Loading ...Inseguridad de datos y qué hacer con ello
Imaginemos que hablo de un banco, y digo un banco por hablar de una entidad con datos bastante sensibles de clientes: nombre, dirección, número de cuenta, movimientos… esa serie de datos que deberían ser personales.
¿Por qué digo personales? Bueno, hace unos días un amigo mío me vino con una información de esas que casi prefieres no saber, y le he estado dando bastante vueltas a la cabeza. Se trata de una página web de "una entidad de esas importantes", que tiene por un pequeño fallo tonto, una página accesible públicamente y sin clave, en donde aparecen datos necesarios para entrar en sus servidores y ver la base de datos de todos sus clientes con otros datos de esos "sensibles".
Ahora bien, la entidad a la que me refiero es bastante conocida ¿Qué haríais?
Sinceramente después de hablar mucho con este amigo uno tiene realmente miedo de las repercusiones que pueda haber. Lo primero que a uno se le ocurre es ir de buenas y escribir a esa entidad comunicando que tienen este "pequeño" fallo.
Otra posibilidad (a lo película "Conspiración en la red") es divulgar este contenido a la vez por varios medios de Internet… ¿con qué fin? Me comentaba este amigo que, obviamente, lo "guay" sería sacar benificio de este fallo…. ¿qué querría uno con esto? ¿hacerse famoso? ¿arriesgarías esa fama por la posible represalia (no oficial) que podría tener esa entidad por lo gordo del problema?
Este problema sin duda es de esos que la APD (Agencia de Protección de Datos) castigaría con multas inimaginables. Yo como profesional, sinceramente, es el fallo con diferencia más impresionante que he visto y supera en millones de veces a cualquiera que haya vivido (incluído el famoso que yo mismo publiqué de Serviticket).
Por otra parte, también comentaba mi amigo, a uno le puede salir esa "ira de usuario cabreado" y pensar que poco se merecen empresas como esas el conocer estas cosas y que se les podría fastidiar con estas cosas. Un abogado con el que hablé después me comentó que el mero hecho de difundir esta información públicamente donde sea es delito por difusión e incitación de otros posibles peor-pensados.
La última solución que se nos ocurrió es presentar directamente una denuncia a la APD y que ella hiciera lo que buenamente quisiera, aun así, hacerla anónimamente por posibles agujeros y represalias futuras.
Os aseguro que la entidad es importante, muy importante, y los datos muy sensibles… ¿qué haríais? (pide mi amigo como consejo) 
P.D. Que conste que lo de "mi amigo" es verdad, no lo cuento como la típica historia de "tengo un amigo que tiene un problema sexual" y luego es uno mismo
Relacionadas , visualAdsense, para ver visualmente los datos de Adsense, La seguridad de los que manejan nuestro dinero, Datos en directo de la F1, Paz bronquial
junio 4th, 2008 at 8:28 pm
Ir a la APD, ya que si se lo comentas a ellos directamente puede que lo arreglen o puede que no, pero si les viene una sanción (aunque sea administrativa) les duele y tendrán mucho mas cuidado la próxima vez, ya que piensa que podría ser tu banco y no te haría gracia.
En cuanto a lo de difundirlo o aprovecharse, no lo veo.
junio 4th, 2008 at 8:53 pm
Ir a la entidad y decirles que eres un súper experto en seguridad informática y que lo puedes demostrar y que te contraten -por mucho dinero- para solucionar su problema.
Ja ja, infórmenlo de la manera mas anónima posible y olvídense del tema, aunque por el simple hecho de haberlo publicado ya están expuestos…
junio 4th, 2008 at 9:23 pm
Apoyo la dcisión de kainita, me parece lo más sensato.
junio 4th, 2008 at 9:29 pm
Si, creo que la denuncia a la APD sería una buena opcion.
junio 4th, 2008 at 10:25 pm
Otro voto por la denuncia.
Los datos no son del banco, sino de los clientes que se los confiamos creyendo que son profesionales…en el fondo, con la denuncia haces un favor a los clientes del banco.
junio 4th, 2008 at 10:31 pm
Tanto difundir como aprovechar esos datos, es delito, yo ni me lo pensaba.
Denuncialo, no hay duda.
Aunque si estas lanzando la pregunta, asumo que ya has decidido denunciar.
No es lo mismo el caso de las entradas, con este que cuentas.
junio 5th, 2008 at 12:02 am
Joder, escribe a la entidad, y diles que por X dinero les dices el fallo y se lo arreglas, no?
junio 5th, 2008 at 12:21 am
Yo iría a la entidad y se lo diría, después de haber pasado por un notario amigo que levante acta de cómo se puede acceder al agujero que se han dejado.
En cuanto a lo de que revelarlo pueda ser delito, supongo que tu amigo abogado lo ve como descubrimiento y revelación de secretos, siendo de aplicación el art 197 del código penal español. No tengo claro que se cumpla el tipo penal, al ser el sujeto pasivo un banco y no una persona física cuyos secretos se revelen. En cualquier caso, antes de hacer nada mejor mirarlo bien.
Y, con la garantía del acta notarial y de saber si revelarlo supone o no delito, llamaría al responsable de sistemas del banco para que fuera preparando una bandeja de plata
junio 5th, 2008 at 8:03 am
Yo no iria a la entidad, iria a la APD para que multasen a la entidad puesto que la entidad seguramente gane bastante con el dinero de los usuarios como para tener un buen sistema de seguridad que evitase algún riesgo para sus clientes.
El denunciarlo de forma anonima o no, no le veo importancia es la APD
junio 5th, 2008 at 8:44 am
Denunciar sin duda, cosas así no se pueden permitir, porque tu amigo lo ha descubierto y no lo ha utilizado a su favor, pero quien sabe si otra persona puede empezar a vaciar cuentas…
junio 5th, 2008 at 9:10 am
Yo iría a la APD e informaría del caso. No cre que sea necesario hacerlo de forma anónima aunque si no te fías y tienes esa posibilidad hazlo.
junio 5th, 2008 at 9:24 am
Depende de la entidad, o bien les hubiera enviado un correo o bien les hubiera puesto directamente la denuncia.
Y lo de hacerlo público… el abogado sabe mejor…