lunes, 15 de octubre de 2012

DATOS PROTEGIDOS LFPDPPP



LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES



Que pasaría si alguien deliberadamente nos roba información que para nosotros es muy valiosa e incluso que si esta en manos de terceros la podrían usar en nuestra contra o podría ser sensible es decir datos que son personales y que si se conocen podrían ser causa de discriminación.

Hasta hace algunos años en nuestro país el robo de información o incluso la publicación de nuestra información o el compartir nuestra información sin nuestra autorización por parte de terceros no estaba tipificada como delito.

Recuerdo que un profesor en clase nos comentaba como hace algunos años sucedió un hecho que pareciera pasó desapercibido pero que debería haber ofendido a millones de mexicanos esto fue el robo de la base de datos del IFE una base que contiene nombres, domicilios, número de identificación de mas de 60 millones de personas y que ahora esta en manos de quien sabe quien. Lograron en ese entonces detener a los culpables pero a falta de una ley que criminalizara tal hecho se les dejó en libertad.

Otro ejemplo en el abuso del uso de los datos por parte de terceros es que aveces las compañías solicitaban tus datos por ejemplo quizá se me ocurre pensar en alguna tienda departamental donde te piden nombre, dirección, teléfonos, etc y que estas compañías sin autorización tuya pasaban estos datos incluyendo tu perfil de comprador a terceras personas que hacían uso de estos datos para después estarte molestando por teléfono para ofrecer servicios.

Pero esto se ha acabado por lo menos para los que conozcan la Ley Federal De Datos Personales en Posesión de Particulares ya que esta ley protege de todo esto que les he mencionado. Desafortunadamente pocos conocen esta ley y por lo tanto siguen habiendo abusos...

pero.. ¿QUE ES DICHA LEY? ¿DE QUE TRATA?

La Ley Federal de Protección de Datos Personales en Posesión de Particulares es de orden público y de observancia general en toda la República Mexicana y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado a efeto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. 

Cualquier empresa o persona particular que tenga datos de otras personas; tales como empleados, clientes, alumnos, pacientes, etc. deberá cumplir con esta ley para asegurar que su uso no le generará graves sanciones o penas por no obtener el conocimiento de los titulares de dicha información y del manejo de su información.

Es común que en organizaciones nos soliciten información como por ejemplo nuestra religión dicha información se considera como dato sensible si no estamos protegidos la publicación o el mal manejo de dicha información pude ocasionarnos problemas.

Tan importante es este que desde el 1o de junio de 2009 la adición del segundo párrafo del articulo 18 constitucional a afecto de considerar a la privacidad como garantía constitucional.

"Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación, y cancelación de los mismos, así como manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de los datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud publica o para proteger los derechos de terceros"

El 5 de julio de 2010 se publica la LFPDPPP 

El objetivo de esta ley es:

-Garantizar la privacidad y la autodeterminación de los datos personales.
-regular el tratamiento de los datos personales.

Esta ley nos protege del uso de nuestra información por parte de las organizaciones privadas esto podemos verlo por ejemplo en el aviso de privacidad que firmamos de manera electrónica o física detalla estos derechos y la información que nos pedirán y como será tratada.

También podemos decidir en que momento nosotros podemos solicitar la cancelación de nuestro registro y el borrado total de nuestros datos o la modificación de los mismos.

SANCIONES Y PENAS:

Pueden ir desde: 

Pena corporal: desde 3 meses hasta 10 años de prisión.
Multas desde: $6,000 hasta $38,000

Esta ley la podemos consultar de manera completa en el siguiente enlace de la cámara de diputados en su biblioteca virtual:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf 




REFERENCIAS:


Publicado por en No hay comentarios:

miércoles, 10 de octubre de 2012

Seguridad insegura


RSA sufre ataque 


RSA es una compañía que provee seguridad a múltiples sistemas complejos desde financieros, de gobierno y hasta militares. Pertenece a la empresa EMC y es una empresa reconocida a nivel mundial por el servicio de encriptación del mismo nombre (RSA) que es una técnica de cifrado asimétrico con llaves publicas y privadas.

Quizá conocemos a alguien que maneje cuentas bancarias importantes o quizá tu mismo las manejas, y para hacer transacciones seguras en Internet se implementa un sistema de seguridad que hace uso de tokens que son dispositivos electrónicos que proporcionan autentificación a los usuarios de manera que evitan fraudes por suplantación de identidad. La siguiente imagen muestra uno de estos dispositivos.



Estos son pequeños de manera que se puedan hasta usar como llaveros se usan para almacenar claves criptográficas como firmas digitales.
Esta compañía (RSA) provee un servicio de tokens llamada SecurID.

SecurID es un sistema de autentificación con el algoritmo RSA y que modifica la contraseña del usuario cada 60 segundos y es precisamente este sistema el que atrae nuestra atención ya que aunque parezca irreal, esta empresa recibió el 18 de marzo de 2011 un ciber-ataque vulnerando su sistema de seguridad, con esto podemos darnos cuenta que nadie esta exento de ser atacado. Pareciera increíble que una empresa que provee seguridad sea atacada por lo mismo que busca evitar, esto se debió a una vulnerabilidad en software no propio en este caso Adobe con su producto Flash ocasiono la intrusión en el sistema de RSA.

La empresa califico el ataque como un APT (Advanced Persistent Threat) es un tipo de ataque crimeware dirigido a las empresas a objetivos financieros y políticos, requieren un alto grado de ocultabilidad y de una duración prolongada para que la operación tenga éxito  es decir se necesita de una gran paciencia para que el ataque tenga éxito  preparándose desde meses incluso años el ataque a un objetivo en específico, por lo tanto van mas allá de tener un beneficio económico y los sistemas comprometidos siguen proporcionando su servicio normalmente incluso después de haber sido atacados. En resumen estos ataques son muy complejos de realizar.

¿Cómo ocurrió?

El atacante envió dos correos en el periodo de dos días a un grupo de empleados con el asunto "2011 Recruitment Plan" con un documento Excel del mismo nombre adjunto este archivo contenía un fallo que no había sido descubierto en el producto Flash de la compañía Adobe y que permitía la ejecución de código, días antes Adobe ya había anunciado la vulnerabilidad desconocida en su sistema y que estaba siendo aprovechada por atacantes. Con esto podemos darnos cuenta que aunque RSA hubiera implementado su propio sistema de seguridad nada habría podido hacer ya que este software salia de sus manos.

Posteriormente ya dentro los atacantes instalaron una aplicación RAT (administración remota) creando una conexión inversa que se hacia del servidor al propio atacante esto hacia mas dificil detectar al atacante, se transifireron archivos RAR protegidos por contraseña desde el servidor de RSA descargando informacion y borrandola del servidor.

Aun no se sabe excatamente que información fue robada pero se confirma que los datos de todos sus clientes estan a salvo.

Sin embargo RSA envio un comunicado a todos sus clientes para que extremaran precauciones en su seguridad cabe mencionar por ultimo que RSA es el algoritmo de autentificación mas utilizado actualmente en todo el mundo con millones de clientes.


CONCLUSIONES

Como podemos darnos cuenta nadie puede estar exento de ataques informáticos  hasta las empresas mas prestigiosas a nivel mundial y mas aún que proporcionan seguridad para combatir estos ataques.

Podemos notar que el crimeware es real y muchas veces va mas allá de solo intereses económicos viéndose involucrados intereses políticos y hasta militares.

Con este ataque se vio vulnerada la confidencialidad de millones de personas que hacen uso de este servicio RSA y que es utilizado para evitar fraudes mediante la confidencialidad, quizá la próxima vez que pensemos que con un atinvirus basta para estar protegidos no lo pensemos para procurar protegernos con dos o mas sistemas de seguridad.

REFERENCIAS









Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)