Otro fallo de seguridad de Facebook

En la red social se permite enviar mensajes en nombre de otro usuario.

Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos -AEPD- que abra una investigación a Facebook por un fallo de seguridad que permite el envío de mensajes privados en nombre de otra persona.

Según informa Facua, basta con conocer la dirección de correo electrónico asociada a la cuenta de la persona que va a ser suplantada, al que se puede acceder fácilmente desde su perfil en muchos casos, y el nombre de usuario del remitente fraudulento, disponible en la barra de direcciones -http://facebook.com/nombredeusuario-. De esta manera, y por medio de un sencillo formulario disponible en la red, es posible enviar en nombre de otra persona mensajes privados a cualquier destinatario a la dirección tipo nombredeusuario@facebook.com.

FACUA recomienda a los usuarios de la red social que mantengan oculto en su perfil el correo electrónico con el que se registraron hasta que se solucione esta vulnerabilidad.

Este organismo ha solicitado a  la AEPD que determine si Facebook está vulnerando el "principio de seguridad de los datos", regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red. Esta norma establece en el citado artículo que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos".

Europa desafiará a Facebook con más exigencias de privacidad

La Comisión Europea está preparando una directriz paa evitar que Facebook comparta información personal de los usuarios (postura política, ubicación, religión, etc) con empresas publicitarias, a menos que los usuarios lo permitan explícitamente.

La directriz será parte de una actualización a las actuales leyes de protección de datos, y será publicada en enero próximo. Si Facebook no ajusta sus políticas de privacidad a las nuevas normas, podrían verse enfrentados a acciones judiciales y posibles multas.

“Llamo a los proveedores de servicios – especialmente los sitios de redes sociales – a ser más transparentes sobre cómo operan. Los usuarios deben saber qué datos son recolectados y procesados, y para qué propósitos”, dijo la vicepresidenta de la Comisión Europea, Viviane Reding, a The Telegraph.

Facebook dice que los datos que comparte son anónimos y se entregan de forma agregada a los avisadores (es decir, como estadísticas), y que los detalles personales no están en riesgos. Eso no parece convencer a los reguladores europeos, sin embargo.

No es la primera vez que Facebook es inspeccionado por la Unión Europea, donde también se está investigando el sistema de reconocimiento facial.

Google debate sobre el futuro de Internet y la privacidad en el Big Tent de Berlín

El primer encuentro Big Tent se realizó el pasado mes de mayo en Londres. Google convocó a políticos, académicos y organizaciones con el objetivo de debatir sobre “algunos de los temas más candentes relacionados con Internet y la sociedad”. El evento fue un éxito y la compañía decidió realizar un nuevo encuentro, esta vez en Berlín. 

En su blog oficial, Google ha explicado que Big Tent es un marco para el entendimiento y el debate sobre el futuro de Internet y todos los aspectos derivados de ello. En esta ocasión, el evento se centró en la privacidad online y en el futuro normativo de Internet. La compañía ha explicado que con estos temas, la elección de Alemania ha sido la más adecuada ya que se trata de un país “preocupado por la privacidad y la protección de los datos personales". 

En el evento, que se celebró en la ciudad de Berlín, participaron figuras relacionadas con Internet como la secretaria de Estados alemán de Interior, Cornelia Rogall-Grothe, el Comisionado Federal de Protección de Datos, Peter Schaar o blogueros internacionales como Cory Doctorrow. 

Los asistentes se limitaron a debatir sobre una serie de preguntas claves relacionadas con Internet y la privacidad. La necesidad de una nueva regulación para la gestión de Internet y los datos generados, la necesidad de nuevos sistemas de formación para usuarios y la obligación de la industria tecnológica a la hora de asegurar controles de privacidad en los productos y servicios fueron los ejes principales del Big Tent de Berlín. 

Según Google, el debate se desarrolló en un ambiente distendido y se vieron diversidad de posturas por parte de los asistentes. Por ejemplo, entre los blogueros se solicitó a los gobiernos que no desarrollaran normas que regulen la red y puedan afectar a su libre circulación. Además, se trató el tema del almacenamiento de datos, su complejidad y la necesidad de que haya fuertes medidas de seguridad para protegerlos. En este sentido, Cory Doctorrow llegó las grandes bases de datos con los residuos nucleares y su peligrosidad en caso de no estar bien protegidos. 

