Esta semana se ha conocido la noticia que un fallo de seguridad ha comprometido la seguridad de los servidores que utilizaban la tecnología "Open SSL" . Esta tecnología era ampliamente utilizada por una variedad de empresas entre las que destacan Google, Facebook, Youtube, Twitter, Blogspot, Amazon, WordPress y Pinterest, si bien podía ser utilizado por cualquier empresa que quisiera establecer una conexión HTTPS.
¿Y qué pueden hacer los usuarios ante este fallo de seguridad? La recomendación de todos los expertos es unánime: el usuario debería realizar un cambio de contraseña de todos aquellos servicios que hayan podido verse afectados una vez se haya solucionado el fallo.
Pero cómo puede un usuario conocer qué servicios han resultado afectados? ¿Y cómo sabe el usuario cuándo se ha solucionado el fallo? ¿No sería más lógico que fuera el propio responsable de dichos servicios quien se pusiera en contacto con el usuario para informarle de este incidente de seguridad y recomendarle el momento idóneo para el cambio de contraseña?
La propuesta del Reglamento de Protección de Datos de Carácter Personal ya prevé esta situación en su artículo 32 y obliga al responsable del fichero a informar al titular del incidente de seguridad. Adicionalmente, obliga también a informar a la agencia de control del país donde esté establecido dicho responsable del fichero.
¿Quiere ver la propuesta de Reglamento de Protección de Datos de Carácter Personal?
De esta manera procedió INTECO (Instituto Nacional de Tecnologías de la Comunicación) allá por junio de 2011 cuando sufrió un ataque que reveló los nombres y apellidos, contraseñas y fechas de nacimiento de los participantes en sus programas de formación online. Rápidamente envió correo y SMS informando de dicho ataque así como de los datos que habían podido ser sustraídos y de las recomendaciones de seguridad a implantar por los usuarios.
La reflexión adicional a este tema es si una empresa situada en territorio nacional sufre esta vulneración sería sancionable por la Agencia Española de Protección de Datos. En teoría la empresa podría haber incumplido el art. 9 LOPD. Dicho artículo impone la obligación al responsable del fichero de adoptar las medidas técnicas y organizativas para garantizar la seguridad de los datos. El problema estriba aquí en que hasta hace escasamente una semana se desconocía dicha vulnerabilidad en la tecnología "Open SSL". Por lo tanto, dicha tecnología era segura en este momento. Suponemos que la Agencia sancionaría en el caso que una empresa conociendo dicha vulnerabilidad persistiera en la utilización de dicha tecnología, cuando se ha demostrado su ineficacia a la hora de proteger la información.
En cualquier caso, y a titulo de usuario sería recomendable que las empresas que sufran una vulneración de seguridad la comuniquen a los usuarios para que éstos puedan tomar las medidas oportunas en relación a sus datos.
