Iurismatica - Derecho TICs

Si me permitís la analogía y siguiendo las noticias sobre la increíble liberación de Ingrid Betancourt, (de la cuál me alegro) me ha hecho reflexionar sobre el asunto para llegar a una conclusión que siempre ha pasado por mi cabeza: está claro que la fuerza bruta funciona, pero cuanta más peligrosa es la ingeniería social (y con la considerable reducción de víctimas que conlleva), el poder que tiene el ser humano de hacer creer a otro sobre cualquier cosa, incluso conseguir que realice actos contrarios a sus propios principios u órdenes.

“y los convencimos de que estaban hablando entre ellos mismos“ Comandante de las Fuerzas Militares.

Según la wikipedia, la ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.

Está claro que nuestros sistemas deben estar blindados, cuidados, tenerlos actualizados para que no sean vulnerables ante agujeros de seguridad ya conocidos y explotados por la fuerza, pero, sin embargo tenemos que tener mayor alerta si cabe ante este tipo de ataque de ingeniería social, no para que nos volvamos unos paranoicos, pero sí para tener los cinco sentidos al tanto ante posibles peticiones extrañas o ante informaciones o petición de información que puede resultarnos curiosas. En estos casos no hay nada como aplicar el sentido común, preguntar a nuestros compañeros, jefes, amigos, etc. y no dejarnos llevar por la situación. PARARNOS Y REFLEXIONAR (esto me recuerda también a la historia del teniente coronel Stanislav Petrov que se paró a reflexionar unos minutos ante lo que el sistema ruso consideraba un ataque nuclear…). Puesto que, aunque el mejor arma sea la ingeniería social, el ataque se desmonta fácilmente con una defensa clara y coherente, NO HACER lo que nos están pidiendo.

¿Darías la contraseña a un extraño a cambio de una tableta de chocolate?

La Comisión Europea con fecha 25 de marzo de 2008 aprobó una decisión mediante la cuál se crea el grupo de expertos “Plataforma para la conservación de datos electrónicos con fines de investigación, detección y enjuiciamiento de los delitos graves”. Este grupo de expertos formado por un grupo de 25 miembros y creado por la Comisión, trabajará como grupo consultivo facilitando el intercambio de buenas prácticas y contribuirá a la evaluación de los costos y eficacia de la Directiva 2006/24/CE, así como del desarrollo de las tecnologías pertinentes que pueden afectar a la Directiva. Las tareas del grupo serán:

1. Constituir un foro de diálogo y de intercambio de experiencias y buenas prácticas, sobre las cuestiones relacionadas con la conservación de datos personales por los proveedores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones con el fin de garantizar que los datos estén disponibles con fines de investigación, detección o enjuiciamiento de los delitos graves.
2. Fomentar y facilitar una orientación común sobre la aplicación de la Directiva.
3. Intercambiar información sobre los progresos tecnológicos pertinentes, los costes y la eficacia de la aplicación de la Directiva.
4. Ayudar a la Comisión a identificar y definir las dificultades que les hayan surgido a los Estados miembros en relación con la aplicación técnica y práctica de la Directiva, en especial su aplicación al correo electrónico y a los datos de telefonía por Internet.
5. Ayudar a la Comisión en su evaluación de la aplicación de la Directiva de conservación de datos y de su impacto en los operadores económicos y los consumidores.

El grupo de expertos estará formado, entre otros por:

1. Miembros del Parlamento Europeo.
2. Autoridades responsables de la aplicación de la Ley en los Estados Miembros.
3. Asociaciones de la industria de las comunicaciones electrónicas.
4. Representantes de las autoridades responsables de protección de datos.
5. Supervisor Europeo de Protección de Datos, etc.

Espero que esta Plataforma sirva realmente para aclarar los términos tanto de la Directiva como de la Ley de conservación de datos y no generar más dudas que las que actualmente tienen los ISPs ante los datos que deben conservar.

Son muchas las veces que se nos pregunta sobre la forma de actuar ante los agujeros de seguridad, siempre desde la posición del usuario de Internet que navegando por alguna web, observando el código fuente detecta un grave agujero de seguridad que nos da acceso a la base de datos de la empresa, a los datos de los usuarios registrados o cualquier información que, se supone, que el responsable de la página web, haya querido mantener en “secreto”. (Dejando de lado que la mayor máxima que puede haber en seguridad es que si no quieres que se revele mejor no decírselo a nadie, o llevado al mundo de Internet, si quieres proteger algo realmente mejor que no esté conectado a Internet). ¿se pueden publicar esos agujeros de seguridad? ¿podemos revelar lo que hemos descubierto? ¿qué podemos hacer?. Quizá la respuesta la de la conciencia de cada uno, desde los que informan al responsable del portal, los que directamente lo denuncian o los que lo publican. Veamos que dice la legislación:

Si acudimos al Código Penal, su artículo 197, establece que:

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Como observamos el Código Penal ya está castigando el simple acceso sin autorización a datos de carácter personal, así que la primera recomendación que podemos realizar es que lo mejor que se peude hacer es no ir más allá, es decir, no profundizar más en el agujero de seguridad observado que nos permite acceder a la base de datos de usuarios. Por supuesto, NO PUBLICARLOS en Internet puesto que el mismo artículo va más allá y castiga la revelación de los datos:

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Quizá en este caso el juzgado archive el caso, pero aún y todo también tendrá que tener en cuenta la normativa de protección de datos, puesto que como publica Samuel Parra, la AGPD ha sancionado con 300.000 Euros a un particular que publicó datos en Internet (en este caso, como bien apunta David Maeztu, no se dice de donde se sacaron los datos, detalle que considero importante).

