sábado, 13 de octubre de 2012

Ley Federal de Protección de Datos Personales


Datos personales
Cualquier información concerniente a una persona física identificada o identificable.

Datos personales sensibles
Aquellos datos personales que afecten a la esfera más íntima de su  titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave  para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como  origen racial o étnico, estado de salud presente y futuro, información genética, creencias  religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. 

Derechos ARCO

Los denominados derechos ARCO son el conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos personales. Estos derechos se regulan en el Título III de la Ley Orgánica de Protección de Datos (LOPD) y en el Título III de su Reglamento de Desarrollo, y son cuatro: Acceso, Rectificación, Cancelación y Oposición.

Se trata de derechos cuyo ejercicio es personalismo  es decir, que sólo pueden ser ejercidos por el titular de los datos, por su representante legal o por un representante acreditado, de forma que el responsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por persona distinta del afectado y no se acredite que actúa en su representación.
El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos y gratuitos puestos a disposición por el responsable del fichero y que están sujetos a plazo, por lo que resulta necesario establecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no han sido atendido en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la Agencia Española de Protección de Datos (AEPD).

Derecho de Acceso
El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
Justificación:  no es necesaria, salvo si se ha ejercitado el derecho en los últimos doce meses.
Plazos: El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras la comunicación de la resolución.
Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD. Son motivos de denegación que el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) y que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de sus datos.

Derecho de Rectificación
Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación.
Plazo: 10 días hábiles.
Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD.

Derecho de Cancelación
Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos.
Justificación: debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.
Plazo: 10 días hábiles.
Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

Derecho de Oposición
Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, que se trate de ficheros de prospección comerciales o que tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.
Justificación: concurrencia de motivos fundados y legítimos relativos a su concreta situación personal.
Plazo : 10 días hábiles.
Denegación: debe motivarse e indicar que cabe invocar la tutela de la AEPD.

Aviso de Privacidad
Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.

El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

Aviso de privacidad
El Aviso de Privacidad es el primer paso para cumplir con las obligaciones exigidas por Ley.
El Aviso de Privacidad es un documento generado por la persona física (profesionista, médico, consultor, etc) o moral (empresa o negocio de carácter privado) responsable de la recopilación y tratamiento adecuado de datos personales y debe ser puesto a disposición del titular de los datos (Ej. Pedro Ramírez).

El Aviso de Privacidad puede ser:
  • Fisico : Ej. escrito en papel
  • Electronico: Ej. pagina o sitio web
  • Sonoro: Ej. Grabación telefónico

El Aviso de Privacidad debe ser sencillo, de fácil comprensión y debe incluir información clara y específica sobre los siguientes aspectos:
  • Quien recopila los datos
  • Que datos recopila (sensibles o no)
  • Con que finalidad los recopila
  • Como limitar su uso o divulgación
  • Como revocar su uso
  • Cual es el procedimiento que tiene el titulara para ejercer sus derechos de acceso, rectificación, corrección y oposición
  • La forma en que se comunican cambios al aviso de privacidad
  • Aceptación o negativa para autorizar la transferencia de tos a terceros
Quienes garantizan estos derechos

Todos debemos proteger los datos personales, es un esfuerzo conjunto: Tú exigiendo tus derechos, quienes posean datos personales, observando lo establecido por la Ley y el IFAI, garantizando ese derecho.

El IFAI es la autoridad garante en materia de protección de datos personales. La Ley le ha otorgado la facultad de difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, de promover su ejercicio y vigilar su debida observancia por parte de los entes privados que posean datos personales.

El Instituto podrá llevar a cabo inspecciones a los sistemas de bases de datos de las empresas a fin de corroborar el debido cumplimiento de las disposiciones contenidas en la Ley.

Si no estás satisfecho con lo que la empresa te respondió al ejercer tu derecho de acceso, rectificación, cancelación u oposición, o bien, no obtuviste respuesta, puedes acudir al IFAI. Mediante un procedimiento sencillo y expedito, el Instituto atenderá tu solicitud.

Con el propósito de coadyuvar con el Instituto en la debida aplicación de la Ley, dependencias de la Administración Pública Federal colaborarán con el IFAI en la emisión de la regulación que corresponda. Entre ellas están las secretarías de Economía, Salud, Comunicaciones y Transportes, Hacienda y Crédito Público y Educación, las cuales deberán emitir normas específicas para la protección de los datos personales en los sectores económico, de salud, telecomunicaciones, financiero y educativo.

Son importantes

Para evitar que los datos sean utilizados para una finalidad distinta para la cual la proporcionaste, evitando con ello se afecten otros derechos y libertades, por ejemplo que se utilice de forma incorrecta cierta información de salud lo que podría ocasionar una discriminación laboral, entre otros supuestos.

Referencias

miércoles, 10 de octubre de 2012

ATAQUE A RSA


El ataque a la RSA se produjo a través de un 0 day en Flash

El pasado 18 de marzo RSA confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID. En estos momentos ya se sabe cómo accedieron a la información los atacantes y, de paso, que RSA tardó varios días en hacer público el incidente.

En una entrada oficial llamada "anatomía de un ataque" RSA explica cómo ocurrió un grave incidente de seguridad en su compañía. Si bien explica muy bien el ataque, se centra en buena medida en explicar que las APT (Advanced Persistent Threat, amenazas avanzadas y persistentes sobre una misma compañía) son muy complejas, que ocurren en las mejores familias y que ellos hicieron lo correcto. Parece que es así, pero lo interesante es centrarse en los errores para poder aprender de este tipo de situaciones.

Cómo empezó

Según la RSA, el atacante envío dos correos en un periodo de dos días, a dos pequeños grupos de empleados. RSA concreta que "no se consideraría a estos usuarios particularmente de perfil alto u objetivos valiosos". ¿Quiere decir con esto, que se encontraban menos protegidos que el resto? Dentro de una organización de este calibre, todos los usuarios con acceso a la red deberían ser considerados de alto riesgo y protegidos por igual. Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la carpeta de correo basura. Según RSA, es porque el correo estaba muy bien construido. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.

El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código. De hecho, Adobe anunció el 14 de marzo que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas. Si bien no hacía mención explícita a RSA, parece que la vulnerabilidad apareció a causa de este ataque. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.

De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier otro programa.

Una vez dentro

Luego los atacantes instalaron una variante del conocido RAT (herramienta de administración remota) Poison Ivy y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas, no el hecho en sí de que sean "inversas". En realidad, esto está asumido como estándar. La opción contraria, establecer una conexión desde fuera a la máquina infectada está descartado desde un primer momento en la mayoría de los escenarios y es una opción que los atacantes serios ni siquiera contemplarían. En este punto hubiesen sido necesarios inspectores de tráfico e IDS, aunque es cierto que el nivel de éxito de esta medida podría ser menor si los atacantes realmente se lo proponen.

Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que, en muchos otros casos, el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.

El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor... y se quedó con ella.

RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información adecuada de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.

Más información


0 day en Adobe Flash, Reader y Acrobat
http://www.hispasec.com/unaaldia/4524

Anatomy of an Attack
http://blogs.rsa.com/rivner/anatomy-of-an-attack/

Comprometen la seguridad de RSA y roban información sobre el producto SecurID
http://www.hispasec.com/unaaldia/4528/