Para aquellos que quieran ver los momentos más destacados del Big Tent de Berlín, Google ha creado un canal en YouTube donde están las intervenciones más importantes. Además, la compañía ha confirmado que próximamente realizará más eventos Big Tent, con nuevos temas relacionados en otros países de todo el mundo.

Comienzan las actividades de la Semana de la Seguridad organizada por INTECO

Bajo el lema «Tu Sentido Común» se pretende crear conciencia de que la navegación en la Red debe estar marcada por el sentido común del internauta.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Oficina de Seguridad del Internauta (OSI) y su Centro de Respuesta a Incidentes de Seguridad (INTECO-CERT), comienza sus actividades de la Semana de la Seguridad con motivo del Día Internacional de la Seguridad de la Información, que tendrá lugar el próximo miércoles 30 de noviembre.

La Semana de la Seguridad, que se desarrolla entre el 28 de noviembre y el 4 de diciembre, reúne varias acciones dirigidas a concienciar a los usuarios de Internet sobre la importancia de la Seguridad de la Información.

Bajo el lema «Tu Sentido Común» (http://www.tusentidocomun.com) se pretende crear conciencia de que la navegación en la Red debe estar marcada por el sentido común del internauta, con un decálogo del sentido común:

1. Fraude online: Aprende a detectar y combatir el fraude online, la técnica que intenta suplantar la identidad de tu banco, red social o tienda online; y así capturar tus contraseñas y datos privados para usarlos en tu lugar. Tienes herramientas para ello en http://www.osi.es.
2. Redes sociales: Antes de publicar nada en Internet, hazte las siguientes preguntas: “¿Quién va a acceder a esto que publico?, ¿me interesa que estas personas lo vean?”. Protege tu privacidad, piensa antes de publicar.
3. Programas de seguridad: Si no proteges correctamente tu ordenador, puedes ser víctima de virus y usuarios maliciosos al navegar por Internet. Los programas de seguridad te ayudarán a prevenir estos problemas.
4. Descargas: Para evitar virus, descarga los ficheros solo de fuentes confiables y los programas desde las páginas oficiales. Y además, no olvides analizar con un antivirus todo lo que descargues antes de ejecutarlo.
5. Dispositivo móvil: Tu móvil contiene gran cantidad de datos personales que debes proteger con contraseñas seguras. Empieza activando el pin cuando no lo estés usando.
6. Actualizar: Es de vital importancia que actualices regularmente tanto el sistema operativo como el resto de aplicaciones de tu ordenador para reparar posibles fallos de seguridad y añadir nuevas mejoras.
7. Compras seguras: A la hora de comprar en internet comprueba que las primeras letras de la dirección de la página son "https" de modo que la información viaje cifrada y así evitar que un atacante pueda capturar los datos.
8. Informaciones falsas: Contrasta siempre la información antes de creértela. Sospecha de las páginas con mensajes llamativos o muy alarmantes, en ocasiones, intentan captar tu atención para redirigirte a páginas maliciosas.
9. Copias de seguridad: ¿Has pensado lo útiles que son? Sé previsor y aprende a hacer copias de seguridad (o backup en inglés). No cuesta mucho y puede ahorrarte disgustos y malos ratos.
10. Contraseña: La mayoría de las veces una contraseña es la única barrera entre nuestros datos confidenciales y los ciberdelincuentes, por lo que merece la pena invertir un poco de tiempo para gestionarlas eficazmente.

Protección de Datos autoriza a conservar los datos personales con fines históricos

La Agencia Española de Protección de Datos (AEPD) ha autorizado por primera vez la conservación de datos personales con fines históricos.

Así lo ha establecido la AEPD en una resolución que ha dictado en respuesta a la solicitud de una organización sindical para conservar los datos, con fines históricos, tanto de sus afiliados como de sus representantes sindicales, contenidos en sus ficheros.

 

Con carácter general, según informa la AEPD, la Ley Orgánica de Protección de Datos (LOPD) establece -en su artículo 4.5- que los datos personales deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

 

No obstante, la normativa de protección de datos prevé de forma excepcional que la AEPD pueda acordar mantener determinados datos si se justifica la existencia de valores históricos, estadísticos o científicos de acuerdo con la legislación específica.

 

El procedimiento de autorización para la conservación de datos con fines históricos, científicos o estadísticos está regulado en el artículo 157 del Reglamento de desarrollo de la LOPD.

 

Y exige, además de motivar la petición, identificar los datos que se pretenden conservar y detallar las medidas para garantizar los derechos de los titulares de los mismos.

 

Con esta primera resolución de autorización dictada por la AEPD, se determina la concurrencia de valores históricos que justifican la conservación fundados en las motivaciones aportadas por la organización sindical.

 

El sindicato ampara su solicitud en artículo 49 de la Ley del Patrimonio Histórico Español, así como en el hecho de que se trata de una organización sindical fundada en el año 1888 "cuyas actuaciones han formado parte de la historia de España en mayor o menor medida, involucrando en ocasiones a personas que ya forman parte de la historia del país".

6 consejos de seguridad para las redes sociales

1 -Comprobar la configuración de la protección de datos: es necesario priorizar y tener en cuenta qué información pueden ver tus amigos, qué información es totalmente pública y qué derechos se reserva Facebook.

2 – Tener siempre en cuenta que Facebook no olvida y siempre queda rastro de lo que vamos colgando en nuestro muro. Y no solo eso, lo que se cuelga en el muro de nuestros amigos también permanece.

3 – Los gestores de las redes sociales no suelen verificar que el titular de una cuenta de usuario particular sea quien dice ser. Por ese motivo, deberíamos comprobar nuestras solicitudes de amistad con cautela para asegurarnos que ese usuario es auténtico.

4 – Proteger nuestra propia identidad: ya se han dado casos de usurpación de identidad en los que los criminales han utilizado perfiles de usuarios para chantajear a sus víctimas, que se ven obligadas a pagar dinero para evitar ver arruinada su reputación on-line, por ejemplo con la publicación de fotos comprometedoras.

5 – Poner especial atención en evitar posibles ataques de malware que cada vez se propagan más a través de estas redes.

6 – Disponer de una solución de seguridad adecuada que permanezca siempre actualizada con los últimos parches; utiliza un buen antivirus.

Multa de 40.000 euros por consultar un fichero de morosos sin interés legítimo

Un banco fue multado con 40.000 euros por la Agencia Española de Protección de Datos (“AEPD”) por consultar hasta cuatro veces datos personales de una persona con quien no tenía relación contractual alguna, en un fichero solvencia patrimonial y de crédito (los comúnmente conocidos como ficheros de morosos).

Protección de Datos multa a UGT Enseñanza por publicar las retribuciones de los empleados

El pasado 16 de junio la Agencia Española de Protección de Datos resolvió sancionando con 3.000 euros a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE-UGT). La agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.

Los hechos fueron los siguientes: el 3 de marzo de 2010 a las 12:55 FETE UGT envía un correo electrónico a sus afiliados con el siguiente asunto: FETE informa al PAS. En dicho correo se adjuntaba un documento en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid. En dicho documento se criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos. Exactamente los seis casos que se denunciaron ante la Agencia de Protección de Datos.

La Agencia abre expediente sancionador y reclama a las partes sus alegaciones. FETE UGT explica que la citada información forma parte de su actividad sindical, que la información fue destinada exclusivamente a sus afiliados y que en todo caso, se trataba de información accesible a todo trabajador de la UCM. Alega además que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. FETE-UGT también considera que aunque las gratificaciones publicadas eran de empleados, deben de asimilarse a la de funcionarios públicos.

La Agencia considera sin embargo que esa asimilación no se ajusta a la normativa y recuerda que en ningún caso hubo consentimiento de los denunciantes por lo que considera que la publicidad de sus retribuciones vulnera la Ley de Protección de Datos de manera grave y es sancionable con 3.000 euros. Esta es la propuesta de resolución del pasado 5 de abril ratificada posteriormente el 16 de junio.

Disney paga 3 millones de dólares por no proteger los datos privados de miles de niños

Disney pagará 3 millones de dólares (2,1 millones de euros) para cerrar un caso en el que se acusaba a la compañía de no respetar la privacidad de miles de niños. La Comisión Federal de Comercio de Estados Unidos había interpuesto una demanda contra una de las compañías propiedad de Disney, Playdom, acusándola de no proteger los datos de los usuarios en varias redes sociales destinadas a menores.

