Iª Formación Pribatua – Protección de Datos Personales y Seguridad en las TICS – #fPrib1

Los días 17, 18, 24 y 25 de junio DeustoAlumni organizó el curso “Protección de Datos Personales y Seguridad en las TICS“. Las ponencias en dichas jornadas fueron impartidas por la profesora de la Universidad de Deusto Ana Isabel Herrán, el Director de la Agencia Vasca de Protección de Datos Iñaki Pariente de Prada y Cristina Sustacha, abogado en EUSKALTEL y vocal de la Junta de PRIBATUA.

El curso comenzó con una Primera Jornada en la que se realizó una aproximación a la legislación en materia de Privacidad y Protección de Datos Personales, analizando la evolución de la misma en el ámbito europeo.

La Segunda Jornada se dedicó a la Privacidad, Protección de Datos e Intimidad en el mundo digital y su especial impacto en las redes sociales y aplicaciones.

En la Tercera Jornada se analizaron los Fundamentos Jurídicos de la seguridad en las TICS, así como la responsabilidad de los prestadores de servicios de la Sociedad de la Información.

La Cuarta Jornada compartida entre Iñaki Pariente de Prada y Cristina Sustacha se centró en la aplicación de las obligaciones y regulación en la materia al sector público y al sector privado.

El curso finalizó con un foro abierto el día 30 de junio, con la participación conjunta de los tres ponentes, en el que se analizaron distintos supuestos relacionados con la Protección de Datos y la Seguridad de las TICS.

El curso ha sido bien valorado por los asistentes al abordarse el tema de la Seguridad y Protección de Datos Personales desde distintas perspectivas.

https://www.alumni.deusto.es/cs/Satellite/deustoalumni/es/formacion-0/formacion-continua/ediciones-anteriores/seminario-derecho-tic/formacion

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

2º Taller Pribatua (I) – Cumplimiento de la LOPD en la abogacía – #tPrib2

Dentro del ciclo de TRES TALLERES PRÁCTICOS dirigidos a profesionales de la abogacía en el cumplimiento de la LOPD al objeto de facilitar su cumplimiento práctico, tras la impartición del primer taller el pasado día 11 de junio y al objeto de darle continuidad, el Ilustrísimo Colegio de Abogados de Álava (ICALAVA), en colaboración con PRIBATUA ha organizado la impartición del SEGUNDO TALLER PRÁCTICO que versará sobre:

Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad y realización de auditorías bienales reglamentarias”.

El objetivo de este segundo taller es proporcionar, a los responsables de fichero del colectivo de la abogacía, las principales obligaciones técnico-organizativas que este colectivo debe cumplir en materia de Protección de Datos de Carácter Personal; así como, explicar a los asistentes qué es el Documento de Seguridad: contenido mínimo y actualización de dicho documento. Finalmente se pretende dar a conocer la obligación de realizar auditorías reglamentarias bienales y su preparación.

Fecha: El día 9 de julio de 2014 en horario de 16:00 a 17:30 h.

Lugar de impartición: Salón de Actos del Ilustrísimo Colegio de Abogados de Álava (ICALAVA), en Paseo Fray Francisco, 4 C.P. 01007 Vitoria – Gasteiz.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

ASÍ FUE Iº TALLER PRIBATUA – CUMPLIMIENTO DE LA LOPD EN LA ABOGACÍA – #TPRIB1

Presentado por Talía Besga, Secretaria de Pribatua y colegiada del Ilustrísimo Colegio de Abogados de Álava (ICALAVA) y expuesto por Amaya Chaparro, asociada de Pribatua.

IMG_20140611_180927

En el marco del Convenio de colaboración suscrito entre el Ilustrísimo Colegio de Abogados de Álava (ICALAVA) y la Asociación PRIBATUA, se han organizado tres Talleres Prácticos en materia de LOPD, dirigido, al colectivo de la abogacía, al objeto de proporcionar las herramientas y competencias necesarias para dar cumplimiento a una de las obligaciones establecidas en la normativa vigente en materia de LOPD.

