archivo

Archivos Mensuales: diciembre 2013

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las “Cookies” en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para “…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario”, pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios “high-end” y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion

Emma Butler, , published an entry in the blog of the International Association of Privacy Professionals discussing the characteristics that are to be sought in a privacy professional. The key questions she poses to select the right person for such a role are:

“…do you want a lawyer who just advises on the interpretation on the law and leaves decision making on privacy and subsequent implementation to the business? Or do you want a practitioner who can drive the privacy programme from the ground up, making key decisions and delivering privacy effectively across the business?”

Following she outlines the :

  • Someone who can make decisions.
  • Understand business priorities and limitations.
  • Deliver training.
  • Assist with risk assessment and project manage.
  • Develop and run the privacy programme.
  • Take a strategic view as well as firefight daily.
  • Plan for the medium and long-term but also react quickly to changing demands and deadlines.
  • Unlikely to also be experts in employment law, coding, firewalls or liability caps so they need to be able to successfully co-operate with, and use the expertise of, all facets of the business. And speak their language—whether marketing, IT, legal, audit, risk management or business development.
  • Be leaders.
  • Be able to explain to and influence the senior management to get buy-in for projects, resources and changes to process, policy or even culture.
  • Champion privacy and compliance among the business, often globally, and both lead and support other compliance staff or business champions.
  • Be visible, personable and available to all staff: a source of advice and expertise, and a business enabler.
  • Public speaking skills, presentation skills, diplomacy and the ability to think on your feet.

The mention of the privacy professional as a “business enabler” is key in my line of thinking and practice. I believe it doesn’t take a “highly-pedigreed” lawyer with lots of credentials to say something cannot be done; anyone, whether ignorant or not, can simply say no to something and kill an entire project.

However one such professional should at least be willing to sit and take a long hard look at things in an attempt to find a way for his clients’ projects to work and suggest how to go about it, unless they were definetly contrary to the law.

So when choosing a privacy professional for your organization and/or projects, you may care to consider whether or not that person meets with these characteristics outlined by Ms. Butler, and whether that professional’s attitude is of qualified enablement or incompetent obstruction.

 

Wayra Mentor WallMe complace participar que recién inicié mi primera sesión de mentoría con Wayra, la incubadora de emprendedores de Telefónica. Seré mentor de aspectos legales para Vandedroid, quienes producen apagadores de luz que permiten controlar el consumo eléctrico, intensidad de iluminación, incluso los colores de la iluminación a través de un aplicativo móvil.

Afortunadamente se ha tomado conciencia de que México no es un país de grandes empresas… sino de grandes emprendiemientos, y se está empezando a dar acceso a los emprendedores tanto a fondos como a mentoría, e idealmente a “smart money”, que es la combinación de ambos.

En cualquier caso, el tema es que los aspectos legales son fundamentales para el emprendimiento; cuando el principal activo es intangible, por tratarse de una idea, la protección de convenios de confidencialidad es fundamental. Asimismo la protección de la propiedad intelectual, derechos de autor, secretos industriales y know-how es primordial en el estado embrionario de una empresa.

Tras años de trabajo como abogado corporativo conozco los aspectos fundamentales del período de arranque de una empresa, su desarrollo y los requerimientos legales que tendrán a lo largo de su operación. Más aun, tratándose de emprendimientos intensivos en tratamiento de datos personales, el cumplimiento normativo de la materia es algo fundamental con lo cual me encuentro capacitado para apoyarles.

Sin duda será un gran proyecto.

FIDP13_00217La semana pasada tuve oportunidad de asistir a 2 importantes eventos en materia de tecnologías de la información realizados en la Ciudad de México:

  1. El “Encuentro Legislativo con la Sociedad sobre Tecnologías de la Información y Comunicación de la Cámara de Diputados“, organizado por la Comisión Especial de Tecnologías de la Información y Comunicación de dicha Cámara y la Asociación Nacional de Abogados de Empresa (ANADE), y
  2. El Foro Internacional del IFAI sobre Seguridad de Datos Personales, organizado por dicha agencia de protección de datos.

El primer evento fue, en palabras del Dr. Alfredo Reyes Krafft, como “speed dating” en materia de conocimiento de regulación de tecnologías de la información; se organizaron 10 mesas para abordar temas como nombres de dominio, protección de datos personales, protección de la propiedad intelectual, prueba electrónica en juicio e impacto de las TI’s en materia laboral, etc., de manera rotativa con especialistas como la Dra. Isabel Davara, Kiyoshi Tsuru, Joel Gómez y varios más que fueron moviéndose entre las mesas en compañía de un(a) Diputado(a), a fin de comentar los aspectos más relevantes.

Para los asistentes menos versados en esos temas fue, sin duda, una experiencia enriquecedora, al igual que para varios de los legisladores que estuvieron presentes, no obstante que se realizaba una sesión del pleno, quienes demostraron gran interés por empaparse de los temas y entender su impacto en la Agenda Digital de nuestro país, así como el estado de la legislación en esas materias.

El segundo evento, organizado por el IFAI, tuvo como ponentes tanto a funcionarios de la Agencia Española de Protección de Datos, de la Delegatura para la Protección de Datos Personales de Colombia, del Institute of Audit & IT -Governance España y de SM4RT Security, empresa mexicana que estuvo muy cercana al IFAI en el desarrollo de sus Recomendaciones en Materia de Seguridad de Datos Personales.

Uno de los aspectos más relevantes de ese evento fue la explicación de la Metodología de Análisis de Riesgo BAA, siglas para:

  • Beneficio, para el atacante, en cuanto al valor económico, reputacional o estratégico de los datos personales blanco del ataque;
  • Accesibilidad de los datos personales, en cuanto a lo cual se plantea la disyuntiva entre su confidencialidad y la posibilidad de tenerlos a la mano, y
  • Anonimidad del atacante.

La aplicación de esa metodología se orienta a reducir la rentabilidad del atacante, al elevar el riesgo que el ataque le representaría respecto del retorno que podría obtener a través del mismo.

La materia de seguridad de la información es sumamente técnica, y en organizaciones más sofisticadas requiere de la intervención de uno o más especialistas en diversas materias, tales como informática, mitigación de riesgos, seguridad física y perimetral, entre otras, además de requerir de la toma de decisiones muy íntimas para la organización.

En este aspecto la mayor aportación del abogado especialista en protección de datos personales es identificar aquellos aspectos operativos que pudieran significar un incremento del riesgo legal inherente al tratamiento de datos personales, así como tomar las aportaciones de los otros especialistas involucrados y vertirlos en un documento que cumpla con los requisitos determinados por la autoridad de protección de datos personales.

Es común ver publicidad del sector de servicios financieros ilustrada con imágenes de billetes de cruso legal en el país, o bien notas periodísticas en los diarios en Internet que igualmente usan esos materiales para ilustrar artículos en sus secciones de negocios o finanzas.

Asimismo el púbico tiende a recurrir a la moneda fiduciaria, como producto de la sociedad contemporánea  y particularmente a los billetes, como medios de expresiones diversas. Muchos conocerán aquél ejemplar del billete de MXN$20.00 que circuló por Internet en el sexenio pasado con el águila republicana y la efigie de AMLO en vez de la de Benito Juárez, con denominación de “veitijinco pejos”, o la del mismo billete en que el Benemérito de las Américas portaba un cubrebocas, expresión de la contingencia por la influenza AH1N1 vivida en México durante 2009.

Más recientemente vi en Twitter un billete de US$100 que en vez de la efigie de Alexander Hamilton; constitucionalista estadounidense, tenía la del Maestro Yoda y la leyenda “Jedi Master”. Lo anterior motiva la pregunta sobre la legalidad de tales conductas, desde la creación del ejemplar inicial hasta el “post” del mismo en una red social, página Web, blog, “retweet”, etc.

Al respecto la Ley Monetaria de los Estados Unidos Mexicanos prevé lo siguiente:

Artículo 17.- Queda prohibida la imitación o reproducción total o parcial, de monedas metálicas o de billetes, nacionales o extranjeros, en rótulos, viñetas, anuncios o en cualquiera otra forma, salvo en aquellos casos en que la Secretaría de Hacienda y Crédito Público, oyendo previamente al Banco de México, lo autorice expresamente, por tratarse de imágenes de monedas que carezcan de idoneidad para engañar, que no conduzcan o puedan conducir a la falsificación de dichas piezas ni, en general, afecten la seguridad de la circulación monetaria.

Queda igualmente prohibida la comercialización de reproducciones o imitaciones no autorizadas.

Las personas que contravengan lo dispuesto en este artículo, serán sancionadas administrativamente por la Secretaría de Hacienda y Crédito Público, con multa hasta de un millón de pesos. El importe de la multa respectiva se fijará oyendo al Banco de México y tomando en cuenta el número de las imitaciones o reproducciones, los efectos de éstas en la seguridad de la circulación monetaria, la utilidad percibida por el infractor y las circunstancias de éste.

Para determinar la posiblidad de aplicar la norma citada a los casos referidos es preciso dilucidar el significado de los verbos rectores de la conducta sancionada: “imitar” y/o “reproducir”. En el Diccionario de la Real Academia Española “imitar” es la acción o efecto de “ejecutar algo a ejemplo o semejanza de otra cosa”, y “reproducir” la de “sacar copia, en uno o en muchos ejemplares, de una obra de arte, objeto arqueológico, texto, etc., por procedimientos calcográficos, electrolíticos, fotolitográficos o mecánicos y también mediante el vaciado; o ser copia de un original”.

¿Se llevan a cabo esas conductas cuando se “postea”, “retweetea” o “sube” a una página la imagen de una pieza monetaria, haya o no sido modificada en sus elementos gráficos? La Ley Federal del Derecho de Autor define en su artículo 16, fracción V, la Reproducción como: “la realización de uno o varios ejemplares de una obra, de un fonograma o de un videograma, en cualquier forma tangible, incluyendo cualquier almacenamiento permanente o temporal por medios electrónicos, aunque se trate de la realización bidimensional de una obra tridimensional o viceversa.”

Los billetes, tanto del Banco de México como de otros bancos de emisión, incorporan obras de arte, mismas que son de suyo obras protegidas por la Ley Federal del Derecho de Autor. De tal manera que quien realizara la modificación de los mismos, para empezar, estaría elaborando una obra derivada del billete, que sería la obra primigenia, de acuerdo con el artículo 4, sección C, fracción II de la Ley Federal del Derecho de Autor: “Las obras objeto de protección pueden ser: Derivadas: Aquéllas que resulten de la adaptación, traducción u otra transformación de una obra primigenia”.

De tal manera las modificaciones hechas, incluso en broma a los billetes de banco, podrían constituir infracciones al derecho de autor que el banco emisor detenta sobre sus billetes, pues las obras de arte incorporadas en ellos son producto del trabajo de empleados de estos. Pero además podrían resultar en la infracción de lo previsto en el artículo 17 de la Ley Monetaria. ¿Y los “posts”, “shares”, “retweets”, etc.? Pues depende de la forma de operación de la plataforma a través de la cual sean llevados a cabo. Si el creador del “meme” o “hoax” “subiera” los materiales de su máquina a su página, blog o perfil de red social, por la operación de la computadora necesariamente se harían reproducciones del material, lo cual podría hacer aplicable la norma citada.

En el caso de “shares” o “retweets”, el material quedaría en los servidores de la red social, sin almacenarse en la computadora de quien los hubiera llevado a cabo… con posibles excepciones por la operación de la memoria caché. Naturalmente lo anterior podría tener sus bemoles ante criterios de libertad de expresión, en ciertos casos.

Ahora bien, de ahí a que pudiera devenir aplicable el artículo 234 del Código Penal Federal, que tipifica el delito de falsificación de moneda como la conducta llevada a cabo por quien “… produzca, almacene, distribuya o introduzca al territorio nacional cualquier documento o pieza que contenga imágenes u otros elementos utilizados en las monedas circulantes, y que por ello resulten idóneos para engañar al público, por ser confundibles con monedas emitidas legalmente”.

Jurídicamente los materiales a los que se ha aludido en la presente entrada no constituyen documentos, sino “mensajes de datos”, definidos en el artículo 89 del Código de Comercio como “la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología”. A causa de la literalidad que debe privar en la aplicación de la legislación penal y no obstante la equivalencia funcional que el artículo 89 Bis de dicho Código prevé para los mensajes de datos respecto de los documentos escritos en papel (“no se negarán efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos“), el manejo de estos “memes” o “hoaxes” no debería, en principio, hacer aplicables las penas de 5 a 12 ó 4 a 8 años de prisión para quien realizara estas conductas en tanto no realice impresiones de dichos materiales y/o los ponga en circulación o en manos del público.

Finalmente vale la pena mencionar que la multa de MXN$1’000,000.00 establecida en el artículo 17 de la Ley Monetaria sería por MXN$1,000.00, dado que en 1993 la conversión de la unidad monetaria mexicana por la que actualmente tenemos suprimió tres 0s de las cantidades previstas en aquéllas disposiciones promulgadas con antrioridad a ello y que no hubieran sido reformadas para prever dicho cambio.

La sanción más recientemente publicada por el IFAI correspondió a la Afore de Grupo Financiero Banorte, por el tratamiento de datos personales financieros y patrimoniales que dicha Responsable llevó a cabo en contravención a los Principios de Licitud y Consentimiento que informan a la LFPDPPP y violando los artículos 6, 7, párrafo primero y 8, párrafos primero, segundo y cuarto, del citado ordenamiento. Lo anterior no obstante que de acuerdo con un comunicado del propio Instituto fechado en marzo de este año, se llevó a cabo un taller para capacitar a representantes de la Asociación Mexicana de Administradoras de Fondos para el Retiro (AMAFORE) en materia de cumplimiento normativo de la LFPDPPP.

El caso se originó con el traspaso de un cuentahabiente de Afore Metlife a la Afore Bancomer en noviembre del 2012, operación que fue negada por el Titular denunciante, quien solicitó la intervención del referido Instituto para dilucidar quién habría estampado sus huellas dactilares y puesto su fotografía en la hoja de firmas correspondiente. Un caso más de traspaso no autorizado, situación que desafortunadamente ha sido común en el medio del ahorro para el retiro. Ahora bien, el que la Responsable sancionada haya sido una Afore distinta de la nombrada en la denuncia se debe a que Afore Bancomer fue fusionada por Afore XXI Banorte, quien dio contestación como Responsable al requerimiento del Director de Verificación del IFAI.

En suma, dicho Instituto resolvió que la Responsable había dado Tratamiento a los Datos Personales del denunciante violando los Principios de Licitud y Consentimiento previstos en la LFPDPPP, por haber utilizado los Datos Personales financieros y patrimoniales de dicho Titular sin contar con su consentimiento expreso, respecto de lo cual el inciso C) del Considerando Cuarto refiere el oficio No. D00/200/0148/2011, fechado el 22 de diciembre de 2011, por el cual se dio a conocer a PROCESAR, S.A. de C.V., empresa operadora de la base de datos nacional del SAR, el “Modelo de Medios Electrónicos de Traspasos por Internet”, mismo que prevé como requisito indispensable el consentimiento expreso del trabajado para el traspaso de su cuenta individual.

Del asunto mismo conviene destacar una mención en el párrafo segundo del inciso B) del Considerando Cuarto, en que se menciona la confesión expresa de la Responsable en el sentido que “…el promotor de nombre ___________ (mismo que fue dado de baja el pasado 26 de febrero de 2013), haciendo alusión que dentro de sus funciones está la recabación (sic) de información personal y confidencial y utilizar la misma para promover el traspaso de los recursos de su cuenta individual […] que sin consentimiento del C. ________ y sin conocimiento de esta administradora utilizó dichos datos para solicitar el traspaso de sus recursos […]”.

El IFAI resolvió que la conducta infractora había sido realizada de manera intencional, y consultando la página de internet de Afore Banorte constató que sus estados financieros al 30 de junio de 2013 indicaban un capital contable del orden de $23,178’000,000.00, lo que motivó una multa por la cantidad de $1’246,000.00.

El caso es úitl para enfatizar la importancia de la debida capacitación del personal de las empresas en materia de protección de Datos Personales, puesto que atento al Principio de Responsabilidad  el Responsable del Tratamiento de Datos Personales lo es ante el Titular y la autoridad de protección de datos, independientemente de que lleve a cabo el Tratamiento por medio de su staff, Encargados o Terceros.

Un punto interesante a considerar al respecto es el de las vías que el patrón tiene como Responsable por el Tratamiento de Datos Personales que realizan sus empleados. El art. 48 del Reglamento de la LFPDPPP prevé en sus fracciones I, III y IV que entre las medidas para la observancia del Principio de Responsabilidad se encuentra el diseño, implementación y aplicación de una Política de Privacidad al interior de la empresa. Dicha Política debería ser una especie de Reglamento Interior en materia de protección de Datos Personales, de forma tal que su transgresión pudiera dar pie a sanciones o incluso a la rescisión de la relación laboral sin responsabilidad para el patrón, con base en diversas fracciones del art. 47 de la Ley Federal del Trabajo.

Adicionalmente existe una disposición en el Código Civil Federal que prevé que en caso de que el patrón enfrentara el pago de daños y perjuicios causados por algún Trabajador a una tercera persona, dicho patrón podría requerir a tal trabajador las cantidades que hubiere pagado al afectado. Si bien esa disposición choca contra las normas protectoras del salario en la Ley Federal del Trabajo, su aplicación podría ser un disuasor efectivo para evitar mayores riesgos al patrón por los actos u omisiones de sus trabajadores.

En una entrada anterior de este blog abordé algunas incongruencias que un servidor ha encontrado entre las disposiciones de la Ley Federal de Protección de Datos Personales y la Ley para Prevenir e Identificar Operaciones con Recursos de Procedencia Ilícita.

Dicho lo anterior, si bien es destacable que, contrario a lo que suele suceder con las plataformas de diversas autoridads en Internet (como el Registro de Contratos de Adhesión en Línea de la PROFECO -léase al calce “Esta página no funciona con navegadores como: Firefox, Mozilla, Safari, etc.”-), que el Micrositio del SAT para la captura y envío de los Avisos que quienes realicen Actividades Vulnerables deben presentar ante dicha autoridad haya sido diseñado para operar con los 3 de los navegadores de uso más ampliamente utilizados (Internet Explorer, Mozilla Firefox y Google Chrome, y nótese que se olvidaron del Safari), y sin pretender ser un experto en informática (soy abogado y profesional en protección de datos personales), llama la atención haber recurrido a “plug-ins” de Java, lo cual podría parecer no haber sido la decisión más atinada.

Al pulsar sobre el ícono de Acceso al Sistema del Portal en Internet, además de , Firefox despliega una advertencia en la esquina superior izquierda advirtiendo la existencia de vulnerabilidades del plug-in de Java Deployment Toolkit para ese sitio. Al consultar información del navegador sobre el potencial riesgo, el mismo despliega los siguientes textos:

Java Prevention BlockMozilla Java Toolkit PlugIn WarningBuscando información al respecto, encontré en la página del US-CERT (United States Computer Emergency Readiness Team), que explica lo siguiente: http://www.us-cert.gov/ncas/alerts/TA13-010A

Overview

A vulnerability in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system.

Description

A vulnerability in the Java Security Manager allows a Java applet to grant itself permission to execute arbitrary code. An attacker could use social engineering techniques to entice a user to visit a link to a website hosting a malicious Java applet. An attacker could also compromise a legitimate web site and upload a malicious Java applet (a “drive-by download” attack).
(énfasis añadido)

Any web browser using the Java 7 plug-in is affected. The Java Deployment Toolkit plug-in and Java Web Start can also be used as attack vectors.

Reports indicate this vulnerability is being actively exploited, and exploit code is publicly available.

Further technical details are available in Vulnerability Note VU#625617.

Impact

By convincing a user to load a malicious Java applet or Java Network Launching Protocol (JNLP) file, an attacker could execute arbitrary code on a vulnerable system with the privileges of the Java plug-in process.

Solution

Update Java

De lo anterior habrían tres cosas que destacar:

  1. El SAT debería haber considerado el desarrollo del micrositio para Safari, no sólo para navegadores que corren sobre sistemas operativos de MicroSoft. Sin embargo habiendo hecho la prueba de acceder a través de iOS utilizando Safari el micrositio no presentó dificultad.
  2. También debería haberse considerado utilizar un lenguaje de programación que presentara menos vulnerabilidades, y
  3. La seguridad informática y de información no es sólo tarea de quien desarrolla un sitio o plataforma, sino también de quien accede a ellos; es necesario que el usuario aplique las elementales precauciones de mantener su software actualizado, contar con anti-malware (no sólo anti-virus) y ejerza el mínimo y elemental cuidado de evitar descargar contenidos riesgosos o de dudosa procedencia, así como evitar acceder a URLs desconocidos.

Las opiniones al respecto de expertos en seguridad informática serán bienvenidas.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site