La Comisión Federal de Estados Unidos acudió a los tribunales para denunciar a Playdom. La demanda indicaba que la compañía había vulnerado las leyes de protección de privacidad que afectan a menores de edad. El organismo estadounidense aseguraba que varios servicios online de la empresa Playdom recopilaban datos de menores de 13 años y permitían su consulta en la red, contraviniendo la legislación en el país en esta materia.

Una web desvela las identidades a través de los números de teléfono

Con sólo introducir el número de teléfono fijo en una página web se puede saber el nombre del titular de la línea, su dirección y hasta su cuenta en Facebook. Es como las viejas páginas blancas pero al revés. La empresa, llamada ABC Teléfonos, ofrece incluso la posibilidad de enviar mensajes al localizado o editar su información.

Esta práctica, denominada búsqueda inversa, está prohibida por la ley española. Sin embargo, otros servicios, como los buscadores de multas, no violan la normativa en vigor ya que hacen lo mismo que Google, rastrear la información disponible en fuentes públicas.

La CE y EEUU alcanzan un acuerdo para la transferencia de datos de pasajeros aéreos

La CE y EEUU han cerrado un nuevo acuerdo de datos de pasajeros aéreos en la lucha antiterrorista que sustituirá al actual y que mejorará la protección de la privacidad de los ciudadanos.

La información que las aerolíneas europeas remiten a EEUU va desde el número de asiento, hasta el itinerario, el modo de pago del billete o información sobre el equipaje.

El acuerdo marco de protección de datos adoptado por los Veintisiete en 2010 prohíbe que se pueda incluir información "sensible", como la orientación sexual o la religión (a través, por ejemplo, de la opción de menú a bordo).

Además, de la información transferida deben borrarse seis meses después los nombres de los pasajeros, de forma que los datos retenidos permanezcan anónimos salvo que haya una petición judicial.

Se perseguirá la revelación de esos datos cuando se haya hecho sin autorización y los europeos tendrán derecho a denunciar abusos o correctivos a la justicia estadounidense, detalló el portavoz.

La industria musical no podrá espiar a los internautas

Promusicae, entidad que engloba a las principales discográficas en España, no podrá usar un programa espía para grabar las direcciones de los usuarios de redes P2P. La Audiencia Nacional ha sentenciado que esta información es un dato personal a proteger y rechaza que para proteger el derecho a la propiedad intelectual haya que vulnerar el derecho a la privacidad.

La patronal musical había ideado un sistema para reunir las direcciones IP (número que dan las operadoras a cada usuario cuando se conecta a internet) de aquellos internautas que se descargaran archivos musicales desde las redes P2P, como eMule o BitTorrent.Un programa llamado Dtec Net P2P Agent se infiltraba en estas redes y podía registrar quiénes estaban compartiendo archivos de una lista confeccionada por Promusicae. Una vez obtenidas las IP, pretendían presentar demandas contra las operadoras para que los jueces las obligaran a cortar la conexión a los que descargaran de forma masiva.

Pero, al recopilar esa información, estarían haciendo un tratamiento de datos personales, protegidos por la Ley Orgánica de Protección de Datos (LOPD). En España, es la Agencia Española de Protección de Datos la que supervisa el cumplimiento de esta ley. Por eso, a comienzos de 2009, Promusicae pidió que se le aplicara una excepción a la norma. Esta establece que aquel que quiera hacer un tratamiento de datos personales debe informar previamente a esa persona de que se recaban los datos, de quién es el responsable de esa recogida y para qué los va a utilizar.

"También tendría que pedir el consentimiento de cada usuario P2P, algo inviable, evidentemente", dice el director de la firma ePrivacidad, entidad dedicada a la protección de la privacidad en internet, Samuel Parra. Sólo en determinados supuestos puede soslayarse esta obligación. Las discográficas querían que la AEPD las eximiera de este requisito, pero la agencia falló en su contra el 2 de julio de 2009.

Promusicae presentó entonces un recurso contencioso administrativo ante la Audiencia Nacional buscando la misma dispensa. Sin embargo, el tribunal ha vuelto a decir que no. La sentencia, fallada en septiembre, recuerda que sólo se pueden recopilar datos personales sin conocimiento de los afectados en una serie de supuestos concretos y, "obviamente, ninguna de las circunstancias que prevé el artículo 5.5 de la LOPD concurre en el caso presente...", dice el escrito.

