archivo

Archivo de la etiqueta: Factores de Autenticación

Vulneraciones de Seguridad y Factores de Autenticación

7 agosto, 2014
Privacy/Protección de Datos, Technology Regulation
Deja un comentario

 

bugshack

12345Las «Medidas de Seguridad» (Reglamento, art. 57: «control o grupo de controles de seguridad para proteger los datos personales») es uno de los temas de protección de datos personales que probablemente presenten mayor complejidad en la práctica e implementación, no obstante las Recomendaciones en materia de Seguridad de Datos Personales del IFAI y su Metodología de Análisis de Riesgo BAA. La LFPDPPP es «tecnológicamente neutra», en tanto que no requiere la implementación de medidas específicas, lo cual tiene todo sentido considerando la amplitud de su ámbito de aplicación, que abarca desde Responsables cuyo Tratamiento de Datos es sumamente elemental, como una tienda que entregue a domicilio o un salón de belleza que tome citas por teléfono, hasta el de aquellos que es sumamente sofisticado, complejo e intensivo en cuanto a datos personales patrimoniales y/o sensibles, como instituciones de crédito o seguros, o prestadores de servicios de salud.

El requerimiento mínimo contemplado en la LFPDPPP (art. 19) es que los Responsables establezcan y mantengan medidas de seguridad administrativas, técnicas y físicas que protejan los datos personales contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, medidas que no deberán ser menores a las que mantengan para el manejo de su propia información, y  ser determinadas conforme al riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico. Ello sin perjuicio de que los responsables tuvieran que implementar medidas de seguridad dispuestas específicamente por las autoridades del sector en el que aquellos operen, si éstas contemplasen una protección mayor para el titular que la dispuesta por la LFPDPPP y su Reglamento.

El hecho es que el cumplimiento normativo en protección de datos personales no se limita a, ni se agota en, la redacción e implementación de avisos de privacidad, de una política de privacidad y la designación de una persona o área a cargo de la protección de datos personales en la organización; el art. 9 del Reglamento hace al deber de seguridad tan obligatorio y vinculante como los son los 8 principios que informan a la Ley. Dependiendo de la complejidad y/o sofisticación del Responsable, puede ser necesario involucrar a uno o más expertos en mitigación de riesgos, seguridad perimetral y/o informática; esto último particularmente considerando la facilidad con la que incluso negocios pequeños o emprendimientos modestos pueden acceder a medios y recursos para lograr presencia en Internet. Por ejemplo, el New York Times reportó desde enero de 2012 sobre vulnerabilidades encontradas en sistemas de videoconferencia en salas de consejo en todo el mundo en los términos siguientes:

«Rapid7 discovered that hundreds of thousands of businesses were investing in top-quality videoconferencing units, but were setting them up on the cheap… The most popular units, sold by Polycom and Cisco, can cost as much as $25,000 and feature encryption, high-definition video capture, and audio that can pick up the sound of a door opening 300 feet away. But administrators are setting them up outside the firewall and are configuring them with a false sense of security that hackers can use against them«.

De acuerdo con la citada Metodología BAA, Internet es el entorno de accesos que ofrece mayor nivel de anonimidad (Nivel 5) a un atacante, tal que las tablas matriciales para nivel de riesgo por tipo de dato, nivel de accesibilidad y de anonimidad contenidas en esa Metodología indican con respecto a ellos que «…no se recomienda que existan (tales escenarios). En caso de que su organización presente estos escenarios, es necesario que impida que se presenten accesos directos a estos tipos de datos personales desde redes de terceros, Internet o redes inalámbricas».

Ello puede poner a los responsables entre la espada y la pared, ya que por una parte la conectividad por medio de Internet incrementa el riesgo al que estén expuestos los datos personales a los que dan tratamiento, y por otra es una necesidad en muchos casos, no sólo por permitir el acceso a un auditorio mayor o a mercados más extensos, sino también por facilitar la realización del trabajo en organizaciones que así lo requieren, ya sea por desplegar a su personal en campo o para facilitar prestaciones de carácter laboral, como licencias de maternidad/paternidad. De ahí la necesidad de ejercer un mínimo deber de cuidado en su implementación y concientizar, mediante una adecuada capacitación, a todo el personal de la organización en las medidas de seguridad que deben cumplir en el desarrollo de sus labores, lo cual atiende precisamente al principio de responsabilidad y deber de cuidado que tienen obligación de observar. Por ejemplo, el New York Times reportó hace 2 semanas que sistemas tales como Microsoft’s Remote Desktop, Apple Remote Desktop and Chrome Remote Desktop, que permiten el «teletrabajo» o «home office», son escaneados por hackers, quienes al descubrirlos lanzan programas que adivinan credenciales de acceso hasta obtener las correctas, lo cual podría haber sido el medio por el cual se consumaron vulneraciones como las que sufrieron el año pasado las cadenas comerciales Target y Neiman Marcus.

