Riesgos en el uso de WhatsApp (II)

Riesgos en el uso de WhatsApp (I)

Y, tras hablar brevemente sobre la seguridad de los dispositivos, hablemos del programa.

WhatsApp es una aplicación cuya seguridad es muy débil. Sin paliativos. Empezando por la foto de su cuenta o perfil: cualquier persona puede añadir a su lista de contactos un número y acto seguido visualizar la foto del perfil de WhatsApp del propietario de ese número. Ya tienen su foto sin que usted lo sepa. ¿Que no le importa? Hoy… ¿y, dentro de un tiempo, le podría llegar a importar? La recomendación en este caso es que, si le preocupa el uso que le puedan dar a su imagen, no se lo ponga fácil a sus “rivales”: utilice un avatar, una caricatura, un fragmento de su imagen o una imagen en la que no se le reconozca bien.Por cierto, solo con agregar un contacto (excepto si éste ha aplicado los consejos – “tips” – de privacidad de WhatsApp)  también se puede saber si está conectado o no. Tienen su imagen, saben que usted está ahí…

Debe saber que también existen numerosas páginas de internet que explican cómo “hackear” (o, acceder sin autorización) una cuenta de WhatsApp.
WhatsApp es tan inseguro que una persona podría ver los mensajes del Smartphone de otra, tan solo con hacerse con él y cambiar la tarjeta SIM por la suya (de este modo con el PIN que la primera persona conoce consigue abrir el teléfono de la segunda, y si dicho aparato no tiene otra contraseña adicional de bloqueo, ver los mensajes de WhatsApp de esta última persona).
También existen programas capaces de “escuchar” todas las conversaciones de WhatsApp que se estén produciendo en un pequeño radio de acción. Un ejemplo de esto es WhatsApp-Sniffer, capaz de interceptar la información transmitida mediante WhatsApp en una red Wi-Fi.

Bien es cierto que aplicaciones de fisgoneo, como ésta que acabo de citar, obligaron a los fabricantes de WhatsApp, a incorporar mecanismos de cifrado que protegieran las comunicaciones. Esto fue así desde la versión 2.8.3. Por consiguiente, si usted dispone en su dispositivo de alguna versión anterior:; actualícela de inmediato o, de lo contrario, podrá ser espiado con suma facilidad.

Sin embargo, en octubre del 2013, un estudiante de ingeniería de sistemas en la Universidad de Utrecht desmenuzó el funcionamiento del método de cifrado de WhatsApp, desvelando que existe un par de errores que facilita que una persona, con ciertos conocimientos y acceso a la misma red a la que esté conectado el dispositivo (por ejemplo, a la misma red Wi-Fi), sea capaz de interceptar los mensajes intercambiados (con un sniffer tipo WireShark) y descifrarlos, para poder leerlos. Aún es una prueba de concepto, es decir, teórica; todavía no existe una herramienta para explotar la brecha… ¿O, sí existe y la desconocemos?

Otro aspecto importante. ¿Cómo funciona el envío y recepción de mensajes, a través de WhatsApp? Si usted envía un mensaje a otra persona, que también debe utilizar WhatsApp, primero se transmite a los servidores de WhatsApp en Estados Unidos (EEUU), permanece allí unos instantes y, entonces, se remite al receptor. En caso de que éste se hallase fuera de línea, el mensaje puede permanecer en los servidores de WhatsApp durante 30 días, hasta que lo reciba su legítimo destinatario. Según las condiciones del servicio, si no se lograr entregar el mensaje en ese periodo, se elimina.

Veamos algunos otros riesgos de usar WhatsApp, tal vez menos evidentes, posibles amenazas a la seguridad de la información contenida en el dispositivo y vulnerabilidades de este sistema:

