Rompiendo el eslabón más débil de la seguridad bancaria
Hoy en día casi todos los procesos cotidianos que afectan a la privacidad y a los datos personales de los ciudadanos están regulados legalmente. Y los historiales clínicos de los pacientes de los hospitales o las transacciones bancarias en las entidades financieras no son una excepción.
El legislador protegió con mucho celo todas las instancias de la privacidad de los ciudadanos. Aunque masivamente incumplida, la Ley Orgánica de Protección de Datos Personales (LOPD) es un buen ejemplo de ello desde la definición misma de lo que es un dato de carácter personal: “cualquier información concerniente a personas físicas identificadas o identificables”.
El resto del articulado no es menos paternalista respecto al uso que las empresas e instituciones hacen de los datos personales de los ciudadanos: “Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan” (artículo I-51).
Para garantizar el cumplimiento de esta ley las instituciones y las empresas han ido adaptándose a las resoluciones de la Agencia Española de Protección de Datos (AEPD).
A veces sucede, sin embargo, que todos estos esfuerzos técnicos y organizacionales se ven comprometidos porque no se ha tenido el mismo celo en todos los eslabones de la -a veces muy larga- cadena de manipulación de datos personales. Una cadena es tan fuerte como su eslabón más débil: aquel que primero se romperá ante un esfuerzo o estrés capaz de hacerlo vencer. Por eso, un eslabón débil compromete toda la seguridad de la cadena, y de nada sirve una seguridad reforzada en unos eslabones si ésta no se extiende por igual a todas y cada una de las piezas del sistema que son parte componente.
Le comentaba esto a un amigo mientras hablábamos de las férreas condiciones técnicas y de seguridad informática que las instituciones ponen en los pliegos de los concursos tecnológicos relacionados con el tratamiento de los historiales clínicos de los pacientes de los hospitales. El tratamiento de estos datos sanitarios se blinda tecnológicamente para que, como es natural, un fallo técnico o humano no exponga datos confidenciales de muchos ciudadanos a miradas curiosas o malintencionadas.
Los mismos médicos, según leía en ese pliego técnico, necesitan de certificados criptográficos personalizados para acceder remotamente a las historias clínicas de sus pacientes, de manera que el tráfico de los datos personales, aún viajando a través de la Red y sus “peligros”, se hace siempre de manera segura y encriptada.
Mi interlocutor echó por tierra toda esta implementación tecnológica con este comentario: “Pues de poco sirve toda esa confidencialidad en el tratamiento de los datos si luego sucede, como me ha ocurrido a mi el otro día, que el médico de cabecera se confunde con los expedientes y entrega mis datos a otro, y a otro mis datos”.
Una buena -y costosa- cadena se había partido por el último eslabón, el más débil.
En el ámbito bancario, donde la seguridad de las transacciones económicas es quizás mayor o más espectacular, hoy hemos visto también como un eslabón débil traicionaba la seguridad y la fortaleza de una larga cadena.
Acudimos al una conocida entidad financiera de la región, cuyo nombre no revelaremos para mantener la emoción, y también para preservar el caracter constructivo, instructivo y -por qué no-, divertido de este artículo. Solicitamos en una oficina de esta entidad unos documentos bancarios, pero en formato digital, pues el destino de esos extractos era ser luego importados en una aplicación de contabilidad informática, y los tradicionales listados en papel no son la mejor opción en este caso.
Tomaron nota del pedido y unos días después teníamos un disquete que habían grabado en la oficina central de la entidad, y que contenía los documentos solicitados. Por la pinta que tenía (ver imagen adjunta), parece que ese disquete se había curtido en muchas batallas ya. A pesar de que nos cobraron por un disco amarillento, sucio, con la etiqueta malamente arrancada, tip-ex por encima e inscripciones a bolígrafo, no protesté y me lo llevé a la oficina.
“¡Ay, si los disquetes hablaran!”, pensé mientras buscaba un ordenador con disquetera, pues ninguno de los ¿diez? que tengo que usar a diario tienen ese artilugio jurásico. Finalmente me hice con una disquetera, copie mis documentos y después me entretuve leyendo sector a sector las interioridades del disquete. ¿Se rompería la cadena de la confidencialidad bancaria?
Efectivamente el disquete hablaba: allí estaban mis datos bancarios, pero también datos de otras personas o empresas que yo no conocía, en el formato Q43 (información normalizada de cuenta corriente) que se suele utilizar en estos casos. Por reutilizar un disquete en vez de grabar uno nuevo, o por no formatear correctamente el anterior, los datos personales de otro cliente estaban ahí visibles, expuestos.
