Libro: El Delito informático y la Prueba Pericial Informática

En 2013, tuve la oportunidad de asistir como ponente a la XVII edición del FIADI, el Congreso Iberoamericano de Derecho Informático, en Santa Cruz de la Sierra (Bolivia), invitado por Álvaro Andrade.

En dicho evento, conocí a Diego Salamea Carpio, un abogado ecuatoriano que tuvo a bien regalarme y dedicarme un ejemplar de uno de sus libros: “El Delito Informático y la Prueba Pericial Informática”. 

A los técnicos, la verdad es que leer un libro escrito por un abogado, y creado por y para abogados, nos echa un poco para atrás primeramente. Sin embargo como perito informático, conocer “la otra parte”, la forma de pensar de un abogado, conocer cómo de avanzada está la legislación de delitos informáticos en otros países, te da pie a ver cómo enfocar tus informes o tus puntos de ataque si te toca caso para alguien de fuera.

Se estructura en 8 capítulos que describen lo siguiente:

• El delito informático - Bases iniciales
• El delito informático y la legislación
• La valoración de la evidencia digital
• La pericia informática
• El valor de la pericia informática
• El perito informático
• Contenido del informe pericial informático
• Consideraciones finales

La obra demuestra un trabajo colosal de Diego en cuanto a la cantidad de citas y menciones, a escritos y reflexiones de escritores referentes en el tema a nivel mundial, como mi buen amigo Gustavo Presman de Argentina por ejemplo, así como diversos extractos de códigos de legislación de diferentes países. Hasta 282 referencias bibliográficas y otras tantas páginas web consultadas.

Conceptos ya conocidos como integridad, cadena de custodia, hash, fases de adquisición de evidencias, características de las pruebas electrónicas, etc etc, se repiten una y otra vez en cada uno de los mencionados capítulos.

Es curioso entender cómo según el país, su legislación entiende que un delito informático es aquel que utiliza un dispositivo o sistema informático para la consecución del mismo, o que el objetivo es un sistema informático, o cualquiera de ambas. En el libro se llevan a cabo, en muchas ocasiones, ejercicios de derecho comparado, para ayudar a establecer un mínimo común múltiplo de lo que todas las legislaciones recogen ante una misma situación, siendo Ecuador sin embargo, el país en el que más se centra el escritor, por ser donde más experiencia y base tiene. 

De especial interés es el capítulo “Contenido del informe pericial informático”, que estructura y aporta ciertas guías para la correcta elaboración de un dictamen pericial, indicando vocabulario y formas verbales más apropiadas a emplear.

Reconozco que el libro está escrito con un lenguaje que puede resultar “denso de leer” para alguien no acostumbrado a terminología legal, pero es un excelente complemento a aquellos que ya nos hemos pegado unas cuantas veces por los juzgados (afortunadamente como peritos y no como acusados) para afianzar conocimientos e incluso aprender sobre lo que se admite en otros países como evidencias en un juicio, así como aquello por lo que te pueden juzgar y por lo que no.

Leer más...

Congreso BRAND CARE (4 de julio, Barcelona)

Durante el 4 de Julio se va a celebrar en Barcelona el primer congreso Brand Care sobre reputación, seguridad y legalidad online, evento gratuito al que cualquiera se puede apuntar.

En el programa del evento podemos encontrar un mix muy interesante, se hablará sobre reputación online, legalidad y seguridad. Entre los ponentes podemos encontrar a Javi Olmo, el abogado Xavier Rivas o nuestro colaborador Marc Rivero. 

Además, eGarante (que es uno de los patrocinadores del evento) presentará las novedades de sus herramientas, hará varias demos y regalará licencias de uso a todos los asistentes.

Así que ya sabéis, si Barcelona te queda cerca y quieres ponerte al día en seguridad, reputación y legalidad, no puedes faltar a Brand Care

Leer más...

Algunos apuntes jurídicos sobre los contratos en Cloud Computing (Parte 2 de 2)

Capitulo Primero.  Preámbulo y Parte General

Parte 2 de 2

Continuamos con la última parte de este post que comenzamos ayer sobre contrato en Cloud Computing. En esta ocasión presentaremos aquellos elementos básicos  que deben recoger   estos contratos en  Cloud Computing. Los resumimos en un total de  20 puntos, los cuales  enumeramos a continuación y desarrollaremos brevemente:

1. Descripción detallada del servicio

Gran importancia tiene la descripción del objeto y causas del contrato como preámbulo de los derechos y obligaciones que posteriormente se expondrán en las clausulas del contrato.

Al mismo tiempo, una buena descripción detallada del servicio, permite una correcta calificación del contrato que constituye una labor insertada dentro de la interpretación del mismo y mostrar el fin jurídico que los contratantes pretenden alcanzar.

Por la naturaleza propia del modelo Cloud Computing, es fundamental a los efectos de estricta seguridad jurídica, mostrar:

- Ubicación del prestador del servicio.

- Localización de los servicios. 

- Emplazamiento de las infraestructuras donde vayan a estar desplegadas las maquinas y plataformas.

- Tipo de servicios contratados.

2. Tipo de servicio del cliente, soportados sobre el modelo Cloud

Determinados servicios externalizados sobre este modelo, pueden contar con una especial regulación sectorial, que requiera de determinadas particularidades sobre el contrato y/o el servicio (elementos en materia de seguridad, accesibilidad, monitorización y auditabilidad entre otros) a la par que autorizaciones de ámbito administrativo.

Por tanto, de cara a reflejar las citadas particularidades que llevarán aparejado determinados tipos de obligaciones dentro del contrato, es importante reflejar e inventariar todos los tipos de servicio que vayan a ser soportados, para posteriormente marcar las obligaciones de manera particular y no con carácter general y de esta manera, ganar en la gobernanza del servicio.

Así por ejemplo:

- En el sector bancario, a juicio del Banco de España, considera este tipo de contratos Cloud Computing, como una variedad del contrato de delegación de servicios o funciones, al que se refiere el apartado cuarto de la norma centésima quinta de la Circular 3/08, de 22 de Mayo, sobre determinación y control de los recursos propios mínimos.

Dicha Circular establece que los citados contratos deben cumplir entre otras, las siguientes condiciones:

• Que las capacidades de control interno de las propias entidades no se vean disminuidas como consecuencia de la delegación. El control interno debe extenderse a todos los aspectos de la actividad de las entidades, incluyendo aquellos que son objeto de delegación.
• Que las capacidades de supervisión del Banco de España no se vean menoscabadas como consecuencia de la delegación.

Al mismo tiempo, con carácter previo, se debe comunicar al Servicio de Inspección del Banco de España dicha delegación de servicios informáticos.

- En el ámbito de la facturación electrónica, cuando éstas vayan a estar almacenadas fuera del territorio nacional, se requiere de la correspondiente autorización previa de la Agencia Tributaria (Artículo 22 del RD 1619/2012 de 30 de Noviembre). A la par que se debe garantizar en todo momento el acceso a las mismas y sin demora a la Agencia Tributaria.

- En el ámbito de la protección de datos de carácter personal, aquellos servicios ubicados fuera de aquellos países considerados con un nivel de protección equiparable, requerirá la autorización previa del Director de la Agencia Española de Protección de Datos, a la par que el contrato deberá reunir otra serie de elementos especiales como:

• Que las partes responderán solidariamente frente a los particulares, a la Agencia Española de Protección de Datos y frente a los Órganos Jurisdiccionales Españoles frente a los eventuales incumplimientos del contrato y que sean constitutivos de infracción según la normativa de protección de datos de carácter personal.
• Que el prestador del servicio autorizará el acceso al establecimiento donde se encuentren los datos, así como la documentación y a los equipos físicos y lógicos, a los representantes de la Agencia Española de Protección de Datos o de la entidad independiente en quien esta delegue.

