Por tal motivo creemos conveniente realizar una serie de recomendaciones encaminadas a evitar que se produzca esta situación.

- Hemos detectado que existen un gran número de contrataciones fraudulentas, efectuadas telefónicamente, por persona distinta del titular de los datos. Ante cualquier indicio de que se está produciendo esta circunstancia recomendamos denunciar ante la autoridad competente.

- La contratación telefónica es un método valido y admitido en derecho, si se hace con las garantías adecuadas. Entre estas garantías será necesario que en el contrato se establezca la aceptación de todas y cada una de las cláusulas del contrato. Posteriormente se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma. Por norma general las operadoras telefónicas están respondiendo que las grabaciones de los contratos no están disponibles en sus ficheros, y no envían posteriormente la justificación de la celebración del contrato. Motivo más que suficiente para que se entienda que el contrato no se ha celebrado.

- La información que trate la operadora telefónica deberá ser exacta y puesta al día, debiendo la operadora implantar los mecanismos necesarios para contrastar los datos que se están transmitiendo telefónicamente. Cualquier comunicación efectuada por el verdadero titular de los datos indicando la suplantación de su personalidad, podría ser indicadora de que los datos que tratan pudieran ser incorrectos. A esta comunicación se debería adjuntar la denuncia que previamente hemos interpuesto.

- Para la inclusión de los datos de impago en los registros o ficheros de impagados se exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada, por tal circunstancia una deuda en la que quede pendiente dilucidar la celebración del correspondiente contrato no es exigible,  hasta la comprobación de la veracidad de los hechos, es decir su certeza.

- También se exige que el acreedor haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión. Requerimiento que debe quedar acreditado necesariamente.

- Además se debe probar que se ha informado previamente de que en caso de impago, se procedería a la inscripción en este tipo de ficheros

- Y por último, si se cumplen todos los requisitos anteriores, el responsable del fichero de morosos, debe notificar a la persona que va a ser incluida en el fichero, con anterioridad, de su inclusión, para que pueda defender su posición. Esta circunstancia también es “olvidada”, en infinidad de ocasiones.

Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información.

www.audea.com

¿Qué supone el alojamiento en La Nube desde el punto de vista de la protección de datos y en qué se diferencia de los servicios de hosting tradicionales?

Desde el punto de vista legal, realmente no hay diferencias entre contratar un servicio de alojamiento de datos personales en La Nube y en un hosting que no utilice esta tecnología.

En ambos casos, se trata de una prestación de servicios con acceso a datos personales. Sin embargo, el alojamiento en La Nube y la deslocalización de la información supondrá, en muchos casos, que existan subcontrataciones y alojamientos de la información en terceros países ajenos al Espacio Económico Europeo, y a menudo sin que el cliente esté al tanto de ello.

Unas pocas semanas antes de la sesión abierta de este año, la Agencia lanzó una consulta pública para tomarle el pulso a las empresas españolas. Muchas de las preguntas del cuestionario iban dirigidas a determinar si el marco regulatorio actual es capaz de dar respuesta a esta nueva tecnología que ha venido para quedarse, y seguramente seguirá evolucionando hasta situaciones aún inimaginables.

La respuesta es evidente. La aplicación estricta de la normativa es prácticamente incompatible con el uso de esta tecnología. ¿Por qué?

• Al alojar datos de carácter personal, responsabilidad de una empresa española, surge la obligación de tener un contrato firmado conforme al artículo 12 de la Ley Orgánica de Protección de Datos, y a los artículos 20, 21, 22 y 26 de su Reglamento de Desarrollo (o conforme al clausulado tipo aprobado por Decisión 2010/87/UE de la Comisión, si el prestador está ubicado fuera del Espacio Económico Europeo, de los países con nivel adecuado de protección, o de las empresas estadounidenses adheridas al tratado de Puerto Seguro).

A nadie se le escapa que los servicios de alojamiento en La Nube acaban siendo prestados, directa o indirectamente, por los gigantes de Internet, que imponen sus contratos de adhesión con todo tipo de Disclaimers a su favor ¿Y cuál es la capacidad negociadora de una empresa española con estos proveedores? Ninguna, y la respuesta de la Agencia en la sesión fue tajante: Si se desea contratar un servicio de alojamiento de datos personales en La Nube, y el contrato de adhesión no cumple con la Ley Orgánica de Protección de Datos, la empresa española no podrá contratar el servicio.

• Entre las obligaciones del artículo 12 de la LOPD, está la de especificar las medidas de seguridad aplicables, conforme a lo establecido en el Reglamento.

