Las tecnologías, hoy por hoy, avanzan casi a la velocidad de la luz y la mayoría de las empresas deben asumir todos éstos cambios con total normalidad, para ello, es recomendable hacer un repaso de forma periódica y analizar los niveles de seguridad que puedan afectar el correcto funcionamiento de toda la información que se maneja dentro de la organización. Es por ello que dentro de los departamentos de sistemas de seguridad, técnico, informático o cualquier otro en el que se maneje información confidencial de diferente índole, es imprescindible que su responsable valore periódicamente si su empresa dispone de los niveles de seguridad necesarios y adecuados.

Para tener una primera autoevaluación de la integración de sistemas de seguridad en nuestra empresa podríamos plantearnos las siguientes cuestiones:

• ¿Realizamos periódicamente auditorías en nuestra infraestructura?
• ¿Realizamos backup para asegurar la operación de nuestros sistemas? ¿Tenemos una copia de seguridad fuera de nuestras instalaciones habituales?
• ¿Controlamos el tráfico de Internet y del correo?
• ¿Disponemos de un sistema antivirus acorde a nuestras necesidades?
• ¿Gestiona los logs de nuestros sistemas?

En Áudea, como especialistas en materia de seguridad de la información, recomendamos estudiar los beneficios de tener un eficiente control de los sistemas de seguridad dentro de la organización.

Audea Seguridad de la Información

Departamento de Marketing y Comunicación

Eugenia Moreau González

www.audea.com

27.000 surcoreanos exigen al fabricante californiano que les indemnice por registrar sus movimientos con el iPhone

“Más de 25.000 surcoreanos han presentado una demanda conjunta contra Apple por violación de la privacidad al registrar sus movimientos geográficos con el teléfono iPhone y la tableta iPad 3G”, según recogen varios medios asiáticos.

El detonante de esta actuación masiva fue la indemnización recibida por el letrado surcoreano Kim Hyung-Suk, tras demostrar que el gigante norteamericano recopilaba datos de su ubicación sin su consentimiento. Ahora este mismo letrado ha presentado esta demanda conjunta por la que cada uno de los afectados reclama a Apple 647 euros, cantidad con la que Apple tuvo que indemnizar en su día al abogado.

En la Conferencia Where 20.0, celebrada a principios de abril, se desveló que tanto iPad como iPhone “registraban los movimientos de sus usuarios, datos que se almacenan en un archivo oculto”, ante lo cual “la compañía lanzó una actualización del software para resolver el problema el pasado mes de mayo”.

Esta noticia vuelve a poner sobre la mesa la problemática relacionada con la geolocalización de los usuarios de smartphones, cada vez más extendida, y su difícil encaje con la protección de la privacidad. En relación a este tema, la Unión Europea, por medio del Grupo de Trabajo del artículo 29, elaboró un Dictamen sobre la incidencia y los riesgos para la privacidad de los “Servicios de Geolocalización en dispositivos móviles inteligentes”, en el que establecen el marco jurídico aplicable, que se basa fundamentalmente en la obligación de la existencia de un consentimiento previo e informado: los servicios de geolocalización deben estar apagados por defecto, y la activación requiere dicho consentimiento, para el cual la información debe aparecer de forma clara y sencilla, y excluye por ejemplo la validez del consentimiento prestado a través de la aceptación de la típica cláusula obligatoria de términos y condiciones generales.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: el país

El uso de la biometría para la identificación personal es uno de los sistemas más fiables que existen; siendo los patrones faciales los que mejor resultados pueden ofrecer. Facebook introdujo en junio el reconocimiento facial para las fotografías, de forma que facilite el etiquetado de amigos y conocidos en la subida de fotografías. Y como no, ha reabierto el continuo debate sobre la pérdida de control de privacidad del usuario en las redes sociales.

Ahora el sistema escanea las caras de una nueva imagen que se incorpora, busca entre las fotografías que se han subido anteriormente y si coincide con los rasgos básicos de los rasgos de la nueva imagen, sugiere el etiquetado directo de esa persona.