  • La base de datos de WhatsApp. Todos los mensajes enviados y recibidos, aunque se borren, y también las coordenadas enviadas si se tiene activado el GPS, quedan almacenados en una pequeña base de datos de la tarjeta Micro SD del teléfono. Aunque esta tarjeta está cifrada, el código es conocido y existen programas capaces de analizar su contenido si nos hacemos con la tarjeta y copiamos sus datos en un ordenador en el cual realizaremos el análisis. Debe usted saber que la clave de cifrado de la información que WhatsApp almacena en la memoria del teléfono es la misma para todos los dispositivos (excepto para Blackberry). Esto lo hace más vulnerable aún. Mediante servicios como www.recovermessages.com, es posible recuperar los mensajes a partir de la base de datos cifrada de Android (este servicio ha recuperado más de 300.000 bases de datos, gratuitamente). Además, WhatsApp efectúa una copia de seguridad en el dispositivo cada 24 horas, por lo que sería posible recuperar conversaciones anteriores, aunque se hayan borrado ese día, si recurrimos a la copia del día anterior. También sería posible recuperar los registros borrados de la base de datos, mediante técnicas forenses un poco más complicadas, pero posibles, si cuenta usted con el experto competente. Por ejemplo, si se tiene acceso a un equipo con el que se haya hecho la sincronización de Apple iTunes con un terminal iPhone, sería posible utilizar una herramienta como iFunBox y acceder al fichero de la base de datos de WhatsApp en el terminal iPhone.

En la próxima entrega terminaré de enumerar los riesgos (conocidos) en el uso de WhatsApp

 

José Luis Sáez de Argandoña

José Luis Sáez de Argandoña Vázquez

Director División Consultoría de Seguridad de Global Factory

 

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Riesgos en el uso de WhatsApp (I)

WhatsApp es una aplicación gratuita para el intercambio de mensajes a través de internet que en los últimos tiempos se ha hecho muy popular. Tanto, que los servicios tradicionales de mensajería (por ejemplo, los “sms” telefónicos) están en verdadero declive.  Probablemente, en su Smartphone ya la tenga operativa. Funciona en múltiples sistemas operativos: Windows Phone, BlackBerry OS, iOS, Android y Symbian. Es sencilla, intuitiva, funcional, amigable… se pueden crear grupos de interlocutores con los que compartir texto, vídeos, fotos, audio… ¿qué más se le puede pedir?

WhatsApp

Otras aplicaciones similares a ésta son: Telegram, Line, Hangouts, Viber, BlackBerry Messenger, y muchas más…  Pero, permítame empezar por el principio.
Para utilizar estas aplicaciones, en primer lugar, se necesita una conexión a internet (o el plan de datos que tenga contratado con su compañía telefónica) y un dispositivo en el cual instalarlas: una Tablet, un Smartphone, o… ¡ese aparato que está a punto de salir al mercado las próximas Navidades! Hablemos de ellos.
Desde que disponemos de este tipo de aparatos la comunicación entre las personas es mucho más fácil: basta con tener conexión a internet. En la actualidad, ya no solo estamos conectados, sino que estamos permanentemente comunicados… a veces saturados de mensajes; y, también, perfectamente localizados (con los sistemas GPS es posible ubicar el lugar desde el que transmite su dispositivo, con un margen de error irrelevante). Y esto es así, tanto en el ámbito doméstico como en el profesional.

Compartimos muchísima más información que hace tan solo unos años; en cualquier formato (texto, imagen, voz, audio, vídeo). Bien es cierto que, en numerosas ocasiones, lo que se comparte, más que información, es “ruido” o “desinformación”. Resulta curioso que cada vez haya más personas que sean incapaces de vivir a más de un metro de su Smartphone sin estar al borde de sufrir una crisis nerviosa… Tal es su dependencia. Y en esa misma medida, imagine la cantidad de información que comparten las personas al cabo de cada día.

Pero, no se debe perder de vista que, a la vez que se populariza la utilización de los Smartphones y los programas como WhatsApp, también aumentan las situaciones en que queda en evidencia su seguridad: su deficiente seguridad.

Evaluación de los riesgos

WhatsAppCifradoComo ya se ha dicho, cada vez se comparte más información través de los Smartphones o las Tablets, utilizando diversos programas de mensajería. Y, lo cierto, es que muchas veces se trata de documentos confidenciales, datos sensibles, aspectos comprometedores, etcétera. Pues bien, en internet, es posible encontrar páginas en las que se detalla cómo introducirse en estos dispositivos para conseguir la información que albergan. ¿Cuál es la solución ante esta amenaza? Sin duda, la mejor solución es mantener cifrada, dentro del dispositivo, la información que queremos proteger de miradas curiosas (por ejemplo, en Android, mediante Gingerbread, disponible desde la versión 2.3.4; iPhone de Apple también dispone de tecnología de cifrado y lo mismo Blackberry). Lo importante, es que la clave de cifrado sea difícil de adivinar para un extraño y fácil de recordar para el propietario, de manera que solo éste pueda descifrar la información; y, al igual que con el PIN de sus tarjetas de crédito o débito: no debería apuntar la clave en el mismo aparato o en su funda. Si esto le parece complicado, evite transmitir los mensajes más importantes a través de su dispositivo; mejor hágalo oralmente en un lugar discreto.

