El Tribunal Constitucional sentencia que buscar nombres propios en hemerotecas vulnera derechos

El llamado Derecho al Olvido fue en su día una legislación, vigente en la actualidad, que generó bastante debate sobre hasta qué punto los individuos tienen derecho a proteger su propia privacidad, incluso cuando han sido protagonistas de acontecimientos de interés público.

Hoy nos encontramos con una sentencia que puede ser un punto de inflexión en la aplicación del Derecho al Olvido en España, debido a que el Tribunal Constitucional (TC) se ha pronunciado por primera vez sobre esta materia, estimando un recurso de amparo presentado por dos personas que en los 80 fueron juzgados y condenados por tráfico de droga.

Al haber pasado mucho tiempo tras la sentencia por tráfico de droga e incluso la puesta en libertad de los dos individuos, sus antecedentes penales fueron cancelados. Sin embargo, al introducir sus nombres en diversos buscadores vieron que aparecían en un artículo de El País relacionado con sus antecedentes cancelados, así que decidieron presentar un recurso de amparo al TC tras no dejarles satisfechos las sentencias dictaminadas por tribunales anteriores y conseguir la eliminación de sus nombres del buscador de la hemeroteca de El País. Para ello argumentaron que sus derechos al honor, la intimidad y la protección de sus datos fueron vulnerados.

La magistrada María Luisa Balaguer, ponente de la sentencia, ha argumentado que “la prohibición de indexar los datos personales, en concreto los nombres y los apellidos de las personas recurrentes, para su uso por el motor de búsqueda interno de El País debe ser limitada, idónea, necesaria y proporcionada al fin de evitar una difusión de la noticia lesiva de los derechos invocados”. La sentencia llega después de que el tribunal examinara los artículos la Constitución 18.4, que regula el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos, y 18.1, que regula el derecho a la intimidad de los ciudadanos.

El TC ha determinado que, a pesar de que la libertad de la información es un derecho fundamental, este no resulta absoluto y deber ser regulado por dos elementos: la modulación del derecho con el paso del tiempo para calibrar el derecho a la intimidad y la importancia de la digitalización de los documentos a la hora de poder acceder a estos a través de Internet. Básicamente explica que la universalización del acceso a la información está provocando más injerencias en el derecho al honor de los ciudadanos.

Sin embargo, parece que la sentencia no prohíbe el acceso a la noticia de hace más de 30 años publicada por El País, sino que se pueda encontrar mediante los buscadores de los medios utilizando los nombres de los condenados, debido a que se considera que este último dato no tiene relevancia pública en los tiempos actuales.

Anuncios

Las brechas de datos en la nube ponen en riesgo la transformación digital de las empresas

Las cada vez más complejas estructuras computaciones está acarreando desafíos mayores en términos de ciberseguridad. Este punto ya lo tratamos cuando mencionamos los nuevos frentes a los que tienen que enfrentarse los centros de datos modernos gracias al impulso del cloud computing, que involucra a tecnologías como Docker para facilitar el desarrollo y la implementación de los contenedores.

Según los expertos de Kaspersky Lab, estos nuevos desafíos a nivel de ciberseguridad podrían estar frenando la transformación digital de las empresas por temor al impacto y los crecientes costes de las brechas de seguridad, que pueden terminar en muchas ocasiones con la desaparición de una pyme.

El estado de la economía de la seguridad TI corporativa en 2018 refleja que en los últimos 12 meses las empresas se han enfrentado a una “realidad muy inquietante”, ya que para la pymes el coste medio de cada brecha de seguridad ha sido 102.000 euros, un 36% más que en 2017. Para las grandes empresas el aumento fue del 24%, alcanzando el coste medio de 1,05 millones de euros.

Estos datos reflejan la cada vez mayor preocupación de las empresas por los datos que manejan. En plena transformación digital, la infraestructura cloud adquiere una importancia cada vez mayor, con un 45% de las grandes empresas y un 33% de las pymes en todo el mundo. Para ambos tipos de empresas se planea, a niveles generales, aumentar el gasto en nube híbrida en los próximos 12 meses. Aquí volvemos a insistir, una vez más, en que los ciberdelincuentes se centran más en las pymes, debido a que estas muchas veces no cuentan con todos los medios necesarios para hacer frente a los ciberataques. A niveles de generales se espera que las compañías empleen un 26% de todo el presupuesto para IT en ciberseguridad, lo que podría terminar reduciendo el margen para invertir en otras áreas.

Dos de cada tres de los incidentes de ciberseguridad más costosos afectan a pymes que utilizan la nube, donde un problema con la infraestructura de IT alojada en terceros llega a alcanzar un coste medio de 150.000 euros. Para las grandes empresas, la protección de los datos sigue siendo la principal prioridad, con un coste medio de hasta 1,4 millones de euros en las brechas de seguridad de datos y de 1,2 millones de euros en el caso de incidentes que afectan a la infraestructura IT de terceros.