Por la propia naturaleza del servicio de alojamiento, el proveedor definirá las medidas de seguridad que estime adecuadas, pero no es factible que se apliquen unas medidas u otras dependiendo de las necesidades del cliente. Es decir, no van a entrar en ningún momento a discutir si deben aplicar un nivel de seguridad más estricto dependiendo de la sensibilidad de los datos personales que quiera alojar su cliente. Por lo tanto, lo más lógico sería que las medidas de seguridad por defecto cumpliesen con el nivel alto de seguridad, pero es muy improbable que los proveedores implanten exactamente las medidas de seguridad exigidas por el Reglamento.

En todo caso, la respuesta de la Agencia sobre este asunto, ha sido algo más razonable de lo que cabía esperar. Bastará con que se especifiquen las medidas de seguridad reales que aplican el servicio, siempre que éstas garanticen un nivel más o menos equivalente a lo exigido por la normativa. Es decir, se admite que no se cumplan concretamente las medidas de seguridad definidas en el Reglamento, siempre que se implanten medidas alternativas que garanticen la confidencialidad, integridad y disponibilidad de la información. En especial, se destaca la importancia de la auditoría de seguridad para garantizar que las medidas son las adecuadas.

• Estos servicios suelen configurarse a través de una compleja estructura de subcontrataciones o incluso de reventa del servicio, por lo que, aunque se firme con una empresa española, o europea, el servicio se presta de forma efectiva en otros países. Para que esta estructura sea legal, el cliente debería autorizar expresamente al proveedor para que pueda subcontratar legalmente la prestación del servicio, y en el caso de que la subcontratación implique una transferencia internacional, es necesario dotar el servicio de todas las garantías exigidas por la normativa.

Como novedad, la Agencia ha decidido flexibilizar el criterio que había mantenido anteriormente para la subcontratación con transferencia internacional. Hasta la fecha, era el propio cliente, responsable de un fichero quien debía firmar los contratos y solicitar a la Agencia la autorización para la transferencia internacional (ya fuese por sí mismo, o a través de un poder de representación a favor del proveedor). Es decir, en general, si un cliente contrataba un servicio con un proveedor español, y este quería subcontratar con una empresa de Marruecos, era necesario que el cliente firmase directamente (o por representación) con la empresa de Marruecos, y solicitase la autorización del Director de la Agencia.

La Agencia se ha replanteado este criterio, y ha elaborado un clausulado tipo para permitir que los proveedores (encargados del tratamiento) puedan ser exportadores de datos personales. Sin embargo, esto no deja de ser una transferencia de la responsabilidad de algo que en muchas ocasiones no se va a poder cumplir (por lo que veíamos en el primer punto).

Dejando de lado el tema del alojamiento en La Nube, surgieron algunos otros temas de interés:

• Se procedió a la entrega de los premios protección de datos 2011.
• Expectación sobre decisión del Tribunal Supremo con respecto a la resolución del Tribunal de Justicia de la Unión Europea, por la que España habría transpuesto incorrectamente la Directiva de Protección de Datos; en concreto, en lo referente al uso de datos personales sin necesidad de consentimiento de los afectados.
• Expectación sobre la inminente modificación de la normativa europea de Protección de Datos.
• Abandono del criterio de la sanción mínima en cada escala de infracción. Tradicionalmente, la Agencia siempre ha ido imponiendo las sanciones mínimas dentro de la escala correspondiente en cada caso (actualmente, 900 euros para las infracciones leves; 40.000 euros para las graves; y 300.000 euros para las muy graves). La Agencia ya ha avisado de que este criterio va a dejar de aplicarse, lo que dará mayor peso a las circunstancias agravantes en cada situación conforme al régimen sancionador actual.
• Contra el criterio habitual de la Agencia, en la presentación se admitía como válida la posibilidad de redirigir a una página web para cumplir con el deber de información. No obstante, todo parece apuntar a que se trata de una errata, o de una verdad a medias, pues los fundamentos de la mayoría de las resoluciones, justifican que esto no se puede hacer, ya que el acceso a Internet en España, apenas roza el 50% de implantación.

Al igual que en años anteriores, toda la documentación de la jornada se publicará en los próximos días a través de la página web de la Agencia (www.agpd.es).

Por el momento nos tenemos que conformar con este vídeo de sensibilización, que consiguió dibujar más de una sonrisa.

Áudea Seguridad de la Información

José Carlos Moratilla

Departamento Derecho TIC

www.audea.com

El Lunes 30 de Enero, Jesús Sanchez Director Ejecutivo de Áudea ha sidoentrevistado en Businnes TV y simultaneado en  Radio Intereconomía por José Cavero en su programa Desayunos Capital. 

En este link podéis ver la entrevista:

http://www.youtube.com/watch?v=9Ts2XDq4r60&feature=youtu.be

Ha sido un placer intervenir en el programa y muchas gracias a todos los que lo han hecho posible.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Con 10 años de experiencia, Áudea separa los servicios de formación con el fin de englobarlos en un solo departamento dedicado exclusivamente a captar e identificar las necesidades de los clientes para aportar soluciones en materia de formación y responsabilizarse de la gestión integral garantizando así su calidad y servicio.

La nueva oferta formativa de Áudea engloba las modalidades:

•         Presencial: Nuestros cursos tienen una parte teórica en la que se ofrece una visión específica de las correspondientes normativas, haciendo hincapié en cuestiones de especial interés para el personal asistente y   otra práctica tratando de resolver las cuestiones a las que más frecuentemente se tienen que enfrentar las personas a las que va dirigida la formación.
•         Mixta (Blended learning): Tomamos lo mejor de la formación presencial y lo mejor de la formación online para alcanzar los distintos objetivos que persigue un programa formativo.
•        Online (e-learning): Actualmente contamos con una plataforma propia y dos sistemas de gestión de cursos de distribución libre, MOODLE y SCORM. Estas plataformas tecnológicas también se conocen como LMS (Learning Management System).

Entre otros muchos, destacamos estos cursos:

•        Sistema de Gestión de la Seguridad ISO / IEC 27001
•        Sistema de Gestión de la Continuidad BS 25999  
•        Sensibilización
•        Curso ISO/IEC 20000
•        Auditoría Normativa
•       Protección de Datos y Ley de Servicios de la Sociedad de la Información y Comercio Electrónico
•        Hacking Ético

Los contenidos formativos están diseñados a partir de proyectos reales y con la orientación que demanda el ámbito empresarial, es decir, una formación impartida por y para profesionales, con criterios pedagógicos y con aplicación práctica.

Los títulos de especialización son títulos propios emitidos por Áudea, avalados por su prestigio, experiencia y posicionamiento en el sector.

Para más información envíe un email a info@audea.com o entre en www.audea.com

Es el Sexto Día de la Protección de Datos en Europa ya que esta celebración se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero -en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal- el 28 de enero de 1981, piedra angular de la protección de datos en Europa.

Para más Información de los actos realizados por la AEPD entre en:

https://www.agpd.es/portalwebAGPD/jornadas/dia_proteccion_2012/index-ides-idphp.php

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

-         Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, “sospechoso”, en el que nos adjuntaban un archivo todavía más sospechoso y nos “invitaban” amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.

-         Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una “mala copia”, podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.

-         Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.

-         Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.

-         Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.

-         Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.

-         Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.

Áudea Seguridad de la Información

Manuel Díaz Sampedro

Departamento Gestión de la Seguridad

www.audea.com

En esta ocasión quisiera hacer hincapié en uno de los requisitos que la Ley exige para que se pueda aplicar esta figura. El artículo mencionado, en su párrafo 6.b. exige para la aplicación de este beneficio “que el infractor no hubiese sido sancionado o apercibido con anterioridad”.

El requisito tiene su lógica y es que no se pueda beneficiar de esta figura una empresa que constantemente infrinja la LOPD. Pero también merece una crítica, y es que al contrario de lo que ocurre con las infracciones penales, las infracciones administrativas no pueden ser canceladas.

El artículo 136 del código penal indica que “Los condenados que hayan extinguido su responsabilidad penal tienen derecho a obtener del Ministerio de Justicia, de oficio o a instancia de parte, la cancelación de sus antecedentes penales”, poniendo como requisito el no haber vuelto a delinquir en determinados plazos, según el delito cometido con anterioridad. Lo mismo ocurre con las medidas de seguridad impuestas. Con la cancelación de los antecedentes se entiende que el condenado ha cumplido con sus obligaciones con la justicia, y se deben considerar estos como no puestos.

En materia administrativa no he encontrado una norma similar. Sin embargo en aplicación del punto 1 del art. 24 de nuestra Constitución, y según tiene reconocida la Jurisprudencia de la Sala 3ª en lo Contencioso Administrativo, en Sentencias de fecha 14/11/85, 10/11/86 y 10/01/87 afirmó: “Es la doctrina ya consolidada, que los principios inspiradores del derecho penal, son aplicables con ciertas matizaciones al derecho administrativo sancionador… de esta forma, son de común aplicación los principios capitales de la ciencia penal: legalidad, tipicidad, imputabilidad y culpabilidad, proporcionalidad, non bis in ídem, etc. A los que deben añadirse las garantías adjetivas: no indefensión, carga de la prueba, interdicción de la reformatio in peius, etc”. En este sentido la Disposición transitoria primera del actual código penal aplica la disposición más favorable para el reo, aunque los hechos hubieran sido cometidos con anterioridad a la entrada en vigor de la norma. En atención a lo expuesto este principio debería ser aplicable al procedimiento administrativo, se debería aplicar esta figura del apercibimiento, como mas favorable, aunque los hechos se hubiesen cometido con anterioridad a la instauración de este principio.

Además pienso que resultaría un agravio comparativo, además de producir indefensión, que las sanciones administrativas, al contrario que las penales, no pudiesen ser canceladas, y su influencia colgase, cual espada de Damocles, sobre la cabeza del administrado, de por vida.

Abundando en el tema, la prescripción de las sanciones muy graves en la LOPD es de 3 años, tiempo más que suficiente para considerar que un hecho por el que ya ha sido sancionado un administrado debería ser olvidado, principio inspirador de la prescripción. Este principio considero que debería ser aplicado también para la cancelación de antecedentes administrativos, máxime cuando el administrado ya ha cumplido con sus obligaciones de pago de las sanciones.

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información.

www.audea.com

Desde hace tiempo diferentes grupos de la sociedad civil se vienen quejando de que Internet ya no es lo que era, de que la censura ha conseguido acabar con aquél paraíso del aprendizaje que fue en sus comienzos la World Wide Web. Quizás se ha tratado de un cambio tan gradual y medido a lo largo de los años, que una gran parte de usuarios de la Red lo acepta sin más, porque no le resulta del todo perceptible o, simplemente, no afecta a sus hábitos de navegación ni a sus intereses o hobbies personales.

Pero lo cierto es que para muchos la censura en Internet avanza y avanza, y la Red corre el peligro de convertirse en un mercado más al servicio de los mercados. Evidentemente, eso a mucha gente no le parece un futuro muy prometedor. Entre esa gente, están los miembros del proyecto Hackerspace Global Grid, que tiene como objetivo poner en órbita un satélite inicialmente para poder poco a poco ir desplegando una red que permita, por decirlo en términos fáciles, disponer de una Internet alternativa que no esté cercada por los intereses económicos y políticos de siempre.

La idea ha nacido en el pasado Chaos Communication Congress, celebrado en Berlín, y en principio podría comenzar a tomar forma durante el año 2012. Los usuarios se conectarían a la nueva Red a través de pequeñas estaciones de bajo coste que se venderían sin ánimo de lucro (se ha fijado un precio máximo de 100 euros) o que incluso podrían ser construidas por los propios usuarios. Según uno de los integrantes del proyecto, pretenden tener preparados 3 prototipos en este año 2012 para poder presentarlos en el próximo Chaos Communication Congress.

De nuevo estamos ante un escenario que ya conocíamos, el de la lucha entre quienes pretenden implantar mayores cotas de control social y aquellos individuos que consideran que superar ciertas cotas de control es, simplemente, inaceptable.

Áudea Seguridad de la Información

Manuel Diaz Sampedro

Departamento de Gestión

www.audea.com

Las vulnerabilidades se citan a continuación, así como el enlace para descarga de la actualización que soluciona el problema.

1. 1.      Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2636391). Gravedad: Crítica

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-004

1. 2.      Una vulnerabilidad en el kernel de Windows podría permitir la omisión de característica de seguridad (2644615). Gravedad: Importante

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-001

1. 3.      Una vulnerabilidad en Empaquetador de objetos podría permitir la ejecución remota de código (2603381) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-002

1. 4.      Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2646524) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-003

1. 5.      Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2584146) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-005

1. 6.      Una vulnerabilidad en SSL/TLS podría permitir la divulgación de información (2643584) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-006

1. 7.      Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información 2607664) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-007

Más información en:

http://technet.microsoft.com/es-es/security/bulletin/ms12-jan

Áudea Seguridad de la Información

Departamento Seguridad TIC

www.audea.com

Este curso combina los requisitos e implantación de un sistema de gestión del riesgo que utiliza la teoría, los debates entre los alumnos y los ejercicios, para conseguir alcanzar de manera óptima los objetivos de la formación.

Va dirigido a auditores y  consultores de la seguridad de la información, gerentes de riesgos, directores generales, ingenieros….

Puede obtener más información:

http://www.bsigroup.es/es/Formacion/programacion-cursos/

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com