Hace 14 años | Por --101913-- a samuelparra.com
Publicado hace 14 años por --101913-- a samuelparra.com

En el caso de hoy tenemos a Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el juzgado correspondiente. Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora

Comentarios

D

#2 de 60.000 pavos lo deja en 1.000, de mientras al cliente la cargan una compra no realizada, ¡alucinante!.

D

#4 Ya esta eliminado

Stash

#5 Pues hala, meneo.

Bueno, realmente es que he estado leyendo la noticia e indagando sobre una modificación que pretenden hacer sobre el tema de videovigilancia. Nos vamos a cagar como la lleven a cabo. Cámaras sin control de ningún tipo.

D

#6 ¿Que noticia?

HORMAX

#4 ¿Contempla alguna norma, esas reducciones que hace la APD o las hace "motu propio"?. Porque si no tiene base legal para hacerlas la propia APD puede estar delinquiendo.

Stash

A ver si consigo aclarar el tema que os veo pelín perdidos y divangantes:

La sanción es por incumplimiento del Documento de Seguridad que la propia empresa elabora, no por aportar tal o cual contraseña.
Es decir, les han sancionado por torpes ya que la propia empresa se ha puesto la soga al cuello y ha balanceado la silla.

1.- La sancion deviene de que en el Documento de Seguridad dicen que almacenan la contraseña cifrada por un mecanismo de hash que no permite descifrarla.
2.- Al aportarla descifrada implica que no están cumpliendo con SU documento de Seguridad y por ahí les cae la sanción. Por mentir y no cumplir con SU propia especificación de seguridad.

Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción.
Si dices que la guardas cifrada o con hash y lo haces no hay sanción.
Pero si dices una cosa y haces otra incumples con las obligaciones del documento de seguridad.

Al respecto del almacenamiento de contraseñas.

Una contraseña "pepe" con hash se convierte en "asdefcasads". Esto último es lo que se almacena en la base de datos. Este valor no es posible reconvertirlo en "pepe". De esta forma se almacenan de forma segura las contraseñas. Para validar al usuario se repite el proceso de hash, es decir, si el usuario teclea "pepe" para identificarse, a ese "pepe" se le pasa la función de hash y dará como resultado "asdefcasads" que se compara con lo almacenado en la base de datos, lo cual implica que la contraseña es correcta.
Si en lugar de eso pone "juan" dara como resultado "sdfwerwerwe" que al compararlo con el valor almacenado "asdefcasads" indicará que la contraseña es incorrecta.

Por más que insisto a mis clientes que el Documento de Seguridad hay que hacerlo de tal forma que se cumpla con la ley pero que noles complique la vida, ya que hay que cumplirla, muchos pasan y luego ocurren cosas como estas.

Por ejemplo, la contraseña de root de mi máquina está almacenada como sigue:
$6$CSl3oN1Dqx37bfNF$d6dgMrzy549z0YP7Fn2uKDKoxqbi9GtNYQxGeHI7m2s1nz8aSP74hotKUtTqTmmEE6qjlNb/8W46LjNM/ToSE.

Pero se corresponde a una contraseña de 8 caracteres.

#16 Ya lo digo en mi comentario. El Art 45.5 de la LOPD (y no el 44.5 que erróneamente dije antes) contempla reducir la sanción económica, no la calificación de la infracción:
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

#18 No creo que ningún juez estimase esa demanda.

Visto el revuelo armado, casi que el titular es pelín erróneo. Y me molesta en Samuel Parra porque no suele cometer esos errores.

sam2001

#20, #23, en la fuente, el autor en un comento da una aclaración a ese respecto (no sé si serás el que comentaba lo mismo allí). El titular es correcto, sólo hay que leer la noticia, y respecto a la obligación de cifrar las contraseñas, eso era una obligación del Real Decreto 994/1999 (del año 1999), que el actual Real Decreto 1720/2007 ha recogido en idéntico sentido, de hecho es lo primero que se puede leer en el artículo:

El artículo 11.3 del derogado Real Decreto 994/1999 establecía:

“Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”

En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Por lo tanto, tu afirmación de que "Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción" es incorrecta hoy y en el año 1999-2000.

Stash

#24 Cierto, con respecto a la afirmación en #20 ya lo aclaré en #23

Con respecto al titular creo que no es correcto expresarlo como "Es ilegal presentar la contraseña"
El RD no establece la irreversibilidad del cifrado, solo que se debe almacenar en forma ininteligible. Yo puedo usar un sistema de cifrado de clave pública, en lugar de Hash y cumplo con el RD. Además tengo un sistema de gestión de contraseñas auditado y asunto resuelto.

Por eso es por lo que te he comentado (en ambos sitios) que a mi modo de ver el titular no es correcto. No es ilegal presentar la contraseña en el juicio. Es ilegal no cumplir con tu documento de seguridad y en base a eso, presentar la contraseña. Pero la infracción se produce por no seguir el Doc. de Seguridad.

