¿Cómo actuar ante un agujero de seguridad?

publicado el 9 abril 2008

Son muchas las veces que se nos pregunta sobre la forma de actuar ante los agujeros de seguridad, siempre desde la posición del usuario de Internet que navegando por alguna web, observando el código fuente detecta un grave agujero de seguridad que nos da acceso a la base de datos de la empresa, a los datos de los usuarios registrados o cualquier información que, se supone, que el responsable de la página web, haya querido mantener en «secreto». (Dejando de lado que la mayor máxima que puede haber en seguridad es que si no quieres que se revele mejor no decírselo a nadie, o llevado al mundo de Internet, si quieres proteger algo realmente mejor que no esté conectado a Internet). ¿se pueden publicar esos agujeros de seguridad? ¿podemos revelar lo que hemos descubierto? ¿qué podemos hacer?. Quizá la respuesta la de la conciencia de cada uno, desde los que informan al responsable del portal, los que directamente lo denuncian o los que lo publican. Veamos que dice la legislación:

Si acudimos al Código Penal, su artículo 197, establece que:

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Como observamos el Código Penal ya está castigando el simple acceso sin autorización a datos de carácter personal, así que la primera recomendación que podemos realizar es que lo mejor que se peude hacer es no ir más allá, es decir, no profundizar más en el agujero de seguridad observado que nos permite acceder a la base de datos de usuarios. Por supuesto, NO PUBLICARLOS en Internet puesto que el mismo artículo va más allá y castiga la revelación de los datos:

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Quizá en este caso el juzgado archive el caso, pero aún y todo también tendrá que tener en cuenta la normativa de protección de datos, puesto que como publica Samuel Parra, la AGPD ha sancionado con 300.000 Euros a un particular que publicó datos en Internet (en este caso, como bien apunta David Maeztu, no se dice de donde se sacaron los datos, detalle que considero importante).

Por lo que puede parecer el que descubre el agujero de seguridad tiene mucho que perder, y ¿el responsable del portal? El responsable del portal debe tener en cuenta la normativa de protección de datos de carácter personal que establece como principio la seguridad de los datos en su artículo 9:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Pudiéndose sancionar como infracción grave:

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Es decir, al responsable del portal como responsable (o encargado) del fichero podrá ser sancionado con una multa de 60.000 Euros como mínimo.

Actualización: La Agencia de Protección de Datos acaba de publicar una resolución sobre lo comentado: Sanciona con 60.010 Euros a Telefónica de España (antigua TERRA) por infracción del principio de seguridad.