Posts tagged ‘protección de datos’

25/08/2012

Cuando el Sr. Ministro perdió su iPad

Parece ser que recientemente, en el transcurso de un viaje en el AVE, el Ministro de Interior del Reino de España, Exmo. Sr. D. Jorge Fernández Díaz, perdió un iPad repleto de información confidencial de alto valor sobre la lucha contra el terrorismo y la capacidad operativa de la banda ETA. El ministro notó la ausencia del dispositivo después de regresar a Madrid, cuando el tren ya había dejado la estación con destino a sus talleres de mantenimiento. La policía tuvo que desplegar un aparato de rastreo que, guiado por la señal del GPS que todos estos aparatos llevan incorporada de fábrica, permitió recuperar el iPad en pocas horas. El resto fue relaciones públicas y lavado de imagen. Según parece, la seguridad del Estado no se vio comprometida en ningún momento, ya que según fuentes oficiales el iPad, sobre todo en las últimas versiones equipadas con iOS 5, dispone de un mecanismo que borra la información del dispositivo en caso no introducir la contraseña correcta al cabo de un determinado número de intentos.

read more »

14/06/2010

Robo de información personal mediante software P2P

Imagine que hemos sorprendido una vez más con las manos en la masa al botones de la redacción, entrometido donde los haya y peligrosamente diestro en el manejo de herramientas informáticas. ¿Los cargos? Fisgonear en el e-mail del presidente y la correspondencia privada del director. Sin embargo, temerosos de lo que pueda haber averiguado, y como no hay enemigo pequeño, decididmos sustituir el despido procedente por una sanción disciplinaria que le disuada de ir al sindicato llevando algunos papeles no demasiado limpios del Consejo de Administración. Por consiguiente queda restringido el acceso del botones a la mayor parte de los servicios críticos de la red informática: se le confiscan sus distribuciones Live de Linux, no podrá instalar software en ningún ordenador, ni utilizar herramientas de administración. Su cuenta de correo electrónico queda cancelada, y desde su estación de trabajo en la garita de los conserjes no podrá conectarse a la intranet de la empresa. Siendo más estrictos aun, se le impide incluso utilizar Google cuando sale a Internet.

¿Hemos conseguido neutralizar a este peligroso individuo? Depende: en este caso tal vez se lo hayamos puesto difícil para regresar a la red corporativa, pero no lograremos impedir que se convierta en un incordio para terceros, porque el informático de la casa olvidó quitarle un popular programa de intercambio de archivos que funciona con los protocolos de dos extensas redes –eD2k y Kademlia– en las que millones de usuarios intercambian archivos. Marcando casillas correspondientes al tipo de documentos y mediante consultas creativas, resulta posible conseguir no solo canciones y películas, sino información de la más variada índole: correspondencia comercial y privada, hojas de cálculo Excel con nóminas y estados financieros, carnets de conducir, números de la Seguridad Social, tarjetas de crédito, historiales médicos, archivos de configuración de ordenadores y redes e incluso contenedores *.PST con el correo de clientes Outlook.

Según la empresa de seguridad informática Sophos, la Comisión Federal de Comercio de EEUU lleva algún tiempo advirtiendo a empresas y organismos públicos de ese país de los peligros que representa el P2P. Las redes de intercambio de archivos posibilitan la fuga de datos no solo en el puesto de trabajo, sino en el hogar de los empleados, donde estos también acostumbran a trabajar cada vez con mayor frecuencia con documentos de sus empresas. Si no está configurado correctamente -algo que es mucho pedir para la mayor parte de los usuarios-, un programa popular de intercambio de archivos como Kazaa, eMule, Limewire o Acquisition puede filtrar a Internet documentos personales que su propietario preferiría mantener guardados. Esto sucede por la falta de precaución a la hora de habilitar las carpetas y directorios compartidos, y que por lo tanto habrán de hallarse expuestos a la red. Un usuario bien intencionado puede marcar como de uso comun la carpeta C:\Mis documentos, sin darse cuenta de que no solo estarán a disposición del público los MP3 y AVIs que se descarga, sino todo lo demás. Si lo que se comparte es la carpeta raíz C:\, entonces no habrá rincón de su ordenador que no sea visible desde Internet.

