2 may. 2016

Ransomware

¿Qué es?
“Is a type of malware that restricts access to the infected computer system in some way, and demands that the user pay a ransom to the malware operators to remove the restriction”.
Esto quiere decir que se trata de un tipo de “malware” que infecta equipos informáticos denegando el acceso a ficheros o que simplemente los cifra, haciendo ilegible la información. El atacante posteriormente para poder descifrar los ficheros solicita el pago de una cantidad determinada (por medio de Bitcoins criptomonedas) al usuario. Cabe destacar, que muchas veces después de un pago no se envía la clave que descifra los ficheros, por este motivo, lo recomendable es la prevención vía formación de usuarios y por medio de copias de seguridad.
Además de este artículo, es muy interesante el siguiente vídeo publicado en el canal de Youtube "Palabra de Hacker": https://www.youtube.com/watch?v=EGKzaDCnMMI

12 oct. 2015

Safe Harbour








 










¿Qué es el Safe Harbour?

Bien, Safe Harbour significa literalmente puerto seguro como el título de este post. Y en concreto, es una decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EEUU, por lo que no se puede extender su aplicación, como en algún momento se ha pretendido a compañías filiales de empresas americanas establecidas fuera de este país. El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, auto regulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.

A esto se refiere la Decisión 2000/520/CE de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EEUU.



















Cabe destacar que independientemente del Puerto Seguro o Safe Harbour, como regla general, en el caso de empresas transnacionales y al tratarse de empresas que disponen de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de Estados miembros de la Unión Europea, será de aplicación la Directiva 95/46/CE y en su caso la normativa del Estado miembro que la desarrolle, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Unión Europea, se deberá observar si disponen de algún tipo de acuerdo, tratado o convenio en el que se establezcan las medidas de seguridad oportunas y por último en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos, tal y como se describe en la página web de la Agencia Española de Protección de Datos de Carácter Personal Transferencias internacionales de datos.

En muchos de los supuestos de los proveedores de Cloud Computing o servicios en la nube más importantes del mundo, la recepción de los datos y la cesión de los mismos suele darse a dos o más países, Irlanda por poner un ejemplo de país Europeo en el que grandes empresas tecnológicas disponen de una sede, es miembro de la Unión Europea, por lo que será de aplicación la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mientras que en terceros países no miembros de la UE, se deberá estudiar si existe algún tipo de convenio o acuerdo o como ocurría con EEUU y el puerto seguro.

Es en este último caso en el que al tratarse de un Estado no miembro, le era de aplicación la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debía mantener a disposición del público una lista de entidades que tal y como se ha citado antes, se auto certificasen su adhesión a los principios así como su aplicación y quedasen sujetas a la jurisdicción de la Federal Trade Comission o FTC Comisión Federal de Comercio, con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.

Se consideraba así, siempre que la entidad receptora de los datos hubiese manifestado al citado Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir con estos principios de puerto seguro y se sujetase a la jurisdicción a la que nos hemos referido en el párrafo anterior, aceptando literalmente lo siguiente: Do you agree to cooperate and comply with the European Data Protection Authorities? Yes.

Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas, tal y como estableció y reconoció el TCE en su sentecia 292/2000, de 30 de noviembre de 2000). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos de los que los ciudadanos disponen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.

En este sentido, el pasado seis de octubre el TJUE en su gran sala, declaró inválida la Decisión 2000/520/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que declaraba el nivel adecuado de protección del Puerto Seguro o Safe Harbour. En concreto, tal y como recoge la nota de prensa de la AEPD, la sentencia proclama que la Decisión de Puerto Seguro es inválida por dos motivos:
  • Porque entiende que prevalece incondicionalmente y sin ninguna limitación “la seguridad nacional, el interés público o el cumplimiento de la ley” sobre los derechos fundamentales a la intimidad y la protección de datos, sin otorgar a los ciudadanos europeos ningún medio para obtener la tutela efectiva de esos derechos.
  • Porque no otorga a los Estados miembros un margen suficiente para suspender las transferencias en caso de que estos apreciaran una vulneración de los derechos de los ciudadanos europeos.

Veremos que ocurre a partir de ahora, ya que no sólo afecta a los responsables de ficheros (entidades en su gran mayoría y sus proveedores) si no que también afectará a millones de usuarios de servicios en la Red. De igual modo, habrá que ver que ocurre con el no muy conocido TTIP o Transatlantic Trade and Investment Partnership, el cual es una propuesta de tratado de libre comercio (TLC) entre la Unión Europea y Estados Unidos. Actualmente se encuentra en negociaciones y previsiblemente dotará de poder a las grandes empresas y desregularizaría los mercados, por lo que en el caso de las empresas tecnológicas la cuestión de la privacidad será un escollo a salvar y a tener en cuenta. 

