Los usuarios de la red social están mostrando su malestar “a través de otras redes” ya que este tipo de imágenes y enlaces han aparecido en sus muros sin su conocimiento.

Según asegura el blog de seguridad Naked Security, de la compañía Shopos, los contenidos que aparecen en muros publicados como por uno mismo, incluyen imágenes pornográficas explícitas retocadas de artistas en situaciones sexuales explícitas, imágenes de violencia extrema e incluso fotografías de animales maltratados.

Algunos han asegurado que tras este problema cerrarán su cuenta de Facebook, asegura el blog Naked Security.

El diario digital Gawker, han especulado con que piratas informáticos asociados al grupo Anonymous pueden ser los responsables de este ataque, pero desde el blog de Shopos no se ha podido confirmar esta noticia.

Por el momento, no está claro cómo se ha podido hacer pero entra las opciones que se barajan se encuentran que los usuarios hayan caído en el denominado ‘clickjacking’, estén etiquetados en el contenido sin su conocimiento, que hayan configurado mal su privacidad, que hayan sido engañados en la instalación de código malicioso o que hayan sido víctimas de otra vulnerabilidad dentro de Facebook.

Áudea Seguridad de la Información

Departamento de Comunicación

www.audea.com

PortalTic

Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.

Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.

Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.

Áudea Seguridad de la Información

Departamento Derecho NNTT

www.audea.com

Entre la información publicada se encuentran normativa, nombramientos, situaciones e incidencias, oposiciones y concursos, notificaciones de la Administración de Justicia, anuncios oficiales y particulares, subastas y concursos de obras y servicios, y otras disposiciones.

En un primer momento estos boletines se publicaban en papel, y a pesar de su vocación de difusión en realidad eran pocas las personas o empresas que leían estos boletines, generalmente profesionales que en su labor diaria precisaban su consulta.

Pero con el desarrollo de las tecnologías de la información, estas publicaciones han entrado en Internet. Las distintas normas que regulan estos boletines reconocen la validez jurídica de la publicación de los mismos en su versión digital. Paulatinamente se ha ido sustituyendo la edición en papel por la edición digital, de consulta mas fácil, cómoda, y universal.

En estas publicaciones es habitual que se contengan datos de carácter personal como por ejemplo en notificaciones de la Administración de Justicia, anuncios, subastas, oposiciones y concursos.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, reconoce a estas publicaciones el carácter de fuentes accesibles al público, pudiendo ser consultadas, y utilizar la información contenida sin el consentimiento del titular de los datos, siempre que su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, y que no se vulneren los derechos y libertades fundamentales del interesado.

Todos conocemos la importante función que los buscadores de Internet realizan en la indagación de los datos e informaciones que el internauta precisa. Un buscador es una página Web en la que se puede consultar una base de datos en la que se relacionan direcciones de páginas Web con su contenido. Su uso facilita extraordinariamente la obtención de un listado de páginas Web que contienen información sobre el tema precisado.

Por lo tanto uniendo estas dos herramientas, boletines oficiales electrónicos y buscadores en Internet, es posible localizar los datos de cualquier persona cuyo nombre aparezca en los citados boletines, sea por el motivo que sea.

Esto ha llevado a que los afectados se vean incursos en un proceso de vigilancia o escrutinio público que en ocasiones perjudica la imagen pública de esta persona. Es posible encontrar información de las infracciones administrativas y penales, puestos de trabajo de funcionarios, nombramientos, domicilios, e incluso he encontrado en alguna ocasión el lugar de celebración del matrimonio de una determinada persona.

Pero ¿es necesario que esta información aparezca de forma indefinida en la red?, ¿tiene el particular la obligación de soportar que sus datos personales puedan ser consultados y usados por todo el mundo?

La Agencia Española de Protección de datos, haciéndose eco de estas reclamaciones o reivindicaciones, se ha pronunciado en diversas ocasiones sobre esta situación. En este sentido El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe Jurídico 0214/2010 indica que “dado que el interesado ya se ha dado por notificado de los mencionados actos administrativos, objetivo que se pretendía con su publicación en los citados diarios oficiales, por parte de la Diputación Provincial de Córdoba y la Diputación Provincial de Cádiz, se dictaran las órdenes oportunas para limitar la indexación del nombre y apellidos de Don ……en los mencionados documentos mediante la incorporación de un código norobot.txt, con objeto de que en el futuro los motores de búsqueda de Internet no puedan asociarlo al interesado”. En este sentido no podemos obviar que la Agencia Española de Protección de Datos ya condenó a la Agencia Estatal BOE en RESOLUCIÓN Nº.: R/00078/2011 “instando a esta entidad para que adopte las medidas necesarias para evitar la indexación de los datos personales de la reclamante en sus páginas, con objeto de que en el futuro los motores de búsqueda de internet no puedan asociarlas a la reclamante”.