Así es la nueva iniciativa que puede aumentar notablemente la seguridad en los correos electrónicos

La seguridad y privacidad son aspectos que los usuarios tienen muy en cuenta. Cuando hablamos de servicios de correos electrónicos, toda esta preocupación aumenta. Existen opciones para poder enviar y recibir mensajes con más garantías. También aplicaciones que se centran en el cifrado de extremo a extremo. Hoy vamos a hablar de una iniciativa, STARTTLS Everywhere, de Electronic Frontier Foundation. Esta busca mejorar la seguridad de los correos electrónicos.

STARTTLS Everywhere

Esta iniciativa, como hemos mencionado, se llama STARTTLS Everywhere. Es un complemento a SMTP (Protocolo de Transferencia de Correo Simple, en sus siglas en inglés). Su función es permitir a un servidor de correo electrónico decirle a otro que quiere enviar un mensaje a través de un canal de comunicación cifrado. El destinatario puede aceptarlo y configurar ese canal cifrado para entregar el correo de forma segura. Cualquier persona que intercepte los datos, solo vería un mensaje cifrado. Cifrado hop-to-hop.

Desde EFF indican que no es un reemplazo a otras soluciones de seguridad. Se trata de un complemento añadido. Por ejemplo, si un usuario de Gmail envía un correo electrónico a un miembro del personal de EFF, los operadores de los servidores de correo de Google y EFF pueden leer y copiar el contenido de ese correo electrónico incluso si STARTTLS se aplica a la perfección. Esto es así ya que solo cifra el canal de comunicaciones entre los servidores de Google y EFF para que un tercero no pueda ver lo que los dos se dicen entre sí. No afecta lo que los dos servidores pueden ver.

Todavía no está implantado correctamente y requiere una correcta validación de certificados. De momento la empresa está intentando concienciar sobre STARTTLS e intentando simplificar su uso lo máximo posible. De momento ya hay una lista de servidores de correo electrónico que han prometido introducir esta nueva iniciativa.

Además informan de que STARTTLS no es algo especialmente diseñado para el usuario medio, sino más bien para los administradores de servidores de correo electrónico.

Todavía no está implantado correctamente y requiere una correcta validación de certificados. De momento la empresa está intentando concienciar sobre STARTTLS e intentando simplificar su uso lo máximo posible. De momento ya hay una lista de servidores de correo electrónico que han prometido introducir esta nueva iniciativa.

El resultado y objetivo final es crear un correo electrónico más seguro, con menos vigilancia. Los usuarios finales tendrían la posibilidad de mandar y recibir mensajes con un mayor nivel de cifrado, preservando así su privacidad y evitando que sus correos sean interceptados y leídos por terceros.

Correo electrónico cifrado

Cómo aumentar la seguridad al utilizar correos electrónicos

El correo electrónico se ha convertido en el medio de comunicación de muchos usuarios. Más allá de lo que hemos explicado de STARTTLS y la nueva iniciativa para cifrar los mensajes, existen otras herramientas y opciones para asegurar nuestras cuentas. Lo primero es tener presente que a través de un e-mail pueden llegar muchas amenazas en forma de malware o phishing, por ejemplo.

Muchos ciberdelincuentes utilizan este canal para hacerse con las credenciales de los usuarios. Esto lo hacen a través de técnicas de phsihing, de ingeniería social. Buscan hacer creer a la víctima que están ante algo legítimo, pero realmente se trata de un correo fraudulento. De esta manera recopilan nombres de usuario y contraseñas.

Los APK “offline” podrán verificarse a través de sus metadatos y firma

Android ya sabe si has instalado una aplicación desde Google Play o desde su APK (lo pone en las propiedades de la aplicación) pero lo que no sabe es si este APK es el mismo que hay en Google Play. Con los nuevos metadatos añadidos, los APK que instalas se añadirán a la librería de Google Play.

APK que cuentan como apps de Google Play

Las aplicaciones Android están firmadas con un certificado único que cada desarrollador debe guardar y proteger, pues en caso de perderlo no se puede actualizar más la aplicación en Google Play, y tampoco crear nuevas versiones que se instalen y mantengan los datos. Esta firma garantiza que la app está creada por el mismo desarrollador, pero no que el APK en sí sea exactamente igual al que está en Google Play.

Hasta ahora, las aplicaciones instaladas desde Google Play y aquellas que instalas desde un APK se mantenían separadas. Si instalas una aplicación desde su APK, no se añade a tu librería de Google Play y tampoco se actualiza automáticamente. Esto es útil pues algunos desarrolladores distribuyen un APK distinto dentro y fuera de Google Play, probablemente, saltándose así las limitaciones de la tienda.