Por lo que puede parecer el que descubre el agujero de seguridad tiene mucho que perder, y ¿el responsable del portal? El responsable del portal debe tener en cuenta la normativa de protección de datos de carácter personal que establece como principio la seguridad de los datos en su artículo 9:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Pudiéndose sancionar como infracción grave:

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Es decir, al responsable del portal como responsable (o encargado) del fichero podrá ser sancionado con una multa de 60.000 Euros como mínimo.

Actualización: La Agencia de Protección de Datos acaba de publicar una resolución sobre lo comentado: Sanciona con 60.010 Euros a Telefónica de España (antigua TERRA) por infracción del principio de seguridad.

La Entidad Pública Empresarial red.es e INTECO han publicado un procedimiento para hacer frente al “phishing” que puede servir siempre y cuando se produzcan bajo nombres de dominio con el código correspondiente a España “.es”. Dichas entidades informan que:

Con el objeto de actuar contra el fraude electrónico que se produzca en nombres de dominio bajo el “.es”, la entidad pública empresarial Red.es (en adelante, “Red.es”) en connivencia con el Instituto Nacional de Tecnologías de la Información (en adelante, “INTECO”), organismo que presta atención a todos los tipos de fraude electrónico, centrándose sobre todo en los casos relacionados con nombres de dominio bajo el “.es”, pone de manifiesto lo siguiente:

• Siempre que se detecte un posible caso de phishing, los usuarios pueden remitir el caso a INTECO, a través del buzón de correo electrónico fraude@cert.inteco.es. Una vez recibida la información en INTECO y, una vez caracterizado el caso, INTECO contacta con todas las entidades implicadas para facilitar la detección temprana del phishing de forma que cada agente tome las medidas que estime oportunas y, según lo establecido en el Protocolo “.es”, comunica a Red.es el caso a efectos de iniciar un procedimiento de cancelación de oficio respecto a los nombres de dominio afectados.

• Las denuncias a las Fuerzas y Cuerpos de Seguridad del Estado (en adelante, “FSCE”), las han de presentar los afectados, indicándoles INTECO el procedimiento a seguir. No obstante, INTECO colabora con las FSCE proporcionando información complementaria a sus investigaciones cuando así lo requieren.

• Red.es no tiene atribuidas más competencias que las señaladas anteriormente para actuar contra casos de phishing, ya que se trata de una modalidad de estafa, delito tipificado en el Código Penal, por lo que es la jurisdicción penal la que tiene atribuidas mayores competencias al respecto.

• Dicho procedimiento tiene por objeto bloquear el nombre de dominio durante el transcurso del mismo y comprobar si se está produciendo un incumplimiento de las condiciones de asignación y de uso del nombre de dominio bajo “.es”, emitiéndose Resolución estimatoria o desestimatoria. Si la Resolución es estimatoria, se cancela el nombre de dominio a su titular, quedando en situación de libre asignación.

• Una vez recibida en Red.es la comunicación de uno o varios casos de phishing contenidos en páginas web bajo el código de país “.es”, la Autoridad de Asignación inicia, en vía administrativa, un procedimiento de cancelación de oficio, regulado en el Capítulo V de la Instrucción del Director General de la entidad pública empresarial Red.es, por la que se desarrollan los procedimientos aplicables a la asignación y a las demás operaciones asociadas al registro de nombres de dominio bajo el “.es”.

En este caso no podemos sino que aplaudir y apoyar tanto al INTECO como a la Entidad Pública Empresarial Red.es por la labor y el esfuerzo (que me consta) que realizan con la intención de luchar contra este tipo de actos.

El Observatorio de INTECO ha invitado a algunos que profesionalmente nos dedicamos al estudio de las TIC y su relación directa con la seguridad a escribir en su recién creado blog. En él podrás encontrar opiniones y comentarios sobre diversas cuestiones relacionadas con la seguridad de la información: tecnología, malware, fraude, protección de datos, etc… así como referencias a noticias, artículos de opinión, estudios y legislación en este campo. Todo ello con un carácter fresco y dinámico.En el entorno actual donde los cambios se suceden a velocidad de vértigo y donde el mañana se convierte demasiado rápido en ayer, INTECO ha considerado oportuno abrir un canal de comunicación que permita dar voz a todos, profesionales, expertos, usuarios, entendidos y curiosos, un medio que supere el tradicional modo de comunicación unidireccional y abra discusiones y debates a todo el mundo.

Me gustaría invitarte, desde aquí a que consultes el Blog sobre seguridad de la información y dejes tus comentarios o sugerencias. Tu aportación enriquecerá el debate, seguro.