Categoría : Protección de Datos

Inicio/Archivo por Categoría Protección de Datos (Page 3)

Mark Zuckerberg llama a Obama para quejarse de la NSA

(CNNMoney) — El fundador de Facebook, Mark Zuckerberg, llamó por teléfono al presidente de Estados Unidos, Barack Obama, para expresarle su frustración sobre los programas de espionaje del gobierno según reporta él mismo en una publicación de Facebook.

mark-zuckerberg-facebook

“Cuando nuestros ingenieros trabajan sin parar para mejorar la seguridad, nos imaginamos que nos estamos protegiendo en contra de los criminales, no de nuestro propio gobierno”, escribió Zuckerberg en esta publicación.

Puede parecer una falsedad de parte del líder de un gigante de tecnología que toma nuestros datos (y los vende al por mayor) alzar la mano contra la vigilancia del gobierno. Pero la queja de Zuckerberg apunta específicamente a la piratería informática.

Su preocupación se basa en un reporte del sitio de internet The Intercept, que reveló que la Agencia Nacional de Seguridad (NSA por sus siglas en inglés) habría utilizado un falso servidor a nombre de Facebook, así como su página principal, para introducir programas dañinos en computadoras de ciudadanos y así acceder a su información.

Este reporte, que se basa en documentos provistos por el exconsultor de la agencia Edward Snowden, establece que el gobierno de EE.UU. tiene como propósito tomar información de redes de internet y telefónicas del extranjero.

Zuckerberg dice que esta táctica es denigrante y va en contra de la política de la empresa de proteger a sus usuarios. El empresario aseguró que Facebook encripta la comunicación de quienes están la red social, usa programas seguros y llama a quienes lo utilizan a tener contraseñas seguras.

“El gobierno de Estados Unidos debe ser el campeón del Internet, no una amenaza”, escribió Zuckerberg. “Ellos necesitan ser mucho más transparentes sobre lo que están haciendo o de otra forma las personas creerán lo peor”.

Zuckerberg afirmó que llamó al presidente Barack Obama para expresar su frustración. Pero no espera que exista un cambio rápido en la situación.

“Desafortunadamente parece que tomará un largo tiempo para que exista una verdadera reforma”, concluyó.

En septiembre de 2013 Facebook se unió a Yahoo, Google, Twitter y Microsoft para presentar su primer reporte de transparencia gubernamental en el que se detalló la cantidad de peticiones de información que dio al gobierno de EEUU. sobre su actividad en países en todo el mundo.

Oficiales de la Casa Blanca confirmaron que Obama y Zuckerberg se comunicaron, pero no divulgaron los detalles sobre la conversación. La administración negó en un comunicado los supuestos reportes sobre la NSA que fueron divulgados en The Intercept.

“La NSA no pone como blanco a ningún usuario global de servicios de Internet sin tener la autoridad legal apropiada. Los reportes sobre la explotación de información en computadoras son completamente falsos”.

Esta semana Edward Snowden dijo que la comunidad tecnológica debería unirse para desarrollar herramientas y estándares que ayuden a la protección contra el espionaje masivo de las agencias de inteligencia, además señaló al gobierno de EE.UU. por “dañar su propia seguridad”.

Facebook también ha sido señalado por la falta de transparencia en la forma en la que recolecta la información de sus usuarios y genera dinero con ella para poder determinar qué tipo de publicidad aparecerá en tu perfil de la red social.

Fuente: Jose Pagliery, CNNMoney.

Continuar leyendo

Protege jurídicamente tus datos, sus datos.

La información es uno de los bienes jurídicos  mas importante del momento para muchos Estados, estos se han dado cuenta de la importancia que tiene la información y la facilidad con la que esta puede ser vulnerada. Como una consecuencia lógica entre importancia y vulneración, se han reconocido derechos y procedimientos para proteger los datos, que son el móvil de la información, en Bolivia durante ya diez años se ha protegido los datos de manera constitucional, y desde noviembre del 2013, se a intentado ir un poco mas lejos con la protección de datos, a continuación explicare un poco mas sobre esta protección.

