jueves, 25 de mayo de 2006

Aqui hay tomate

La verdad es que no podía imaginarme escribiendo en un blog de seguridad de la información sobre un tema rosa, pero como he sido espectador en vivo y en directo, no me puedo reprimir.

Hoy el susodicho programa titulaba en su cabecera una noticia relacionada con una lista de bodas y el titular sensacionalista reclamaba la atención prometiendo que en breves momentos nos dirían la clave de acceso al portal de gestión de lista de bodas de la Señora Carmen Martínez Bordiu.

Pues bien, dicho y hecho. Minutos despues, en una pantalla en negro indicaban a los espectadores cual es la contraseña de acceso al portal de "El Corte Ingles" para ver la lista de bodas y su estado.

¡Ay, ya, ya, ya, yay!

Respecto a este asunto que tiene con la seguridad de la información y su trascendencia jurídica, llevo todo el día preguntandome sobre si es lícito o no (aparte de informativo) comunicar una contraseña encontrada (o comprometida o filtrada) en un medio de comunicación con semejante difusión. Y es que haciendo un simil con el mundo físico y equiparando una contraseña a una llave,
¿Es lícito que entren en tu casa a ver que tienes porque se encuentren la llave en la calle? ¿Quien ha sido el responsable del compromiso de la llave?

La cosa da mucho que pensar y es que si la clave se ha comprometido por negligencia de los dueños, la llave se encontraba en la calle pero si no es así ¿Acaso la contraseña no es única y confidencial? ¿Es que se guarda en texto claro y cualquiera empleado del Corte Ingles puede saber lo que le regalan a cualquiera de los clientes que tiene una lista de bodas?

Dado que yo ya he realizado el trámite de poner la lista de bodas en El Corte Ingles, otro día postearé lo que haya observado respecto al contrato y las responsabilidades en materia de custodia de contraseña. Si recuerdo que en el momento en que nos dieron la contraseña, esta venía como los pines de las tarjetas de las entidades de crédito, en un sobre con papel y copia calco impreso. Además, en este caso (pendiente de comprobar dado que como usuario no he accedido al servicio) me parece que aquí puede haber materia para que la Agencia de Protección de Datos intervenga de oficio dado que aqui hay una invasión de la esfera privada con conocimiento de causa por parte del que infringe la norma.
Si existe una contraseña, existe una voluntad de restringir el acceso a personal autorizado debidamente y por tanto, un tercero aun siendo poseedor de esa información no debería poder utilizarla o al menos, debería ser objeto de sanción por saltar conscientemente una valla de una propiedad privada conociéndose no autorizado.
Por descontado que también debe revisar la Agencia de Protección de Datos al Corte Ingles por no haber sabido garantizar la "seguridad de los datos" si puede demostrarse que la contraseña no es confidencial porque se almacena en las bases de datos en texto claro.

Por referenciar la noticia de la que me hago eco, aqui dejo en enlace al tema en cuestión Aquí hay tomate - Web oficial de Telecinco - Noticias - ¿Quieres regalar algo a Carmen Martinez Bordiú?

3 comentarios:

Juan Ignacio dijo...

Dos cuestiones:

1.- Cuando vas a unos grandes almacenes o un comercio tradicional con servicio de listas de bodas, y dices que quieres regalar algo de la lista a la pareja X, nadie en la tienda te pide ningún credencial, ni ninguna contraseña: te muestra la lista y los objetos susceptibles de ser regalados.
¿Por qué tienen que establecerse mayores medidas de privacidad en el mundo digital que en el físico?
Sí, ya conozco tu razonamiento: que el digital, por sus caracteristicas especiales (sobre todo la posibilidad de gestionar dicha información, hacerlo a grandes velocidades y en grandes volúmenes, y la posibilidad de cruzar datos) tiene otras consecuencias e importancia; era sólo por lanzar el tema y crear una pequeña polémica.

2.- Falabella son unos grandes almacenes de origen chileno, aunque cuentan ya con sedes en varios paises sudamericanos.
Si vas al sitio web de Argentina, hay una sección de listas de boda:
http://www.falabella.com.ar/webapp/commerce/command/ExecMacro/falabella/novios/macros/n_home.d2w/report
En esta no hace falta siquiera introducir ningún tipo de contraseña, sino que incluso puedes hacer búsquedas: seleccionas, por ejemplo, un mes y te devuelve el listado de bodas que hay en dicho mes (con fecha y nombre completo de los novios); seleccionas una de dichas bodas y accedes a la lista de regalos.

Ah, y un tirón de orejas por ver "Salsa Rosa" (eso sí, una palmada por atreverte a publicar este post pese a saber que estaría mal visto ;-)

Javier Cao Avellaneda dijo...

Creo que no he explicado bien el origen del problema porque el simil que planteas no es el caso que denuncio.

Cuando vas a unos grandes almacenes o un comercio tradicional con servicio de listas de bodas, y dices que quieres regalar algo de la lista a la pareja X, nadie en la tienda te pide ningún credencial, ni ninguna contraseña: te muestra la lista y los objetos susceptibles de ser regalados.¿Por qué tienen que establecerse mayores medidas de privacidad en el mundo digital que en el físico?

Para ese caso no tiene tanto sentido dado que si no eres quien dice ser, pero posees el dinero y es de tu propiedad, lo que hagas con él no es problema de la tienda. Si quieres permanecer anónimo y regalar o utilizar otro nombre no veo porque la tienda va a restringir que no lo hagas, y más si además haces que los ingresos de la tienda aumenten.

El caso que yo he comentado es asociado a la contraseña del Gestor de la lista de bodas. Todavía no he accedido al portal y no se que se puede hacer, pero considero que si alguien quiere en tu nombre gestionar la lista o cambiar regalos por otros objetos, si deben pedirte acreditación. Tanto es así que el proceso de dar de alta la lista es un contrato con unas restricciones claras. Por tanto, la trascendencia de la identificación/autenticación es mucho mayor que la del caso que planteas.

Juan Ignacio dijo...

Ufff.... pues no, no te había entendido.
(De hecho, acabo de releer el mensaje y creo, es mi opinión, que no lo dejas claro).

Yo entendía que dicha contraseña era para acceder a la lista como persona que quiere visitarla para regalar;
que los grandes almacenes se la daban a los novios para que la dieran a quien quisieran y estos entraran a la seccion de listas de bodas de la web; es decir, que era más como una referencia de "pareja/boda" que una contraseña.

 
;