Promusicae lo intentó de varias formas. Negó que las direcciones IP sean un dato personal. Intentó que los jueces aceptaran que había un consentimiento tácito, que consideraran que procedían de fuentes accesibles al público...Ninguno de sus razonamientos ha sido aceptado por la Audiencia Nacional.

Aunque sólo se trata de un número, las operadoras pueden, a partir de él, identificar al titular de la línea telefónica a la que fue asignado. La ley las obliga a conservar esta información para la ulterior investigación de delitos. Pero "sólo pueden revelar esa conexión a los jueces, previa autorización judicial, y sólo para delitos graves", recuerda el abogado especializado en propiedad intelectual, David Maeztu. El plan de Promusicae era presentar demandas civiles contra las operadoras, un procedimiento que, para Maeztu, escapa de la tipificación penal.

Tanto la AEPD como la Audiencia Nacional reiteraron que las direcciones IP son un dato personal, puesto que permiten la identificación y, por tanto, sometido a las mismas garantías que cualquier otro dato personal. Esa era también la opinión de las operadoras personadas también en el caso: Telefónica de España, France Telecom España (Orange) y Cableeuropa (ONO). Sostenían además que, aunque quisieran, no podrían revelar quién está detrás de una dirección IP a Promusicae sin cometer un delito. "No se entiende que hayan intentado esta vía cuando todos están de acuerdo en que las IP son datos personales que hay que proteger", opina Maeztu. "No se quién les habrá dicho que podían tener alguna posibilidad de ganar", añade.

Quizá el golpe más duro a la posición de Promusicae es cuando la Audiencia Nacional sostiene: "La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos".

Como opina Parra al respecto: " Cuando hay dos derechos en juego, hay que ponderar. Uno debe prevalecer y, aquí, tanto la AEPD como la Audiencia Nacional han considerado que prima el derecho a la protección de datos y el acceso a internet sobre el de propiedad intelectual".

Para Antonio Guisasola, presidente de Promusicae, la noticia no es buena. "Es una decisión desfavorable y creemos que desproporcionada y por eso ya se ha recurrido", dice. "Lo que la sentencia dice es que, debiendo protegerse la propiedad intelectual, esto no puede ir en demérito de la protección de datos. Pero esa decisión lo que hace en la práctica es primar la protección de unos supuestos datos de carácter personal frente a la protección de quienes ven sus derechos de propiedad expoliados por aquellos que la AEPD prefiere que sigan siendo anónimos para que su actividad ilegal quede impune", añade. En su opinión, las direcciones IP no son datos personales: "Una dirección IP, normalmente dinámica, sin otro vinculo de ningún tipo, es evidente que no sirve para identificar a nadie por sí misma, y eso lo olvida el tribunal".

Segundo revés

Este revés es el segundo que recibe la posición de Promusicae. En 2005, intentó que Telefónica le revelara la identidad de algunos usuarios de redes P2P ante el juzgado. El caso, que acabó en el Tribunal de Justicia de la Unión Europea, se resolvió en 2008, negando aquella instancia la obligación de los operadores de identificar quién está detrás de una IP. Pero también dijo, como recuerda Guisasola, que tiene que haber un equilibrio entre la protección de la privacidad y de la propiedad intelectual frente a quienes la vulneran. "La interpretación de la AEPD, que ahora confirma el tribunal, desde luego supone romper completamente este equilibrio", afirma.

Cerrada la opción de ir tanto directamente como indirectamente contra los que descargan material sujetos a derechos de autor, Guisasola no se rinde. "A lo que no podemos renunciar es a que en internet se respeten las mismas leyes que en el mundo físico, y coger un contenido protegido y ponerlo a disposición de miles de usuarios a través de una red de P2P es ilegal en España y en toda la UE", defiende.

Tampoco confía del todo en la llamada ley Sinde. Todo indica que no llegará en esta legislatura. Además, las páginas de enlaces que serán objeto de la norma contienen fundamentalmente películas y series. La música, el negociado de Guisasola, está más en las redes P2P y "la ley olvida una parte muy importante del problema, como es la piratería a través de estas redes. Las soluciones parciales sólo pueden aspirar a resolver parcialmente los problemas, cosa que, en el mejor de los casos, es lo que pasará con esta ley", mantiene.