Igualmente en el procedimiento de tutela de derechos TD/266/2007 la Agencia Española de protección de datos manifiesta “… cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet. Si requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), no es menos cierto que resulta palmariamente legítimo que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal”.

Como conclusión podemos decir que como regla general cualquier persona no debe soportar que sus datos personales queden accesibles de por vida en Internet como consecuencia de la inclusión de sus datos en los buscadores de referencia en este medio. Y por tanto debemos a distintas circunstancias:

- La finalidad por la que fueron publicados estos datos. Si ésta fue la de notificación al interesado de un determinado acto administrativo, una vez efectuada ésta, y transcurridos los plazos de ejercicio de los posibles recursos, la finalidad quedaría cumplida, y por tanto no sería necesario el mantenimiento de estos datos para su búsqueda a través de los buscadores.

- La condición de personaje público del titular de los datos, y que el hecho sea noticiable o de relevancia pública. En consecuencia cualquier persona o hecho que no reúna estas características no debería soportar por tiempo indefinido la inclusión de sus datos en Internet. Pero esta conclusión en mi opinión merece una crítica, y es que los hechos resultan noticiables en un determinado momento, dejando de tener este carácter pasado un tiempo. Y en este sentido si transcurrido un tiempo prudencial, la noticia siguiese apareciendo mediante su examen en los buscadores indicados, el afectado debería intentar la retirada de la información de los medios donde aparezca, o como mínimo se debería evitar encontrar los datos concretos a través de estos buscadores.

Consciente del hecho que la información no puede ser retirada de los Boletines Oficiales, la Agencia Española de Protección de datos propone la aplicación de medios técnicos que eviten que los buscadores puedan encontrar estos datos personales. Consistirán en la aplicación de programas norobot.txt. Éstos lo que hacen es dar instrucciones tanto a la página Web donde se encuentre la información, como a los propios buscadores para evitar que la misma pueda ser indexada. En consecuencia la programación de estos códigos debe efectuarla tanto la Web que incluye la información, como los buscadores. Además los buscadores deberían actualizar su caché[1] para que esta información no vuelva aparecer.

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre

Departamento Derecho NNTT

www.audea.com

La red social por excelencia ha sido cuestionada en varias ocasiones desde diferentes organismos alemanes por sus políticas de privacidad, sobre todo por el rastreo de usuarios que realiza a través de las cookies que se instalan automáticamente en sus equipos. En este sentido, la Agencia de Protección de Datos de Hamburgo señala en un informe que las cookies pueden permanecer hasta dos años en el ordenador del usuario aun después de haberse dado de baja en el servicio. Según Johannes Caspar, director de la Agencia de Protección de Datos, “el argumento de que todos los usuarios deben seguir siendo identificables después de que cierren su cuenta en Facebook para garantizar el servicio no se sostiene legalmente”.

Estos nuevos estudios pueden poner en peligro el futuro de Facebook en Alemania y es que las actividades que realiza la compañía estadounidense pueden considerarse contrarias a derecho, incluso creando indefensión a los usuarios, ya que según palabras de Vosskuhle “existe un grave desequilibrio entre el poder de la compañía, cuyos servidores se encuentran fuera de Alemania, y los estados federados, cuya judicatura dispone de una competencia fragmentaria en materia de protección de datos“.

Áudea Seguridad de la Información,

Departamento de Gestión

www.audea.com

Fuente: www.elmundo.es

Entre los sectores que se han notado una mayor actividad en las notificaciones a la AEPD destaca en primer lugar las comunidades de propietarios, con más de 300.000 ficheros inscritos y un incremento de un 25%. Por otro lado, destacan tanto el incremento de las pequeñas y medianas empresas del sector comercio principalmente, como las empresas del sector sanitario; empresas conscientes del tratamiento de datos de salud que realizan.

De los ficheros inscritos, se desprende que 115.000 son de titularidad pública, pertenecientes a las Administraciones Públicas, y 2.400.000 de titularidad privada, habiendo sido inscritos por más de 900.000 empresas y organizaciones. Cataluña, Andalucia y Madrid son las comunidades autónomas que más ficheros inscriben.