Así, el pasado miércoles día 11 de junio de 2.014, se celebró en el ICALAVA el Primer Taller Práctico LOPD titulado: Inscripción de ficheros LOPD en el Registro General de Protección de Datos”. Comenzó la jornada con una aproximación conceptual a lo qué se entiende por ficheros en materia de LOPD, de qué ficheros típicos son responsables los despachos jurídicos, cómo identificar y categorizar el nivel de seguridad requerido para dichos ficheros, en función de la estructura de datos de carácter personal y las finalidades de los tratamientos que justifican su creación. Se hace hincapié en que, con el cumplimiento de esta obligación legal del art. 26 LOPD, no se debe olvidar que únicamente se acredita que se ha cumplido con la obligación de notificación dispuesta en la LOPD, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en dicha Ley y demás disposiciones reglamentarias.

Se explica cuáles son las autoridades de control, sus principales características, funciones y cuál es la competente en relación a los ficheros de titularidad privada: la Agencia Española de Protección de Datos (AEPD).

IMG_20140611_184435A continuación se accedió al Portal Web de la AEPD, autoridad de control competente en el caso de los despachos jurídicos, se visualizó el apartado de “Ficheros inscritos” para consultar los ficheros declarados. Acto seguido se accedió al Sistema NOTA, para proceder a la descarga del formulario NOTA autocompletable y se indica las diferentes vías de notificación de los ficheros. Se explica que para la notificación de la solicitud de inscripción por vía telemática, es necesario disponer de un certificado de firma electrónica. En este momento, y debido al interés mostrado por las personas asistentes, se da a conocer los certificados de firma electrónica admitidos para firmar dicho formulario y enviar telemáticamente la solicitud de inscripción (entre ellos el certificado de la Autorización de Certificación de la Abogacía), por lo que se consultó dicha información en la Sede Electrónica de la AEPD.

Para finalizar, se muestra a las personas asistentes, a través del apartado “Canal del Responsable” del Portal Web de la AEPD, cómo consultar, en su calidad de Responsables de Ficheros, tanto el estado de su solicitud como el contenido de la inscripción de los ficheros de su titularidad.

Se cierra este Primer Taller Práctico indicando que, en los dos siguientes talleres prácticos a celebrar en julio y en septiembre respectivamente, se continuará profundizando en el resto de las obligaciones técnico-organizativas y legales.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Iº Taller Pribatua (I) – Cumplimiento de la LOPD en la abogacía – #tPrib1

En el ámbito del convenio de colaboración existente entre el Ilustre Colegio de Abogados de Álava y Pribatua, se ha organizado una serie de TRES TALLERES PRÁCTICOS con el objeto de facilitar a los profesionales de la abogacía el cumplimiento de la LOPD.

El primer taller práctico se celebrará hoy miércoles 11 de junio en horario de 18:00 a 19:30 en el salón de actos del Ilustre Colegio de Abogados de Álava y versará sobre la inscripción de ficheros titularidad de despachos y colectivos de profesionales de la abogacía en el Registro de la Agencia de protección de Datos.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Así fue IVª Jornada Pribatua #jPrib4 – “Ciberseguridad e Infraestructuras Críticas”

IV Jornada Pribatua #jPrib4

El miércoles 4 de Junio tuvo lugar en el Salón de Actos del Edificio Plaza de Bizkaia de Bilbao y en colaboración con Eusko Jaurlaritza / Gobierno VascoAgencia Vasca de Desarrollo Empresarial - SPRI - Eusko Jaurlaritzako Enpresa Garapenerako Euskal Agentzia, la Fundación BiscayTIK Fundazioa, con el patrocinio de Omega Peripherals que posibilitó el “desayuno de trabajo”.

En realidad, poco mejor resumen puede hacerse que el que ya ha publicado Jesús Pérez Serna, vocal de la Junta Directiva de Pribatua, en su blog y que os dejo aquí. Intentaré ampliarlo con algún detalle.

Desde primera hora tuvimos la ocasión de charlar con autoridades e invitados quienes nos trasladaban sus inquietudes en relación con los temas de la Jornada, que por su carácter novedoso nos aportaron un gran número de cuestiones que trasladar con posterioridad a los ponentes en la mesa redonda que tuvimos al final. Como organizadores creemos que el networking profesional que se establece entre asociados, asistentes, ponentes y organizadores es uno de los pilares de estos encuentros periódicos que mantenemos y que pretendemos favorecer.

La agenda completa de la jornada fue la detallada en este post. y pudisteis seguir los detalles en vuestro TL bajo el HT #jPrib4

En primer lugar, D. Juanan Martín Zubiaur, Director General de la Fundación BiscayTIK dio la bienvenida a los asistentes y recalcó la colaboración que desde septiembre de 2013 tiene la fundación con Pribatua por lo alineados que se encuentran varios de los objetivos fundacionales de ambas instituciones.

A continuación, D. Iñaki Suárez, Director del Área de Sociedad de la Información de la agencia de desarrollo empresarial del Gobierno Vasco – SPRI, recalcó también la cooperación entre la SPRI y Pribatua favoreciendo estos encuentros que pueden ser de tanto interés para el tejido industrial local. Asímismo recordó a los asistentes distintos tipos de ayudas, como la + DIGITAL@ 2014 (ayuda para impulsar la incorporación y la utilización de las Tics como herramienta de competitividad) que desde el Gobierno vasco y la SPRI están disponibles para las empresas locales.

Foto 1: Mesa inaugural – D. Iñaki Suárez, D. Juanan Martín Zubiaur, D. Daniel Villar

Tras el acto inaugural, la primera ponencia corrió a cargo de D. Iñigo Garcia Merino, miembro del subcomité de mejora del CISAy consultor/auditor Senior en Seguridad de la Información en Deloitte. Íñigo realizó una exposición sobre los distintos tipos de amenazas a las que se ve sometida cualquier organización y fue poco a poco concretando los riesgos a los que se ven expuestos los sistemas de producción de una empresa y, en concreto, aquellos autómatas, PLC, etc. que gobiernan robots y líneas de producción en industrias, sistemas de regulación y control como climatización, refrigeración, etc. terminando con ejemplos de ataques reales sufridos por el internet de las cosas y smart-cities – como los semáforos de la ciudad de Atlanta, centrifugadoras de Uranio en el Irán, etc. Por cuestiones de confidencialidad y de propiedad industrial del contenido, la presentación que usó Iñigo en su ponencia no podemos reproducirla aquí.

la foto (1)

Foto 2: Ponencia 1 - D. Iñigo Garcia Merino, D. Daniel Villar

La segunda ponencia corrió a cargo de D. Jesús Soler Lorent, Responsable del área Jurídica en Global Factory, Responsable del Grupo de Estudios de NNTT del Ilustre Colegio de Abogados del Señorío de Vizcaya y profesor del Máster Universitario en Abogacía tanto en UPV/EHU y Universidad de Deusto. En ella diseccionó la Ley 8/2011 de protección de infraestructuras críticas explicando “de dónde viene” e insertándola en el ordenamiento jurídico existente y haciendo incapié en los conceptos de Operador Crítico, Plan de Seguridad, etc. pero alertando también de dos aspectos que generan controversia. El primero, el relativo a la “seguridad nacional” y la categorización de secreto de toda aquella información relativa al número y tipo de ataques, planes de seguridad, mecanismos por los que se designan los operadores críticos. El segundo, que la ausencia de un régimen sancionador en caso de incumplimiento termine por pervertir la esencia de la Ley, que es la adecuación de estos operadores y el establecimiento, puesta en marcha y control de estos planes de seguridad. A continuación reproducimos la presentación en la que se apoyó Jesús en su ponencia:



Presentación 1: Marco normativo - Protección de Infraestructuras Críticas – D. Jesús Soler

Llegado el turno de la pausa café, que en esta ocasión degustamos gracias a Omega y en concreto, gracias a Manu Oleagoitia -que siempre está dispuesto a apoyar estos eventos-, conseguimos seguir estableciendo relaciones profesionales entre los asistentes, resolviendo problemas y ampliando la información que se había trasladado en las charlas anteriores.

Como tercera y última ponencia previa al turno de debate intervino D. Cesar Sicre, Gerente del CyberSOC de Deloitte. En su ponencia nos contó distintos tipos de ciberataques y en qué dirección debería encaminarse la ciberseguridad, así como la visión de su organización en relación con las competencias que tiene un Centro de Operación de Seguridad, el tipo de actividad que en ellos se lleva a cabo y las posibilidades que ofrece la externalización de este tipo de centros en un modelo de “seguridad como servicio”.

Foto 3: Ponencia 3 - D. Cesar Sicre, D. Daniel Villar

A continuación reproducimos la presentación en la que se apoyó César en su ponencia:



Presentación 2: Centros de Operaciones de Seguridad - D. Cesar Sicre

Para finalizar. los tres ponentes aceptaron preguntas del público y del moderador en formato de mesa redonda, que como decía, siempre resulta lo más enriquecedor de la Jornada.

Foto 4: Turno de debate - D. Iñigo Garcia Merino, D. Cesar Sicre, D. Jesús SolerD. Daniel Villar

Finalmente, tan sólo me queda agradecer a todos los organizadores, ponentes, patrocinadores y a los más de cincuenta asistentes el interés demostrado en la temática de la jornada compartiendo con nosotros toda una mañana de su tiempo. Entre todos, considero que cerramos un gran encuentro, de mucha actualidad y quizás no tan conocido.

Como suele decir Mikel en sus posts, Pribatua es un proyecto ilusionante. Qué, ¿te apuntas?

…ya estamos trabajando en la Vª jornada…

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IVª Jornada Pribatua (III) – Ciberseguridad e Infraestructuras Críticas – #jPrib4

III Jornada PRIBATUA

Os adelantamos el programa casi definitvo de la cuarta jornada Pribatua que versará sobre las“Ciberseguridad e Infraestructuras Críticas” y tendrá lugar el próximo miércoles 4 de Junio en el Salón de Actos del Edificio Plaza de Bizkaia del Gobierno Vasco en Bilbao en colaboración con el Eusko Jaurlaritza / Gobierno VascoAgencia Vasca de Desarrollo Empresarial - SPRI - Eusko Jaurlaritzako Enpresa Garapenerako Euskal Agentzia, la Fundación BiscayTIK Fundazioa y el patrocinio de Omega Peripherals.

     

rebrand_logo_omega

Logo_Deloitte_Primario-RGBlogoFinal.v2

En esta jornada, pretendemos lleva acabo un análisis desde un plano jurídico-técnico y de organización sobre las cuestiones relativas a la seguridad en entornos industriales (como una parte de la estrategia de ciberseguridad nacional) y la protección de las infraestructuras críticas (Ley 8/2011). Para ello contaremos con el siguiente programa provisional y ponentes:

  • 9:15-9:30 – Recepción de asistentes
  • 9:30-10:00 – Acto de apertura:  
  • 10:00-10:30 – Ponencia 1: D. Iñigo Garcia Merino, miembro del subcomité de mejora del CISA y consultor/auditor Senior en Seguridad de la Información en Deloitte . Realizará un análisis técnico sobre la seguridad en entornos SCADA de producción
  • 10:30-11:00 – Ponencia 2: D. Jesús Soler Lorent, Responsable del área Jurídica en Global Factory, Responsable del Grupo de Estudios de NNTT del Ilustre Colegio de Abogados del Señorío de Vizcaya y profesor del Máster Universitario en Abogacía tanto en UPV/EHU y Universidad de DeustoRealizará un análisis desde un plano jurídico de la Ley 8/2011 de protección de las infraestructuras críticas.
  • 11:00-11:45 – Pausa
  • 12:00-12:30 – Ponencia 3: D. Cesar Sicre, Gerente del CyberSOC de Deloitte. Expondrá su visión en tendencias en ciberseguridad, Security as a Service y Centros de Operaciones de Seguridad
  • 12:30-13:30 – Turno de debate, mesa redonda y acto de cierre

Como en ediciones anteriores, la asistencia a las jornadas de Pribatua se limita sólo a nuestros asociados e invitados, así como a las personas invitadas por los propios colaboradores. Todo ello con independencia de que en alguna ocasión se pudiera abrir alguna de las jornadas Pribatua al público en general.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IVª Jornada Pribatua (II) – Ciberseguridad e Infraestructuras críticas – #jPrib4

Cartel para proyectar jPrib4

Últimas novedades sobre la próxima IVª Jornada Pribatua “Ciberseguridad e Infraestructuras críticas” #jPrib4 que anunciamos en este post. Gracias a la colaboración de D. Jaime Dominguez-Macaya, Director de Informática y Telecomunicaciones, ésta se celebrará:

Bilbao, 4 de junio de 2014
Salón de actos, Edificio Plaza de Bizkaia

Edificio Plaza de Bizkaia Edificio Plaza de Bizkaia

La asistencia a las jornadas de Pribatua se limita a nuestros asociados y a las personas tanto invitadas por los colaboradores de cada una de ellas como a aquellas invitadas por Pribatua, con independencia de que en alguna ocasión se pudiera abrir alguna al público en general.

#pribatuaSomosTodos

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

IIIª Jornada Pribatua (VIII) – Evidencias Electrónicas – #jPrib3

JornadaIII

Para terminar con los posts relativos al evento de la III Jornada sobre las Evidencias Electrónicas; la propia jornada en vídeo para todo aquel que por diferentes motivos no pudo acudir a la misma.

III Jornada Pribatua – Parte 1

III Jornada Pribatua – Parte 2

III Jornada Pribatua – Parte 3

III Jornada Pribatua – Parte 4

III Jornada Pribatua – Parte 5

 

#pribatuaSomosTodos

 

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Riesgos en el uso de WhatsApp (III)

Riesgos en el uso de WhatsApp (I)

Riesgos en el uso de WhatsApp (II)

  • Redes P2P. Si usted utiliza este tipo de redes para compartir archivos u otro tipo de servidores de archivos, cuídese de no compartir su base de datos de WhatsApp. Por ejemplo, en un backup (copia) de iTunes  el nombre de la base de datos de WhatsApp es 1b6b187a1b60b9ae8b720c79e2c67f472bab09c0.Ya he comentado que una vez que se tiene la base de datos, descifrarla es cuestión de tiempo (muy poco tiempo).

  • La nube de Apple y la cuenta de Apple-ID. Si usted hubiera guardado una copia de la base de datos de WhatsApp en la nube de Apple (iCloud) y alguien consiguiera acceso a su cuenta de Apple-ID (con un programa que registre lo que escribe – keylogger – o espiándole cuando introduce sus credenciales), esta persona podría ver sus conversaciones usando alguna herramienta como ElcomSoft Phone password-breaker.

  • El operador en el medio de la comunicación. Debe usted saber que todas sus conversaciones y datos intercambiados son gestionados por WhatsApp Incorporation, con sede social en California (EEUU). WhatsApp asegura en su política de privacidad que no accede ni guarda información de los contactos del usuario ni datos de ubicación o del contenido de los mensajes intercambiados; sin embargo, verdaderamente tiene la capacidad de hacerlo. Es decir, alguien más que usted y sus interlocutores, puede tener acceso a sus datos. La diferencia esencial con otros operadores, que también están en el medio de nuestras conversaciones (sean telefónicas o de internet), es que éstos están sometidos a las leyes europeas, españolas y de nuestras comunidades autónomas, por el mero hecho de disponer de establecimiento en España; sin embargo, WhatsApp únicamente se somete a la legislación federal y estatal norteamericana. Probablemente haya oído usted hablar sobre la NSA (la Agencia Nacional de Seguridad, de los EEUU) y sus “pactos” con los fabricantes y operadores de tecnologías de información y comunicaciones para implementar “puertas traseras”que permiten a los espías norteamericanos analizar nuestros mensajes; también estarán al tanto sobre el “caso Snowden” y todos estos asuntos que parecen sacados de una novela de John le Carré. Pues bien, como habrá podido comprobar en las últimas semanas: la realidad supera la ficción.

  • La Política de privacidad. WhatsApp afirma en sus condiciones legales que no vende ni comparte información personal ni otro tipo de datos con terceras compañías para su uso comercial sin disponer del consentimiento del usuario, aunque se reserva el derecho a usarla para sus propios fines administrativos. Sin embargo, aclara que sí compartirá esta información “cuando sea razonablemente necesario” (para colaborar con las agencias gubernamentales; para labores de mantenimiento; para defenderse frente a reclamaciones de terceros, etc.). WhatsApp registra y puede conservar los siguientes datos sobre usted: número de teléfono, nombre e información de facturación (si se introduce), información del dispositivo, su estado (disponible, fuera de línea, etc.) o la hora y fecha, cuándo envía o recibe un mensaje y entre qué números de teléfono se compartió, “así como cualquier otra información que WhatsApp esté legalmente obligada a recoger” sin especificar de cuál se trata. Si usted accede a la web de WhatsApp desde su dispositivo, esta compañía también usa información que le permite identificarle (dirección IP) e información genérica como el tipo de navegador, volumen de tráfico de datos, y el uso de cookies. En esta política WhatsApp aclara que opera bajo las leyes de California y que usted consiente que sus datos sean transferidos a dicho Estado; si no está conforme con alguno de sus términos, WhatsApp le invita a darse de baja del servicio y a desinstalar la aplicación.