Esta modalidad de hacking con software P2P es poco conocida pese a que no requiere más que conocimientos básicos y tampoco se necesita trabajar mucho para obtener los primeros resultados. Durante el fin de semana me he entretenido haciendo pruebas con Limewire, programa de instalación y manejo muy simples basado en la red Gnutella. Poniendo *.PDF como término de búsqueda llegué a una heterogenea colección compuesta por gran número de documentos, desde libros de filosofía hasta números atrasados de Playboy pasando por informes financieros, trípticos publicitarios y manuales de uso para toda clase de aparatos. El rastreo de documentos de texto con extensiones *.TXT, *.CONF y *README permite localizar archivos de configuración de sistemas Windows y Linux, y en ocasiones hasta servidores de empresas. Lo más entretenido -si se me permite el tono frívolo- fue cuando al tratar de localizar documentos de Ms-Word con extensiones *.DOC y *.DOCX dí con una colección completa de exámenes de Historia Contemporánea pertenecientes a un centro de educacíón secundaria de Estados Unidos. En el apartado “Propiedades” de la mayor parte de ellos figuraban el nombre y el apellido de una persona con todos los visos de ser el tutor o el jefe de estudios. No me costó mucho localizar su perfil en Facebook y le mandé un mensaje de advertencia, en caso de que la exposición de todo este material a Internet no fuera intencionada.

El ejemplo anterior pone de manifiesto hasta qué punto resulta posible obtener información de las fuentes menos esperables, combinando las configuraciones defectuosas de un gran número de máquinas pertenecientes a usuarios poco experimentados con las posibilidades que ofrecen los motores de búsqueda y las redes sociales. Dudo que la mayor parte de los usuarios sean tan imaginativos como para aprovechar este potencial, pero no por ello deja de existir el peligro. Numerosas empresas e instituciones prefieren hacer la vista gorda en cuanto al uso de software P2P por parte de sus empleados, pero deben ser conscientes del riesgo de pérdida de información sensible al que se hayan expuestas. El uso de aplicaciones de vigilancia, la especificación de configuraciones mínimas en las estaciones de trabajo (¡solo software imprescindible: Office, contabilidad, gestión de proyectos, navegador y herramientas de backup!) y una política de bloqueo de puertos pueden ser de gran ayuda, pero en última instancia lo más recomendable es fortalecer la ética de trabajo, las buenas prácticas en cuanto al trabajo con ordenadores y una mayor conciencia relativa a la seguridad informática y el peligro de pérdida de datos en el entorno laboral.

05/11/2009

Canción triste de SITEL Street

minterior

También controlamos los excesos de velocidad en las autopistas de la información.

Después de varios meses de renquear entre los medios digitales y algunos blogs, parece que el asunto SITEL se encuentra ad portas del Congreso de los Diputados. Las declaraciones del vicesecretario de comunicación del PP Esteban González Pons con motivo de una rueda de prensa han sido respondidas el Ministro del Interior desde la tribuna de un seminario sobre seguridad de datos. González Pons había acusado al gobierno del Partido Socialista de estar utilizando SITEL desde el año 2004 para grabar conversaciones y hacer perfiles psicológicos a través de este sistema, además de realizar seguimientos de personas investigadas mediante “un sistema ilegal de grabación de conversaciones que no tiene la cobertura de ley orgánica que la ley exige”.

Durante su intervención en la 31 Conferencia de Autoridades de Protección de Datos y Privacidad, a la que también asistía Janet Napolitano, Secretaria de Seguridad Interior de Estados Unidos, el ministro respondió con verdades evidentes (SITEL fue adquirido cuando Rajoy era Ministro de Interior y puesto en funcionamiento por su predecesor Angel Acebes) y asertos cuestionables, que por ser benévolos y no emplear el calificativo de mendaz dejaremos en burdas exageraciones. Dijo, por ejemplo, que SITEL es un sistema más garantista que el anterior, y que funciona únicamente con autorización judicial. Véase aquí una crónica sobre las declaraciones del ministro en torno a SITEL y otros temas relacionados con la seguridad.

No tiene pérdida la frase estrella de su ponencia: “no somos una sociedad vigilada sino una sociedad protegida”. Tampoco sus comentarios sobre el tráfico, aunque uno se hace la pregunta: ¿entonces para qué todo ese costoso y sofisticado montaje de sistemas informáticos para escuchas telefónicas? En realidad tenemos un problema de seguridad vial. Lo que necesitamos son motoristas y radares.

Respecto a las complicaciones jurídicas de SITEL recomiendo la lectura de este artículo en el blog del abogado asturiano afincado en Bilbao Guillermo Díaz Bermejo.

19/09/2009

Las orejas electrónicas del gobierno

intervencionesUn post reciente en este blog ha recogido una cantidad inusual de comentarios críticos argumentando que la Constitución y el Código Penal incluyen garantías suficientes para la cobertura de escuchas telefónicas. Fue una discusión a la española, en la que se interpretan pejiguera y teatralmente los puntos y las comas de la ley, no tanto para llevar razón como para dejar en evidencia a quien sostiene la posición contraria, y en la que algunos llegaron a citar párrafos de leyes mal nombradas con una tendenciosidad en cualquier caso mucho mayor que la que se pretendía atribuir al autor del artículo. Todo ello para invalidar la tesis principal del post: que Sitel permite a las Fuerzas de Seguridad del Estado, y por extensión a quien las manda, un acceso a la privacidad del ciudadano tan solo limitado por la negativa de este a hacer uso de su propio teléfono. Muerto el perro, se acabó la rabia. Eso es precisamente lo que hacía un antiguo Canciller de la República Federal de Alemania. Enterado de que el sistema inalámbrico de su automóvil era objeto de seguimiento constante por parte de los servicios secretos de la R.D.A., mandaba parar al chófer ante una cabina telefónica y desde allí hablaba de asuntos importantes con los miembros del gabinete.

Eran los años 80. Con Sitel no habría podido utilizar el mismo ardid, a no ser que el Consejo de Ministros estuviera reunido en otra cabina telefónica o en un bar. La potencia de los sistemas de interceptación actuales, basados en la informática y en la instalación de interfaces adecuados en las compañías telefónicas al servicio de la autoridad (Esto no es cachondeo: lo decía la Ley General de Telecomunicaciones en su versión del 2003), permite realizar un seguimiento de llamadas en tiempo tanto real como diferido, por llamante y por destinatario de la llamada, y por extensión a toda la agenda de contactos telefónicos de uno y de otro. Sitel, además de una valiosa herramienta para la seguridad del Estado, es un tren de laminación para el derecho a la privacidad y las leyes de protección de datos.

La capacidad técnica de Sitel resulta tan sorprendente como endebles los bastidores jurídicos sobre los que se apoya. Este problema lo conocía de sobra el gobierno de Aznar, que hasta después de los atentados del 11 de marzo no pudo poner en marcha el sistema al no haber sido capaz de desarrollar un marco legal para su despliegue. El nuevo gobierno, tan poco respetuoso con las libertades del ciudadano como todos sus predecesores, y además con una tendencia a servirse de la ley y de las instituciones del estado con finalidades instrumentales al servicio de su propio poder, no tuvo tantos remilgos y se estuvo sirviendo de él durante un año sin cobertura legal alguna hasta la aprobación del primer reglamento regulador en abril de 2005. Consciente de los problemas jurídicos que causaba, el ejecutivo de Zapatero decidió enfocar el asunto Sitel como una cuestión meramente técnica, diseminando la normativa en forma de leyes de bajo rango y letra pequeña en los reglamentos del Ministerio de Industria.

En Estados Unidos (que por efecto de las series televisivas es el marco mental que inspira la argumentación bienintencionada de los partidarios conformistas del gobierno), cuando un investigador necesita huronear en la intimidad de un particular, solicita una orden del juez. En dicha orden el magistrado especifica con puntillosa exactitud los datos que hay que intervenir. Más allá no se avanza, y si el dispositivo o el ordenador pertenece a un periodista, entonces se vuelve intocable, porque hay una ley del Congreso (Privacy Protection Act § 42 U.S.C. 2000a) que lo protege. En España el procedimiento es otro. La Ley 25/2007 de 18 de octubre sobre conservación de datos permite al agente facultado, con carácter previo a la ejecución de la orden de interceptación, recabar de la compañia telefónica todas las informaciones relativas al servicio de telecomunicación utilizado por los sujetos a los que se quiere practicar el seguimiento: tipo de contrato, DNI, código de identificación fiscal, números de teléfono, etc. Para cuando la petición llega a la mesa del juez para que la firme, al individuo en cuestión -y también a sus interlocutores- ya les habrán escuchado de todo, hasta cantando en la ducha.

Escucharán al sospechoso y de paso a unos cuantos más, que no necesariamente habrían de guardar relación con el caso -Pruebas de funcionamiento, ya me entiende.¿Qué era el teléfono de un político del PP o de la Esquerra? Ay, disculpe usted, no nos dimos cuenta-. La naturaleza versátil y manipulable de los datos digitales también permite seleccionar el material. En otras palabras, unos jueces mayoritariamente legos en tecnología estarán firmando sin más lo que les presenten. No es como antes, que se entregaba la cinta entera y después era destruida. Por si fuera poco ahora también queda un backup en el ordenador de Sitel.

En 2008, y cuando ya había entrado en vigor la Ley 25/2007, el Tribunal Supremo dictaminó que el Real Decreto de 2005 era insuficiente para regular Sitel. Es aquí donde ha de verse el auténtico problema, no en el escaso rigor a la hora de citar la letra de una ley que por lo general en este país el gobierno y las administraciones públicas son los primeros en incumplir. Un sistema de intervenciones tan sofisticado y potente debería estar regulado por una ley orgánica. El objetivo no es iniciar un Watergate contra Zapatero, sino conseguir que esta problemática sea llevada al terreno del debate parlamentario.