(Norma Quinta de la Instrucción 1/2000 de 1 de Diciembre de la Agencia Española de Protección de Datos, relativa a las Normas por las que se rigen los Movimientos Internacionales de Datos)

3. Descripción del Tipo de infraestructura

En línea con los puntos anteriores y como elemento para terminar la cuadratura del círculo, es importante a los efectos de catalogación del contrato, objeto y causa, describir el tipo de infraestructura contratada:

- Infraestructura como servicio.

- Software como servicio.

- Plataforma como servicio.

- Proceso de negocio como servicio.

Al igual que con los servicios, dependiendo del tipo de infraestructura, el contrato llevará un determinado tipo de cláusulas, que dejo para una parte más especial de esta saga de apuntes jurídicos sobre Cloud Computing.

4. Capacidad del servicio

Dependiendo del tipo de infraestructuras, deberá reflejarse los umbrales máximos de capacidad del servicio contratado (registros, instancias de software, numero de usuarios, usuarios concurrentes, ciclos de CPU, ancho de banda, capacidad de almacenamiento, Memoria RAM, transferencia de datos…). El proveedor deberá contar con herramientas de monitorización para medir capacidades y rendimientos a los efectos de certificar la correcta prestación de los servicios contratados.

5. Gobernanza

Con el fin de garantizar una cooperación fuerte y eficiente entre las partes, en las actividades operacionales, a la par que para que las capacidades de control del cliente no se vean disminuidas como consecuencia de la externalización, se recomienda crear Comités de Gobernanza a través de los cuales se supervise:

- La correcta prestación del servicio y cumplimiento de acuerdos de nivel de servicio.

- Gestión de cambio.

- Gestión de riesgos.

- Gestión y reporte de auditorías

- Validación y Aprobación de facturas.

- Etc.

Elemento que juega a favor de las dos partes y minimiza llegar a situaciones de tener que aplicar las penalizaciones, cláusulas penales del contrato y/o la propia resolución del mismo. Todo mediante una correcta comunicación y efectiva gestión entre las dos partes.

6. Auditorías

Se debe establecer la posibilidad de realizar o hacer que se realicen, auditorías por entidades independientes solventes y sometidas a fuertes políticas de autonomía, ética e independencia.

Las auditorías podrán ser totales o parciales de los servicios y dependiendo de la gravedad de los hechos significativos o vulnerabilidades detectadas, podrán ser causa de resolución del contrato.

7. Ejecución y calidad de los servicios

A lo largo de toda la duración del Contrato, el prestador debe comprometerse a garantizar:

- Unos Servicios de calidad, con arreglo a los Acuerdos de Nivel de Servicio.

- Unas medidas de seguridad, con arreglo a los requerimientos de seguridad de la información expuestos, siendo éstas obligaciones de resultado.

8. Entrada en vigor y duración del servicio

Otro de los elementos típicos de un contrato, es la vigencia y duración del mismo. Dependiendo del tipo de servicio, nos podemos encontrar con periodos o plazos de transición.

Por otro lado, si la naturaleza del contrato es por obra, la duración del mismo podrá venir por la propia finalización del servicio según los objetivos y alcances acordados.

Es importante recalcar el tiempo que el proveedor tardará en devolver los servicios o en su defecto garantizará la destrucción de la información almacenada en sus sistemas de información. Por la importancia de esta materia, siempre es recomendable incorporarlo como una cláusula adicional; reversibilidad.

9. Reversibilidad

El Prestador del Servicio debe comprometerse a garantizar la reversibilidad de la externalización de los Servicios con el fin de permitir que el cliente, sin dificultades, reanude o haga que se reanude por parte del cliente o de un tercero proveedor dichos Servicios en las mejores condiciones.

En función de la solicitud la reversibilidad puede ser parcial o total.

Para facilitar esta obligación es bueno recalcar a modo de acuerdo de intenciones, que el prestador utilice o emplee recursos/ elementos/ materiales portables, esto es, que deberán poder ser transferidas a otra ubicación informática sin obligación de adquisición previa de programas de software.

10. Confidencialidad del servicio

Las cláusulas de confidencialidad buscan que los contratantes se obliguen generalmente de manera reciproca a guardar el debido secreto respecto de toda la documentación, conversaciones, modelos de negocio, e información tratada entre las partes previa y durante la ejecución del contrato. Evitemos poner acuerdos de confidencialidad indefinidos ya que el ordenamiento jurídico tiende a castigar con la nulidad a las obligaciones perpetuas.

11. Disponibilidad del servicio

Siendo un elemento diferenciador de este modelo el acceso sin restricciones, debe estipularse que el servicio estará disponible 24 horas al día, 365 días al año. No obstante como los entornos deberán verse sometidos a procesos de mantenimiento, actualización y mejora, deberá pactarse las franjas horarias sobre las que realizar dichas actividades con el menor impacto posible de cara al cliente.

Este aspecto va vinculado a los acuerdos de nivel de servicio con sus correspondientes penalizaciones, expuesto en el punto siguiente.

12. Acuerdos de nivel de servicio

Elemento típico de este tipo de contratos. Estipulaciones donde se marcan  los niveles del servicio sobre la base de una serie de parámetros objetivos. Hay tantos tipos de acuerdos de nivel de servicio como especificaciones de servicios. Junto a los mismos se deben concretar los sistemas de penalización por incumplimiento. Se puede ir a dos modelos:

- Cláusulas penales.

- Daños y perjuicios.

Es tan importante el contenido como el continente, por tanto es vital la definición de los procedimientos, estándares y mecanismos que permitan la correcta evaluación y cumplimiento de manera efectiva y objetiva de los acuerdos de nivel de servicio. 

A este respecto hay soluciones en el mercado (SLM Solutions) bajo tecnología BRMS que permite la automatización del cálculo y seguimiento de los Acuerdos de Nivel de Servicio.

13. Requerimientos legales

Según el tipo de servicio, nos podemos encontrar con distintas casuísticas y elementos a tener en consideración, desde la posibilidad de acceso a los distintos tipos de inspectores (Agencia Tributaria, Agencia Española de Protección de Datos, Banco de España, etc), pasando por el cumplimiento de requerimientos técnicos en materia de accesibilidad, comunicación, auditoría, como la configuración o preconstitución de todo un conjunto de elementos que permitan acreditar el cumplimiento de algún tipo de requerimiento normativo.

A titulo de ejemplo, la Ley de Contratos del Sector Público cataloga los servicios Cloud Computing como contratos de servicios y según el RD 3/2010 de 8 de Enero, por el que se desarrolla el Esquema Nacional de Seguridad, exige todo un conjunto de elementos de seguridad en el marco organizativo, operacional y medidas de protección, sobre los que se sustentan los principios de seguridad integral, gestión de riesgos, revaluación periódica de la seguridad, prevención, reacción y recuperación frente a desastres, líneas de defensa, y la seguridad como función diferenciadora.

14. Propiedad intelectual

La protección de la propiedad intelectual del software debe ser un pilar clave, desglosando en su caso:

- Licencias de los paquetes de software aportados por el prestador.

- Licencias de los paquetes de software aportadas por el prestatario.

Todo ello en su caso, a los efectos de eliminar riesgos legales de uso de software sin licencia y la reversibilidad del servicio.

15. Seguridad de la información

a. Deber de secreto del personal.

b. Autorizaciones y control de acceso.

c. Protección de las instalaciones.

d. Medidas de seguridad por defecto.

e. Integridad y actualizaciones de los sistemas.

f. Procedimientos de gestión de cambios.

g. Protección de la información almacenada y en tránsito.

h. Medidas de prevención ante otros sistema de información interconectados.

i. Registro de incidencias.

j. Registros de actividad.

k. Plan de continuidad de negocio y procedimientos de recuperación frente a desastres.