  • Acceso físico a su teléfono. Si usted no ha activado la contraseña de acceso al teléfono, basta con cogerlo para abrir WhatsApp y ver sus mensajes. Es la manera más sencilla. Pero, si usted fue precavido y es en su teléfono donde recibe los mensajes (sms) de recuperación de contraseñas de sus aplicaciones y tiene activada la pre-visualización de mensajes, nunca lo pierda de vista, ya que alguien podría instalarse una de esas aplicaciones en otro terminal, hacerse pasar por usted, utilizando su identificador, e indicar que no recuerda la contraseña de la cuenta de acceso. Si además, usted instaló al asistente Siri en su teléfono, no hay más que preguntarle que quién soy, para que entregue una buena información sobre usted. Recuerde que el mensaje de recuperación de la contraseña se recibiría en el teléfono que usted perdió de vista… Entonces, el atacante ya podría usurpar su cuenta en la aplicación y acceder a sus mensajes y comunicaciones.

  • Utilidades del propio sistema. En el caso de iPhone se puede utilizar la herramienta WhatsApp Anti-Delete Protectiton Tool, cuyo propósito original es el de proteger los mensajes contra borrados accidentales, pero, como casi todo, tiene su cara y su cruz, y también podría ser utilizada como método de control parental de los hijos o para espiar los mensajes de terceros. Para poder usarla se necesitaría acceso físico al terminal.

Conclusión

Téngalo en cuenta. WhatsApp no es seguro. Definitivamente. Algunas personas son de la opinión de que si lo usa para su trabajo, no está usted actuando con buen criterio; pero, si además intercambia datos confidenciales por este medio, debería usted ser despedido por poner en riesgo la información sensible de la compañía. Así de radical.

A través de este artículo he tratado de ofrecerle varias advertencias y consejos; pero, aun así usted será el único responsable de lo que le ocurra. Ahorrar en llamadas y mensajes, depende de cómo lo haga, a la larga le puede salir mucho más caro. Y, tal vez, ni se entere… porque lo último que hacen los espías es reconocer que le han espiado.

Para terminar, un último consejo: en caso de que usted mismo o alguien a quien conoce hubiese sido víctima de algún fraude, estafa o delito, a través del correo electrónico, comuníquese de inmediato con las autoridades correspondientes:

  • Sección Central de Delitos en Tecnologías de la Información (SCDTI) de la Ertzaintza.

  • Grupo de Delitos Telemáticos (GDT-UCO) de la Guardia Civil.

  • Brigada de Investigación Tecnológica (B.I.T.) de la Policía Nacional.

José Luis Sáez de Argandoña

José Luis Sáez de Argandoña Vázquez

Director División Consultoría de Seguridad de Global Factory

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Riesgos en el uso de WhatsApp (II)

Riesgos en el uso de WhatsApp (I)

Y, tras hablar brevemente sobre la seguridad de los dispositivos, hablemos del programa.

WhatsApp es una aplicación cuya seguridad es muy débil. Sin paliativos. Empezando por la foto de su cuenta o perfil: cualquier persona puede añadir a su lista de contactos un número y acto seguido visualizar la foto del perfil de WhatsApp del propietario de ese número. Ya tienen su foto sin que usted lo sepa. ¿Que no le importa? Hoy… ¿y, dentro de un tiempo, le podría llegar a importar? La recomendación en este caso es que, si le preocupa el uso que le puedan dar a su imagen, no se lo ponga fácil a sus “rivales”: utilice un avatar, una caricatura, un fragmento de su imagen o una imagen en la que no se le reconozca bien.Por cierto, solo con agregar un contacto (excepto si éste ha aplicado los consejos – “tips” – de privacidad de WhatsApp)  también se puede saber si está conectado o no. Tienen su imagen, saben que usted está ahí…