Cada mes se incorporan 3000 millones de nuevas imágenes en Facebook y se añaden más de 100.000 millones de etiquetas diarias, con lo que la nueva función de etiquetado automático se podría decir que disponen de la mayor y más completa base de datos del mundo.

El problema comienza en que Facebook ha activado el reconocimiento facial por defecto y se sugerirá su identificación de forma automática, a no ser que el usuario navegue por las opciones de privacidad de su perfil, siendo algo desconocido para la mayoría según los expertos. Lo mismo ocurría anteriormente también con las opciones de perfil público o privado.

Alemania ha sido el primer país que ha pedido que desactive el servicio y elimine los datos, argumentando en una violación de la normativa en Protección de Datos al otorgar a los usuarios información engañosa y contradictoria. Además, Google y Apple están probando esta tecnología. Se prevé que las autoridades europeas en esta materia de los países miembros de la UE aborden este tema después del verano con el objeto de analizar si realmente cumple con la legalidad; que en un principio parece ser que no.

Audea Seguridad de la Información

Iván Ontañón Ramos

Departamento Legal

www.audea.com

En el Departamento de sistemas de cualquier empresa es más que importante tener “Backup” al día, puesto que se deben mantener actualizados todos los sistemas de gestión y la continuidad de negocio como pilares fundamentales de seguridad, lo cual es siempre recomendado por los expertos.

¿Qué es un “Backup”?

Un “Backup” es un sistema que almacena “información importante” fuera de la organización, realizando una comprobación de forma periódica. Para que sea realmente eficiente debe estar dispuesta en cumplimiento con el marco legal y las mejores prácticas.

Un backup eficiente es posible encontrarlo en puntuales empresas que ofrecen éste tipo de servicios, generalmente se realizan a través de sus Partners para así asegurarse de garantizar la disponibilidad y la continuidad de los sistemas de información, tal como: copia online, copia continua local, copia continua remota, copia local histórica bunker de guarda y custodia de soportes y lo más importante un buen servicio de destrucción de soportes ¿porqué hacemos énfasis en esto?, pues porque la mayoría de las empresas “creen tener” un cierto derecho y potestad de desaparecer, eliminar ó bien destruir sus documentos, datos e informaciones que para ellos ya no tienen utilidad y solo ocupan espacio y resultan más frecuentes los casos de fraude, malas gestiones de seguridad, perdida de datos personales ó confidenciales, etc. y si bien pueden ser fallas humanas, del personal ó fallos informáticos en los ordenadores, finalmente terminan siendo “fallas” del usuario también, que es quién lo opera.

¿Consecuencias?

Víctimas o responsables que acaban envueltos en delitos graves de elevados costes, con pérdidas importantes de información y una nefasta reputación corporativa difícil de limpiar. Por ello es imprescindible crear consciencia a nivel general y tomar en cuenta todo lo que puede beneficiarnos un buen almacenaje de datos “Backup” y, posteriormente, la realización de una correcta destrucción de soportes. 

Áudea Seguridad de la Información

Eugenia Moreau González

Departamento de Comunicación

www.audea.com

Respecto de las comunicaciones de la información sindical realizadas en el ámbito empresarial se ha pronunciado en repetidas ocasiones el Tribunal Constitucional. En su sentencia 281/2005 de 7 de noviembre ha confirmado que la divulgación de la información sindical forma parte del contenido esencial del derecho fundamental de la libertad sindical recogido en el artículo 28.1 de la Constitución Española y desarrollado por la Ley Orgánica 11/1985 de Libertad Sindical, de 2 de agosto. Sin embargo el Tribunal Constitucional viene ha indicar también, que el desarrollo legislativo no agota las posibilidades de difundir la información sindical, por lo que el sindicato puede ejercer este derecho fundamental tanto a través de los cauces previstos en la ley como por medio de otros que libremente adopte siempre que respete la normalidad productiva de la empresa. A su vez, el empresario tiene que asumir ciertas cargas tasadas en la Ley y dirigidas a hacer efectivo el hecho sindical informativo. ¿No obstante, puede un empresario realizar las comunicaciones de las direcciones del correo electrónico asignados por la empresa a los trabajadores afiliados a sus organizaciones sindicales? Para responder a esta pregunta, debemos traer a colación la Ley Orgánica 11/1985 de Libertad Sindical, que en su artículo 2 obliga a los empresarios a realizar las acciones positivas favorecedoras de las comunicaciones entre el sindicato y los trabajadores y mejorar la difusión de la información sindical como por ejemplo facilitar en determinados casos a las secciones sindicales de los sindicatos más representativos ciertos medios materiales y/o instrumentales. Concretamente, para cumplir con esta exigencia legal, los empresarios deberán poner a su disposición en los centros de trabajo un tablón de anuncios o, en las empresas con más de doscientos cincuenta trabajadores, un local adecuado. En este sentido deberá calificarse equivalente a estos medios el uso del correo electrónico ahí donde es posible realizar tales comunicaciones que no interfieren en el normal desarrollo de la actividad de la empresa. Asimismo, procede considerar que el envío de información sindical a través del correo electrónico no puede considerarse sujeto al régimen establecido en el artículo 21 de la Ley 34/2002, dado que estas comunicaciones no pueden ser consideradas como comerciales o publicitarias a los efectos previstos en dicha norma. Por consiguiente tampoco sería necesario recabar el consentimiento expreso del interesado sin perjuicio del ejercicio de su derecho de oposición. En el mismo sentido ha venido a aclarar dicha habilitación el Reglamento de desarrollo de la LOPD aprobado por RD 1720/2007 de 21 de diciembre entendiendo que no será necesario el consentimiento del interesado cuando los tratamientos o cesiones de los datos están habilitadas por Ley. En este caso debemos remitirnos otra vez a la Ley Orgánica 11/1985 de Libertad Sindical, que les impone a los empresarios obligaciones dirigidas a la promoción del derecho a la libertad sindical y el adecuado desenvolvimiento de su actividad. Por consiguiente, podemos concluir que los empresarios están legitimados a ceder las direcciones de correo electrónico empresarial de los afiliados a las organizaciones sindicales y éstas están también legitimadas a tratar estos datos, y remitir la información sindical a sus afiliados y trabajadores respetando la vigente legislación y las sentencias del Tribunal Constitucional.

Áudea Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

Después de haber visto ya innumerables ataques a todo tipo de páginas Web, redes sociales, portales de jugadores online, etc. en estos días le está tocando el turno a esa joven, pero implantada, red social que es Twitter.

Así, está circulando en esta red social una aplicación maliciosa llamada StalTrak sobre la que ha advertido la compañía de seguridad BitDefender.

La verdad es que la táctica de los ciberdelicuentes no es muy novedosa, y ya nos resulta conocida a casi todos los que habitamos las redes sociales, es decir, a la mayoría según todos los datos estadísticos que se publican. Efectivamente, la funcionalidad que promociona la susodicha aplicación consiste en permitirnos saber quien ha visitado nuestro perfil de Twitter. Para ello, nos pide nuestro usuario y contraseña -¡cómo no!- y ya tenemos el engaño en marcha.

Al final, lo que la aplicación hace en realidad es comenzar a enviar mensajes con vínculos a la propia aplicación, pero no proporciona en ningún caso lo que prometía.

Por tanto, si hemos caído en la trampa, debemos proceder con la mayor rapidez a cambiar nuestra contraseña para que nuestra cuenta de Twitter siga siendo eso, nuestra.

Como vemos la ciber delincuencia trabaja en turnos de 24 horas los 365 día del año, por lo que tenemos que seguir adoptando buenas prácticas de seguridad en nuestro uso cotidiano de la Red. Es la única forma en que podremos estar seguros y evitarnos más de un quebradero de cabeza.

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com

En el siguiente artículo se va a exponer los mecanismos de protección de seguridad de las aplicaciones web Ruby on Rails frente a los ataques de inyección SQL.

La seguridad de las aplicaciones webs depende del conocimiento y experiencia de los programadores, y es el resultado de la seguridad aplicada en cada una de las capas de la aplicación.

Las últimas estadísticas y estudios siguen indicando que aproximadamente el 75% de los ataques realizados tienen como víctimas a las propias aplicaciones webs, y esos mismos estudios indican que casi el 100% de los sitios auditados contenían algún tipo de vulnerabilidad en la capa de aplicación.