16. Protección de datos de carácter personal

Si el Cloud Computing se define como aplicaciones entregadas como servicio a través de Internet, como el hardware y software de los centros de datos que proporcionan dichos servicios, desde el momento que puedan albergar datos de carácter personal, deben recogerse toda una serie de elementos específicos estipulados en el artículo 12 de la Ley 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo (RD 1720/07 de 21 de Diciembre).

El dictamen 05/2012 de 1 de Julio de 2012, sobre Computación en la Nube del Grupo de Trabajo del artículo 29, recomienda que previamente a los acuerdos de computación en la nube, se realice una evaluación de riesgos adecuada, incluyendo las ubicaciones de los servidores donde se tratan los datos y la consideración de los riesgos y ventajas desde la perspectiva de la protección de datos.

17. Cesión-Subcontrato

Como estamos frente a servicios que se externalizan sobre la base de la confianza, el prestador se debe comprometer, por una parte a no transferir o ceder, por ninguna causa y bajo ninguna forma, el Contrato o cualquiera de sus derechos y obligaciones a un tercero y, por otra, a no confiar a un tercero la ejecución total o parcial de sus obligaciones contractuales, sin la autorización previa y por escrito del cliente.

En el caso de un cambio de control del prestador, éste se debe comprometer a notificar este extremo garantizando sobre su capacidad para respetar los términos y condiciones del Contrato, pudiendo el cliente rescindir el Contrato.

En el caso de la subcontratación, se deberá obtener la autorización previa y por escrito del cliente y precisar claramente el nivel de implicación del Subcontratista, su papel y la duración de la intervención del Subcontratista en cada Fase de realización de los Servicios. 

18. Responsabilidades y obligaciones

El prestador debe comprometerse a ejecutar los Servicios con toda la diligencia debida de su sector profesional.

El prestador debe asumir toda responsabilidad de las consecuencias que se deriven de sus faltas, errores u omisiones, así como de las faltas, errores u omisiones de sus Subcontratistas. 

Generalmente se suelen establecer limitaciones a las cuantías de responsabilidad sobre la base de los importes de facturación.

19. Seguro

El prestador debe estar asegurado con respecto de su responsabilidad civil general y su responsabilidad civil profesional con una empresa de reconocida solvencia.

El Prestador debe comprometerse a mantener esos seguros a lo largo de la duración del Contrato, pero también para cubrir los siniestros que tengan origen en los hechos acaecidos antes del cese del contrato pero conocidos después de la rescisión del mismo, en particular mediante el pago de las primas, y a aportar prueba de ello.

20. Ley Aplicable y Fuero

En caso de falta de previsión sería de aplicación el Convenio de Roma sobre Ley Aplicable a las Obligaciones Contractuales, de donde resulta que tal ley sería la del país donde se encontrase la sede social del deudor. En el ámbito de la Unión Europea, el Convenio de Roma fue sustituido por el Reglamento (CE) nº 593/2008 del Parlamento Europeo y del Consejo, de 17 de junio de 2008, sobre la ley aplicable a las obligaciones contractuales (Roma I)

Como diría Aristóteles “los grandes conocimientos engendran las grandes dudas”. Un acto de justicia permite cerrar este primer capítulo. Un acto de venganza escribir un capitulo nuevo, la parte especial, con el deseo de completar estos apuntes, dar la máxima visibilidad a este tipo de contratos tan complejos, y acabar con todas las dudas que se generan alrededor de los contratos sobre Cloud Computing.

-------------------------------------------------------------------------------------------

Artículo cortesía de Gonzalo Salas

Leer más...

Algunos apuntes jurídicos sobre los contratos en Cloud Computing (Parte 1 de 2)

Capitulo Primero.  Preámbulo y Parte General

Parte 1 de 2

Llevamos una temporada de continuo bombardeo sobre soluciones Cloud Computing, como gran paradigma de soluciones de computación, caracterizado por su pago por uso, virtualización, multiusuario, escalable y de acceso sin restricciones.

Su desarrollo esta fuertemente asociado al fortalecimiento de las redes y de sus capacidades, junto a la aplicación de los principios de economía de escala, que permite reducciones de cotes y permite indiscutiblemente ganar en competitividad.

Pero, pese a que las ventajas son evidentes, existen ciertos frenos o reticencias. Gartner identifica, siete riesgos en el área del Cloud Computing:

1. La confianza del proveedor: Externalizar aplicaciones y datos corporativos conlleva hacerlo con alguien de total confianza, que asegure la calidad del servicio.
2. Conformidad legal.
3. Localización de los datos: Es uno de los puntos fuertes del Cloud Computing pero también uno de sus riesgos.
4. Protección de la información.
5. Recuperación en caso de desastres.
6. Colaboración con la Justicia y Organismos de Supervisión y Control.
7. Una relación ‘para toda la vida’: La sostenibilidad del proveedor tiene que estar garantizada. Fusiones, quiebras, cualquier cambio en su negocio no puede dejar ‘indefenso’ al cliente.

Todo elemento de desconfianza, supone un importante freno para su implantación y para las posibilidades que la solución permite, mermando su consolidación.

Siete elementos de riesgo, todos ellos con una clara connotación jurídica, que deben o pueden intentar mitigarse correctamente a través de la correspondiente relación contractual, y de esta manera minimizar responsabilidades (In contrahendo, In eligendo e In vigilando)

Como la nube esta aquí y bajo esa aureola de beneficios, va a quedarse el tiempo suficiente como para ser tomada muy en cuenta por las organizaciones, aquí este primer apunte jurídico sobre los contratos en Cloud Computing.

Como Doctores tiene la Santa Madre Iglesia, analizaremos de manera panorámica todo aquel conjunto de elementos fundamentales a tener en consideración a la hora del diseño del contrato, para como indicábamos, intentar mitigar los riesgos terrenales expuestos por Gartner. Como decía Pasteur, “no es tanto el bacilo como el terreno”.

El artículo busca dar una visión pragmática dirigida hacia legos en la materia, huyendo de un artículo doctrinal que pudiese tener cabida dentro de la Real Academia de Jurisprudencia y Legislación.

Al mismo tiempo, por la propia limitación del artículo, pretendo únicamente ayudar a la comprensión de cada uno de los elementos básicos, servir de iniciación, marcar la estructura vertebral, sin entrar en soluciones específicas que cada proveedor- cliente, puedan entrar a negociar en base a las distintas necesidades o casuísticas.

Empecemos con el elemento básico. El Contrato y su Calificación. Contrato, entendido como la voluntad común de los contratantes elevada a norma vinculante, o como negocio jurídico bilateral productor de obligaciones, y expresión de efectos jurídicos (Contractus Lex).

El Termino Cloud Computing ha sido definido por el NIST (National Institute of Standars and Technology) como un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red, a un conjunto compartido  de recurso de computación configurables compartidos, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio.

Bajo dicho modelo, entran servicios de hardware, software, comunicaciones y servicios profesionales asociados, elementos todos ellos que deben ser debidamente regulados dentro del contrato a los efectos de dar efectividad a la realización de los fines propuestos.

La primera pregunta a realizarse es ¿Estamos ante un contrato de obra o de servicios? Primer gran antagonismo. Cada una de las partes va a querer definirlo de manera opuesta. El proveedor como un contrato de servicios que solo implica una obligación de medios, mientras que el cliente como un contrato de obra que implica una obligación de resultados.

El tema no es baladí en cuanto a la naturaleza jurídica del contrato. El arrendamiento de obra y el de servicios es calificado de forma reiterada por el Tribunal Supremo que radica, en el artículo 1.544 del Código Civil. Se trata de la conocida distinción procedente del derecho romano entre la locatio operis y la locatio operarum y cuya diferencia radica, en que en el primero se compromete al resultado, sin consideración al trabajo que lo crea, mientras que el último es la prestación del trabajo en si misma y no el resultado que produce. Fuente de obligaciones y cargas o elemento eximente de las mismas.