Debe saber que también existen numerosas páginas de internet que explican cómo “hackear” (o, acceder sin autorización) una cuenta de WhatsApp.
WhatsApp es tan inseguro que una persona podría ver los mensajes del Smartphone de otra, tan solo con hacerse con él y cambiar la tarjeta SIM por la suya (de este modo con el PIN que la primera persona conoce consigue abrir el teléfono de la segunda, y si dicho aparato no tiene otra contraseña adicional de bloqueo, ver los mensajes de WhatsApp de esta última persona).
También existen programas capaces de “escuchar” todas las conversaciones de WhatsApp que se estén produciendo en un pequeño radio de acción. Un ejemplo de esto es WhatsApp-Sniffer, capaz de interceptar la información transmitida mediante WhatsApp en una red Wi-Fi.

Bien es cierto que aplicaciones de fisgoneo, como ésta que acabo de citar, obligaron a los fabricantes de WhatsApp, a incorporar mecanismos de cifrado que protegieran las comunicaciones. Esto fue así desde la versión 2.8.3. Por consiguiente, si usted dispone en su dispositivo de alguna versión anterior:; actualícela de inmediato o, de lo contrario, podrá ser espiado con suma facilidad.

Sin embargo, en octubre del 2013, un estudiante de ingeniería de sistemas en la Universidad de Utrecht desmenuzó el funcionamiento del método de cifrado de WhatsApp, desvelando que existe un par de errores que facilita que una persona, con ciertos conocimientos y acceso a la misma red a la que esté conectado el dispositivo (por ejemplo, a la misma red Wi-Fi), sea capaz de interceptar los mensajes intercambiados (con un sniffer tipo WireShark) y descifrarlos, para poder leerlos. Aún es una prueba de concepto, es decir, teórica; todavía no existe una herramienta para explotar la brecha… ¿O, sí existe y la desconocemos?

Otro aspecto importante. ¿Cómo funciona el envío y recepción de mensajes, a través de WhatsApp? Si usted envía un mensaje a otra persona, que también debe utilizar WhatsApp, primero se transmite a los servidores de WhatsApp en Estados Unidos (EEUU), permanece allí unos instantes y, entonces, se remite al receptor. En caso de que éste se hallase fuera de línea, el mensaje puede permanecer en los servidores de WhatsApp durante 30 días, hasta que lo reciba su legítimo destinatario. Según las condiciones del servicio, si no se lograr entregar el mensaje en ese periodo, se elimina.

Veamos algunos otros riesgos de usar WhatsApp, tal vez menos evidentes, posibles amenazas a la seguridad de la información contenida en el dispositivo y vulnerabilidades de este sistema:

  • La base de datos de WhatsApp. Todos los mensajes enviados y recibidos, aunque se borren, y también las coordenadas enviadas si se tiene activado el GPS, quedan almacenados en una pequeña base de datos de la tarjeta Micro SD del teléfono. Aunque esta tarjeta está cifrada, el código es conocido y existen programas capaces de analizar su contenido si nos hacemos con la tarjeta y copiamos sus datos en un ordenador en el cual realizaremos el análisis. Debe usted saber que la clave de cifrado de la información que WhatsApp almacena en la memoria del teléfono es la misma para todos los dispositivos (excepto para Blackberry). Esto lo hace más vulnerable aún. Mediante servicios como www.recovermessages.com, es posible recuperar los mensajes a partir de la base de datos cifrada de Android (este servicio ha recuperado más de 300.000 bases de datos, gratuitamente). Además, WhatsApp efectúa una copia de seguridad en el dispositivo cada 24 horas, por lo que sería posible recuperar conversaciones anteriores, aunque se hayan borrado ese día, si recurrimos a la copia del día anterior. También sería posible recuperar los registros borrados de la base de datos, mediante técnicas forenses un poco más complicadas, pero posibles, si cuenta usted con el experto competente. Por ejemplo, si se tiene acceso a un equipo con el que se haya hecho la sincronización de Apple iTunes con un terminal iPhone, sería posible utilizar una herramienta como iFunBox y acceder al fichero de la base de datos de WhatsApp en el terminal iPhone.

En la próxima entrega terminaré de enumerar los riesgos (conocidos) en el uso de WhatsApp

 

José Luis Sáez de Argandoña

José Luis Sáez de Argandoña Vázquez

Director División Consultoría de Seguridad de Global Factory

 

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS