2358
www.samuelparra.com/2009/08/11/aportar-contrasenas-juicio... En el caso de hoy tenemos a Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el juzgado correspondiente. Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora
menéame
Es pelín evidente que hay que hacerlo, pero a mi me suena feote.
#2 Es habitual que la AGPD aplique el Art 44.5 para reducir el importe de la sanción. Es un poco el equivalente a no entrar en la trena si te condena a 2 años o menos. En cierta medida es coherente, muchas empresas no aguantarían una sanción grave de mínimo 60.000€. Eso si, cuando la cosa es seria o la empresa repite, entonces pegan el hostión.
Básicamente se agarran al número de personas afectadas, la intencionalidad, el tipo de empresas, etc. Aquí traere la sanción que rebajaron a la CNT de 60.000 a 600€ por ser una entidad sin ánimo de lucro, entre otras cosas.
Por otro lado esto no agota la vía civil, penal, etc.
Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.
La sanción es por incumplimiento del Documento de Seguridad que la propia empresa elabora, no por aportar tal o cual contraseña.
Es decir, les han sancionado por torpes ya que la propia empresa se ha puesto la soga al cuello y ha balanceado la silla.
1.- La sancion deviene de que en el Documento de Seguridad dicen que almacenan la contraseña cifrada por un mecanismo de hash que no permite descifrarla.
2.- Al aportarla descifrada implica que no están cumpliendo con SU documento de Seguridad y por ahí les cae la sanción. Por mentir y no cumplir con SU propia especificación de seguridad.
Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción.
Si dices que la guardas cifrada o con hash y lo haces no hay sanción.
Pero si dices una cosa y haces otra incumples con las obligaciones del documento de seguridad.
Al respecto del almacenamiento de contraseñas.
Una contraseña "pepe" con hash se convierte en "asdefcasads". Esto último es lo que se almacena en la base de datos. Este valor no es posible reconvertirlo en "pepe". De esta forma se almacenan de forma segura las contraseñas. Para validar al usuario se repite el proceso de hash, es decir, si el usuario teclea "pepe" para identificarse, a ese "pepe" se le pasa la función de hash y dará como resultado "asdefcasads" que se compara con lo almacenado en la base de datos, lo cual implica que la contraseña es correcta.
Si en lugar de eso pone "juan" dara como resultado "sdfwerwerwe" que al compararlo con el valor almacenado "asdefcasads" indicará que la contraseña es incorrecta.
Por más que insisto a mis clientes que el Documento de Seguridad hay que hacerlo de tal forma que se cumpla con la ley pero que noles complique la vida, ya que hay que cumplirla, muchos pasan y luego ocurren cosas como estas.
Por ejemplo, la contraseña de root de mi máquina está almacenada como sigue:
$6$CSl3oN1Dqx37bfNF$d6dgMrzy549z0YP7Fn2uKDKoxqbi9GtNYQxGeHI7m2s1nz8aSP74hotKUtTqTmmEE6qjlNb/8W46LjNM/ToSE.
Pero se corresponde a una contraseña de 8 caracteres.
#16 Ya lo digo en mi comentario. El Art 45.5 de la LOPD (y no el 44.5 que erróneamente dije antes) contempla reducir la sanción económica, no la calificación de la infracción:
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
#18 No creo que ningún juez estimase esa demanda.
Visto el revuelo armado, casi que el titular es pelín erróneo. Y me molesta en Samuel Parra porque no suele cometer esos errores.
Donde dice
"Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción. "
debería decir:
"Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción. Sin embargo desde la entrada en vigor del RD1720/2007 la contraseña se debe obligatoriamente guardar cifrada, con o sin mecanismo de recuperación, pero cifrada"
Con respecto al titular creo que no es correcto expresarlo como "Es ilegal presentar la contraseña"
El RD no establece la irreversibilidad del cifrado, solo que se debe almacenar en forma ininteligible. Yo puedo usar un sistema de cifrado de clave pública, en lugar de Hash y cumplo con el RD. Además tengo un sistema de gestión de contraseñas auditado y asunto resuelto.
Por eso es por lo que te he comentado (en ambos sitios) que a mi modo de ver el titular no es correcto. No es ilegal presentar la contraseña en el juicio. Es ilegal no cumplir con tu documento de seguridad y en base a eso, presentar la contraseña. Pero la infracción se produce por no seguir el Doc. de Seguridad.
Por lo demás sabes que tienes mi absoluto respeto. Pero en este caso discrepo, Sam.
"No cumplir con lo que se dice en el Documento de Seguridad acarrea sanciones"
El artículo 11.3 del derogado Real Decreto 994/1999 establecía:
“Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”
En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:
“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”
Por lo tanto, tu afirmación de que "Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción" es incorrecta hoy y en el año 1999-2000.
Por otra parte... ¿por el uso de una contraseña ofensiva se puede denunciar a alguien? Ahora me entero...
Y pensandolo detenidamente tambien les sancionan por incumplir el RD 1720/2007, pero no por el hecho de presentar la contraseña en el juicio. Si hubiesen tenido un sistema de cifrado reversible no habria habido problema.
Pero si en la descripción del fichero y sus aplicativos de acceso decides implementar cifrado reversible con una contraseña maestra de doble custiodio y auditoría de su uso, te reservas la opción de aportarla cuando sea oportuno. Dado que la contraseña per se, hoy por hoy no es un dato personal (no cumple los requisitos), puedo aportarla respetando el RD (almacenada cifrada) y sin arriesgarme a sanción.
Y por este último caso es por lo que no estoy de acuerdo con el titular.
(Vale, me parece que me estoy poniendo pesadito con el tema. Con esto concluyo.)
Bueno, realmente es que he estado leyendo la noticia e indagando sobre una modificación que pretenden hacer sobre el tema de videovigilancia. Nos vamos a cagar como la lleven a cabo. Cámaras sin control de ningún tipo.
Esto abre posibilidades hasta ahora inexploradas
Sobre lo que comenta #12, el responsable de velar por la seguridad de los datos es la empresa que los almacena, no la que realiza el programa. Si el programa no es valido (no permite cumplir con la ley) deben cambiar de programa a uno que si se ajuste.
Los hechos que citas son totalmente independientes, y la AGPD contempla sanciones para ambos (supongo que uno por no utilizar las medidas de seguridad reglamentarias para almacenar información personal como es una contraseña, y otra por aportarla en un juicio y revelarla).