22/07/2009

Web 2.0 y Software Libre

LthrCuando anuncian una charla sobre redes sociales cabe esperar, por lo general, una arenga a cargo de líderes de opinión empeñados en convencernos de que la Web 2.0 es el cúlmen definitivo de dos siglos de avances informáticos (de Charles Babbage a esta parte). Por ello ha sido una grata sorpresa acudir a esta exposición de Lorena Fernández dentro del ciclo de ponencias veraniegas del grupo E-Ghost de la Universidad de Deusto, planteada desde un ángulo realista y crítico, en la que se han dicho cosas que no agradarán a esa legión de betatesters que entrenan día y noche en el manejo de herramientas de moda como Facebook y Twitter, tan inasequibles al desánimo como ignorantes de los peligros que acechan en las profundidades del ciberespacio.

Aparte de la situación desastrosa de la seguridad personal en la Web 2.0 (ingeniería social, robo de identidades, linchamiento moral y persecución implacable del más tonto), hay varias cuestiones de problemática resolución. Sí, es cierto, todo el mundo está en las redes: empresas, particulares, organismos públicos… O si no, pronto lo estará. Pero, ¿qué hay de la propiedad y la disponibilidad de los datos? ¿Qué quieren hacer de verdad con ellos quienes tan solícitamente se ofrecen para custodiarlos? ¿Qué sucede si el gestor de una red social quiebra y sus servidores desaparecen de la Web 2.0? ¿Cómo garantizar que los propietarios de la información sigan siendo dueños efectivos de la misma en un entorno informático dominado por la descentralización, el cloud computing y la letra pequeña de licencias abusivas?

Sin el Free Software no habrían sido posibles las redes sociales. Pero estas redes no son del todo libres. La impresión es que nos hallamos a mitad de camino entre una propiedad exclusiva al estilo Microsoft y las soluciones libres al 100%, donde Richard Stallman no tendría motivos para ponerse borde y el usuario podría decidir soberanamente sobre sus propios datos. Nos ayudarán a llegar más cerca de este extremo, alejándonos del otro, las propuestas tecnológicas basadas en estándares abiertos: OpenID, OAuth, OPML, APML y microformatos (adición de significado semántico a los contenidos). Más en el blog de Loretahur.

01/07/2009

Microsoft y la L.O.P.D.

libro_MS_LOPDAcabo de leer el libro “La Protección de Datos Personales: Soluciones en Entornos Microsoft”, de J.M. Alonso, J.L. García, Antonio Soto, David Suz, José Helguero, Mª Estrella Blanco, Miguel Vega y Héctor Sánchez, editado por Microsoft Ibérica en colaboración con la Agencia Española de Protección de Datos y el organismo Red.es, y tengo que decir que me parece un trabajo con múltiples virtudes, comenzando por la de la economía. No solamente los hard-copies de la obra están hechos con papel reciclado, sino que además Microsoft Ibérica distribuye una versión gratuita en PDF que se puede descargar de Technec.

La primera mitad de este libro de más de 400 páginas está dedicada a explicar los conceptos principales de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, asi como el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la misma. La segunda expone los medios y mecanismos de seguridad disponibles en los propios productos Microsoft (Windows Server 2008, Windows 2007, Exchange 2007 y otros) para garantizar el cumplimiento de la Ley de Protección de Datos y los preceptos de su reglamento de desarrollo, que aunque no nos demos cuenta, ya está desempeñando un papel importante en nuestra vida profesional y particular.

Lejos de limitarse a facilitar una serie de recetas para eliminar archivos temporales y encriptar el archivo de paginación, el manual transmite una visión global del funcionamiento de los subsistemas de seguridad en las diferentes versiones de Windows (autentificación del usuario, gestión de contraseñas, registro e interpretación de eventos). Especialmente útil para el profesional de la seguridad y el ingeniero informático es el ejemplo de aplicación del reglamento en SQL Server, tema al que dedica un capítulo entero, y donde se especifica la seguridad de acceso de cada uno de los objetos que componen una base de datos, incluyendo las columnas de las tablas. Otro de los méritos de este libro reside en su implícita contribución al sostenimiento de la dignidad profesional del informático: para garantizar la seguridad de los datos no necesitamos costosos desarrollos de software, certificaciones ni servicios de consultoría, sino tan solo un administrador de sistemas competente y responsable.

Más sobre los contenidos de este libro en una fuente autorizada, el blog de Héctor Montenegro, Director de Tecnología de Microsoft Ibérica.