La LOPD establece la obligación para todos los organismos y entidades, sean públicas o privadas, dar de alta los ficheros que contengan datos de carácter personal (clientes, pacientes, videovigilancia, personal, etc.), con un simple objetivo; hacer público a los ciudadanos quién trata sus datos y así poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Áudea Seguridad de la Información SL

Departamento Legal

Fuente: www.agpd.es

 La noticia que aparecía en Internet hacía referencia a la vinculación de esta determinada persona con una red de narcotráfico. El afectado, que no quería que la noticia pudiese ser conocida por la totalidad de la población, decidió solicitar a dos de los buscadores de referencia, Yahoo y Google, que procediesen a cesar en el tratamiento de sus datos personales ejercitando su derecho de oposición, o en su defecto procediesen a cancelar sus datos personales en estos buscadores. 

 La Agencia durante 25 hojas se dedica a fundamentar jurídicamente si los buscadores están obligados a atender estos requerimientos según tengan establecimiento o medios en el territorio del Estado Español, o de la Comunidad Europea. Para ello hace referencia a varias resoluciones y recomendaciones anteriores tanto de la propia Agencia, como del Grupo de Trabajo del Artículo 29, en la que llegan a la conclusión final que estos dos buscadores tienen tanto establecimientos en España, como utilizan medios en nuestro territorio para realizar la búsqueda, y por tanto deben atender la solicitud de derechos ARCO que se les planteen por los particulares. Resulta una buena noticia para los que no sabíamos como hacerlo, porque la respuesta que hemos recibido siempre de Google es que la empresa principal se encuentra en America, y por lo tanto allí no se aplica la legislación Española.

 Pero la Agencia va más allá, y analiza un requisito que hasta ahora había pasado desapercibido. El art. 34.a) del Real Decreto 1720/ 2.007 que regula el procedimiento de oposición exige que para que éste pueda ser atendido se deben dar las siguientes circunstancias:

 - Que exista un motivo legítimo y fundado.

- Que dicho motivo se refiera a su concreta situación personal.

- Que el motivo alegado justifique el derecho de oposición solicitado.

 En la solicitud que el particular efectúa se omite este motivo, además no hace referencia a qué datos concretos hace referencia el titular para el ejercicio de derechos, dice la Agencia, y por tanto se desestima la solicitud de protección de derechos. “Toma ya”, eso se llama tirar la pelota en el tejado de otro.

 En cuanto a la referencia a los datos concretos, creo que los mismos quedan perfectamente acreditados, si en toda la solicitud no se hace referencia a otros datos, nada más que a los identificativos, nombre y apellidos, es de suponer que los datos se refieran a éstos. Pero aún pudiendo existir dudas sobre aquellos, el mismo Real Decreto citado en su artículo 25.3 indica que “en el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos”. Y parece ser que el responsable no hizo ninguna mención en éste sentido, luego entendía que la solicitud estaba bien hecha y no necesitaba ningún dato adicional.

 En cuanto a la acreditación de un motivo, si el Real Decreto lo dice por algo será. Pero parece obvio que éste motivo, implícitamente hace referencia a que no quiere que sus datos aparezcan en los motores de búsqueda, además también podemos deducir, por la naturaleza del derecho, que se trata de un derecho contra la dignidad, la propia imagen, y el específico de la protección de datos, que motivó la promulgación de una Ley concreta como la LOPD. Pero es más, dentro de estas 25 hojas a las que antes hacía referencia, la Agencia hace referencia expresa a una resolución de la misma, la recaída en el procedimiento de tutela de derechos  TD/266/2.007  que indica “ que cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet”. En este sentido parece deducirse que si la persona es objeto de hecho noticiable tiene que soportar toda la vida la inclusión de esta noticia en Internet, cuando la propia resolución indica que si sus datos personales no son de interés público, por no contribuir su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático, debe gozar de mecanismos reactivos amparados en Derecho(como el Derecho de cancelación de datos de carácter personal).  A esto quiero añadir, que hecho en falta un dato en esta resolución, y es que no pone la fecha de la noticia. Si la noticia fue publicada hace mucho tiempo, el carácter de noticiosa la perdió con el tiempo, y por lo tanto no es necesario el mantenimiento de la misma en el tiempo. La Agencia también se ha pronunciado en diversas resoluciones sobre el derecho al olvido.

 Y por último, quisiera apuntar, que el solicitante hizo dos peticiones alternativas, oposición y alternativamente cancelación. El Real Decreto no exige la acreditación de ningún motivo fundado para el ejercicio de este derecho, y por tanto la Agencia, debería haber resuelto sobre esta petición alternativa.

 Audea seguridad de la información S.L.

Departamento Legal

www.audea.es

Áudea, con sede en Madrid, cuenta con más de 10 años de experiencia como empresa pionera la gestión integral de la seguridad de la información, constituyéndose como un referente obligado en este ámbito, habiendo desarrollado importantes proyectos para grandes compañías y grupos empresariales nacionales e internacionales, organismos públicos, así como para pequeñas y medianas empresas de todo tipo.

Con una clara orientación al cliente, y en base a la política de expansión de la compañía, nace esta delegación, con el fin de aportar al tejido empresarial andaluz y a los organismos públicos nuestra experiencia y conocimiento en la seguridad de la información, además de proporcionar un trato más directo y cercano con los clientes con los que ya cuenta Áudea en el sur de España.

Queremos anunciar que próximamente Áudea continuará con su proceso de expansión abriendo más delegaciones hasta cubrir todo el territorio nacional y trasladar nuestro agradecimiento a todos los que hacen posible que Áudea siga en crecimiento.

Atentamente.

Departamento de Comunicación

www.audea.com

Recientemente también se conoció que los iPhone de Apple obtenían los datos de ubicación y .los almacenaban durante un año, aún cuando se desactivaba el software de ubicación. Apple en su momento ideó un parche para corregir el problema; lo cual no evitó la polémica.

Legisladores estadounidenses ya acusaron a la industria tecnológica de recabar dichos datos con fines comerciales y sin consentimiento. Los usuarios ahora quieren ir más allá; buscan una medida cautelar y una indemnización por atentar contra su privacidad, entre otras reparaciones.

Áudea Seguridad dela Información

Departamento Legal

www.audea.com

Fuente: www.abc.es

WIKIPEDIA define fuerza bruta como: “La forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.”

A pesar de lo que pudiera parecer, es uno de los métodos más empleados por los hackers, que explota la vulnerabilidad  más recurrente en la seguridad de la información: el factor humano. Los usuarios no disponen de contraseñas lo suficientemente robustas, como distintos tipos de caracteres y de números que  impliquen una cierta complejidad. Por el contrario, para evitar olvidarse de su clave de acceso, prefieren contraseñas fáciles de recordar, pero al mismo tiempo de adivinar.

Con este fin, los hacker, utilizan herramientas que disponen de diccionarios de contraseñas, cuya función es ir probando contraseñas una por una.

No obstante, como usuarios, sabemos que únicamente  con la contraseña, no es posible acceder a un puesto, puesto que es necesario contar con un código de usuario.

Para conseguir tanto el código de usuario como la contraseña, a través de este tipo de ataque, existe diferente herramientas como BrutusAET 2 para fuerza bruta a contraseñas de FTP, Essential Net Tools para fuerza bruta a contraseñas de servicio de red (NetBIOS), o John the Ripper – Windows, Linux para fuerza bruta a contraseñas “hasheadas” de Windows.

Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas. De esta forma se bloquea el sistema automáticamente después de un número de intentos fallidos predeterminados. Sin embargo, aún cuando exista un Directiva de bloqueo de cuenta, o de complejidad de las contraseñas que obligue a cambiarla cada cierto tiempo, también son fácilmente predecibles porque a menudo consisten en agregarle cortas secuencias de números a una misma raíz original. Por tanto, lo más recomendable sería establecer Directivas de contraseñas lo suficientemente robustas, por una empresa especializada.

Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información.

Áudea Seguridad de la Información

Eduardo de Miguel Cuevas

Departamento Legal

www.audea.com

Estos ataques según la intervención del subsecretario se han convertido en un problema significativo en los últimos años en los que se han extraído terabytes de información de las redes internas de defensa. El Departamento de Defensa, con sus 15.000 redes y más de 7 millones de dispositivos informáticos ha sido uno de los objetivos preferidos por estos grupos y con la valiosa información que en ellos se contiene, como sistemas de armas y sus capacidades, es un elemento que necesita una seguridad por encima de lo habitual.

Esta nueva estrategia, que ya incluye mejoras como el Comando Cibernético se esta llevando a cabo junto con el Departamento de Seguridad Nacional, habiendo detectado ya más de 60.000 programas de software dañinos. El plan de seguridad se basa en cinco puntos, centrados en rechazar o minimizar las consecuencias de un posible ataque a los sistemas.

Estas informaciones sobre los trabajos de mejora en los sistemas estadounidenses llega en un año en que la acción de diferentes grupos organizados de piratas informáticos están causando grandes problemas de seguridad tanto a Estados como a empresas privadas, creando un ambiente de inseguridad de la información albergada en el ciberespacio.

Áudea Seguridad de la Información

Departamento de Gestión

www.audea.com

Fuente: www.elmundo.es