Etiqueta: protección de datos

bookmark_borderRoban datos de 120.000 usuarios de una empresa española por Internet

Posted on by Félix J. Haro

hacker2Según publicó ayer El País, unos ciberdelincuentes han robado los datos de más de 120.000 usuarios de una empresa española dedicada a prestar servicios de registro de nombres de dominio: datos personales, teléfonos, números de cuentas y tarjetas de crédito, direcciones de correo electrónico… El periódico no cita cuál es la empresa, pero por la cifra de clientes el nombre queda circunscrito a tan sólo unas cuantas. Es posible que el ataque se haya realizado desde servidores situados Estados Unidos o Rusia, aunque claro, quizá sólo hayan sido utilizados como pantalla intermedia. Será bastante difícil encontrar el punto verdadero desde el que se ha realizado.

El artículo menciona que estos delincuentes han podido utilizar datos personales de usuarios y de empresas españolas que tenían contratados los servicios de esta empresa en cerca de 10.000 ocasiones. Es muy curioso cómo la primera alerta la dieron los mismos usuarios, porque notaron que alguien había modificado sus páginas web.

Acens se ha apresurado a publicar en su web una nota de prensa donde se desvincula del ataque. También Arsys ha enviado a sus clientes un correo electrónico asegurando que no es la afectada, y a la Asociación de Internautas el siguiente comunicado:

Como consecuencia de las informaciones aparecidas en varios medios de comunicación, ante la similitud de la descripción de la empresa con arsys.es y la alarma que ha podido generar entre nuestros clientes, queremos informar de lo siguiente:

1.En el mes de abril, arsys.es detectó un incidente de seguridad que no se corresponde en su totalidad con el descrito en los medios.

2.En el incidente sufrido por arsys.es se vio comprometida parte de la información de los datos de algunos de nuestros clientes, pero en ningún caso se vieron comprometidas contraseñas o claves de cuentas de correo electrónico, ni bancarias, ni de tarjetas de crédito. Por lo tanto, no ha existido riesgo de uso indebido de los datos para cometer fraude electrónico o de acceso al contenido de las cuentas de correo de nuestros clientes.

3.Posteriormente, y con las claves FTP obtenidas por los delincuentes, se recibió un ataque contra aproximadamente un 1,5% de los sitios web alojados en arsys.es. La consecuencia de este ataque fue la inserción en dichas páginas web de un enlace hacia un servidor externo desde el que se descargaba un código malicioso.

4.Arsys.es, inmediatamente detectado el incidente, adoptó las medidas técnicas y organizativas oportunas. De inmediato se eliminaron los enlaces de las páginas web afectadas, y se establecieron todas las medidas preventivas a nuestro alcance. Se informó puntualmente a los clientes afectados, y se recomendaron medidas de seguridad complementarias a la totalidad de los clientes.

5.Arsys.es, cumpliendo los requerimientos legales y con la diligencia debida, concluyó las acciones realizadas en relación con esta incidencia con la presentación de una denuncia ante el Grupo de Ciberterrorismo del Servicio de Información de la Dirección General de la Guardia Civil. Aplicando criterios de prudencia y proporcionalidad, y como no puede ser de otra forma, arsys ha mantenido la máxima discreción posible para no entorpecer las investigaciones policiales y judiciales pertinentes.

Arsys Internet S.L.

Sea la empresa que sea, seguro que su nombre trascenderá, y su reputación sufrirá un serio revés. Su reputación y su cartera de clientes. Y lo primero que debiera haber hecho es emitir un comunicado de prensa explicando qué ha sucedido en realidad. Será peor cuando se haga público, porque habrá querido ocultar lo que ha sucedido, y los clientes pasarán factura.

Tenemos que empezar a acostumbrarnos a este tipo de acontecimientos que sucederán cada vez más a menudo.

bookmark_borderJornada sobre el desarrollo reglamentario de la LOPD

Posted on by Félix J. Haro

clausulasEl miércoles 6 de junio asistí en Barcelona a la Jornada sobre el desarrollo reglamentario de la LOPD que organizó la UOC en Barcelona. El plantel de ponentes, de lujo: el Secretario de Estado de Justicia, el Director de la AEPD, y parte del equipo jurídico que asesora al Ministerio en el desarrollo del nuevo reglamento. El salón de actos del Centro de Estudios Jurídicos y Formación Especializada del Departamento de Justicia de la Generalitat estaba lleno a rebosar, con más de doscientos asistentes.

De las intervenciones iniciales destaco la de D. Llorenç Valverde, que se autodefinió como “tecnólogo”, y mencionando a Lessig (“el código es la ley”) remarcó la importancia que tiene el software en el tratamiento de datos, dejando caer la idea de que con una programación adecuada se podrían resolver problemas que atormentan a los responsables, como la cancelación de los datos.

  1. Julio Pérez, Secretario de Estado de Justicia, detalló el recorrido del borrador de reglamento y mencionó las principales preocupaciones del Ministerio: el tratamiento de los datos de menores de edad, los ficheros de solvencia patrimonial y crédito, y los tratamientos no automatizados de datos. Al auditorio nos quedó claro que el borrador ha de pasar todavía el dictamen del Consejo de Estado, y quizá para el otoño esté aprobado.
  2. Santiago Cavanillas Múgica, Catedrático de Derecho Civil de laUIB, y director del Centro de Estudios de Derecho e Informática de Baleares, intervino magistralmente comentando el artículo 11 del borrador, relativo a la forma de recabar el consentimiento. Haciendo una interpretación práctica redujo a cenizas la regulación del consentimiento que pretende imponer el reglamento nuevo a partir de argumentos prácticos y entendibles. Claramente habló de excesos reglamentarios que infringían el principio de legalidad:

– se hace valer el silencio del interesado como positivo, llevando a un sistema parecido al francés: el responsable podrá dirigirse al interesado concediéndole un plazo de 30 días. Si éste no manifiesta su negativa se entenderá que consiente el tratamiento de sus datos de carácter personal. Esto abre muchas cuestiones: ¿qué medios son válidos para efectuar esta notificación?, ¿desde qué momento hay que contar el plazo?, ¿es legítimo que el reglamento imponga una carga de este tipo al interesado?…

– el artículo en cuestión permite tratar cualquier tipo de datos, incluidos los especialmente protegidos;

– lamentó la poca valentía del legislador en no prohibir las llamadas telefónicas con fines de márketing directo;

Lo que más me choca es que si el artículo 11 se entiende referido a la recogida de datos inicial, el reglamento está legitimando un tratamiento previo. Y me explico: ¿cómo me voy a dirigir a un interesado para recabar el consentimiento sin hacer un tratamiento? Es de locos. Si me dirijo a él, ya le tengo inserto en un fichero, y ya he tratado los datos… para enviarle esta comunicación. O se entiende que esa forma de recabar el consentimiento sólo va referida a interesados cuyos datos ya trata legítimamente el responsable de un fichero, o hay que cambiarle el nombre al título. El Reglamento no puede legitimar un tratamiento que es ilegítimo conforme a la LOPD.

La intervención de D. Lorenzo Prats fue demasiado técnica. Se le debió olvidar que no tenía delante un auditorio de estudiantes o profesionales de derecho exclusivamente y lanzó un largo discurso que se centró en justificar que el reglamento regulaba las relaciones entre los particulares y responsables de los ficheros, catalogando éstas como una relación especial.

Eché de menos que se tratar la novedosa referencia al software de la Disposición Adicional Única. Uno de los ponentes, D. Ricard Martínez, me comentó la razón de su existencia: las reclamaciones de los responsables de ficheros por haber realizado tratamientos con software que no permitía aplicar las medidas de seguridad pertinentes. Y que no tenía nada que ver la aparición de esa Disposición con la Comunicación de la Comisión al Parlamento de la UE que ya comenté. Una demostración más de que el Reglamento se excede: ¿por qué mencionar al software, y no a otros sectores? Sobra la mención, la LOPD no prevée en ninguna parte que haya de establecerse nada al respecto, y son los fabricantes los que debieran preocuparse de producir software que permita cumplir la LOPD, y los responsables escoger el adecuado.

Una buena Jornada que sirvió para apuntar unas cuantas ideas interesantes para aplicar.