Al respecto debe tenerse en cuenta que los factores de autenticación, tales como nombres de usuario y/o contraseñas de acceso, son también datos personales, categorizados precisamente como «datos de autenticación», considerados como con «Riesgo Inherente Medio» por la Metodología BAA con la advertencia de «…que las categorías antes descritas se desarrollaron exclusivamente para la aplicación de esta metodología, y no pueden ser consideradas como un criterio emitido por el IFAI. Más aún, el Pleno del Instituto no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trata la información», y consecuentemente tanto los de los trabajadores o prestadores de servicios de los responsables como los de sus clientes, referencias personales, etc., son objeto de responsabilidad para ellos, por lo que deben ser incorporados en su Sistema de Gestión de Seguridad de Datos Personales.

Hace menos de un mes escribí en este blog sobre la posibilidad de que el uso de factores de autenticación inadecuados o poco robustos (ej. simplemente nombre y apellido, fechas de nacimiento propias o de terceros cercanos, letras o dígitos secuenciales, etc.) podría resultar en la transgresión al principio de responsabilidad que informa a la LFPDPPP y su Reglamento. Lo mismo podría resultar del diseño inadecuado de los sistemas informáticos y/o telemáticos mediante los cuales se dé tratamiento a datos personales; por ejemplo, en un evento de la Asociación Nacional de Abogados de Empresa (ANADE) realizado este año, el Ing. Oscar Lira, jefe del Departamento de Telecomunicaciones e Informática de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la Procuraduría General de la República (PGR) comentó que uno de los principales aspectos a considerar para la seguridad informática es precisamente que, no obstante ser creados mediante suites como Dreamweaver u otras similares, los sitios web estén «armados» de tal manera que el flujo de la información entre sus partes sea debidamente asegurado. En su opinión, invertir en la contratación de personas debidamente capacitadas para ello es tanto o más importante que invertir en herramientas informáticas, como lo ilustra la nota del New York Times sobre la vulnerabilidad de diversos sistemas de videoconferencia debido a su mala instalación.

Ahora bien, ¿qué sucedería, o qué se debería hacer en caso de que a pesar de haber invertido lo necesario para contar con los recursos necesarios para la correcta implementación del sistema de gestión de seguridad de datos personales se detectaran u ocurrieran vulneraciones al mismo por destrucción, alteración, acceso, sustración o uso no autorizados de los datos de autenticación del personal del responsable y/o de sus clientes? Por ejemplo, hace unos meses fue difundido el caso de «Heartbleed«, una vulnerabilidad encontrada en la biblioteca de criptografía del «Open SSL«, que exponía la llave privada de los servidores usados para implementar medidas de Transport Layer Security, que permiten la comunicación segura en Internet. Básicamente se trata de la tecnología que hace que la indicación «http» en la barra de direcciones del navegador cambie a «https» y se active el conocido ícono del candado, señalando que la comunicación contaba con esa medida de seguridad, y la vulnerabilidad permitía decodificar la información utilizada para proporcionar seguridad a esas comunicaciones, permitiendo montar diversos ataques o usurpar la identidad de los usuarios.

Por otra parte, anteayer medios como el propio New York Times, TIME y El País reportaron que Hold Security descubrió que una organización de hackers llamados CyberVors, presumiblemente rusos, había sustraído los factores de autenticación de 1,200 millones de usuarios de 420,000 sitios de Internet en todo el mundo, así como 500 millones de direcciones de correo electrónico, que también son datos personales, atacándolos con «inyección SQL» realizada mediante «botnets» que «auditaban» los sitios atacados en búsqueda de vulnerabilidades al SQL. De momento parece que los hackers sólo han usado esos datos personales para el envío de spam, pero ello no obstaría para que el día de mañana tal información sea vendida en el mercado negro; en enero de este año una pareja de mexicanos fue detenida en McAllen, TX, con tarjetas de crédito que tenían información producto del ya mencionado ataque que sufrió la minorista Target.

Respecto de ambos casos deben ser considerados los artículos 20 de la Ley así como 64 a 66 de su Reglamento, los cuales respectivamente disponen que:

  • las vulneraciones de seguridad en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares (de datos personales) habrán de serles informadas de forma inmediata por el responsable, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos;
  • se deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
  • dichas notificaciones deben informarle a los titulares cuando menos: (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.
  • el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.