El año 2004 junto a la Constitución Política del Estado se reconoció el Habeas data, que en Bolivia adopto el nombre de acción de privacidad, en la actual Constitución se encuentra en el art 130 la cual nos faculta como ciudadanos a realizar cuatro acciones:

1 Conocer.- El ciudadano puede exigir  que se le indique que datos posee la empresa o institución publica o privada, esto en el entendido de que se recolectan mayores datos innecesarios, incluso la información no simplemente se hospeda en la empresa, sino que esta obtiene posesión sobre los datos y con esta puede disponerla a terceros.

2 Objetar.- Cuando la información sea falsa, incompleta  o no debería presentarse de manera total o parcial, el sujeto dueño de esta información es capaz de indicar las razones por las que debería ser modificada o eliminada.

3 Eliminar.- Si la información es falsa, o vulnera algún bien jurídico tutelado, no necesariamente el de privacidad, entonces el sujeto podrá solicitar que esta información sea eliminada.

4 Rectificar.- El sujeto activo de la información podrá aprobar la información que contiene la empresa o institución de esta manera se podrá evidenciar que los datos son verídicos y que no infringen los derechos del titular.

Las acciones que se acaban de enunciar serán validas para proteger los datos de las personas, cuando la información violente los siguientes derechos:

1 Intimidad y Privacidad.- A pesar de su diferencia semántica, la normativa Boliviana no hace distinción de estos dos derechos, los engloba como derechos constitucionales y en diversas definiciones se puede llegar a un concepto similar por lo que se entiende de estos dos derechos que son la información de una persona cuyo acceso solo es posible bajo consentimiento del titular para que otras personas lo tengan en conocimiento, la difusión de datos íntimos presuponen la destrucción de la misma.

2 Imagen.- La imagen es un derecho constitucional civil, es parte de la privacidad de un sujeto, si una imagen se encuentra en posesión de una persona jurídica o natural sin el consentimiento del titular o vulnerando su reputación, la presente acción seria recurrente.

3 Honra.- Este derecho se refiere al buen nombre, al estatus.

El procedimiento en teoría dura 24 horas, se convoca a una audiencia, inclusive si la otra parte ya hubiese retirado los datos que vulneran, la audiencia debe llevarse a cabo y se le impone una sanción por el acto cometido.

En el articulo 56 de la presente ley, intenta regular el uso de datos en un solo articulo, pero lo que se debe entender, es que la constitución nos daba la facultad de reclamar la protección de nuestros datos, mientras que esta ley 1793 declara las obligaciones que tienen los terceros sobre nuestros datos.

a) Poner en conocimiento.- Toda las acciones que se tome en el sector publico o privado con referencia a los datos, deberán ser informados al titular.

En España surgió la famosa ley de cookies, en la que todas las paginas web de España o cuya razón social tenga efectos en España, debían informar sobre el tratamiento que se realizaba sobre sus cookies.

De manera tacita, las paginas web en Bolivia, que recolecten información, las conserven o procesen, de igual manera deberían indicarlo dentro de sus políticas de seguridad, caso contrario estarían desobedeciendo sus obligaciones impuestas por ley.

b) Solicitar consentimiento.- Esta es posiblemente la mayor innovación que existe en cuanto al tratamiento de los datos, pues ahora para dispones de la información de un tercero, sera necesario solicitar permiso del titular.

¿Quienes tienen información nuestra y que hacen con ella? si la venden, ¿Que interés tienen?

Es lógico, que en casos que se la requiera mediante orden judicial o fiscal, no sera necesario nuestro consentimiento, pero es un gran avance para hacer un seguimiento de a donde va nuestra información.

c) Seguridad material.- De esta manera nombro al inciso en el cual obliga al responsable de los datos a adoptar medidas técnicas que garanticen la seguridad informática de los datos, es decir dar la seguridad de que los datos no han sido eliminados, alterados y mucho menos crackeados.

  • Actualmente en la normativa Boliviana existen derechos para reclamar la protección de nuestros datos, el procedimiento constitucional es rápido y eficaz.
  • Ahora existen obligaciones, que sirven como estrategias de derecho preventivo, en el sentido de que el sector publico y privado deberá tratar nuestros datos conforme a ley, mediante las solicitudes de consentimiento y el poner en conocimiento podría reducir bastantes conflictos jurídico ulteriores
  • Es un avance en el desarrollo y contratación de paginas web, puesto que enmarca directrices básicas para temas de aviso de uso de información (las cookies se encuentran incluidas) y son temas concernientes al computo en la nube y  comercio electrónico.
  • Sin embargo es un tema muy amplio como para desarrollarse en un solo articulo dividido en 5 incisos, lo cual lo deja muy general,  le quita la seriedad y tutela correspondiente. Deja vacíos como “el limite de recolección” es decir: la información que se recolecte debe ser relevante para los propósitos de la recolección.
  • La ley 1793 al reconocer obligaciones, deberá tener un procedimiento administrativo, el cual se dará a conocer  en abril del presente año, lo cual podría ser un retroceso, puesto que este procedimiento podría generar mayor burocracia, y deberá ser aplicado en preferencia del procedimiento constitucional ya que este solo se acciona después de haber agotado todas las anteriores vías.

 

Ataque masivo a Yahoo, obliga a cambiar contraseñas a los usuarios

No terminaba de escribir sobre el Hack que le hicieron a las cuentas Facebook y Twitter de Skype cuando me entero que también hoy hackearon algunos de los servidores de Yahoo comprometiendo así millones de cuentas de los usuarios.

Según la información que pude obtener de diferentes fuentes, el rror residió en una vulnerabilidad antigua y conocida en uno de los servidores de Yahoo al estar correindo un kernel antiguo que permite el acceso de root al sistema.

El ataque se realizó mediante la manipulación de uno de los parámetros en las URLs utilizadas en Yahoo Mail, la cual permitía ejecución de código remoto arbitrario.

El parámetro es utilizado dentro de un función php eval(), que toma una cadena (donde va el parámetro manipulado) y lo ejecuta como código php. La documentación de la función php advierte explícitamente contra de su uso siempre que sea posible y donde no haya otra opción, pide que la cadena que se pasa en a la función eval() se valide con cuidado.

Yahoo al enterarse del compromiso de su servidor ha procedido a enviar un correo a todos los usuarios de Yahoo Mail recomendando que cambien sus contraseñas con el siguiente texto.

“Hemos identificado un esfuerzo coordinado para obtener acceso no autorizado a las cuentas de correo de Yahoo . Tras el descubrimiento , tomamos medidas inmediatas para proteger a nuestros usuarios , lo que les empuja para restablecer las contraseñas de las cuentas afectadas”

Obviamente no revelaron el número de cuentas comprometidas y sabiendo como son la mayoría de los ususarios dudo que mas del 20% de los que recibieron la alerta de Yahoo, vayan a cambiar sus contraseñas.

Esto me hace suponer que tendremos mas noticias de Yahoo en los siugientes días.

Este es otro caso mas donde la Violación de Datos Personales queda impune por parte de los que decían mantener seguros nuestros datos.

Poco o nada pueden hacer los usuarios afectados y quiero ver que hará Yahoo con las cuentas de las personas que realmente fueron comprometidas y no puedan recuperar su información.

La protección de Datos Personales desde el punto de vista de un Hacker

En conmemoración al día internacional de la Protección de Datos Personales (28 de Enero), me puse a pensar en como redactar un artículo que rasaltara ciertos aspectos desde una perspectiva diferente a la totalmente jurídica pero también que sirva para promover el ejercicio del Derecho a la Protección de los Datos Personales, así que entre tanto pensar decidí redactarlo de esta manera.

Siendo que hoy en día vivimos en una sociedad de la información, donde el manejo de esta, se ha convertido hoy por hoy, en el activo principal de todas las organizaciones, empresas, gobiernos y demás instituciones y que de la calidad y cantidad de estos datos dependerá la toma de decisiones al mas alto nivel, es que la protección de datos personales ha venido siendo desde hace algunos pocos años un tema con bastante realce a nivel internacional y tópico principal de los congresos y simposios de Derecho Informático. Al menos de los que pude asistir en los últimos 4 años.

He tenido la oportunidad de conocer a grandes juristas del área de protección de datos, he escuchado decenas de veces sobre la importancia de la protección de los datos personales y sobre marcos regulatorios de diferentes países a los que he viajado pero lamentablemente vivo y trabajo en un área donde la protección de datos personales no es mas que un idealismo, donde las regulaciones jurídicas poco pueden hacer para evitar que esta información sea comprometida por terceros sin autorización y comercializada a través de la Red.

No pretendo crear apatía con mi comentario ni una mala interpretación, solamente quiero dejar en claro que “No importa cuanto se trabaje en regulaciones jurídicas o medidas de seguridad para proteger los datos personales. Siempre habrá alguien que pueda romperlos”.

En la mayoría de los casos los problemas de violación de datos personales, tienen origen en los mismos usuarios propietarios de la información, desde las personas que publican toda su vida en facebook, twitter y otras redes sociales, hasta los que se la pasan abriendo correos de desconocidos o reenviando esas cadenas de ayuda que solo sirven para alimentar las bases de datos de los spammers.

En otras situaciones el robo de nuestra información viene por parte de los servidores que visitamos en Internet que registran desde nuestra IP, el origen geográfico de nuestra conexión, las estadísticas de nuestras visitas, nuestros gustos en Internet, nuestro correo, redes sociales, la empresa donde trabajamos, la compañía de celular y otros datos que luego los utilizan para innundarnos de publicidad no deseada o hasta para cambiar nuestros hábitos y gustos en Internet e inclusive crearnos falsas necesidades.

Otra forma de violación de datos personales se da a menudo con las empresas y proveedores con los que trabajamos a diario y a quienes les confiamos nuestros datos pensando que estarán seguros, como son los bancos, las Telecoms y aunque no lo crean, hasta las empresas automotoras que registran todo lo que hacemos en nuestro automóvil, como fue el caso de mi amigo DragonJar hace unos días donde se dió cuenta que la empresa a la que pertenece su vehículo, había sabido controlar información como el promedio de velocidad a la que maneja, los rangos de velocidad mas altas que registró el vehículo en el mes, cuantas veces utilizó el freno en seco, su cédula de identidad, teléfono, correo y otros datos que al final con un poco de investigación y basándose en la inseguridad del sitio web de la empresa de automóviles, logró sacar toda la base de datos de todos los clientes que compraron vehículos de esa marca, junto con todos los datos personales de los mismos. (Pueden leer la noticia en este enlace).

Nunca les han llamado del banco para ofrecerles una tarjeta? donde te dicen que por el buen manejo de tu tarjeta y tu historial crediticio, tienes a sola firma una nueva tarjeta o hasta un crédito personal para lo que desees.

¿Como saben estas personas que tienes un buen manejo de tu tarjeta? ¿Como saben que tienes un buen registro crediticio? ¿Quien los autorizó para acceder a tus datos y peor para llamarte?. Ellos lo llaman “minería de datos” (Datamining), yo lo llamo violación de datos personales.

Target Data BreachAhora existen casos donde por mas regulación jurídica que exista, muy buenas intenciones y las mejores protecciones tecnológicas a la fecha en seguridad informática, nada puedes hacer para evitar que terceros accedan a tu información mas importante, abriendo una brecha de seguridad en un sistema donde la seguridad no depende de tí, como es el caso de la gran cadena de supermercados y almacenes TARGET en EE.UU. que recientemente fue Hackeada y lograron vulnerar mas de 40 millones de cuentas y tarjetas de crédito de clientes, lo que no solo terminó en el escándalo del Hack, sino que a la fecha todavía están vendiendo la información de las tarjetas en Internet; esta también el Hack de la mega corporación SONY en el 2012 con mas de 24 millones de cuentas Hackeadas y los recientes Hacks de millones de cuentas de Gmail, Yahoo y Hotmail en meses anteriores.

Es por eso que desde mi punto de vista la protección de datos personales es algo que no solo viene a solucionarse con medidas legales o tecnológicas. De que son importantes si que lo son, pero creo que primero debemos empezar a crear una conciencia de seguridad y de protección de nuestros datos, para aprender a respetar el de los demás.

Todo viene desde un tema de conciencia y es algo en lo que deberemos trabajar bastante en los próximos años, para que la gente sea mas cuidadosa con la información que proporciona a terceros y que esto se riegue a las corporaciones y empresas que administran nuestros datos personales, para que todo esto junto con una adecuada legislación en materia de protección de datos, vengan a convertirse en el mejor escudo para proteger nuestra información.

Aun así estoy seguro que siempre habrá alguien dispuesto a vulnerar estas medidas, ya sea por el mero reto intelectual que esto representa, por motivos económicos, raciales, discriminatorios, religiosos o por pura diversión.

@aandradex