Generalmente, la técnica para interceptar las comunicaciones a través del teléfono móvil de una persona, se basa en colocarle algún programa espía en su dispositivo, al más puro estilo “pirata” (por ejemplo, FlexiSpy, por unos 150$ la versión Lite, y unos 350$ la versión completa, Omnia). La ingeniería social, los trucos para engañar a la posible víctima y colarle un “troyano” en su teléfono cada vez son más sofisticados, o simples, depende del punto de vista, pero sin lugar a dudas, eficaces (recuerde el caballo de Troya, mediante el que los enemigos griegos lograron introducirse y tomar la plaza). Por cierto, ¿sigue usted la serie televisiva “Person Of Interest”? Se la recomiendo, si tiene curiosidad por estos temas.

En todo caso, la posibilidad de que alguien no autorizado acceda a nuestros datos privados, es un riesgo del que solo nosotros seremos responsables y, por consiguiente, debemos tomar las medidas de protección que sean necesarias, como por ejemplo, usar claves de acceso complicadas o bloqueadores del aparato, cifrar los contenidos y habilitar mecanismos para localizar el teléfono en caso de pérdida. Y, no siempre se trata de aplicar medidas de tipo técnico; la más sencilla de todas, no tiene coste y solo consiste en aplicar el sentido común: si su dispositivo contiene información relevante para usted, no se separe de él. Ni un minuto.

Hasta aquí un breve resumen sobre la inseguridad de los dispositivos. En próximas entregas desgranaremos los riesgos de la aplicación.

 

Riesgos en el uso de WhatsApp (II)

 

José Luis Sáez de Argandoña

José Luis Sáez de Argandoña Vázquez

Director División Consultoría de Seguridad de Global Factory

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IIIª Jornada Pribatua (VII) – Evidencias Electrónicas – #jPrib3

Cartel para proyectar jPrib3aretonagusia

La Diputación Foral de Gipuzkoa - Gipuzkoako Foru Aldundia / la Sociedad Foral de Servicios Informáticos - IZFE  y Pribatua – Asociación Vasca de Privacidad y Seguridad de la Información presentan el programa de la III Jornada Pribatua, sobre “Evidencias Electrónicas”.
Tendrá lugar el próximo viernes 28 de marzo en el Salón de actos - Areto Nagusia del Centro Cultural KOLDO MITXELENA Kulturunea de la Diputación Foral de Gipuzkoa - Gipuzkoako Foru Aldundia en Donostia / San Sebastián, en colaboración con IZFE y con la AVPD.

   Part_2.2     

   Ficalia                     

Durante la jornada se analizarán las diferentes cuestiones a tener en cuenta desde un plano jurídico/ judicial así como desde un plano técnico organizativo, en lo que concierne a las Evidencias Electrónicas y al proceso de su gestión de cara a salvaguardar y tomar las garantías necesarias.