La lectura de los artículos arriba citados es importante, puesto que evidencia un módicum de responsabilidad compartida entre el responsable y los titulares ante una vulneración de seguridad, que debe llevarnos a un cambio cultural importante en la protección de datos personales: por una parte, el responsable debe analizar cómo fue que se produjo la vulneración, e implementar las acciones preventivas y correctivas procedentes, además de notificar a los titulares afectados, o potencialmente afectados, al respecto, de manera que estos a su vez puedan reaccionar en protección de sus derechos morales, patrimoniales (nótese que son términos no definidos por la LFPDPPP ni por su Reglamento, y que se encuentran en la Ley Federal del Derecho de Autor), e intereses. En casos así sería interesante analizar la medida en que la culpa o negligencia del responsable, su personal y/o encargados pudieran motivar la imposición de una condena indemnizatoria por vía civil o mercantil.

La citada Guía del IFAI prevé que ante una vulneración los responsables deben identificar: a. Los activos de su sistema de gestión de seguridad afectados; b. Los titulares afectados; c. Las partes interesadas que requieran estar informadas y/o puedan tomar parte en la
toma de decisiones para mitigar las consecuencias de la vulneración. Identificada la vulneración, se debe notificar a los titulares, a través de a través de medios masivos, electrónicos o digitales, incluso de manera personalizada, para que puedan tomar medidas que mitiguen o eviten una posible afectación. Podría también notificarse a las autoridades de protección de datos y/o procuración y/o impartición de justicia, como partes interesadas, para que auxilien en el proceso de mitigación del incidente. Además de la información pertinente sobre la naturaleza del incidente y los datos personales comprometidos, se deben notificar las acciones inmediatas que está tomando el responsable, así como proporcionar mecanismos de atención para que los titulares estén informados y reciban recomendaciones al respecto. Identificada la vulneración y realizadas las notificaciones mencionadas, habrá que profundizar en el análisis de las causas del incidente para establecer medidas correctivas, que incluyan medidas inmediatas para reducir los efectos de la vulneración.

Aunque hay debates en el medio y la práctica, particularmente en los EE.UU.A. sobre si se debería notificar de inmediato o del todo a los titulares sobre un evento de vulneración de seguridad, en un escenario como el de Heartbleed el responsable debería proceder de inmediato a la revocación y renovación de los certificados de seguridad de los sitios web que se supieran o presumieran atacados, recomendando a los titulares de los datos personales tratados por medio suyo actualizar su información y dar seguimiento al uso que pudiera haberse hecho de la misma (compras por internet, modificación del contenido de perfiles en redes sociales, etc.).

En el escenario del ataque de los «CyberVor», los responsables deberían auditar sus páginas para determinar si eran, o son susceptibles a un ataque por inyección SQL, y de serlo averiguar si fueron afectadas o no. De haberlo sido o serlo, se puede consultar a Hold Security para asesoría en cuanto a si se encuentran entre las empresas afectadas; de estarlo, se debería notificar a los titulares de los datos personales a los que dieran tratamiento a la brevedad posible, recomendándoles modificar sus contraseñas de acceso u otros factores de autenticación, y estar al pendiente de sus tarjetas de crédito, tal vez incluso solicitar la sustitución de las mismas, para monitorear o prevenir su uso indebido. Como titulares, haríamos bien en asumir que nuestros datos personales de autenticación y/o correo electrónico fueron parte del botín de los CyberVor y cambiarlos cuanto antes por nuevos y más robustos, en la medida de lo posible (no todos los sitios permiten cambiar el nombre de usuario, o hacerlo más de una vez).

AAcidPwords

 

Usar Contraseñas Inadecuadas Expondría a Multas del IFAI

10 julio, 2014
IP/Propiedad Intelectual, Technology Regulation
Deja un comentario

ReformaContraseñas

Incorrect PasswordEl martes Reforma publicó una nota sobre lo común que es el uso de contraseñas poco robustas en empresas que, de suyo, son responsables del tratamiento de dado personales. Empresas especializadas en seguridad y protección informática como Symantec y Mattica reportan amplia y frecuentemente al respecto; y si, en efecto es muy común que la gente use «password», su nombre o fecha de nacimiento, o los de una persona cercana a ellos, como contraseña.  El asunto no es de poca importancia, ya que podría exponer a tales responsables a sanciones por el IFAI.

Ello dado que la Ley y su Reglamento consagran 8 principios rectores en sus artículos 6 y 9, respectivamente; uno de ellos es el de Responsabilidad, desarrollado en los artículos 14 y 47 de la Ley y Reglamento, respectivamente, el cual consiste, esencialmente, en que el respnsable lo es ante los titulares de los datos tratados y ante la autoridad por el tratamiento que lleva a cabo, y ello incluye la seguridad de tales datos, que debe ser implementada a través de medidas físicas, administrativas y técnicas tendientes a prevenir o evitar que ocurran las vulneraciones de seguridad previstas en su artículo 63, a saber:

  1. La pérdida o destrucción no autorizada;
  2. El robo, extravío o copia no autorizada;
  3. El uso, acceso o tratamiento no autorizado, o
  4. El daño, la alteración o modificación no autorizada.
Con la intención de orientar a los Responsables en la determinación de las medidas de seguridad que deberían implementar en el Sistema de Gestión de Seguridad de Datos Personales con el que deberían contar de acuerdo con sus Recomendaciones en Materia de Seguridad de Datos Personales, a fin de poder acogerse al beneficio de atenuación de sanciones previsto por el artículo 58 del Reglamento, el IFAI desarrolló una Metodología de Análisis de Riesgo «BAA», que son las siglas para «Beneficio (para el atacante), Accesibilidad (para dicho atacante) y Anonimidad (del atacante)». El asunto de las contraseñas inseguras se relaciona directamente con el tema de Acceso a los Sistemas de Tratamiento de Datos Personales.
Para empezar, las contraseñas se denominan técnicamente «Factores de Autenticación«: mecanismos, tangibles o intangibles, basados en dispositivos, o en características del Usuario o información que sólo éste posea o conozca que se utilizan en las técnicas y procedimientos para verificar su identidad y facultad para reaizar operaciones en tales Sistemas. A este respecto es importante mencionar que en términos de los artículos 89 y 90, fracción II, del Código de Comercio, la combinación de un nombre de usuario y su contraseña constituyen una Firma Electrónica, y como tal su uso produce los mismos efectos jurídicos que la firma autógrafa, generando la presunción de que quien hizo uso de ellos era el respectivo Usuario. Dicho de otro modo, no proteger debidamente el nombre de Usuario y contraseña de acceso a un Sistema expone a dicho Usuario al riesgo de que las acciones realizadas por el tercero le sean atribuidas, y por ello pudiera ser sujeto de responsabilidad laboral, civil o incluso penal.
De acuerdo con la Metodología de Análisis de Riesgo BAA del IFAI, las medidas de seguridad deben ser determinadas considerando, además del Nivel de Riesgo Inherente de los datos personales tratados, y el Riesgo por Tipo de Dato, el Nivel de Anonimidad del Entorno desde el cual se acceda a los Sistemas de Tratamiento del Responsable. Para ello se determinaron 5 clases de Entornos, gradados de menor a mayor anonimidad:
  1. Físico;
  2. Red Interna;
  3. Red Inalámbrica;
  4. Red de Terceros, e
  5. Internet.

De tal manera, si el Responsable únicamente da Tratamiento a los Datos Personales a través de Sistemas en medios Físicos, como expedientes impresos, archiveros, directorios, etc., debería determinar qué Usuarios pueden o deben tener derecho para acceder a ellos, con qué nivel, y conservar un registro de los accesos realizados.

Por otra parte, si el Responsable da Tratamiento a los Datos Personales a través de Sistemas en una Red Interna, debería asignar a los Usuarios un identificador único (nombre de Usuario), y requerirles el uso de contraseñas de mínimo 10 a 12 caracteres, determinadas siguiendo buenas prácticas de seguridad.Si el acceso a los Sistemas de Tratamiento se lleva a cabo por medio de alta anonimidad, como redes inalámbricas o Internet, además se debe identificar a los Usuarios por medio de la dirección MAC o IP mediante la cual acceden, entre otras medidas.

Ahora bien, en caso de que la falta de constraseñas de acceso adecuadas provoque una vulneración de seguridad, la obligación de los Responsables es notificar a los Titulares afectados sobre (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.

Por ejemplo, un banco o SOFOM notificaría a sus tarjetahabientes que se dio un acceso no autorizado a sus sistemas de administración de cartera de crédito al consumo, por el que fueron sustraídos números de tarjeta de crédito y datos de identificación y ubicación de sus titulares (los cuales son considerados como de «riesgo reforzado» en las Recomendaciones de Seguridad del IFAI), por lo que las vulnerabilidades explotadas por el atacante están siendo resueltas y se les expidrán nuevos plásticos, a fin de evitar que el uso indebido de la información sustraída les provoque perjuicios patrimoniales.

¿Cuál es el riesgo al que se exponen los Responsables que no implementen una Política de Privacidad, incluyendo debida capacitación, ni Medidas de Seguridad que requieran a sus trabajadores o prestadores de servicio para resguardar debidamente sus Factores de Autenticación y tener contraseñas robustas? Una multa de 100 a 160,000 veces el salario mínimo general vigente en el D.F., con fundamento en el artículo 64, fracción II, de la Ley (dependiendo de la capacidad económica del infractor, la naturaleza de los datos vulnerados y el carácter intencional de la infracción conforme a su artículo 65), por dar tratamiento a los datos personales en contravención al citado Principio de Responsabilidad, infracción prevista en el artículo 63, fracción IV, de dicha Ley.

 

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking