las penas que pueden imputarse.

Obligación de informar. RD 13/2012

La evolución tecnológica y en materia de protección es algo patente en los mercados actuales y las normativas más tarde o temprano acaban adaptándose a ellas. A veces con una gran norma o en ocasiones con modificaciones puntuales a través de un Real Decreto, se producen cambios que pueden afectar en mayor o menor medida a diversas organizaciones. Este es el caso del Real Decreto 13/2012 que se hace público el 31 de marzo de 2012 a través del Boletín Oficial del Estado. Este RD entró en vigor el 1 de abril del mismo año a excepción de una modificación de la Ley 34/1998 y la disposición final segunda.

Este RD recoge muchos epígrafes de modificaciones de diferentes Leyes. Aunque en gran medida afectan fundamentalmente a la Ley 54/1997 del sector eléctrico, también se recogen apartados sobre la Ley General de Telecomunicaciones y la Ley de servicios de la sociedad de la información y del comercio electrónico.

Entre las diferentes medidas recogidas, establecen la necesidad de fortificación y sobre todo de comunicación a los prestadores de servicios de comunicaciones electrónicas, cuando se detecte por parte de las compañías que ha existido una violación de sus infraestructuras. En algunas circunstancias dicha obligatoriedad podría llegar a que fuera necesaria la comunicación a los abonados cuando afectaran a datos de carácter personal. Dicha modificación viene dada por la necesidad de cumplir las Directivas 2009/136/CE y 2009/140/CE. Este hecho deriva de la necesidad de información, motivada fundamentalmente cuando una organización es atacada, y no teniendo las medidas de seguridad adecuadas, les roban información de sus usuarios. En estos últimos años se han dado muchas de estas casuísticas.

Con respecto a las modificaciones de la Ley 34/2002 LSSI-CE, se adecúa su normativa a la Directiva 2009/136/CE del Parlamamento Europeo y del Consejo de 12 de julio de 2002. Se establece la prohibición de enviar correos electrónicos tipo publicitarios sin quedar constancia del remitente. Sin embargo la modificación más importante corresponde a la modificación del artículo 22. En su punto 2 se recoge la necesidad de comunicar y solicitar el consentimiento al usuario sobre los archivos o programas informáticos (tales como las cookies) que almacenan información en el equipo del propio usuario y permitan que se pueda acceder a información vinculada a la Ley 15/1999 LOPD, sin que el usuario inicialmente fuera consciente de este hecho. Para recoger el consentimiento de los usuarios se deberá hacer uso de los parámetros adecuados del navegador o de otras aplicaciones cuando sea técnicamente posible.

Esta última modificación, supone ir un poco más allá en lo que respecta al tratamiento de datos de carácter personal. De esta forma, la despreocupación con la que se trataba en determinadas circunstancia la información de los usuarios en sus propios equipos toma un nuevo rumbo. Muchas personas no son conscientes de la importancia de ficheros que como las cookies recoge información de la conexión o de datos personales y que son almacenadas en el equipo, siendo en ocasiones totalmente legibles. Esta información pudiera ser accesible por otros sin que estos fueran conscientes de ello (por ejemplo si utilizan un equipo tipo kiosco). La obligación de informar llega por lo tanto un punto más allá y une aún más la relación entre la LSSI-CE y la LOPD.

Webcast sobre Esquema Nacional de seguridad. Optimiza las operaciones.

La implementación de la seguridad en el Esquema Nacional de Seguridad y especialmente la necesidad de análisis y seguimiento inicial, requieren de un esfuerzo personal y económico significativo. A esto hay que sumar que los proyectos de implementación del Esquema Nacional de Seguridad son perdurables en el tiempo y elementos tales como la gestión de activos o el control de la seguridad, pueden llegar a ser un verdadero quebradero de cabeza.

“Con la que está cayendo” realizar una inversión en este sentido puede resultar en ocasiones prohibitivo. Como no el reutilizar un sistema existente o maximizar las funciones de algo ya en producción o en previsión de implementarse con otros objetivos, para cumplir estas medidas constituye una previsión muy a tener en cuenta. Pues bien teniendo como objetivos estas premisas voy a conducir dos Webcast junto a Microsoft Technet donde se tratarán estos aspectos con uno de los productos con el que más tiempo he convivido y de los más queridos para mí: System Center Configurarion Manager. Estas acciones tendrán lugar los días 17 y 19 de Abril a las 16:00 horas y como siempre en este formato, en modo Online y gratuito.

A través de estos dos eventos mostraré a extraer el jugo a este producto como apoyo en la implementación del ENS dentro de las medidas de explotación del marco operacional. Gestionar y controlar lo que se tiene, y prever su evolución es un aspecto esencial dentro del Esquema Nacional de Seguridad, y son tareas que SCCM con sus múltiples funcionalidades permiten que puedan ser llevadas a cabo de una forma efectiva. Como siempre en este tipo de acciones se podrán realizar consultas, pudiendo compartir con vosostros la experiencia adquirida en estas lides.

Aunque la orientación fundamental de los dos Webcast es hacia la implementación del Esquema Nacional de Seguridad, puede resultar muy interesante también en aquellas organizaciones que vean System Center Configuration Manager como una herramienta más para la evaluación de la seguridad. O bien en aquellas que no se han planteado nunca poder asomarse a esta capacidad de gestión de la seguridad para obtener partido de ella. Por ejemplo en el uso de las funcionalidad de la Configuración Deseada o la generación de informes enfocadas al inventariado de la seguridad en la organización.

Estas dos acciones se encuadran dentro de un marco continuado de Webcast, donde el equipo de Sidertia iremos dando cumplida cuenta del uso e implementación del Esquema Nacional de Seguridad con productos Microsoft y del que ya os iré anunciando.

Os dejo a continuación los dos enlaces correspondientes para aquellos que queráis asistir al evento que se realizará en modalidad Online.

Gestión de activos en el ENS.
Gestión de la seguridad en el ENS.

Saludos

MD5. Prohibido su uso en la implementación del ENS.

En ciertos análisis que he llevado a cabo recientemente me he encontrado muchos usos todavía del algoritmo de Función Resumen MD5. Determinados Certificados, sistemas de autenticación o implementaciones de VPN hacen uso de este mecanismo. Sin embargo es de sobra conocido que esta función tiene algunos problemas sifnificativos.

En Marzo del año 2005 los investigadores Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong, presentaron el documento: How to Break MD5 and Other Hash, donde documentaban el ataque mediante colisiones diferenciales.

Desde entonces los análisis han conseguido reducir el tiempo y complejidad del ataque, considerándose a día de hoy una función ciertamente insegura en contraposición a otras como HMAC, SHA u otros algoritmos FIPS. Este hecho repercute en algo tan significativo como la implementación del Esquema Nacional de Seguridad.

Hay que ser conscientes que dentro de las medidas consignadas en el RD 3/2010, se establece claramente que el Centro Criptológico Nacional será el encargado de determinar que algoritmos quedarán acreditados para su uso en sistemas que se encuentran al amparo del citado Real Decreto. En este sentido y a través de la guía CCN-STIC 807 se establece cuáles se encuentran validados para una implementación del ENS. Entre ellos no se encuentra MD5.

¿Implica eso que su uso está prohibido?

Para los casos de implementación del Esquema Nacional de Seguridad donde el nivel de seguridad del sistema quede establecido en nivel medio o alto, así es. En el caso del nivel bajo salvo la referencia correspondientes a las medidas de firma electrónica, donde se estable la necesidad de emplear cualquier medio de firma electrónica de los previstos en la legislación vigente, no existe mención a la necesidad de implementar algoritmos acreditados por el CCN.

No obstante y debido a la importancia de las funciones suma, las organizaciones deberían empezar a desechar funcionalidades del caduco MD5 y emplear algoritmos mejorados. Claro está ahora toca revisar cada elemento dentro de los procesos de criptografía (cifrado, autenticación, comunicaciones, etc.) para evaluar en qué medida afecta este hecho y realizar los cambios oportunos.

La protección del reconocimiento facial

La semana pasada comentaba las evoluciones que en materia de protección de datos la Unión Europea quiere establecer para Internet. Pues bien este 29 de marzo se ha publicado un documento por parte del grupo de autoridades europeas de protección de datos en lo concerniente a un tema altamente sensible como lo es el del reconocimiento facial en Internet. A través de un dictamen analizan los riesgos de la privacidad de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online.

Estos sistemas de reconocimiento facial ofrecen múltiples funcionalidades y pueden ser explotadas con la información que de una persona existiera en Internet. En agosto del año 2011 tres investigadores, Alessandro Acquisti, Ralph Gross y Fred Stutzman, advertían a través de un estudio de los riesgos existentes de poder hacer fotografías de personas en un lugar determinado y cruzarlas mediante un programa de reconocimiento facial, con la información de personas existentes en perfiles de redes sociales. Este hecho por ejemplo facultaría el poder llegar a trazar la vida de las personas. ¿Dónde queda finalmente la privacidad?

Pues bien como comentaba previamente esto quiere ser controlado y para ello el Grupo de Trabajo del Artículo 29, ha generado un documento enfocado a garantizar la privacidad personal frente a los servicios. Dicho grupo de trabajo es de tipo consultivo y está compuesto por diferentes autoridades de índole europeo, entre los que se encuentra el director de la AEPD, Jose Luis Rodríguez Álvarez. Así entre otras se establece la necesidad de cuando se realizara la prestación de un servicio de este tipo, se deberá advertir que sus imágenes estarán sujetas a un sistema de reconocimiento facial.

Lo más importante reside en que el consentimiento otorgado no puede considerarse aceptado de forma general salvo que el servicio tenga por única finalidad el reconocimiento facial. Por lo tanto nuevos usuarios o los ya registrados, se les deberá solicitar consentimiento explícito para el tratamiento de este tipo de servicio.

También es importante destacar que este tipo de información recibe por lo tanto la consideración de datos de carácter personal. Así deberán aplicarse las medidas de seguridad en las mismas condiciones que cualquier otro tipo de información que hubiera facilitado la persona y por lo tanto deberán atenderse las peticiones de tipo ARCO que hubiera lugar.

Este hecho da una vuelta de tuerca más en las funcionalidades y usos que se tienen desde las redes sociales. Limitan por lo tanto su campo de acción, principalmente porque estarán obligadas a informar a sus usuarios de los servicios que prestan y obliga a atender los derechos de las personas con respecto al tratamiento de estos datos.