Este tipo de contratos suelen ser muy complejos derivado de los embrollos de los bienes y servicios encadenados sobre los que se contrata y donde siempre se debe tener en cuenta el equilibrio entre las partes y el principio de buena fe contractual.

En la segunda parte de este post presentaremos los elementos básicos que deben recoger estos contratos en Cloud Computing.

-------------------------------------------------------------------------------------------

Artículo cortesía de Gonzalo Salas

Leer más...

¿De quién es la culpa ahora?

No hay día en el que no haya víctimas de ciberestafas y/o delitos informáticos de cualquier índole, en muchos casos debido a la mala configuración de los servicios, la falta de actualización del software de los equipos, de los antimalware, de los deficientes diseños en la arquitectura de sistemas, de la subcontratación de los servicios en la nube, etc,… Sin embargo, el otro 90% de las veces es por fallos humanos. El spam (por cualquiera de sus canales) y el phising, la ingeniería social, y en general, la superioridad de la "viveza" de unos cuantos sobre la ingenuidad de los demás, que hace que los sistemas de seguridad subyacentes no resulten efectivos. 

Cada vez son más los ciclos, seminarios, conferencias, congresos y cursos en los que explicamos a los asistentes lo importante que es estar concienciado de las amenazas de seguridad. Es decir, que nos centramos en emparanoiar a los usuarios contra los demonios que suponen las tecnologías y hacemos recaer sobre ellos toda la culpa por haber sido víctimas de un incidente de seguridad.

Por otra parte, nuestro compañero Yago, como ya evidenció años atrás en el segundo Security Blogger Summit, siempre ha mantenido una opinión diferente al respecto, en el que los fabricantes de las soluciones de software que tengan vulnerabilidades (y sobre todo aquellos que pasen olímpicamente de solucionarlas habiendo sido reportadas) deberían pagar por ello.

De momento, ninguna de las posturas, en las que el culpable es el usuario y la que el culpable es el fabricante, son penadas por la ley. Aunque según leo en The Inquirer, ha sido noticia la condena a un banco americano por un fallo de seguridad en sus sistemas. El incidente se produjo cuando al cliente del banco (una empresa constructora) le vaciaron la cuenta mediante la utilización de malware. Inicialmente le dieron la razón al banco, pero tras la apelación ante el fallo, el tribunal le ha dado la razón al cliente obligando a devolver la cantidad robada, además de intereses y costes legales.

En este caso es un banco, que obviamente es uno de los objetivos principales de los ciberataques, debido a que es donde se encuentra el dinero pero ¿Será este el detonante para que, por ejemplo empresas prestadoras de servicios que cometen negligencias en las configuraciones de seguridad en sus ofertas, se lo empiecen a tomar en serio y no recaiga la responsabilidad en los usuarios?

En mi caso personal, mi opinión se encuentra dividida. Por una parte, estoy de acuerdo con Einstein en que "El Universo y la estupidez humana son infinitos, aunque de lo del Universo no estoy tan seguro". Por otro lado, estoy de acuerdo con Yago, en que los fabricantes de software deberían asumir su responsabilidad cuando, por no parchear responsablemente a tiempo una vulnerabilidad reportada, ésta se explotara de una forma masiva. Me viene a la cabeza cuando tuvo un buen protagonismo en la red la botnet Flashback, por culpa de la negligencia de Apple al no publicar un parche para su implementación de Java, dejando a los usuarios con dos meses de exposición. En este caso, Apple debería haber recibido una sanción ejemplar, que habría salido en todos los medios de comunicación y que sentaría un precedente y levantaría un flag al resto de los fabricantes de software al ver lo que les puede llegar a suponer. 

Está claro que sólo aprendemos de dos formas: a palos y a multas.

Leer más...

Seguridad en Fibra Óptica - Parte II: Requerimientos legales

Como complemento al post “Seguridad en Fibra Óptica - Parte I: Fundamentos, métodos de extracción y riesgos” publicado por Jorge García Carnicero lanzamos el presente post en el que intentaremos mostrar, de forma sumaria, los requerimientos legales exigibles, con carácter más general, en las comunicaciones a realizar.

1.- Principales Normas Aplicables a la Seguridad en Comunicaciones

Es múltiple y variada la normativa que exige medidas de seguridad adicionales en materia de comunicaciones.

Así, con carácter general las normas más aplicables son las siguientes:

A. Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de diciembre), y su Reglamento de Desarrollo (aprobado por RD 1720/2007 de 21 de diciembre).

El objetivo principal de la normativa sobre Protección de Datos es “garantizar y proteger tratamiento de los datos personales en los ámbitos públicos y privados”, es decir, la protección de un derecho fundamental como es el derecho al honor, intimidad personal y familiar y a la propia imagen, reconocido por el art. 18 de la Constitución.

Esta normativa califica los datos en función de su sensibilidad en tres niveles (básico, medio y alto), estableciendo medidas de seguridad tipificadas también en esos tres niveles.

Así, y en relación con la materia del presente post, el RD 1720/2007 establece como Medida de nivel alto, la Obligación de cifrar los datos en la transmisión de datos personales por redes de comunicaciones:

Art. 104 “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”

En este sentido, se ha manifestado la Agencia Española de Protección de Datos a través de sus Informes Jurídicos, como por ejemplo, el Informe Jurídico 0494/2009 donde se establece:

“Es necesario cifrar de forma que la información no sea inteligible ni manipulada por terceros. Sin esta última condición, no se cumplirá lo estipulado en el citado artículo 104 RD 1720/2007.

• Que el sistema de cifrado a emplear no este comprometido – que no se conozca forma de romperlo.
• La garantía necesaria para preservar la confidencialidad de las comunicaciones no sólo descansa en el sistema de cifrado, sino también en el sistema de gestión de claves y en el procedimiento de administración de material criptográfico.

En el mismo Informe, también expresaba la AEPD:

“La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto (requisitos de cifrado de datos), no es un tema baladí, ni un mero trámite administrativo... Es el medio técnico por el cuál se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación.”

B. Ley de Prevención Blanqueo de Capitales y de la Financiación del Terrorismo (Ley 10/2010, de 28 de Abril).

El objeto de esta Ley es la protección de la integridad del sistema financiero y de otros sectores de actividad económica mediante el establecimiento de obligaciones de prevención de blanqueo de capitales y de la financiación del terrorismo.

La presente Ley es aplicable a todos los movimientos económicos que puedan llegar a suponer algún tipo de fraude contra el sistema financiero, así a modo de ejemplo, podemos nombrar a; entidades financieras, entidades aseguradoras, intermediarios en el otorgamiento de préstamos, créditos, servicios de inversión, promotores inmobiliarios, notarios, registradores, abogados, casinos de juego y un largo etc…

En relación con la protección de los datos de carácter personal que puedan ser tratados en las actividades sometidas a la presente Ley y las medidas de seguridad a implantar, el art. 32 establece:

• Art. 32. Protección datos carácter personal -> El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de las disposiciones de la presente Ley, se someterán a la LOPD.

• Art. 32.5: “Serán de aplicación a los ficheros a los que se refiere este artículo las medidas de seguridad de nivel alto previstas en la normativa de protección de datos de carácter personal”.

Por tanto, y como hemos visto anteriormente, será de aplicación lo establecido en el art. 104 del RD 1720/2007, de 21 de Diciembre, en cuanto al cifrado de datos en la transmisión por redes de comunicaciones.

C. Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad, aprobado por Real Decreto 2/2010 de 8 de enero, tiene como objetivo principal el establecimiento de los principios y requisitos de una política de seguridad que permita la adecuada protección de la información de manera que se creen las condiciones necesarias de confianza en el uso de los medios electrónicos.

Los Sujetos obligados a cumplir esta normativa son; Las Administraciones Públicas -> Administración General del Estado, CCAA, Entidades que integran la Administración Local, Entidades de Derecho Público vinculadas o dependientes de las mismas.