Uno de los más famosos y habituales ataques a la capa de aplicación se denomina SQL Injection, tal y como indica el TOP 10 de OWASP (The Open Web Application Security Project). Dicho ataque consiste en modificar los parámetros de entrada de un formulario para obtener al formar la sentencia SQL un resultado no esperado por la aplicación.

En el siguiente ejemplo se muestra código fuente vulnerable

Project.find(:all, :conditions => “name = ‘#{params[:name]}’”)

Si un atacante introduce en el parámetro ‘ OR 1=1′ la sentencia SQL resultante será:

SELECT * FROM projects WHERE name = ” OR 1 –’

Por lo que la sentencia devolverá todos los registros de la tabla Project, ya que la condición es siempre verdadera para todos los registros.

Otro ejemplo se código vulnerable permitiría a un atacante autenticarse en la aplicación sin tener conocimiento previo de ninguna credencial:

User.find(:first, “login = ‘#{params[:name]}’ AND password =

‘#{params[:password]}’”) 

Si el atacante introduce ‘ OR ’1′=’1 en el nombre, y ‘ OR ’2′>’1 en la contraseña, la sentencia SQL resultante será:

SELECT * FROM users WHERE login = ” OR ’1′=’1′ AND password = ” OR ’2′>’1′

LIMIT 1

Por lo que se encontrará el primer registro de la tabla users y se permitirá el acceso con dicho usuario.

Ruby on Rails posee un filtro para caracteres SQL especiales. Utilizando Model.find(id) o Model.find_by_something(something) automáticamente aplicará la contramedida frente a ataques de inyección SQL, aunque en fragmentos de condiciones SQL  (:conditions => “…”), los métodos connection.execute() o Model.find_by_sql (),tiene que ser aplicado de forma manual.
En lugar de pasar una cadena a la opción de condiciones, se puede pasar una matriz para limpiar las cadenas de la siguiente forma:
Model.find (: en primer lugar,: Condiciones => ["? Login = Y = contraseña", entered_user_name, entered_password]). La primera parte de la matriz es un fragmento de SQL con signos de interrogación.

También se puede pasar un hash para el mismo resultado:
Model.find (: first,: Condiciones => {: login => entered_user_name,: password =>entered_password}).

En otros casos se puede emplear sanitize_sql(condition, table_name = self.table_name).

Áudea Seguridad de la Información      

Antonio Martínez

Departamento Seguridad TICs

www.audea.com

Al hilo de la noticia publicada recientemente, “Despido por suplantación de identidad”, y de todos nuestros artículos relacionados con la reputación de las empresas (como por ejemplo “La importancia de llamarse Menganito, y saber lo que dice Fulanito”), vamos a tratar esta vez de la reputación de las personas.

Además de los métodos más comunes para dañar la imagen de una persona, como pueden ser las críticas en foros de opinión, últimamente se está poniendo “muy de moda” suplantar identidades virtuales y es que éste fue el principal motivo de denuncias relacionadas con Internet, ante la Agencia Española de Protección de datos el año pasado .

Lo que antes implicaba aparecer en alguna página de contactos, porque alguien facilitaba tus datos a desconocidos, hoy se traduce en la creación de perfiles falsos en redes sociales, comunicándose el suplantador con tus amigos y conocidos, con el único fin de dañar tu imagen.

En el mundo 2.0, este tipo de suplantación es fácil, accesible y gratuita, ya que no se puede requerir y comprobar la identidad de la persona que se da de alta en una red social. Sin embargo, estos suplantadores no son conscientes de que están cometiendo un delito de suplantación de identidad, tipificado en el artículo 401 del Código Penal, en el cual se prevén penas de seis meses a tres años de cárcel.

A pesar de ello, las soluciones más comunes no son las denuncias por este tipo de delito, sino las solicitudes de baja a través de las propias redes sociales, y las denuncias ante la Agencia de Protección de Datos.

Las redes sociales ya están preparadas para este tipo de controversias y disponen de formularios para denunciarlos hechos. No sólo se pueden denunciar suplantaciones, también puedes denunciar si consideras que existen contenidos inapropiados en un determinado perfil.

Como indicábamos al principio, no todo pasa por la creación de un perfil falso. Comentarios, noticias reales pero desafortunadas, circunstancias ligadas a nuestra vida que no queremos descubrir… Son múltiples las informaciones que se pueden encontrar en la red sobre una persona, sobretodo, si en su pasado hay algún incidente.

El derecho al olvido, es una nueva forma de poder eliminar todas esas informaciones, que incluso puedes haber vertido tú mismo. Se trata ejercer el derecho a la cancelación de datos personales que la legislación vigente ya reconoce.

Es cierto que como usuarios nosotros somos los primeros responsables del contenido que subimos a las redes sociales. Sin embargo, bien hayas sido tú, bien hayan publicado datos lícitos y verdaderos sobre ti, esto no implica, que tengas que permanecer eternamente en la red.

El derecho al olvido, nos abre nuevas posibilidades para borrar nuestra presencia digital, descontrolada debido a las múltiples fronteras que traspasa, tanto territoriales como, sobretodo, temporales.

Áudea Seguridad de la Información

Marta Sánchez Valdeón

Departamento Legal

www.audea.com

Ley Orgánica de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la propia Imagen:

En esta norma, que lleva a equívoco a muchos ciudadanos sobre su alcance (y también a profesionales “expertos” en la materia) es preciso diferenciar entre los siguientes derechos, dada su diferente protección jurídica:

-        En relación al derecho al honor que es aquel que tiene toda persona a su buena imagen, nombre y reputación (respeto de su esfera personal).

-        En relación al derecho a la intimidad que protege la esfera más íntima de la persona (protección de la dignidad del individuo).

-        En relación al derecho a la propia imagen que establece la salvaguarda de un ámbito reservado del individuo frente a la acción y conocimiento de los demás.

Por su parte, la Ley Orgánica de Protección de Datos de Carácter Personal -objeto de análisis habitual en Áudea- consagra el derecho a la protección de datos como derecho a controlar el uso de los datos de carácter personal y no debe confundirse con la Ley anterior.

En relación al derecho de propiedad intelectual como derecho que tiene el autor sobre su creación (literaria, artística o científica) de forma tal que esté en disposición de restringir los derechos de explotación, de forma tal que nadie pueda explotar derechos de propiedad intelectual sin la debida autorización de su autor.

Como se señala en el estudio de privacidad elaborado por la AEPD, no resulta infrecuente la incorporación de contenidos en las redes sociales sobre los que no se dispone de la pertinente autorización o licencia. Si bien es cierto que para estos casos existen cauces internos de “denuncia”, en la mayoría de las ocasiones el contenido no es retirado lo que motiva el inicio de acciones legales ante los tribunales.

Identificación situaciones de riesgo:

-        Obtención de datos personales (phishing, pharming).

-        Envío de correos-e no deseados (social spammer y spam).

-        Indexación no autorizada por parte de buscadores de Internet.

-        Acceso a perfil incontrolado.

-        Suplantación de identidad digital.

-        La instalación de cookies sin el conocimiento del usuario que permiten a la plataforma conocer el lugar desde el que el usuario accede, el tiempo de conexión, el dispositivo fijo o móvil desde el que accede, el sistema operativo utilizado, entre otra información.

Tras superar con éxito las auditorías realizadas por la empresa BSI (British Standards Institution) el pasado mes de Mayo, Áudea Seguridad de la Información ha renovado los certificados correspondientes a las normativas ISO/IEC 27001:2005 y a la ISO/9001:2008.

Para Áudea es un hecho importante al tratarse de estándares internacionales que certifican y proporcionan el aseguramiento de la confidencialidad, la integridad y la disponibilidad de la información que maneja diariamente nuestra entidad, así como el correcto funcionamiento de nuestros procesos y política de calidad.

A pesar de que las normas ISO son voluntarias, en Áudea consideramos que son un valor añadido que acredita la posición de la empresa frente a terceros.

Seguiremos trabajando cada año en el correcto mantenimiento de nuestros sistemas

Áudea Seguridad de la Información

Departamento de Comunicación

www.audea.com