Nombres propios, transacciones bancarias, importes… Tampoco le he prestado mayor atención, pero creo que se trata de las cuentas de una empresa de limpiezas y jardinería de la región.
No es razonable pedir a un sistema que sea tecnológicamente inexpugnable, pero tampoco es serio blindar una puerta pero dejar abierta la ventana. A veces tenemos el eslabón más débil de la cadena delante de nuestras propias narices.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 08:37
Namasté !!
Simple y sencillamente impresionante *_* creo que lo adecuado es dirigir una carta a la Sede Cental del banco con c/c a la Direcion de la sucursal donde expones la aventura y el resultado. Lo propio por parte de la Dirección General del Banco es emitir una circular general a todas la oficinas del grupo alertandoles y dando orientación de como mejorar su praxis ^_^
Buen finde!!
txu
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 09:35
Hola! Yo me imagino que los servicios informáticos de esta Entidad (no quiero decir el nombre) lo tengan más que previsto y controlado, y seguro que están encima de los empleados todo el día recordándoles que NO se pueden hacer este tipo de cosas, pero al final habrá sido un despiste del empleado de turno…
No creo que una carta sirviera de mucho, y además, creo que sería un poco “alarmista”, ya que este es el caso paradigmático de “vulnerabilidad no explotable”, es decir, con algo de suerte se puede acceder a datos de terceros, pero no a discrección y voluntad, sino a datos de particulares “al azar”, y eso es -afortunadamente- poco útil para un supuesto atacante malintencionado.
Sería el equivalente a rebuscar en el cubo de basura de los bancos y cajas de ahorros: poco productivo
A mi casi que me molesta más que te cobren un disquete usado y jurásico, al hecho de que ese disquete tenga datos de otro (aunque si hubieran sido contraseñas u otras cosas, apaga y vámonos). La cadena de la imagen corporativa también se rompe aquí. Los empleados con corbata, el hilo musical de Stravinsky, pero los disquetes que se llevan los clientes así de guarros. Mundo de paradojas.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 12:45
Yo de ti les mandaba un mail a la agencia de protección de datos que ellos se ocupan de meterles el correspondiente puro… no es coña, es muy serio y eso le puede pasar a tus datos:
https://www.agpd.es/index.php
saludos
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 12:58
No creo que sea legal acceder a esa informacion.
Claramente estas rompiendo una proteccion (el formateo del diskete) para acceder a una informacion que no va dirigida a ti.
Si un cartero no puede meter el sobre en el buzon normalmente lo deja encima del armario de buzones. Eso no te da derecho a abrirlo ya que esta claramente etiquetado y es evidente que no va dirigido a ti.
No creo que debas postear los resultados, ni que sea parcialmente, ya que esa informacion no te pertenece.
Saludos.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 13:11
Sorrillo, el problema no es que esos datos nos pertenezcan o no, que sea legal o no que accedamos a ellos. El problema es que cualquier día pueden ser nuestros datos los que caigan en malas manos. De la misma forma que el problema no es si es legal o no coger las cartas que el cartero deja tiradas por ahí (todos los días lo hacen); obviamente no es legal, pero mientras al cartero o al empleado del banco se la sude y siga haciendo ese tipo de cosas, nuestros datos más personales y privados corren el riesgo de caer en manos de cualquiera.
Un saludo.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 14:06
Sorill no estoy de acuerdo. Yo pago por un disquete y tengo derecho a leer todos los bytes, del primero al último. Formatear no es “una protección” y un volcado no es una forma de saltárselo. Y si accedo a información privada de otras personas, no hay dolo perseguible y la culpa es única y exclusivamente del banco. Que usen Eraser y shred, coño!
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 15:52
Si yo dejo la puerta de mi casa abierta, entra alguien y me roba el ladron sigue siendo quien ha entrado y me ha robado. El hecho que no haya necesitado forzar la puerta no le exime de la culpa d robarme.
Si tu lees los datos de un diskete bancario que pertenecen a otro cliente y los difundes el delito lo cometes tu.
Hace poco salio por las noticias una condena a unos jovenes que distribuyeron por internet un video porno casero que encontraron en un cd de una biblioteca. Es evidente que la difusion de esos datos es un delito, independientemente de las protecciones, o falta de ellas, que tuviera el video.
Claramente el banco no ha querido proporcinarte esos datos de otros clientes, es evidente que has accedido a esa informacion utilizando metodos no previstos por quien te ha suministrado el diskete.
Es un error del banco proporcionarte esos datos ? Si
Te da eso derecho a utilizarlos ? No
Le da eso derecho a quien reciba tus datos a utilizarlos ? No.
Si alguien usa esos datos el delincuente es quien los usa, no de quien los proporciona por error.
Saludos.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 16:09
Parece que estoy defendiendo al banco y no es esa mi intención, pero tampoco la contraria; ni en los comentarios ni cuando escribí el artículo.
Creo que la solución es mucho más sencilla. Si el cliente está pagando un disquete, la entidad tiene que dar un disquete nuevo con los datos solicitados y facturarlo como corresponda, pero en ningún caso reutilizar un disquete viejo.
Estos problemas surgen desde el momento en el que “alguien” decide reutilizar disquetes viejos para estas cosas. En un segundo ese empleado destruye la imagen corporativa de su propia empresa. Sí, esa que cuesta años, campañas y dinero labrar.
En otro orden de cosas, y respecto a lo que dice Sorrillo, que quede claro que yo no he difundido los datos del disquete (que además de ilegal sería inútil), sino que he hecho de buena fe una captura de pantalla de unos pocos bytes —los que eran menos significativos— de lo que había en el disquete, con el único fin de ilustrar el artículo.
Un saludo.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 16:23
Realmente espeluznante. Estoy por sacar mis ahorillos del banco y meterlos debajo de una baldosa como hacia celosamente mi bisabuelo.
Lo cómico es que aun alguien utilize disquettes, yo pense que estaban mas muertos que las cintas de cassette.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 16:29
Sorrillo, eres increíblemente idiota. Madura un poco.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 16:38
deberian entregar a los clientes discos completamente nuevos, que dinero para ello seguro que tienen, y se ahorran problemas, matando dos pájaros de un tiro:
Dan al cliente un disco nuevo, y no hacen que te sientas mal por haber pagado un disco en estado lamentable con posibles datos de otras personas…
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 17:33
Mejor aun, que te dieran un pen drive cada vez que fueras al banco. Con uno de 512 MegaWatios me conformo
.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 21:10
Y no era más fácil bajarte ese fichero desde internet? Creía que todos los bancos ofrecen ese servicio ahora mismo.
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 21:46
alaaaa!
MegaWatios, chocolate, creo que te has pasado, como mucho, mEGAvOLTIOS.
bien
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 22:41
Sorrillo, creo que tu analogía no es la correcta. Sería más adecuada esta:
El banco te da una hoja de papel con tus datos bancarios en una cara y *en la otra cara* aparecen los míos porque han decidido reutilizar esa hojita. Y si objetas que el banco borro los datos, el equivalente sería a que puso post-its cubriendo los datos de la cara posterior de la hojita de papel ¿sigues pensando que haces mal leyendo esos datos? Es obvio que el culpable susidiario de cualquir cosa que pase es el banco, por rata.
Otra cosa es que luego, con esos datos te dedicaras a - no sé - falsificar una identidad, chantajear al otro cliente, etc. En ese caso, tendrías que responder ante la autoridad (si te pillan…) Pero es evidente que nunca el banco podrá irse de rositas.
Afortunadamente, el que se ha dado cuenta no parece que quiera aprovecharse del fallo de seguridad del banco, más bien lo contrario, lo expone para que se corrija.
Saludetes a todos
Raúl
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 19:06
Te sugeriría que quitaras ese screenshoot
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 02:29
Las maquinas serán muy listas y eficientes, pero los humanos seguimos siendo idiotas, los que cometemos los errores.
Lo cierto es que me parece brutal que cualquier banco que se precie haga el rata por un disquette…
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 00:10
Impresiona enterarse de estas cosas. Cuando a día se hoy se dan cursos de ofimática como quien regala bolígrafos, cuando se llevan dando desde hace años miles de cursos gratuitos y de formación interna de las empresas asombra que haya profesionales que sigan haciendo estas movidas. Ya podías decir la sucursal y el banco que era para pasarnos todos a pillar algún que otro disquete a medio borrar (con un poco de suerte aparece algún dato de Botín y nos retiramos )
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 15:42
Muy buen artículo, muy buen trabajo forénse y muy mal banco!!
Thursday 16 dEurope/Berlin November dEurope/Berlin 2006 at 00:12
Aquí hay un gran fallo de protección de datos del banco. Dices que son datos de una empresa, pero si entre ellos hubiera algún dato de carácter personal, el banco estaría incumpliendo el artículo 20 del R.D. 994/1999 del Reglamento de Medidas de seguridad: \