Desayuno de trabajo sobre control empresarial del e-mail

El próximo jueves, 17 de enero, tendrá lugar en el hotel Miguel Ángel de Madrid un desayuno de trabajo sobre el control empresarial del e-mail, el ordenador y el acceso a Internet de los trabajadores. La asistencia es gratuita. La inscripción puede realizarse en el teléfono 915684585 o enviando un mensaje a pwc.comunicacion@es.pwc.com.

Acceso al programa (PDF)

En la edición de Barcelona, en la que hubo una representación de unas 100 empresas, se hizo un sondeo en el que se manifestaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total de uso personal: 0%
2. Autorización uso personal sin restricciones / uso moderado: 3%
3. Autorización uso personal con restricciones: 70%
4. NS/NC: 27%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación: 10%
2. Comunicación y aceptación expresa del trabajador: 90%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta: 10%
2. Información datos de contacto del sustituto: 8%
3. Autorización para acceder a la cuenta: 2%
4. Combinación de las anteriores: 25%
5. No tiene protocolo o NC: 55%

Interceptación legal de llamadas en VoIP

Acabo de leer en la revista SIC un interesante artículo de Manuel García sobre los procedimientos que siguen los operadores VoIP para interceptar las comunicaciones que se producen en estas redes tras recibir un requerimiento judicial. Según el autor, las técnicas más extendidas son las aplicaciones especializadas para VoIP, las soluciones específicas para la captura de tráfico a nivel IP y las aplicaciones ya existentes para redes TDM. En todas ellas se utilizan las interfaces de intercambio de información normalizadas a nivel europeo por el ETSI para poner a disposición de la autoridad judicial las comunicaciones del usuario sin que éste sea alertado de ello. Los procedimientos de interceptación de llamadas en voz IP se encuentran en la actualidad en un estado tan avanzado, que sorprende el uso que todavía se da a este medio de comunicación para eludir el riesgo de interceptación en una red de telefonía convencional.

Los ataques de denegación de servicio en el Código Penal

El nuevo parrafo que se incluye en el artículo 264 del Proyecto de Ley tiene el siguiente contenido: "El que sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema de información ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, será castigado, atendiendo a la gravedad del hecho, con la pena de prisión de seis meses a tres años".

El phishing y el farming en el Código Penal

El Proyecto de Ley de modificación del Código Penal incluye ligeras variaciones en los tipos penales relativos a la estafa electrónica en la que quedan subsumidos el phishing y el farming. El artículo 248 quedaría con el siguiente texto: "También se consideran reos de estafa: a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."

El simple acceso será delito en España

El Boletín Oficial de las Cortes Generales publica el Proyecto de Ley Orgánica por el que se modifica el Código Penal, introduciendo nuevos tipos penales. Entre ellos destaca el acceso no autorizado a sistemas informáticos que se incluye en el artículo 197. El texto del nuevo apartado propuesto es el siguiente: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años". Los requisitos que deben concurrir para que sea aplicable el nuevo tipo penal son los siguientes:

1. Que se produzca un acceso a datos o a programas
2. Que éstos se encuentren en un sistema informático o parte del mismo
3. Que el acceso se realice sin autorización
4. Que se vulneren las medidas de seguridad establecidas para impedir el acceso

Mensajería instantánea y conservación de datos

El anteproyecto de la Ley de Conservación de Datos de las Comunicaciones Electrónicas que están preparando los Ministerios de Interior, Justicia e Industria contempla la obligación de conservar datos de comunicaciones originadas en telefonía fija, telefonía móvil, acceso a Internet, correo electrónico e incluso telefonía IP, pero no menciona el chat ni la mensajería instantánea. Tampoco tiene en cuenta los usos atípicos, como la comunicación a través de sistemas de comunicación electrónica sin llegar a establecer dicha comunicación. Un ejemplo de ello consiste en que emisor y receptor compartan las claves de una cuenta de correo web y se comuniquen a través de mensajes que el emisor guarda como borrador y el receptor borra tras haber leído.

Bloqueo internacional de contenidos

El anuncio del Ministro de Industria de crear un mecanismo legal más efectivo para impedir el acceso desde España a servicios o contenidos situados en servidores extranjeros ha generado una intensa oposición en la blogosfera. El primer bloqueo remoto de contenidos que recuerdo, fue el del sitio web Esukadi Information en Suiza a principios de 1996. Diversos medios españoles indicaron que ETA estaba utilizando el sitio www.access.ch/euskadi para realizar apología del terrorismo, coordinar sus actividades y promover el uso de PGP para sus comunicaciones a través de Internet. Desde varias universidades españolas se lanzaron repetidos mail-bombings a la dirección de contacto que aparecía en la página de inicio, lo que obligó al PSI a resolver el contrato de hosting. El bloqueo de los contenidos fue un poco chapucero porque se limitó a borrar la página de inicio y los demás documentos html persistieron durante meses.

Tras este precedente, ha habido otros casos sonados de bloqueo de contenidos, como el los objetos nazis en Francia, los sitios web de HB clausurados por la Audiencia Nacional que sobrevivieron en la caché de Google y en archive.org y los videos del 11-M que publicó ogrish.com. Este último caso coincide con el tipo de denegación de acceso que ha mencionado el Ministro de Industria y que exige el concurso de los operadores de telecomunicaciones.

Actualmente se utiliza el bloqueo de contenidos para neutralizar los ataques de phishing a entidades financieras. El bloqueo se practica solicitando al PSI que gestiona el servidor donde se encuentra el sitio de banca electrónica falso que aplique la cláusula contractual que le permite resolver inmediatamente el contrato en caso de utilizar el servicio para cometer delitos. En caso de que el PSI se niegue a hacerlo tras comprobar las evidencias de la infracción, el bloqueo se solicita a través de los órganos judiciales locales.

Reforma del Código Penal

El Consejo de Ministros ha anunciado la próxima reforma del Código Penal español para incluir nuevos delitos relacionados con las tecnologías de la información. En la reforma se tipifican distintos tipos de cibercriminalidad: la intromisión ilegal en sistemas informáticos ajenos y la provocación de daños en los sistemas informáticos ajenos. Se tipifica también el uso y posesión de tarjetas de crédito clonadas para estafar. Estos nuevos tipos penales vienen exigidos por las Decisiones-Marco de la Unión Europea, entre las que destaca la DECISIÓN MARCO 2005/222/JAI DEL CONSEJO de 24 de febrero de 2005 relativa a los ataques contra los sistemas de información

Fraude en el pay per click

Panda Software informa de la existencia del troyano Clickbot A, que afecta al Explorer y que opera haciendo click sobre anuncios AdSense. Los anunciantes pueden conseguir importantes sumas de dinero ya que Panda estima que el troyano se ha instalado en más de 34.000 ordenadores. Google interpreta los clicks como visitas de los usarios infectados a los sitios de los anunciantes, por lo que a éstos les cobra su tarifa por publicidad contextual y paga la comisión al propietario del sitio donde aparece el anuncio. Según diversos blogs que se han hecho eco de la noticia, la proliferación de este tipo de fraudes amenaza el futuro de los negocios financiados por la publicidad contextual.

Ponencia en IGC 2006

Esta mañana he podido comprobar que el Internet Global Congress sigue pegando fuerte, y cada vez más. El poder de convocatoria y la magnífica organización de la Fundació Barcelona Digital, bajo la presidencia de Antoni Massanell y la dirección de Vicenç Gasulla, hace que cada año aumente la satisfacción de visitantes y congresistas. Mi ponencia ha versado sobre la responsabilidad de las empresas y los directivos por los delitos informáticos cometidos por sus trabajadores, a la luz de la Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de información.