Cabe destacar que esta sentencia del TJUE, sigue la línea de reforzar el Derecho Fundamental a la protección de datos de carácter personal, tal y como ya ocurriera el 13 de mayo de 2014 con la Sentencia del denominado Derecho al Olvido en el caso de Google y Costeja.

No obstante a todo lo anterior, es importante recalcar que también se deberá cumplir con la normativa Española en materia de protección de datos, en concreto con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla.

Por todo ello muchos de los proveedores de servicios en la nube tales como gestores documentales o de correo electrónico quedarán automáticamente fuera del Safe Harbour o puerto seguro.

Documentación y entradas de interés:

1.- Sentencia TJUE.
2.- Decisión 2000/520/CE.
3.- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
4.- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla.
5.- Directiva 95/46/CE.
6.- Nota de prensa de la AEPD.
7.- Datos Personales y Cloud Computing

8 sept. 2014

Phishing

El Phishing es un clásico dentro de las amenazas de Internet, se trata de hacerse pasar por quien uno no es o no representa, es decir llevar acabo una suplantación de la identidad de un tercero.

Se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como "phisher", se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, habitualmente por medio de un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Algunos ejemplos o supuestos relacionados,  Pharming (cambio de la dirección IP legítima de una entidad), SmiShing (Phising vía SMS) o Scam (premio de lotería o similar previo envío de dinero).


La entrada completa aquí





19 may. 2014

6ª Jornada Abierta de la AEPD, 14 de marzo de 2014


Aunque un poco tarde, pongo a disposición este post que fue quedándose atrás en el tiempo pero que espero que resulte del interés del lector y que así comenzaba: 

Para aquellas personas que no pudieron acudir el pasado viernes 14 de marzo de 2014 al Teatro Real de Madrid a la 6ª Jornada de Puertas Abiertas de la AEPD, he realizado este pequeño resumen con intención de trasladar las cuestiones que allí se trataron y acontecieron.



En dicha jornada, muchas eran las cuestiones que estaban abiertas desde hace tiempo, en este campo del derecho y de la seguridad de la información, las cuales versaban desde las cuestiones relativas a las innovaciones tecnológicas como pueden ser el denominado como el Internet de las cosas, los drones”, el "derecho al olvido" etc. Así como otras cuestiones que también estaban pendientes tales como la aprobación del Reglamento Europeo de Protección de Datos de Carácter Personal o su no futura aprobación y como no, la cuestión recurrente y polémica en materia de “Cookies, su regulación, interpretación, ámbito de aplicación, sanciones o resoluciones.

Por tanto dado que hubo bastante materias bajo análisis, comenzaremos a describir las cuestiones allí tratadas en el orden según el programa de la jornada.

José Luis Rodríguez Álvarez como Director de la Agencia Española de Protección de Datos (AEPD) abrió la jornada hablando de las principales novedades en materia de protección de datos. Entre las cuales hizo referencia al nuevo reglamento Europeo de protección de datos del cual afirmo sin ningún genero de dudas que dadas las fechas era evidente que en esta legislatura no sería aprobado y por tanto no entraría en vigor, por lo que en ese sentido y a falta de poco más de un año de cumplirse los veinte años desde que se aprobase la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Se abre una época de cierta incertidumbre en ese sentido.

Por otro lado y sorprendentemente, el Director de la AEPD no hizo ninguna referencia a lo expresado el pasado 12 de marzo en el artículo publicado por Europa press en referencia a la falta de recursos de la Agencia, en dicho artículo, el Director del órgano de control, remarcaba que en los últimos años la carga de trabajo se había incrementado hasta en la AEPD en un 300%. El por qué de este incremento tan asombroso puede deberse a varias razones, que cada cual saque sus conclusiones...

Así mismo y sin citar tampoco el caso de “Eduard Snowden” y la NSA, comentó el estado actual en el que se encontraba Europa respecto a la crisis de confianza generada por el espionaje manifiesto que se estaba dando de gran parte de la ciudadanía por los diferentes centros de inteligencia mundiales.

Comentó también los estudios que se están llevando a cabo por parte del Grupo Europeo de Protección de Datos del Artículo 29 respecto al reto en materia de privacidad en cuanto a los avances tecnológicos tales como el concepto del Internet de las cosas, drones y como no el Big data. Destacando de las citadas tecnologías el hecho de que pueden conllevar una enorme ingerencia en la vida privada de los ciudadanos. A todo ello apostillo que a pesar de que la innovación es fuente de bien estar, ello no quiere decir que se trate de un vector absoluto ya que puede cercenar derechos y libertades de los ciudadanos.