Las Medidas de seguridad exigidas por el Esquema Nacional de Seguridad deberán ser proporcionales a:

Así se establecen unos grupos de medidas de seguridad categorizadas como; Organizativas, Operacionales y de Protección.

El Esquema Nacional de Seguridad, establece en su artículo 21 la obligatoriedad de Protección de la información almacenada y en tránsito estableciendo “Se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros (portátiles, PDA, periféricos, soportes información y comunicación sobre redes abiertas o con cifrado débil)

D. PCI- DSS

La denominada PCI – DSS (Payment Card Industry – Data Security Standard) es un Estándar de seguridad de datos para la industria de tarjeta de pago, un Consejo de normas de seguridad de la Industria de Tarjetas de Pagos, formado por los principales proveedores de tarjetas (Visa, MasterCard, American Express…)

Este Estándar establece 12 requisitos de seguridad y sus correspondientes procedimientos de prueba.

El objetivo principal del PCI-DSS  es aunar esfuerzos en la securización del entorno de las tarjetas de pago, facilitar la adopción de medidas de seguridad consistentes a nivel muncial y reducir los casos de fraude.

Entre los requisitos de seguridad exigidos, cabe destacar el número 4 “Cifrar transmisión de datos del titular de la tarjeta en redes públicas abiertas” que establece:

• “Utilice cifrado sólido y protocolos de seguridad (p.ej. SSL/TLS, IPSEC, SSH…), para proteger datos confidenciales del titular de la tarjeta durante la transmisión por redes públicas abiertas. 

Se consideran Redes públicas abiertas dentro del alcance del PCI-DDS (Internet,  tecnologías inalámbricas, GSM, GPRS… )              

•  4.1.1 Utilización mejores prácticas industrias (IEEE 802.11i) a los efectos de implementar cifrados sólidos para la autenticación y transmisión.

• 4.2 No enviar PAN (número de cuenta) no cifrados por medio de tecnologías de mensajería de usuario final (email, mensajería instantánea, chat)”

2.- Consecuencias ante la falta de cifrado según normativa legal

La Ley Orgánica de Protección de Datos, establece en los artículos 43 y siguientes la tipificación de infracciones y sanciones, a las que podrán enfrentarse responsables de ficheros y encargados de tratamiento.

Las infracciones se clasifican en Leves, Graves y Muy Graves

La falta de implantación de medidas de seguridad es tipificado por la LOPD como una infracción de carácter grave, estableciendo al efecto “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Las infracciones cometidas serán castigadas con la imposición de las sanciones también previstas en la LOPD que se categorizan en:

A continuación se mencionan algunas resoluciones sancionadoras de la AEPD en materia de falta de medidas de seguridad, y en concreto, falta de cifrado de datos:

• PS – 459 - 2008: Correduría de Seguros – Obtención de datos nivel alto por E.T– Falta medidas de seguridad -> Sanción de 60.101,21 € Encargado de tratamiento ->  Posibilitar acceso vía web a datos personales (de nivel alto) de terceros. No existencia procedimiento de cifrado.

• PS – 353 - 2010: Centro Médico especializado – Envío datos salud por fax no cifrado a compañía aseguradora - Falta medidas de seguridad -> Sanción 3000 € -> Sanción reducida por disminución culpabilidad.

---------------------------------------------------------------------------------------------------------------

Contribución por María González Moreno

Leer más...

Hacia un nuevo modelo de auditoría de protección de datos

Hacia un nuevo modelo de auditoría de protección de datos

Principios y valores

Son ya doce años, desde que se promulgo el RD 994/99 de 11 de Junio, a través del cual se establecía por primera vez, la obligatoriedad de realizar auditorías sobre protección de datos de carácter personal.

El legislador perdió una magnífica oportunidad de desarrollar este precepto con el RD 1720/07 de 21 de Diciembre, quien mantuvo el mismo texto con una única salvedad, la realización de auditorías extraordinarias, cuando hubiese modificaciones sustanciales en los sistemas de información que pudieran repercutir en el cumplimiento de las medidas de seguridad.

El actual texto vigente, determina que el informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará sus deficiencias y propondrá las medidas correctoras o complementarias, incluyendo hechos y observaciones en los que se basen los dictámenes alcanzados y las recomendaciones propuestas.

En una línea muy parecida, se definen las auditorías de seguridad en el Esquema Nacional de Seguridad (RD 3/2010 de 8 de Enero), pero incorporando un elemento clave en esta materia la independencia. De este modo se describe como revisión y examen independiente de los requisitos y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad (mutatis mutandis Documento de Seguridad) y los procedimientos operativos establecidos, detecta las infracciones y recomienda modificaciones apropiados de los controles y de los procedimientos (El Centro Criptográfico Nacional desde el sentido común, habilita la concurrencia de auditorías del artículo 96 del RD 1720/07 de 21 de Diciembre con las del Artículo 34 del RD 3/2010 de 8 de Enero). Guía de Seguridad CCN-STIC-802).

Desde el estándar ISACA para la realización de auditorías de sistemas de información, Institución que debe ser tomado como referente en esta materia (Memoria Anual de la Agencia Española de Protección de Datos del año 2.002) a falta de una reglamentación, define como estructura y contenido mínimo de una auditoría de sistemas de información:

• Introducción, declaración de objetivos, alcance, carácter y extensión de los procedimientos de auditoría
• Opinión y conclusión respecto a si los controles y procedimientos son adecuados
• Hallazgos detallados
• Limitaciones
• Declaración sobre las directrices seguidas

La función de la auditoría debe jugar un papel crucial como garante del adecuado diseño del sistema de protección de los datos y del correcto funcionamiento del mismo, por lo que la auditoría bien sea interna o externa, no debe quedarse en un mero testeo de los controles y debe recogerse de manera implícita toda una serie de valores y formalismos.

En este sentido, la auditoría debe contar con un enfoque integrado, tolerancia cero al riesgo al estar en juego derechos fundamentales del individuo y obligaciones de resultado, y bajo los valores y principios de transparencia, objetividad, seguimiento, neutralidad, independencia y recursos especializados.

Desde la experiencia en el sector, considero que se debe alcanzar una mejora global, sustancial y en su conjunto de la calidad de los trabajos de auditoría, debiéndose proyectar sobre todos los actores que ejercitan la actividad de auditoría.

El sector de las auditorías sobre protección de datos, no deben ser totalmente ajenas en cuanto a los principios del sector de otro tipo de auditorías como las de cuentas. La Comisión Europea en un estudio el sector de la auditoría en la UE, mostraba la falta de objetividad y estima explorar la posibilidad de crear un certificado de calidad europeo para sociedades de auditoría de cuentas (Libro Verde de la Comisión Europea. Política de Auditoría. Lecciones de la Crisis).

El Supervisor Europeo de Protección de Datos, en su reciente Dictamen 2011/C 181/01, un enfoque global de la protección de datos personales en la UE, reconoce la necesaria certificación de servicios desde una perspectiva general, que entre otros elementos ayudará a las Autoridades encargadas de la protección de datos en su papel de supervisión. Camino que beneficiara a todos los agentes en juego.

Tal y como exponía, el legislador perdió una oportunidad de oro para desarrollar esta materia en aras de buscar calidad, independencia, neutralidad y objetividad en la realización de auditorías sobre protección de datos, habiendo desarrollado en su día el articulado relativo a las auditorías, aunque hubiese sido como mera recomendación “ad cautelam”.

Comparándonos con el modelo de auditoría de cuentas, que cuenta con una mayor proyección histórica y mayor desarrollo legislativo, es interesante como han ido incorporando mejoras de carácter técnico aconsejadas por la experiencia y la practica desarrollada desde el año 1.988, hasta su reciente Texto Refundido por RDL 1/2011 de 1 de Julio:

• Contenido mínimo del informe de auditoría
• Responsabilidad plena de la empresa auditora
• Sistema de fuentes jurídicas a las que se debe someter la actividad de auditoría:
• Normas de auditoría
• Normas Éticas
• Normas de control de calidad
• Régimen de incompatibilidades
• Inscripción en el Registro Oficial

En línea con lo expuesto y con el objeto de crear seguridad jurídica entre todas las partes (Prestadores de Servicios, Responsable de Ficheros y/o Encargados de Tratamiento), considero que debe desarrollarse el marco jurídico de auditorías con el fin de garantizar los principios, valores y resultados de las auditorías, con un nivel de calidad mínimo y donde quede claro y manifiesto entre otros muchos elementos el régimen de responsabilidad civil.

En cuanto al modo de reglamentación. Considero que la figura de la Instrucción de la Agencia Española de Protección de Datos, quizás no tenga cabida, a pesar del valor normativo de éstas (Sentencia del Tribunal Supremo de 16 de Febrero de 2.007. Fundamento Jurídico Tercero), La figura de la Instrucción debe ir dirigida a adecuar tratamientos a los principios de la Ley, por lo que a mi entender lo realizaría a través de un nuevo texto Reglamentario y huir de otras vías del tipo, disposición adicional trigésimo octava de una Ley de Acompañamiento, o como Disposición Adicional Primera de una Ley relativa a la protección del Lince Ibérico. Tendencia habitual del legislador de denominar inadecuadamente las Leyes. Las esconde bajo rótulos, títulos e indicadores que nada tienen que ver con el ámbito objeto de regulación. Lo que el Primer Presidente del Tribunal Supremo tras la Transición, el eminente jurista, Excmo. Don Federico Carlos Sainz de Robles llamó “el juego del escondite”.

Lo justo y lo injusto no son productos de la naturaleza, sino de la Ley (Arquelao).

------------------------------------------------------------------------------------------

Contribución por:

Gonzalo Salas Claver

Senior Manager

Grupo SIA

Leer más...

La Responsabilidad Penal de las Personas Jurídicas en los Delitos de Descubrimiento y Revelación de Secretos

En el derecho comparado se llevaba observando una clara tendencia, tanto doctrinal como normativa, hacia la consagración de la responsabilidad de las personas jurídicas, derivada de la comisión de determinados delitos.

Los países desarrollados han llegado al convencimiento de la necesidad de responsabilizar, a nivel legal, a las personas jurídicas por hechos que producen daños significativos a los bienes jurídicos más relevantes para la sociedad.

La OCDE solicita a los Estados parte, que establezcan la responsabilidad de las personas jurídicas como medida más eficaz y uniforme para combatir el delito.

Con la nueva reforma del Código Penal, se ha configurando la vía que permite responsabilizar a las personas jurídicas, con el fin de que éstas, adopten medidas de autorregulación, intentando de esta manera, armonizar los principios de libertad de empresa y económica, con el de responsabilidad y orden público.

Concretamente con la reforma del Código Penal se establece, que las personas jurídicas pueden ser penalmente responsables de los delitos cometidos por sus empleados, en aquellos posibles casos, que no se hubiesen adoptado sobre ellos, el debido control atendiendo a las circunstancias concretas del caso.

Esta reforma, nada baladí, a mi entender, colisiona con nuestra jurisprudencia, que ha tendido a aplicar la máxima “societas delinquere non potest” sustentado en que no hay pena sin dolo o imprudencia. Elementos que sólo se dan en la conducta humana de la persona individual. Por lo que habrá que estar especialmente atento a como los Tribunales de Justicia, interpretan la figura del dolo o la imprudencia, como elemento esencial del código penal, sobre las personas jurídicas.

Con este nuevo régimen de responsabilidad penal, se persigue:

1. Obligar a los órganos directivos empresariales, a adoptar una ordenada gestión y preocuparse por la prevención de hechos delictivos. (Teoría de la organización: El medio más efectivo para controlar una organización es hacer responsable de lo que en ella ocurra al decisor más poderoso.)  Principio de corresponsabilidad y participación.
2. Un control más eficiente, dado que la responsabilidad colectiva hace más eficaz la individual.

En el ámbito de la UE, con el objeto de combatir los delitos cibernéticos, promulgó la Decisión Marco 2005/222/JAI del Consejo de Europa de 24 de Febrero de 2.005, relativa a ataques contra los Sistemas de Información, donde en sus Considerandos exponía, que los Estados miembros prevean sanciones contra ataques a los sistemas de información, sanciones que fuese efectivas, proporcionadas y disuasorias.

La citada Decisión Marco, ya establecía que se les pudiese exigir responsabilidad a las personas jurídicas, cuando la falta de vigilancia y control sobre el empleado, pudiese permitir la comisión de un ilícito por su parte.

Un informe de PWC, analizó los principales casos en los que los sistemas de información y la infraestructura de comunicación de la empresa, habían sido utilizados por sus empleados para cometer actos desleales o delitos (Actos desleales de trabajadores usando sistemas informáticos e Internet. Landwell. Abogados y Asesores Tributarios):

Nuestro código penal, recoge parte de estas conductas a través de su artículo 197 y siguientes, sancionando con penas de prisión de hasta cinco años y penas multa a quienes:

• Vulneren secretos.
• Accedan ilegítimamente a correos electrónicos.
• Intercepten telecomunicaciones.
• Accedan de manera indebida a activos de información.
• Violen las políticas de seguridad.

En línea con la citada Decisión Marco, el nuevo Código Penal establece que la empresa puede llegar a ser penalmente responsable, si no adopta medidas de control en su organización, que eviten que sus empleados puedan cometer este tipo de delitos en provecho de las mismas.

Las consecuencias para la sociedad, por la dejación de funciones de supervisión y la comisión de delitos por parte de los empleados pueden llegar a ser:

• Pena multa de 6 a 12 meses.
• Disolución de la sociedad.
• Suspensión de sus actividades por un plazo nunca superior a cinco años.
• Clausura de sus locales o establecimientos por un plazo nunca superior a cinco años.
• Inhabilitación para obtener subvenciones o ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la seguridad social, por un plazo que no podrá exceder de quince años.
• Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores, por el tiempo que se estime necesario, que no podrá exceder de cinco años.

La empresa, por tanto, deberá adoptar medidas de control, técnicas, jurídicas y organizativas, sobre la base de su responsabilidad -in vigilando sobre los trabajadores, encaminadas a impedir, obstaculizar o en su caso reportar al órgano de control correspondiente, aquellas posibles conductas constitutivas de delito llevadas a cabo por un empleado.

Las citadas medidas de control, deberán realizarse al amparo de nuestro ordenamiento jurídico. Por lo tanto, a la hora de adoptar cualquier tipo de medida de vigilancia, supervisión o control, se debe respetar el derecho a la intimidad de los trabajadores, evitando así cualquier tipo de colisión o conflicto entre dicho derecho y la facultad de Dirección y Control de la Actividad Laboral del empresario. Entendiendo la jurisprudencia, que las citadas medidas se han adoptado con las debidas garantías, cuando cumplen los requisitos del principio de proporcionalidad, descritos en la Sentencia del Tribunal Constitucional 186/2000 de 10 de julio (RTC 2000/186):

• Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto.
• Juicio de necesidad: si la medida es necesaria, en el sentido de que no exista otra más moderada para la consecución de tal propósito con igual eficacia.
• Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Es importante sacar a colación en toda esta materia, la Sentencia del Tribunal Supremo de 26 de Septiembre de 2.007, de unificación de doctrina, donde se ha manifestado que los medios de propiedad de la empresa, entre ellos los equipos informáticos, cuentas de correo, redes de comunicaciones, que se facilitan al trabajador, quedan dentro del ámbito de vigilancia del empresario, pudiendo éste adoptar las medidas que estime más oportunas para verificar el cumplimiento por parte del trabajador de sus deberes y obligaciones, aunque este control debe respetar la consideración debida a la dignidad del trabajador.

Entre las múltiples medidas organizativas, algunas compañías optar por la opción de abrir los canales de denuncia o canales éticos (whistleblowing), que muchas corporaciones han definido en sus estructuras, bajo la estela del mandato de la Sarbanes Oxley, o en su caso por las Recomendaciones del Código Unificado de Buen Gobierno de las Sociedades Cotizadas de la Comisión Nacional del Mercado de Valores, para que los empleados, puedan denunciar posibles conductas ilícitas mediante el uso de las tecnologías de la información.

Las grandes corporaciones donde se dan figuras del tipo Data Protection Officer y Compliance Officer, van a tener que configurar sus atribuciones, dado que puede darse el caso de dualidad de competencias.

Al mismo tiempo por la connotación e implicaciones jurídicas que puede llevar aparejado para la sociedad, verse inmersa dentro de un proceso penal de esta naturaleza, los órganos competentes de la sociedad, llámese Comité de Auditoría, llámese Comité de Seguridad, motu proprio tendrán que definir e implantar la política de control y gestión del uso y acceso a los sistemas de información, a través del cual:

• Se identifiquen todos los riesgos (operativos, tecnológicos, legales y reputacionales),
• La fijación del nivel de riesgo que la sociedad considera aceptable,
• Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegarán a materializarse,
• Los sistemas de información y control interno que se utilizarán para controlar y gestionar los riesgos,
• Políticas, procedimientos, y códigos de conducta.

La citada política, como muchas otras en materia de seguridad de la información, debe ser correctamente definida e implantada, yendo a unos objetivos de resultado. Haciendo una comparación Mutatis Mutandis con los documentos de seguridad, la Audiencia Nacional ha determinado en innumerables de sus Sentencias, por ejemplo la de 9 de Octubre de 2.006, Rec. 271/2005, Sala de lo Contencioso Administrativo: “no basta con adoptar cualquier medida, sino aquellas que sean necesarias para garantizar los objetivos que marcan los preceptos trascritos y que por supuesto no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquellas se instauren y pongan en práctica de manera efectiva, para impedir en un caso como el enjuiciado accesos indebidos aunque sean los propios empleados de la empresa”.

Ardua es la tarea frente a la que se van a encontrar las organizaciones, donde la labor de supervisión de los empleados en lo que respecta al uso de los sistemas de información, se verá ahora agravado, por un nuevo régimen de responsabilidad penal. Mi recomendación jurídica siempre desde una perspectiva de defensa, preconstituir prueba, dejar debida constancia documental sobre la supervisión realizada. Los modelos de gestión de la seguridad sustentados sobre la serie de normas ISO/IEC 27000 son una buena herramienta.

Pero recordemos el proverbio chino: No siempre el mejor camino es el más corto.

----------------------------

Contribución por:

Gonzalo Salas Claver

Senior Manager

Grupo SIA

Leer más...

A vueltas con la Ley Sinde

La conocida como Ley Sinde ha vuelto a la carga.

Tras un fin de semana de mucho movimiento en redes sociales como Twitter, donde se comentaban propuestas alternativas, saltaban rumores de un posible acuerdo entre los dos grandes partidos (PP y PSOE), el lunes a última hora de la tarde finalmente se hizo público y oficial: El PP y el PSOE habían llegado a un acuerdo en el Senado, con la aprobación de una enmienda conjunta… De nuevo, la Ley Sinde vuelve a la carga, y parece que ya no hay quien la frene.

Pero… ¿Qué viene a establecer la Ley Sinde?

Para empezar, la denominada Ley Sinde, se aprobará como la Disposición Final Segunda de la Ley de Económica Sostenible. Practica ésta a mi entender nefasta. Tendencia habitual del legislador de denominar inadecuadamente las Leyes. Las esconde bajo rótulos, títulos e indicadores que nada tienen que ver con el ámbito objeto de regulación. Lo que el Primer Presidente del Tribunal Supremo tras la Transición, el eminente jurista, Excmo. Don Federico Carlos Sainz de Robles llamó “el juego del escondite”.

Como comentábamos anteriormente, la citada Ley, viene a modificar distintas normas pre-existentes, con un objetivo común; la protección de la propiedad intelectual en el ámbito de la sociedad de la información y el comercio electrónico. En concreto las normas modificadas son:

• La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio Electrónico. Por cierto modificada en solo 8 años hasta en 4 ocasiones, dentro de ese juego del escondite del legislador: Ley de Medidas de Impulso de la Sociedad de la Información, Ley General de Telecomunicaciones, Ley de Firma Electrónica, Ley de Conservación de Datos relativos a comunicaciones electrónicas.
• El Real Decreto Legislativo 1/1996 de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
• Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa.

Las principales conclusiones de las normas a modificar son:

• Todas estas modificaciones tienen un objetivo común, la protección de los derechos de propiedad intelectual, pero, en contra de lo que se lee y escucha, que sólo afectaría a páginas de enlaces y descargas, esta normativa afectará a todo soporte, webs y portales que alojen contenidos protegidos por derechos de propiedad intelectual, como: blogs, textos, fotografías, imágenes, música, etc.
• Uno de los aspectos más criticados de esta Ley es la creación de la Comisión para la Protección de la Propiedad Intelectual, Comisión que estará formada por personal de los principales Ministerios Públicos como: Cultura, Industria, Turismo y Comercio, Ministerio de Presidencia, etc. Esta Comisión, es la que inicia el procedimiento y resuelve.
• Intervención Judicial: Aunque en el Acuerdo alcanzado anoche entre PP y PSOE se habla de una doble intervención judicial no es del todo cierto, en cuanto que la Sala de lo Contencioso Administrativo de la Audiencia Nacional (órgano competente) no entrará en ningún caso sobre el fondo del asunto, resolviendo sólo sobre los siguientes aspectos:
  • Autorizar el requerimiento a los prestadores de servicios de la sociedad de la información para la cesión de datos de identificación de los titulares de las páginas.
  • La ejecución de las medidas para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos que vulneren la propiedad intelectual
• Plazos establecidos: Los plazos establecidos para la tramitación y ejecución de los procedimientos establecidos son tan reducidos que hacen difícil su cumplimiento: 
  • 48 horas para la retirada voluntaria de contenidos por parte de los titulares de las páginas a petición de la Comisión de Propiedad Intelectual.
  • 2 días para la práctica de prueba.
  • 5 días para trasladar a los interesados las conclusiones del procedimiento.
  
  
  Estos plazos tan sumarios me generan una serie de dudas razonables, entre ellas, la propia aplicación de la legalidad y que ésta no se convierta en mera apariencia.
  
  
  Dando solo dos días para la práctica de la prueba, pueda ocasionar situaciones de clara indefensión. La regla general establece, que el plazo para la práctica de la prueba nunca puede ser inferior a 10 días y en este caso concreto, por intereses que desconocemos, se ha reducido a dos.
  
  
  En cuanto a la intervención judicial:
  • 24 horas, previa audiencia del Ministerio Fiscal, para que el Juzgado dicte resolución autorizando la solicitud de datos.
  • Plazo improrrogable de 2 días siguientes a la recepción de la notificación de la resolución de la Comisión y poniendo de manifiesto el expediente, el Juzgado convocará el representante legal de la Administración, al Ministerio Fiscal y a los titulares de los derechos y libertades afectados. Resolverá mediante auto.
  Plazos estos equiparables a los delitos de violencia de género o delitos contra la seguridad en el tráfico, no siendo conductas éstas a mí entender de la importancia o gravedad de las anteriores.

La Ley Sinde aún no ha sido aprobada formalmente ni ha entrado en vigor, pero habiendo superado el trámite de su aprobación por el Senado, con el acuerdo de los dos principales partidos, hace suponer, que en un espacio corto de tiempo entrará en vigor y se empezará a aplicar, y será en ese momento, donde los verdaderos problemas de esta Ley saldrán a la luz, y se demostrará al fin si esta “chapuza” sirve para la finalidad para la que fue creada.

---

Contribución por María González Moreno
Abogado - Consultor
Marco Legal y Regulatorio
División de Consultoría - SIA

Leer más...

Steampunk, El siglo XIX acude al rescate de los hackers

El pasado día 23 de diciembre ha entrado en vigor la última reforma del Código Penal. Según todos los medios de información, esto implica que han pasado a ser delictivos los "ataques informáticos", el "hacking", y otras inexactitudes varias.

Resulta que ciertas formas de intrusiones informáticas ya estaban penadas desde la primera versión del Código, allá por 1995. Se trata de aquellas que iban dirigidas a vulnerar la intimidad de personas físicas concretas: obtener la contraseña de la cuenta de correo electrónico de alguien, por ejemplo, a través de técnicas de ingeniería social tipo las famosas páginas de "quien te ignora en Messenger", para acceder al contenido de sus mensajes personales. La consecuencia es pena de prisión de hasta cuatro años, que puede ser incluso más grave si el intruso obtiene información especialmente sensible como, por ejemplo, la orientación sexual de la víctima, y la usa para obtener beneficio patrimonial. En estos casos, la broma puede salir por siete años de cárcel.

Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código. Sí que es cierto que había y hay un articulo, el 278, que castiga al que use técnicas intrusivas para acceder a secretos de empresa, pero la jurisprudencia del Tribunal Supremo ha restringido el termino "secretos de empresa" hasta reducirlo a aquello que otorga una ventaja competitiva significativa en el mercado, poniendo ejemplos muy concretos: las patentes y poco más. Las listas de clientes, y otros datos de ese tipo que las corporaciones custodian como oro en paño, quedan fuera de la protección del Código. Y en este caso, el nombre de esta ley es completamente apropiado al sentido que se le da en informática: lo que no está en el Código, no sirve, no se puede usar en un tribunal penal para acusar a nadie.

Así que, siguiendo patrones marcados por la Unión Europea y el Consejo de Europa (que no son lo mismo, al igual que no son lo mismo Debian y Ubuntu), en España hemos tenido que reformar ese Código Penal, para poder hacer frente a las amenazas que representan el mal uso de la informática y las redes telemáticas como Internet, hoy en día.

El problema es que, como casi siempre en estos últimos tiempos, nuestro legislador se ha pasado de frenada, y ha dado la siguiente redacción al artículo 197, apartado 3º, de nuestro Código (atención, lenguaje jurídico, no apto para todos los públicos):

3.  El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b a g del apartado 7 del artículo 33.

Bien, si atendemos a la redacción del nuevo párrafo, no se distingue entre hacking ético y otras formas menos simpáticas de este arte. Así que hay una cuestión que me preocupa sobremanera, y es la de los expertos en seguridad informática, que hacen investigación de campo por los infinitos caminos de la Red y luego se lo explican a los responsables de los sistemas inseguros que han encontrado, o al común de los mortales, en sus blogs. En este momento, estoy pensando en conocidos autores de bitácoras, como "Un informático en el lado del mal", "Conexión inversa" o "Security by default", y ello sólo parándome a mencionar algunas de las que tengo en mi lector de feeds RSS. Sí, hay fiscales que usan cosas de esas.

Estas personas hacen una labor fundamental, intentando que la sociedad esté, si es posible, un paso por delante de los delincuentes. Sin los avisos y alertas de esta comunidad, las vulnerabidades descubiertas por ellos podrían haber sido encontradas y explotadas por personas con fines fraudulentos, causando grave daño a la seguridad de las telecomunicaciones, el comercio electrónico, y lo que damos en llamar la Sociedad Red. Y con esta redacción, sus investigaciones "freelance" quedan fuera de la Ley.

Algunos de mis compañeros del Servicio de Criminalidad Informática de la Fiscalía General del Estado opinan que me preocupo en exceso, pues este delito no es operativo sin que el perjudicado, el propietario del sistema vulnerado, denuncie los hechos ante la policía o los juzgados. A diferencia de la mayoría de delitos, llamados "públicos", porque el sistema judicial actúa en cuanto se tiene conocimiento de los hechos por cualquier medio, en estos otros, llamados "semiprivados", hace falta que la "víctima" tome la iniciativa, interponiendo una denuncia. A mí, esto no me supone gran consuelo, la verdad. A ver quien es el listo que sigue realizando test de intrusión si, al avisar al responsable del sistema, se arriesga a una denuncia que puede dar con sus huesos en la cárcel, o al menos con un feo antecedente penal en su historial. Además, existe una peligrosa excepción al principio de necesidad de denuncia: que la intrusión afecte a una pluralidad indeterminada de personas o al interés general. Por ejemplo, el caso de que el afectado por el "hackeo" sea una gran empresa que pueda ver comprometida su base de datos de clientes. O un sistema informático que forme parte del Esquema Nacional de Seguridad. Aquí, el mecanismo represor del Estado tendría que ponerse en marcha de oficio, sea cual sea la intención de la persona que comprometió el sistema informático.

Ni que decir tiene que esto me parece una solución catastrófica, que pone directamente al otro lado de la raya de la legalidad a un colectivo indispensable, el de los expertos en seguridad informática. Por ello, llevo bastante tiempo dándole vueltas a la sesera, intentando encontrar algún mecanismo jurídico, entre nuestra abigarrada legislación, que permita actuar como salvoconducto para aquellas personas que testean la seguridad de un sistema o dispositivo informático, descubren una vulnerabilidad y lo ponen en conocimiento del afectado. Y creo que lo he descubierto.

Está en nuestro Código Civil desde finales del siglo XIX, en sus artículos 1888 a 1894, y se llama "cuasicontrato de gestión de negocios ajenos". ¿Que demonios significa esto?

Imaginemos que estamos en nuestro domicilio, en un bloque de pisos de cualquier ciudad. De repente, una mancha de humedad aparece en el techo, y al poco comienza a gotear. El vecino del piso superior se ha ido de vacaciones al extranjero, está ilocalizable y tiene un escape de agua. ¿Que hacer?

En teoría, si entramos en su domicilio, estamos cometiendo un allanamiento de morada. Pero no es así, ya que no buscamos un fin ilegitimo, y tenemos una ley que nos ampara: el cuasicontrato de gestión de negocios ajenos nos autoriza, por ejemplo, a llamar a un cerrajero y a un fontanero, entrar en el piso afectado por el escape de agua, hacer que lo arreglen, y no sólo no ser acusados de nada, sino que le podemos pasar la factura al propietario.

Pues bien, hoy en día, una vulnerabilidad en un sistema informático es al menos tan potencialmente dañina como un escape de agua. Así que la aplicación mesurada del cuasicontrato de gestión de negocios ajenos nos puede permitir separar el grano de la paja, y dejar a los expertos en seguridad informática fuera del campo de acción de esta contundente norma penal que es el nuevo párrafo tercero del articulo 197 del Código Penal.

A veces, una norma tan vieja como esta puede servir para solucionar un problema completamente nuevo. Al fin y al cabo, el articulo 3 del Código Civil ordena interpretar las normas conforme a la realidad social del tiempo en que han de ser aplicadas. Se que se trata de una solución un tanto simplista, y estoy seguro de que los abogados especializados en nuevas tecnologías podrán sacar mil y un matices. Pero al fin y al cabo, mi labor es acusar, así que, con todas mis limitaciones, me doy por contento si he dado con el extremo del hilo con el que, tirando, tirando, llegar al ovillo de una solución.

Artículo cortesía de: Jorge Bermúdez, fiscal especialista en delitos informáticos

Leer más...