Esto cambia con los nuevos metadatos que Google ya está empezando a añadir a las aplicaciones añadidas a Google Play. Con ellos se puede verificar que una app es la que dice ser, y si pasas el APK a otra persona (algo común en lugares con mala conexión a Internet), la otra persona podrá instalar la aplicación, que se seguirá actualizando desde Google Play, como si nada.

Los parches para Meltdown y Spectre de los navegadores serán inútiles con este nuevo estándar web

En los últimos meses hemos podido ver muchas noticias relacionadas con las vulnerabilidades de Meltdown y Spectre. Ha afectado a millones de usuarios en las diferentes plataformas y sistemas. La gran mayoría, de forma paulatina, ha ido sacando parches para corregir estos fallos. Los navegadores también. El problema es que ahora estos parches para los principales navegadores pueden ser inútiles. Las vulnerabilidades de Meltdown y Spectre podrían afectar a quienes utilicen Google Chrome o Mozilla Firefox, entre otros, por las próximas incorporaciones al estándar WebAssembly.

Los parches para Meltdown y Spectre en navegadores podrían ser inútiles

WebAssembly es una nueva técnica, conocida de forma abreviada como Wasm, que es compatible con los principales navegadores. Es un lenguaje de bajo nivel. Puede procesarse más rápido que JavaScript y mejorar así su velocidad de ejecución. Sin embargo también trae un aspecto negativo y es que los desarrolladores crearon la manera de transferir el código de otros lenguajes de alto nivel como C o C +++. Esto es un efecto secundario que permitiría posteriormente ejecutarlo en un navegador.

Por ejemplo podría ejecutar scripts de mineros de criptomonedas ocultos. Pero además, según un investigador de seguridad de Forcepoint, se podrían crear ataques de temporización muy precisos que harían que los mitigadores de los navegadores de algunos tipos de ataques de CPU no funcionen.

Los ataques de temporización son una clase de ataques criptográficos a través de los cuales alguien externo puede deducir el contenido de los datos cifrados al registrar y analizar el tiempo necesario para ejecutar algoritmos criptográficos. Las vulnerabilidades de Meltdown y Spectre, así como otras similares, son de este tipo.

Es por ello que esta nueva tecnología, muy positiva en algunos aspectos, podría hacer que los principales navegadores vuelvan a ser vulnerables a Meltdown y Spectre, pese a haber instalado parches para paliar el problema.

Cuando Meltdown y Spectre salieron a la luz el pasado mes de enero, los investigadores de seguridad publicaron un código de prueba de concepto que un atacante podría haber utilizado para explotar estas vulnerabilidades de la CPU de forma remota, a través de Internet, utilizando código JavaScript que se ejecuta en el navegador. Este código de ataque utiliza funciones nativas internas de los navegadores para medir intervalos de tiempo.

La tecnología de WebAssembly haría inútil los parches de Spectre y Meltdown

Los principales navegadores, afectados

Algunos de los principales navegadores como Firefox y Chrome reaccionaron liberando actualizaciones que redujeron la precisión de estas funciones del temporizador. Esto hizo que los ataques de Meltdown y Spectre, y otros ataques similares, fueran ineficientes.

El problema llega ahora. Al agregar la técnica WebAssembly y que llegue a los navegadores modernos, éstos se hacen vulnerables. Todas las mitigaciones, los parches que hemos mencionado, se vuelven inútiles.

Así puedes bloquear miles de IP maliciosas gracias al proyecto FireHOL

FireHOL es un proyecto que nos va a permitir bloquear miles de IP maliciosas que están catalogadas por tipos de amenaza. A medida que pasa el tiempo, el cibercrimen en Internet se vuelve más sofisticado, hoy en día los ataques no se pueden identificar tan fácilmente, ya que llegan a nosotros a través de una gran cantidad de direcciones IP. FireHOL nos va a ayudar en saber estas listas de IP, para posteriormente bloquearlas en nuestro firewall.

Principales características del proyecto FireHOL

Tener en nuestro firewall un listado de bloqueo de direcciones IP es algo clave en la seguridad de Internet. Estas listas nos permitirán bloquear todos y cada uno de los accesos con dicha dirección IP de origen, o también filtrar el tráfico y ver el comportamiento de las comunicaciones que nos realizan a nosotros.

Recientemente en RedesZone hemos hablado sobre la herramienta Ultimate Hosts Blacklist, para añadir una gran cantidad de direcciones IP maliciosas y no poder acceder a dichas IP. Este proyecto FireHOL está orientado a su utilización en los firewalls, ya que es la primera línea de defensa de ataques externos. Ultimate Hosts Blacklist es para los propios PC y evitar que se conecten ellos hacia fuera.