Por lo demás sabes que tienes mi absoluto respeto. Pero en este caso discrepo, Sam.

Stash

#24, Corrección sobre #25: Llevas toda la razón, el comentario #23 sigue siendo incompleto. Ambos RD decían lo mismo sobre las contraseñas. No lo recordaba.

Y pensandolo detenidamente tambien les sancionan por incumplir el RD 1720/2007, pero no por el hecho de presentar la contraseña en el juicio. Si hubiesen tenido un sistema de cifrado reversible no habria habido problema.

sam2001

#26 es interesante leer comentarios como los tuyos Stash; en efecto podemos tener opiniones diversas, en mi caso comparto la de la Agencia en el sentido de que facilitar una contraseña en un juicio (cuando no es requerida por un juez) va a suponer infracción del RD correspondiente.

Stash

#27 Por supuesto , pero bajo la condición de que en tu Documento de Seguridad hayas establecido que la aplicación para gestionar ese fichero guarda la contraseña cifrada de forma irreversible. En ese caso estoy al 100% contigo. Sin dudarlo un milímetro. Y estoy de acuerdo con la resolución al 100%.

Pero si en la descripción del fichero y sus aplicativos de acceso decides implementar cifrado reversible con una contraseña maestra de doble custiodio y auditoría de su uso, te reservas la opción de aportarla cuando sea oportuno. Dado que la contraseña per se, hoy por hoy no es un dato personal (no cumple los requisitos), puedo aportarla respetando el RD (almacenada cifrada) y sin arriesgarme a sanción.

Y por este último caso es por lo que no estoy de acuerdo con el titular.

(Vale, me parece que me estoy poniendo pesadito con el tema. Con esto concluyo.)

pandereto

#1 #8 Pues en un sitio en el que trabajé hace años, en cierta aplicación que utilizabámos las usuarios y claves las guardaba esta aplicación en una base de datos Access. Y la cuestión es que es una aplicación comercial, que se vende, no hecha a medida. Me parecería muy fuerte que sancionaran a la empresa cuando el funcionamiento de la aplicación es así.

namikata

La cuestion es que la contraseña, asi como los datos de una persona son privados, por lo tanto no se pueden hacer publicos.

Sobre lo que comenta #12, el responsable de velar por la seguridad de los datos es la empresa que los almacena, no la que realiza el programa. Si el programa no es valido (no permite cumplir con la ley) deben cambiar de programa a uno que si se ajuste.

D

Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.

l

Es decir, lo que es ilegal es almacenar las contraseñas en claro. Aportarlas en un juicio no es ilegal por sí mismo, sino que es una demostración pública de la ilegalidad anterior. ¿Es así, no?

Maestro_Jedi

#10: No exactamente. Que se aporte en un juicio la contraseña en claro no tiene nada que ver con cómo esté almacenada en la BD, por lo este hecho no demuestra nada por sí mismo.

Los hechos que citas son totalmente independientes, y la AGPD contempla sanciones para ambos (supongo que uno por no utilizar las medidas de seguridad reglamentarias para almacenar información personal como es una contraseña, y otra por aportarla en un juicio y revelarla).

Stash

Una corrección a mi comentario #20

Donde dice
"Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción. "

debería decir:
"Si en el Doc. de Seguridad dices que la contraseña la guardas en claro y lo haces no hay sanción. Sin embargo desde la entrada en vigor del RD1720/2007 la contraseña se debe obligatoriamente guardar cifrada, con o sin mecanismo de recuperación, pero cifrada"

Stash

El titular correcto sería:
"No cumplir con lo que se dice en el Documento de Seguridad acarrea sanciones"

Wayfarer

O sea, que si mi contraseña es pepitocabrónhideputa el tal Pepito no puede denunciarme por injurias porque al aportar la contraseña le sanciona la AEPD...

Esto abre posibilidades hasta ahora inexploradas

Maestro_Jedi

#17: La cuestión es que el tal Pepito no debería poder tener acceso a tu contraseña sin tu permiso, salvo por orden judicial. Si presenta una denuncia por ese motivo, ciertamente va a cantar.

Por otra parte... ¿por el uso de una contraseña ofensiva se puede denunciar a alguien? Ahora me entero...

Don_Gato

Erlang, Cuando nos echen a todos por menear en el trabajo y recurramos la sentencia, tú dí que no almacenais contraseñas ¿eh? lol

D

Pues lo de cambiar las contraseñas una vez al año no lo cumple ni una

Maestro_Jedi

Estupendísima aclaración, Stash. Ahora sí encajan todas las piezas.

D

Pero, por ejemplo, en una página "normal" donde no haya transacciones económicas (el propio Meneame por ejemplo) es ilegal guardar las contraseñas en claro?

sam2001

#13