En ese sentido y para paliar determinados efectos negativos de la innovación, desarrollo su ponencia en cuanto al trabajo que desde la AEPD se está llevando a cabo en cuanto a la EIPD” o Evaluación de Impacto de Privacidad o de Protección de Datos” en Inglés PIA” “Privacy Impact Assessment” es muy interesante la guía sobre “PIA” del ICO en este sentido me parece altamente recomendable la lectura del artículo de Francisco Javier Sempere en Privacidad Lógica, actualizado tras la jornada del pasado viernes 14 de marzo de la AEPD en el que habla de estas cuestiones.

Posteriormente, continuó con la jornada y precisamente con ese tema, Emilio Aced Félez, Jefe de Área de la Unidad de Apoyo de la AEPD. Realizo su intervención en cuanto a la evaluación de impacto en la privacidad o PIA, como elemento altamente recomendable a llevar a cabo por las entidades a la hora de diseñar las áreas de negocio respecto a la privacidad, como elemento para llevar a cabo el concepto de Privacy by design u una privacidad desde el diseño a la realidad. Para ello, será por tanto recomendable, realizar un EIPD” o Evaluación de Impacto de Privacidad o de Protección de Datos”, para lo cual se requiere que el producto o servicio, sea analizado para comprobar si es necesaria o no una evaluación de impacto respecto a la privacidad.

Para llevar a cabo dicho análisis, según Emilio Aced Félez, es fundamental, definir los equipos de trabajo respecto a que cubre el proyecto y quien debe formar parte del mismo, es decir, que resultara apropiado que existan representantes de todo tipo, así como un DPO, y representantes de las áreas de negocio de la entidad. Todo ello en un intento de acercarse al concepto de “Privacy by Design” con la evaluación de impacto y sus riesgos potenciales. Es evidente el significativo parecido de estos preceptos y los establecidos en estándares internacionales como ISO 27001 e ISO 31000 los cuales han seguido o tomado como referencia (al menos así lo reconoce el ICO el cual a su vez parece haber influenciado de manera importante a la AEPD en esta materia).

Posteriormente, llegó el turno de María José Blanco Antón, Secretaria General de la AEPD, comento básicamente la página Web de la agencia y su sede electrónica, comento también la documentación (resoluciones, guías, materiales didácticos, modelos de documentos…) así como las herramientas que se encuentran disponibles en www.agpd.es tales como Evalua etc.

Antes de la pausa de la jornada, se procedió a la entrega de los premios de protección de datos 2013, de los cuales fueron premiadas las siguientes personas (noticia referenciada por Europa Press):

Premios de Comunicación – Premio Ex Aequo:

-. Marimar Jiménez (Cinco Días). -. Beatriz Navarro (La Vanguardia).






















Premios de investigación 2013:

-. Vicente Guasch Portas (Premios de investigación 2013).






















-. Ana Sánchez Henajeros (Premios de investigación 2013).





















Premio en la categoría de Trabajos originales e inéditos sobre protección de datos en países iberoamericanos otorgado a mi amiga y compañera Dolores Dozo y a Pablo Martinez. 

















Tras la pausa, se reanudo la jornada con la ponencia de Jesús Rubí Navarrete como Adjunto al Director de la AEPD, el cual, realizó una exposición en cuanto a la aplicación de la normativa de Cookies, citando algunos procedimientos incoados por vía de la LSSI y de la propia LOPD, destacando que cuando una aplica la otra no entra en juego o no tiene porque ya que son materia distintas.

Se citaron cuestiones respecto a Informes Jurídicos relevantes, la legitimación y la aplicación del interés legítimo (Art. 22.2 LOPD) etc.

En mi opinión el tema de las cookies no se ha solucionado de la mejor de las maneras y esto se trascendió también a la jornada así como a su planteamiento en este ámbito, sobre todo en lo que a las cuestiones que al final de la jornada se plantearon y las respuestas aportadas por la propia AEPD.


A continuación, tuvo lugar la ponencia de Don Agustín Puente Escobar, Abogado del Estado y Jefe del Gabinete Jurídico de la AEPD Informes y Sentencias Relevantes. Referenció la Política de Privacidad, con respecto a las ambigüedades que suelen encontrarse en los términos y condiciones de uso respecto al "podrá, podrán hacer uso.." etc. así como con cuestiones sobre como Google "podrá mejorar las experiencias del usuario..." y otras cuestiones relacionadas con temas o asuntos establecidos en determinadas cláusulas de grandes proveedores de servicios en Internet, los cuales en muchas ocasiones almacenan datos de forma injustificada... cuando la Ley Orgánica de Protección de Datos es clara en este sentido, ya que establece que deberán ser eliminados aquellos datos que no mantengan la finalidad para la cual fueron recabados y deberán ser proporcionales.

También se hablo sobre la libertad sindical, o de información, la tutela judicial efectiva etc. en concreto en lo que se refiere a que el derecho de Protección de datos y la apreciable cesión en favor de los anteriores así como por otras limitaciones competenciales por cuestiones geográficas etc. 


José López Calvo, Subdirector General de Inspección de Datos de la AEPD, principales resoluciones. Realizó una ponencia a toda velocidad, tal vez pecando de introducir demasiadas resoluciones para el poco tiempo del que disponía, no obstante destacan entre las mencionadas:

-. Calidad de los datos tasas de basuras a personas que no debían ser por vulneración de calidad de los datos.

-. Deber de información previo por el acceso del e-mail corporativo, para ello es necesario de informar a los mismos, destacar el tema del USB caso de concejales y partidos políticos, insertar información indebidamente en Internet, inserción de sentencias sin eliminar datos, cuestiones de páginas que incluyen supuestos. Imágenes de menores por padres separados etc.

-. Vídeo vigilancia: Captación de vía pública, ausencia de proporcionalidad y la no disposición de carteles.


-. Sanciones por altas sin consentimiento, sector de la energía, denuncias que han superando a la banca arrebatándole el segundo puesto y pasando esta al tercer puesto. Como desde hace algún tiempo,  el primero continua siendo el sector de las telecomunicaciones. También se comentó lo concerniente a los ficheros de morosidad.

-. Publicidad, vulneraciones, Spam, llamadas comerciales, sanciones vinculadas a publicidad viral, correo electrónico, retención de tarjetas que luego hacían lo contrario (finalidades distintas), exención del deber de información (tan sólo se ha admitido una).

-. Facebook, cancelación de datos, ha cancelado tras instancia, buscadores, captación de noticias de hace 30 años y de vídeos etc.


Otras cuestiones: Se han desestimado cuestiones relativas al art. 25.8 RDLOPD 1720/2007, no cabe la caducidad de la firma electrónica, casos de relevancia pública en cuestiones de correo electrónico, obtención del número de IP o en los casos respecto a los Boletines oficiales, salvo que existan razonamientos fundados por cuestiones de seguridad.


Registro General de Protección de Datos y Transferencias Internacionales, Don Julián Prieto Hergueta. Subdirector General del Registro General de Protección de Datos
Información aportada respecto a Ficheros:

-. 3.000.000 de ficheros inscritos.


-. Ficheros con más de un responsable, cada uno debe contar con los suyos.


-. Hay que obtener el consentimiento o acreditación respecto a quien va a inscribir los ficheros o que cuenta con poderes suficientes para ello.


-. Administraciones públicas, delegaciones de deporte, mancomunidades y también empresas externas deberán considerarse a efectos de responsables del fichero y deberán cumplir con las obligaciones que a ellas se le aplican.


-. Ficheros comunes para la prevención del blanqueo de capitales, con límites respecto al acceso de la información.


-. Aspectos de Seguridad: en cuanto a la seguridad deben tener un nivel de seguridad de nivel alto cuando se trate de personas de relevancia pública respecto a sus cargos.

-. Perfiles de empresa limitación en redes sociales y en especial de menores.

Bases de datos y cesiones, hay que ver el tema del no uso ya que hay o existe un plazo.

-. Verificar el fichero con fuentes accesibles al público.
-. LSSi excluye la aplicación de la LOPD. Se debe poder disponer el tema del recurso del envió no sólo en la Web sino también en otras cuestiones.

Disociación debe ser irreversible, ejemplo Padrón de habitantes en el que se quería hacer público en una Web disociándolos pero de una manera reversible.

Otros temas tratados respecto a ficheros:

-. Colegios profesionales.

-. Comunidad de vecinos.

-. Fichero de solvencia patrimonial:

-. Transparencia y acceso a la información ley Administración Pública, Ley de 1992 en el art. 32. Para la colaboración entre Administraciones tiene que acreditarse la trascendencia.

-. Cuestiones sobre Videovigilancia: Puestos de persecución de delitos por temas de responsabilidad civil (por cuestiones de auxilio) y en colegios para proteger a los menores y siempre que no se desvié la finalidad.


Rafael García Gozalo, Coordinador del Área Internacional de la AEPD realizó especial hincapié en las cuestiones relativas al BCR – CBPR WP 212. Para empresas o entidades con cesiones de datos entre sus matrices y filiales en materia de protección de datos.

Por último llego el turno de las cuestiones y Consultas planteadas por los asistentes. 
Muchas de las cuales versaron sobre materia referente a las cookies, materia de la cual en mi opinión en la AEPD adolecieron de técnicos expertos que hubiesen facilitado la resolución de determinados conflictos. No obstante con la vigente normativa tampoco se pueden hacer grandes interpretaciones o líneas de trabajo satisfactorias en este sentido.