El proyecto FireHOL está en un proyecto público en GitHub, ideal para obtener toda la información de manera gratuita, y permitir una cierta automatización de las tareas de descarga y puesta en funcionamiento de estas listas de IP. Gracias a “git pull“, vamos a poder actualizar todas estas listas de IP a la vez que anteriormente hemos descargado, ideal para mantener diariamente estas listas actualizadas. Además, otro punto fuerte de usar GitHub es que podremos tener un control de versiones unificada, permitiéndonos ver qué se ha añadido, retirado o modificado.

Este listado de reglas también incorpora IPs que pertenecen a la red Tor, aunque Tor no es en sí mismo una red “maliciosa”, sí es cierto que los ciberdelincuentes intentan anonimizarse a través de ella, por tanto, si bloqueamos la red Tor evitaremos que cualquier usuario que quiera ocultar su identidad (por cualquier motivo) acceda a nuestros recursos.

Antes de poner en producción estas listas de IP, es recomendable que crees una lista blanca de direcciones IP permitidas, no sea que termines bloqueando a tus propios usuarios, clientes e incluso a ti mismo. Otro detalle importante es que hay listas que contienen direcciones IP privadas para parar diferentes tipos de ataques IP spoofing en la WAN, asegúrate de no incorporar esta lista en la parte LAN o DMZ de tu red, sino FireHOL nos va a permitir descargar un pequeño script en bash para actualizar de una manera fácil y rápida estas listas de IPs maliciosas, utilizando para ello ipset. Este script no modifica de ninguna manera la configuración del firewall, simplemente actualiza el ipset para posteriormente aplicarlo nosotros en el sistema operativo.

Os recomendamos acceder a la página web oficial del proyecto FireHOL donde encontrarás toda la información sobre las direcciones IP que están dadas de alta. También podéis acceder al proyecto FireHOL en GitHub donde podréis ver todas las listas de IP perfectamente separadas por tipo de amenaza.

perderás la conectividad.

Una sentencia establece que la reducción de jornada no puede conllevar una rebaja de los días de vacaciones

El Juzgado de lo Social Número 1 de Móstoles (Madrid) ha establecido que la reducción de jornada no puede conllevar una rebaja de los días de vacaciones del trabajador que está acogido a este horario.

El Juzgado ha estimado la demanda de una técnico del Ayuntamiento de Fuenlabrada (Madrid) a la que se le redujeron las vacaciones de 23 a 21 días por acogerse a la jornada reducida por guarda legal. Tras varios intentos infructuosos de llegar a un acuerdo con el Consistorio (PSOE), la Central Sindical Independiente y de Funcionarios (CSIF) acudió a la Justicia, que le ha dado la razón.

En la sentencia, se establece que la empleada tiene el “derecho” a “disfrutar de un total de 23 días de vacaciones” y que se le reconozca el “disfrute de dos días adicionales” que le fueron denegados, dejando sin efecto “cuantas decisiones o resoluciones municipales se opusieran a lo así acordado”.

El Juzgado de lo Social número 1 de Móstoles indica en su sentencia que una reducción de jornada “podrá tener incidencia en la retribución económica de las vacaciones, pero no en los días que deban ser disfrutados”. Además, el fallo judicial subraya que la postura adoptada por el Ayuntamiento “es del todo inasumible” por este juzgado.

La sentencia, contra la que no cabe recurso, añade que no se entienden cuáles son los motivos para denegar los dos días de vacaciones a la trabajadora. Explica que “el Ayuntamiento demandado no puede denegar derechos reconocidos legal o convencionalmente a los trabajadores sin ampararse en las causas o motivos tasados (…) y que no concurren en absoluto en este caso”.

“Sentencia pionera” en materia de conciliación

Desde la Central Sindical Independiente y de Funcionarios celebran esta “sentencia pionera en materia de conciliación”.

María Ángeles López, portavoz de la sección sindical de CSIF en el Ayuntamiento fuenlabreño, explica que “este fallo tendrá incidencia en otros trabajadores municipales que también se vieron afectados por esta decisión del Ayuntamiento, ya que gracias a ella tendrán la posibilidad de pedir la devolución de los días de vacaciones dejados de disfrutar”.

Esta demanda fue interpuesta el pasado 24 de noviembre. Una vez aceptada a trámite, las partes fueron convocadas a los actos de conciliación judicial y juicio, que tuvieron lugar a 20 de diciembre.

Según recoge el fallo, la parte demandada adujo en el trámite de alegaciones como razonamiento básico la correlación entre trabajar menos horas  y disfrutar menos vacaciones.

Esta sentencia está fechada a 22 de diciembre de 2017, pero “no se ha dado traslado de la misma a la parte demandante por un error de notificación”. CSIF ha conocido el fallo esta semana, según han informado fuentes de la central.