PROGRAMA: Hizlariak/ Ponentes

  • 9:20-9:45 – Recepción de asistentes
  • 9:50-10:20 – Acto de apertura: Miren Lore Martinez Axpe, Directora General del Sistemas para la Sociedad de la Información de  Diputación Foral de Gipuzkoa; Dª. Elixabete Ostolaza Esnal, Dtora. General IZFE y D. Jaime Domínguez Macaya, Dtor. De la DIT de Gobierno Vasco.
  • 10:25-11:00 – Ponencia 1: D. Iñaki Pariente de Prada, como Director y Pedro Alberto González  como Responsable del Registro y Auditoría de Ficheros de la Agencia Vasca de Protección de Datos. Analizarán el tema desde la perspectiva de la Autoridad de Control, sobre las cuestiones relativas a la innovación tecnológica, los desafíos para la privacidad y los retos que ello supone en el contexto del futuro reglamento europeo sobre protección de datos de carácter personal
  • 11:05-11:35 – Ponencia 2: D. José Navarro, presidente de ASPEI Asociación Profesional de Peritos Informáticos. Realizará un análisis desde un plano técnico y pericial de las evidencias electrónicas en su ponencia “Peritaje informático y cadena de custodia de evidencias digitales y la Información Digital como medio de prueba”
  • 11:35-12:10 – Pausa
  • 12:15-12:45 – Ponencia 3: Dª.  Edurne Arce, Jefa de Sección de Nuevas TecnologíasPolicia Científica-Ertzaintza. Expondrá, la estructura y funciones de la misma, analizando el tratamiento y cadena de custodia de las evidencias digitales y los procedimientos de análisis con su ponencia “Peritaje de evidencias electrónicas en la Policía Científica de la Ertzaintza”.
  • 12:50-13:20 – Ponencia 4: D. Jorge Armando Bermúdez González, Fiscal delegado para la Delincuencia Informática (Fiscalía Provincial de Guipúzcoa). Analizará las cuestiones relativas desde un plano jurídico y judicial con la ponencia ““La ley de Enjuiciamiento Criminal en la investigación del cibercrimen”.
  • 13:25-14:00 – Turno de debate
  • 14:00 – Acto de cierre

Como en ediciones anteriores, la asistencia a las jornadas de Pribatua se limita sólo a nuestros asociados e invitados, así como a las personas invitadas por los propios colaboradores. Todo ello con independencia de que en alguna ocasión se pudiera abrir alguna de las jornadas Pribatua al público en general.

PROGRAMApdf

 

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IIIª Jornada Pribatua (VI) – Evidencias Electrónicas – #jPrib3

Cartel para proyectar jPrib3

Os adelantamos el programa definitvo de la tercera jornada Pribatua que versará sobre las“Evidencias electrónicas” y tendrá lugar el próximo viernes 28 de marzo en el Salón de actos - Areto Nagusia del Centro Cultural KOLDO MITXELENA Kulturunea de la Diputación Foral de Gipuzkoa - Gipuzkoako Foru Aldundia en Donostia / San Sebastián, en colaboración con IZFE y con la AVPD.

   Part_2.2     

                        

En esta jornada, llevaremos acabo un análisis desde un plano jurídico-técnico y de organización sobre las cuestiones relativas a las Evidencias Electrónicas y su procedimiento. Para ello contaremos con el siguiente programa preliminar y ponentes:

  • 9:20-9:45 – Recepción de asistentes
  • 9:50-10:20 – Acto de apertura: Miren Lore Martinez Axpe, Directora General del Sistemas para la Sociedad de la Información de  Diputación Foral de Gipuzkoa; Dª. Elixabete Ostolaza Esnal, Dtora. General IZFE y D. Jaime Domínguez Macaya, Dtor. De la DIT de Gobierno Vasco.
  • 10:25-11:00 – Ponencia 1: D. Iñaki Pariente de Prada, Director de la Agencia Vasca de Protección de Datos. Analizará el tema desde la perspectiva de la Autoridad de Control, sobre las cuestiones relativas a la innovación tecnológica, los desafíos para la privacidad y los retos que ello supone en el contexto del futuro reglamento europeo sobre protección de datos de carácter personal
  • 11:05-11:35 – Ponencia 2: D. José Navarro, presidente de ASPEI Asociación Profesional de Peritos Informáticos. Realizará un análisis desde un plano técnico y pericial de las evidencias electrónicas en su ponencia “Peritaje informático y cadena de custodia de evidencias digitales”
  • 11:35-12:10 – Pausa
  • 12:15-12:45 – Ponencia 3: Dª. Edurne Arce, Jefa de Sección de Nuevas TecnologíasPolicia Científica-Ertzaintza. Expondrá, la estructura y funciones de la misma, analizando el tratamiento y cadena de custodia de las evidencias digitales y los procedimientos de análisis.
  • 12:50-13:20 – Ponencia 4: D. Jorge Armando Bermúdez González, Fiscal delegado para la Delincuencia Informática. Analizará las cuestiones relativas desde un plano jurídico y judicial
  • 13:25-14:00 – Turno de debate
  • 14:00 – Acto de cierre

Como en ediciones anteriores, la asistencia a las jornadas de Pribatua se limita sólo a nuestros asociados e invitados, así como a las personas invitadas por los propios colaboradores. Todo ello con independencia de que en alguna ocasión se pudiera abrir alguna de las jornadas Pribatua al público en general.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IIIª Jornada Pribatua (V) – Evidencias Electrónicas – #jPrib3

Cartel para proyectar jPrib3

Os adelantamos el programa provisional de la tercera jornada Pribatua que versará sobre las “Evidencias electrónicas” y tendrá lugar el próximo viernes 28 de marzo en el Salón de actos - Areto Nagusia del Centro Cultural KOLDO MITXELENA Kulturunea de la Diputación Foral de Gipuzkoa - Gipuzkoako Foru Aldundia en Donostia / San Sebastián, en colaboración con IZFE y con la AVPD

   

En esta jornada, llevaremos acabo un análisis desde un plano jurídico-técnico y de organización sobre las cuestiones relativas a las Evidencias Electrónicas y su procedimiento. Para ello contaremos con el siguiente programa preliminar y ponentes:

  • 9:20-9:45 – Recepción de asistentes
  • 9:50-10:20 – Acto de apertura: Dª. Elixabete Ostolaza Esnal, Dtora. General IZFE
  • 10:25-11:00 – Ponencia 1: D. Iñaki Pariente de Prada, Director de la Agencia Vasca de Protección de Datos. Analizará el tema desde la perspectiva de la Autoridad de Control, sobre las cuestiones relativas a la innovación tecnológica, los desafíos para la privacidad y los retos que ello supone en el contexto del futuro reglamento europeo sobre protección de datos de carácter personal
  • 11:05-11:35 – Ponencia 2: D. José Navarro, presidente de ASPEI Asociación Profesional de Peritos Informáticos. Realizará un análisis desde un plano técnico y pericial de las evidencias electrónicas en su ponencia “Peritaje informático y cadena de custodia de evidencias digitales”
  • 11:35-12:10 – Pausa
  • 12:15-12:45 – Ponencia 3: Pendiente por confirmar asistencia
  • 12:50-13:20 – Ponencia 4: D. Jorge Armando Bermúdez González, Fiscal delegado para la Delincuencia Informática. Analizará las cuestiones relativas desde un plano jurídico y judicial
  • 13:25-14:00 – Turno de debate
  • 14:00 – Acto de cierre

Como en ediciones anteriores, la asistencia a las jornadas de Pribatua se limita a nuestros asociados y a las personas tanto invitadas por los colaboradores de cada una de ellas como a aquellas invitadas por Pribatua, con independencia de que en alguna ocasión se pudiera abrir alguna al público en general.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IVª Jornada Pribatua (I) – Ciberseguridad e Infraestructuras críticas – #jPrib4

Cartel para proyectar jPrib4

Podemos avanzar a todos los asociados que desde la recién constituida Comisión de Eventos de Pribatua se está trabajando en el programa de la próxima IVª Jornada Pribatua a celebrar en Mayo y que versará sobre “Ciberseguridad e Infraestructuras críticas”.

En próximas fechas informaremos del lugar y fecha, así como del programa de la Jornada.

La asistencia a las jornadas de Pribatua se limita a nuestros asociados y a las personas tanto invitadas por los colaboradores de cada una de ellas como a aquellas invitadas por Pribatua, con independencia de que en alguna ocasión se pudiera abrir alguna al público en general.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

PRIBATUA PROMUEVE ENTRE SUS ASOCIADOS EL CONOCIMIENTO INTROSPECTIVO Y LAS SINERGIAS

En su afán por difundir la privacidad y la seguridad de la información, da un paso más con la creación de una COMISIÓN DE CONOCIMIENTO INTROSPECTIVO O SINERGIAS tal y como recoge en sus Estatutos (Artículo 5, letra g):

“Promover sinergias profesionales entre los asociados, y organizaciones a las que éstos pertenecen, en proyectos y servicios relacionados con la seguridad de la información y la privacidad”.

Con ello se pretende poner a disposición de los asociados un foro permanente que posibilite la colaboración entre las pequeñas empresas para poder afrontar proyectos más grandes que por separados serían inalcanzables.

El enfoque propuesto para poner en marcha esta Comisión es, como no puede ser de otra manera, participación abierta a todos los asociados que así lo deseen, con una reunión en la que se realice una presentación de las capacidades de cada uno y de sus empresas; para que nos conozcamos mejor.

Evidentemente el proyecto es un camino largo y conlleva redactar una normativa interna de funcionamiento de las colaboraciones que surjan de esta iniciativa. Este “código ético de conducta” actualmente se está redactando y se hará público a todos los asociados interesados.

Por este motivo, en breve, convocaremos por email a todos los asociados de PRIBATUA a la reunión de presentación.

 

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Jornada de conmemoración del X Aniversario de la Agencia Vasca de Protección de Datos

X Aniversario AVPD

Ayer lunes 24 de febrero tuvimos la oportunidad de acompañar a la Agencia Vasca de Protección de Datos en su décimo aniversario. La Jornada transcurrió en el Parlamento Vasco, donde tras el acto de inauguración tuvieron lugar dos mesas redondas y la entrega de los primeros premios de la Agencia previo al acto de clausura. Ver programa completo aquí.

No se trató de un acto masivo, más bien íntimo. Entre las setenta personas que nos reunimos, la mayoría viejos conocidos del sector, se encontraba una nutrida representación del sector público: LanTIK, Ejie, Osakidetza, Izenpe, EiTB, Eudel, diversos ayuntamientos, Parlamento Vasco y distintas sensibilidades políticas, APDCAT, Osatek, etc. y, en especial, el equipo completo de la AVPD quienes estaban de celebración. Desde Pribatua tuvimos la oportunidad de acompañarles y celebrar con ellos esta efeméride: Cristina Sustacha, Talía Besga, Mikel García Larragán y Dani Villar.

La Presidenta del Parlamento Vasco, Bakartxo Tejería, inaguró la jornada con este discurso. A continuación, Pedro Alberto González Responsable del Registro y Auditoría de Ficheros en la AVPD moderó la primera mesa redonda, donde los intervinientes contaron su experiencia de hace diez años atrás, cada cual en su ámbito de responsabilidad, momentos en los que se tramitó y aprobó la Ley 2/2004 por la que se crea la Agencia Vasca de Protección de Datos. En la segunda mesa redonda, moderada por Iñaki Pariente de Prada, Director de la AVPD, intervinieron parlamentarias de los grupos: Socialistas Vascos, Nacionalistas Vascos y EH-Bildu (el resto de grupos también estuvieron invitados pero, al parecer, cuestiones de agenda se lo impidieron), quienes expusieron cuáles son los retos inmediatos a los que se enfrenta la Agencia con cuestiones muy concretas y, donde volvió a salir el debate de transparencia vs. privacidad.

Antes del acto de cierre presidido por Consejero de Administración Pública y Justicia, y Portavoz del Gobierno Josu Erkoreka quien agregó y resumió los orígenes, desarrollo y retos de futuro de la Agencia, participó de la parte más pasional del acto que fue la entrega de premios. En primera instancia, la Mención Honorífica fue para Iñaki Vicuña, ex-Director de la AVPD durante los primeros ocho años de su andadura. Se trató de un reconocimiento muy emotivo, que levantó de sus asientos a varios de los presentes y ex-compañeros de la Agencia y que consiguió emocionarlo -cómo recuerdo aún el momento en el que Pribatua también lo nombró primer Asociado de Honor-. A continuación Maite Iturbe, recogió el Premio en nombre de EiTB por su labor de difusión y concienciación en materia de protección de datos personales. El premio a la trayectoria profesional fue para Antonio Troncoso y el premio a la Organización lo recogió Ibone Bengoetxea Presidenta de Eudel y, además, recibieron su reconocimiento cada uno de los participantes en la redacción del manual.

Las menciones a la cuenta de la Agencia @avpd_dbeb en twitter fueron continuadas:

 

Referencias y material gráfico puede encontrarse en los siguientes enlaces:

 

Tan sólo nos resta felicitar a la Agencia por este su décimo aniversario, dándole nuestra más sentida enhorabuena, a todas las personas que allí trabajan porque hacen una magnífica labor y desearles de corazón otros diez años de logros.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Resolución de AEPD sobre la LSSI referente a las cookies

El objeto de esta nota es hacer un breve comentario sobre la primera resolución de la AEPD (Resolución R/02990/2013) por incumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI relativas a las cookies.

Dicho incumplimiento se concreta en la falta de información previa clara y completa sobre el uso y finalidades de las cookies y sin haberse recabado el consentimiento informado de los usuarios, en contravención a las obligaciones dispuestas en el artículo 22.2 de la LSSI.

A este respecto, a entender de la Agencia, la información incluida por las empresas sancionadas no sería suficiente, y por tanto, se infringiría el artículo 22.2 de la LSSI. También considera probado que el uso de cookies se llevaba a cabo sin mediar el necesario consentimiento informado de los afectados. La cuestión es que la vulneración de este requisito no resulta sancionable en virtud de lo establecido en el artículo 38.4.g) relativo a infracciones, dado que no puede sancionarse una conducta no contemplada en el régimen sancionador fijado por el citado artículo.

Son dos las empresas sancionadas por la comisión de una infracciones leves del artículo 38.4 g) de la LSSI imponiendo respectivamente sanciones por un importe de 3000 € y 500 €.

Al margen de las consideraciones jurídicas, a mi entender, resulta interesante destacar de la Resolución una serie de cuestiones de índole pragmático. La aprobación en su día del artículo 22.2 de la LSSI tuvo un impacto inmediato, reflejado en la proliferación en Internet de banners relativos a la utilización de cookies. A este respecto hay que tener en cuenta que el cumplimiento de obligaciones de este tipo tiene un impacto económico evidente sobre cualquier empresa que actualmente dispone de una página web en Internet. Aunque la Agencia publicó relativamente rápido la “Guía sobre el uso de las cookies”, los criterios para la toma de decisiones en el diseño de páginas web y portales y utilización de cookies seguían estando en un plano relativamente teórico.

Por estas razones creo que esta resolución puede tener la virtud de “dar pistas” sobre la concreción de las obligaciones exigidas y sobre la política que en materia de cookies ha de regir el diseño de las páginas y portales en Internet.

A este respecto merece la pena una lectura detenida de la resolución analizando las siguientes cuestiones.

  • En primer lugar la resolución contiene una descripción detallada de la labor inspectora que lleva a cabo la Agencia en la tramitación del expediente, y el tiempo en el que se realizan dichas labores a los efectos de constituir la prueba. Hay que tener en cuenta que la denuncia se presentó ante la Agencia hace más de un año, en septiembre de 2012.

  • Se realiza un inventario pormenorizado de las cookies utilizadas y en algunas de ellas de las condiciones de uso que establece el proveedor de las mismas. En la realización de este análisis se pone de manifiesto que en algún caso y aunque la cookie se encuentra instalada, esta no recaba datos y por tanto no resulta de utilidad.

  • Se analiza la forma en que las empresas sancionadas gestionan la información en dos capas y la (falta) de obtención de consentimiento. Sobre esta cuestión es interesante analizar como la empresa durante el expediente realiza determinadas actuaciones tendentes a cumplir con las obligaciones, pero que a la luz de la resolución final son claramente insuficientes.

Espero que con esta nota haya suscitado vuestro interés.

Podéis encontrar la resolución en el siguiente enlace http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00321-2013_Resolucion-de-fecha-14-01-2014_Art-ii-culo-5.1-LOPD-22.2-LSSI.pdf

CS

Cristina Sustacha Duñabeitia
Gerente Asesoría Jurídica en Euskaltel

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IIIª JORNADA PRIBATUA (IV) – EVIDENCIAS ELECTRÓNICAS – #JPRIB3

III Jornada PRIBATUAYa podemos avanzar novedades en relación a la IIIª Jornada Pribatua sobre “Evidencias Electrónicas”, #jPrib3, que tuvimos que cancelar mediante este post.

 

En próximas fechas haremos público el programa definitivo.

 

La Jornada se celebrará, según lo previsto inicialmente, en formato de mañana en el Salón de actos - Areto Nagusia del Centro Cultural KOLDO MITXELENA Kulturunea de la Diputación Foral de Gipuzkoa - Gipuzkoako Foru Aldundia en Donostia – San Sebastián, viernes 28 de marzo de 2014

 

 

 

 

 

Tan sólo podemos agradecer a IZFE y a la AVPD su siempre extraordinara disposición y ayuda, así como a ponentes e invitados.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS