Nuestra Ley de Propiedad Intelectual expresa claramente que, respecto de una obra protegida por derechos de propiedad intelectual, cualquier transformación que implique su traducción, adaptación u otra modificación requiere la autorización del autor o del titular de derechos, si estos se hubiesen cedido. El autor es la única persona habilitada para autorizar estas transformaciones de su creación, con o sin ánimo de lucro.
Las vulneraciones sobre los derechos de propiedad intelectual pueden ser perseguidas por los titulares de tales derechos o por entidades de gestión legalmente constituidas, y dicha persecución puede realizarse por la vía penal y por la vía civil. La primera requiere la concurrencia de ánimo de lucro y de perjuicio de terceros, pero la vía civil no exige demostrar la causación de un daño o el fin lucrativo del infractor, sino únicamente la existencia de la infracción.
Por ello, aun cuando la página web en que se publica esa transformación de la obra carezca de ánimo de lucro, y de la misma categoría sean las aportaciones de los usuarios, esta actividad tiene repercusiones jurídicas, y el infractor podría tener que indemnizar a los titulares de los derechos de propiedad intelectual de la obra con una cuantía igual al beneficio que los titulares habrían obtenido de no producirse la utilización ilícita, o al abono correlativo a la autorización, en su caso, y de haberse producido dicha autorización.
Aparte de la responsabilidad en que según la LPI incurre el usuario autor de la subida del archivo subtitulado o del guión traducido, a la luz del artículo 16 de la LSSI se considera infractor (y los titulares de los derechos de propiedad intelectual tienen acción contra él), al administrador de la web (como “prestador de servicios de alojamiento o almacenamiento de datos”) si se prueba que tuvo conocimiento de que lo subido a la página web era un contenido ilícito o lesivo de derechos de terceros, a no ser que éste pruebe que no tenía conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o que actuó con diligencia para retirar los datos o impedir el acceso a ellos, es decir, prevenir el daño a los derechos del autor. No en vano expresa el artículo 1902 del Código Civil: “el que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado”. Según el artículo 16 de la LSSI se entenderá que el prestador tiene ese conocimiento efectivo “cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución”.
Mientras no exista un mecanismo adecuado y cómodo para que los autores permitan a los usuarios este tipo de modificaciones altruistas, sin ánimo de lucro, con un efecto divulgativo de su obra y puestas a disposición del público, y no únicamente para uso privado del usuario que las realiza, cualquier transformación de este tipo requerirá la autorización de todos los titulares de derechos de propiedad intelectual de la obra de que se trate.
María Teresa Nevado
Áudea Seguridad de la Información
www.audea.com
Se ha comunicado la existencia de una vulnerabilidad crítica en el navegador Internet Explorer. Esta vulnerabilidad podría permitir a un atacante la ejecución de código arbitrario. EL requisito de explotación es que el usuario visite una página maliciosa especialmente diseñada por el atacante, además de pulsar el botón F1. La página web del atacante incitará al usuario a pulsar esta tecla para abrir la “ayuda”.
El problema está en un parámetro de la función Msgbox, modificable por una ruta de un archivo en formato hlp , de tal forma que dicho archivo se ejecutará tras pulsar la tecla F1. Seguidamente, se podría portar un archivo dll, obteniendo un archivo ejecutable.
La vulnerabilidad no afecta a sistemas operativos Windows Vista y superiores (Windows 7, Windows Server 2008 y Windows Server 2008 R2).
El resto de sistemas que ejecuten Internet Explorer 6, 7 u 8 están afectados por esta vulnerabilidad.
José Francisco Lendínez.
Áudea seguridad de la Información
www.audea.com
En una conferencia sobre seguridad en Internet, Robert Mueller, director del FBI, afirmó que grupos activistas como Al Qaeda no sólo han usado la Red para reclutar a sus miembros y planificar atentados, sino que también ven la Red como un objetivo de ataque.
“Los terroristas han mostrado un interés claro por las capacidades del ‘hacking’ y, o bien entrenarán a sus propios reclutas, o contratarán a otros de fuera con la vista puesta en combinar atentados físicos con ‘ciberataques’”, dijo Mueller. Añadió que un ‘ciberataque’ podía tener el mismo impacto que una “bomba bien colocada”.
Mueller afirmó que algunos gobiernos extranjeros, que no identificó, también suponían una amenaza al intentar espiar a través de Internet. “’Hackers’ nacionales o mercenarios bajo contrato, además de delincuentes internacionales, tienen como objetivo las redes de los gobiernos. Buscan nuestra tecnología, nuestra inteligencia, nuestra propiedad intelectual, incluso nuestras armas y estrategias militares”, añadió.
Los comentarios llegan tras varios incidentes internacionales de seguridad en Internet: en enero Google anunció la detección de un sofisticado ataque ‘online’ contra sus sistemas originado en China, y que habría atacado al menos a otras veinte compañías. Uno de los principales objetivos de los ataques fue, según Google, acceder a las cuentas de correo electrónico de activistas chinos de derechos humanos. Y la pasada semana la policía española detuvo a tres hombres acusados de orquestar uno de los mayores delitos informáticos hasta la fecha, en el que unos 13 millones de ordenadores personales fueron infectados por un virus que robaba, entre otros datos, claves de tarjetas de crédito.
Mueller dijo que era esencial la cooperación internacional para combatir los delitos ‘online’, como la llamada operación Mariposa en España. Añadió que el FBI tiene 60 oficiales en todo el mundo, además de agentes especiales, colaborando con las policías de países como Rumania, Estonia y Holanda.
Instó a las empresas que hayan sido objeto de ‘ciberataques’ a denunciarlos para ayudar a encontrar a los autores, minimizar el daño a sus negocios, salvaguardar su privacidad y sus datos; añadiendo que “donde sea necesario buscaremos órdenes de protección para preservar secretos comerciales y la confidencialidad empresarial”.
Fuente: www.elmundo.es
El Tribunal de Justicia de la UE ha comenzado este jueves a examinar si el canon aplicado en España a todos los equipos de reproducción digital -el llamado “canon digital”- como compensación a los creadores por la copia privada es o no compatible con el derecho europeo.
Los jueces El Tribunal comunitario ha celebrado en Luxemburgo la vista oral en un litigio que tramita la Audiencia Provincial de Barcelona y que enfrenta a la Sociedad General de Autores y Editores (SGAE) y a la empresa Padawan SL, que comercializa CD-Rs, CD-RWs, DVD-Rs y aparatos reproductores MP3.
La SGAE interpuso una demanda contra dicha empresa reclamándole el pago del canon por copia privada correspondiente a los aparatos comercializados por Padawan entre septiembre de 2002 y septiembre de 2004, según recuerdan fuentes jurídicas.
En el marco de dicho litigio, Padawan alegó que la aplicación del canon por copia privada a estos soportes digitales, de forma indiscriminada y sin distinguir la finalidad a la que van destinados (uso privado u otra actividad profesional o empresarial), violaba la directiva europea 2001/29.
El caso fue juzgado en primera instancia y fue aceptada íntegramente la reclamación de la SGAE. La empresa fue condenada al pago de 16.759,25 euros, más los correspondientes intereses.
Padawan recurrió la sentencia ante la Audiencia Provincial de Barcelona, instancia que ha presentado ante el Tribunal europeo de Luxemburgo un recurso prejudicial en el que plantea una serie de cuestiones relativas a la interpretación de esa directiva.
¿Contrario a un directiva europea?
La norma en cuestión, la directiva 2001/29/CE relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines en la sociedad de la información, estipula que, en principio, el derecho exclusivo a autorizar o prohibir la reproducción de las obras corresponde a los titulares de derechos de propiedad intelectual (autores, artistas o intérpretes).
Prevé, sin embargo, que los Estados miembros pueden permitir, sin que medie autorización del titular del derecho de propiedad intelectual correspondiente, las reproducciones de obras efectuadas por una persona física para su uso privado, siempre que los titulares de los derechos de propiedad intelectual reciban una “compensación equitativa”.
La legislación española permite que las obras ya divulgadas puedan reproducirse para uso privado del copista, sin autorización del autor.
A través del cobro de un canon, la normativa española instaura el pago de una compensación económica a favor de los titulares de los derechos por la reproducción realizada exclusivamente para uso privado.
El canon digital español
El canon grava la adquisición de equipos o aparatos de reproducción de libros, así como de equipos o aparatos de reproducción de fonogramas y videogramas, y de materiales de reproducción sonora, visual o audiovisual.
El canon se aplica a los fabricantes e importadores de estos equipos y materiales, así como a los “distribuidores, mayoristas y minoristas, sucesivos adquirentes de dichos productos”, y se hace efectivo a través de las entidades de gestión de derechos de propiedad intelectual.
En el caso de los aparatos y sobre todo materiales de reproducción digital, como son los CD y DVD grabables, así como los lápices de memoria USB, el canon se aplica sin hacer distinción de si el destino del producto es para llevar a cabo copias privadas o para otros distintos, como puede ser el almacenamiento de datos e información generada por un profesional o una empresa.
Clarificación de “compensación equitativa”
La Audiencia de Barcelona solicita a los jueces europeos que clarifiquen el concepto de “compensación equitativa” y diluciden si el sistema adoptado por España y consistente en aplicar el canon a todos los equipos, aparatos y materiales de reproducción digital de forma indiscriminada contraría la directiva 2001/29/CE.
También desea saber si la aplicación indiscriminada del referido “canon” a empresas y profesionales que claramente adquieren los aparatos y soportes de reproducción digital para finalidades ajenas a la copia privada es conforme al concepto de “compensación equitativa”.
Fuente: www.20minutos.es
Peter Hustinx, supervisor de la Protección de Datos de la UE ha mostrado recientemente su preocupación respecto a los planes que la UE tiene para combatir la piratería por Internet. Según se ha sabido tras la filtración de unos documentos, el ejecutivo europeo se encuentra en negociaciones secretas con Estados Unidos y otros países como Canadá, México, Australia, Nueva Zelanda, Corea del Sur, Singapur, Jordán, Marruecos y los Emiratos Árabes Unidos en lo que se llama Acuerdo Comercial contra la Falsificación de la Propiedad Intelectual o ACTA.
Este documento abre la puerta a la aplicación en toda la Unión de la ‘Ley de los tres avisos’ francesa por la que se permite restringir el acceso a Internet a los usuarios que hayan sido acusados de piratear archivos tras dos avisos previos.
Hustinx, supervisor de la Protección de Datos de la UE lamenta que no haya sido consultado por la Comisión Europea sobre el contenido del acuerdo y denuncia el hecho de que el ACTA involucraría el intercambio de los datos personales de los ciudadanos europeos entre autoridades y organizaciones internacionales sin antes haber creado herramientas para salvaguardar la privacidad de esa información. Así el supervisor argumenta que “aunque la propiedad intelectual es importante para la sociedad, y merece ser protegida, nunca se le debe dar mayor valor que los derechos fundamentales de los individuos en lo que se refiere a la privacidad y protección de sus datos”.
Fuente: www.elmundo.es
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través de su Observatorio de la Seguridad de la Información y en colaboración la Universidad Politécnica de Madrid ha publicado una serie de 12 guías de ayuda para que los usuarios de redes sociales sepan como configurar adecuadamente la privacidad y mantener la seguridad de sus perfiles en las redes sociales más utilizadas por los internautas. Es de destacar que esta elogiable iniciativa de INTECO no se ciñe exclusivamente a las redes sociales de ocio, sino que también se ha preocupado de las redes sociales con fines profesionales.
En concreto, están ya disponibles para su descarga las siguientes guías:
Las guías publicadas se centran en los tres aspectos de los que se dervian mayores riesgos para los usuarios de las redes sociales: el alta de usuario, la participación activa en la red y la baja como usuario de la red.
Áudea Seguridad de la Información
www.audea.com
Este último semestre del año ha visto como nacía, con la participación de todas las Administraciones Públicas, el primer borrador del Esquema Nacional de Seguridad (en adelante, ENS). Lo ha hecho en forma de proyecto de Real Decreto, que será aprobado probablemente durante 2010, y cuya entrada en vigor supondrá la aparición definitiva de una normativa de obligatorio cumplimiento para todas las Administraciones Públicas en el ámbito de la Seguridad de la Información.
El Real Decreto nacerá para dar respuesta al artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, mediante el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información. Cabe destacar que el ENS está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.
Respecto a su contenido, en el fondo no plantea novedades sustanciales, ya que su elaboración se ha realizado atendiendo a normativa nacional (Administración Electrónica, Protección de Datos de Carácter Personal, Firma Electrónica, Centro Criptológico Nacional, Sociedad de la Información), así como a la regulación de diferentes Instrumentos y Servicios de la Administración, las Directrices y Guías de la OCDE y disposiciones nacionales e internacionales sobre normalización.
Uno de los puntos más destacados del ENS es que obliga a abordar la seguridad de la información de una manera integral, en detrimento de acciones puntuales o coyunturales. Esta idea, defendida por otros estándares, como el ampliamente conocido y extendido ISO/IEC 27001, debe ser la base del cumplimiento del ENS. Tal y como podrá observar el lector conocedor de la materia, veremos durante este artículo bastantes similitudes entre este esquema y los empleados para implantar Sistemas de Gestión de Seguridad de la Información (SGSI) basados en las normas ISO/IEC 27001 e ISO/IEC 27002. Otro aspecto importante que introduce el ENS desde el punto de vista organizativo y que seguro planteará diversas dudas y discusiones en la Administraciones, será la necesidad de diferenciar las funciones “responsable del servicio” y “responsable de seguridad”, así como la formalización de un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, que será aprobado por el responsable del servicio.
El ENS está formado por cinco principios básicos:
- Seguridad Integral: La seguridad deberá tratarse como un proceso, teniendo en cuenta los recursos técnicos, humanos y organizativos, y donde se deberá hacer hincapié en la importancia de la concienciación de todos los intervinientes, tanto usuarios como responsables a todos los niveles.
- Gestión de Riesgos: El Análisis y Gestión de los Riesgos como tarea principal para el control de los mismos a través de la implantación de medidas eficaces y acordes a la naturaleza de los datos y los riesgos a los estén expuestos.
- Prevención, reacción y recuperación: Las medidas seleccionadas para tratar los riesgos, deben basarse en una combinación de medidas preventivas, detectivas y correctivas que disminuyan la posibilidad de que se materialicen las amenazas y/o minimicen los impactos una vez acontecido un incidente. Las medidas de recuperación estarán orientadas a la restauración de los servicios y la información asociada.
- Líneas de defensa: Las medidas de seguridad deben ser de naturaleza organizativa, física y lógica, lo que permitirá reforzar la seguridad para proteger cada activo.
- Reevaluación periódica: Será obligatoria la revisión de las medidas de seguridad implantadas así como su eficacia al menos con carácter bianual. Dicha revisión deberá incluir la evaluación de los riesgos.
- Función diferenciada: Se deberá garantizar la diferenciación entre el responsable del servicio y la responsabilidad de garantizar la seguridad de los sistemas de información, debiendo pertenecer a instancias separadas.
Implantación del ENS (Ciclo de Mejora Continua)
Lo primero que toda Administración deberá realizar, será la redacción de una Política de Seguridad (aprobada por el titular del órgano superior correspondiente) que contenga los cinco principios básicos, así como el compromiso de abordar la seguridad mediante al menos los siguientes requisitos mínimos:
- Organización e implantación del proceso de seguridad
- Análisis y gestión de los riesgos
- Gestión de personal
- Profesionalidad
- Autorización y control de los accesos
- Protección de las instalaciones
- Adquisición de productos
- Seguridad por defecto
- Integridad y actualización del sistema
- Protección de la información almacenada y en tránsito
- Prevención ante otros sistemas de información interconectados
- Registro de actividad
- Incidentes de seguridad
- Continuidad de la actividad
- Mejora continua del proceso de seguridad
Asimismo, cada Administración deberá justificar la aplicación o no de dichas medidas, en función de los riesgos detectados en la fase de análisis de riesgos posterior.
A continuación se deberá clasificar la información contenida en los distintos procesos administrativos, lo que permitirá establecer los criterios de clasificación y tratamiento adecuados. La clasificación de la información administrativa según el esquema es la siguiente:
- Información de Nivel Alto: Cuando el perjuicio causado sea muy grave o catastrófico.
- Información de Nivel Medio: Cuando el perjuicio ocasionado sea grave.
- Información de No Divulgable: En esta categoría se encuentra la información que no es clasificada, de nivel alto y medio, pero que tiene limitada su publicidad por disposición legal.
- Información Pública: Información transparente para todas las partes interesadas. Constituida por toda la información que no sea clasificada, dato de carácter personal o información administrativa,
A la información de carácter personal le será de aplicación, además de los requisitos según la legislación vigente, aquellos mínimos establecidos por el ENS según su clasificación administrativa.
El siguiente paso consistirá en la elaboración de un Análisis de Riesgos, teniendo en cuenta que se deberá emplear alguna metodología reconocida internacionalmente. Aunque dicha metodología en principio queda abierta, se puede comprobar que es claro el alineamiento de las medidas de seguridad (incluidas en el Anexo II) y de las dimensiones de seguridad aplicables, con las Metodologías MAGERIT / UNE 71504:2008, lo que hará que esta metodología ampliamente utilizada en la Administración Pública sea la seleccionada por la mayoría para el cumplimiento de este esquema.
Una vez evaluados los riesgos, se deberán seleccionar las medidas que los mitiguen de forma proporcionada. Para cada riesgo detectado se actuará de la siguiente forma:
- Se identificará el/los tipos de activos presentes.
- Se identificará la información manejada, su tipo y nivel.
- Se determinarán las dimensiones de seguridad relevantes (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad), según el Anexo I del ENS.
- Se determinará el nivel correspondiente a cada dimensión de seguridad según el Anexo I del ENS.
- Se determinará la categoría del sistema, como el máximo nivel de sus dimensiones de seguridad aplicables.
- Finalmente, se seleccionarán las medidas de seguridad apropiadas, según el Anexo II del ENS, que contiene el conjunto de medidas aplicables según las categorías afectadas y los niveles de seguridad de cada dimensión.
- La relación de las medidas seleccionadas se formalizará en un documento denominado “Declaración de Aplicabilidad”, que deberá ser firmado por el Responsable de Seguridad.
Las medidas de seguridad incluidas en el Anexo II del ENS están organizadas en tres grupos principales, donde cada una puede a su vez estar dividida en otras medidas más específicas:
Una vez justificadas y aplicadas las medidas de seguridad según el resultado de la evaluación de riesgos, se deberá auditar la seguridad de los sistemas de información, al menos cada dos años y comprobando los siguientes aspectos:
- Existencia de un Responsable de Seguridad con autoridad.
- Realización del Análisis de Riesgos, con su correspondiente revisión al menos anual.
- Cumplimiento de las medidas de seguridad recogidas en el Anexo II, según la Declaración de Aplicabilidad
- La existencia de un SGSI documentado y aprobado por la Dirección
La auditoría se realizará atendiendo a la categoría de cada sistema de información:
- Categoría BÁSICA: Será suficiente una autoevaluación propia o de terceros
- Categoría MEDIA o ALTA: Será necesaria la realización de una auditoría formal sobre los controles previstos en el ENS, identificando las deficiencias y proponiendo medias correctoras o complementarias necesarias. Las conclusiones del informe deberán estar basadas en hechos, datos y observaciones que deberán quedar debidamente documentados en el informe.
No cabe duda que este Real Decreto debe suponer el impulso definitivo para que las Administraciones Públicas, y por extensión Organizaciones tanto públicas como privadas, se tomen en serio la seguridad y la protección de la información, en una sociedad cada vez más dependiente de ésta y de los sistemas de información que la soportan. Es por ello que el éxito del ENS dependerá en gran parte de la exigencia y rigor que la propia Administración sea capaz de imponerse.
Antonio Martínez
Responsable Seguridad Tic
Áudea Seguridad de la Información
www.audea.com
En vista de las recientes noticias sobre las comparecencias ante la Subcomisión de Propiedad Intelectual del Congreso de representantes del sector tecnológico, de los consumidores, expertos en Internet o en protección de datos, solicitando el fin del “canon digital” y la limitación del papel de las entidades de gestión de derechos de autor, y ante la proliferación de comentarios y encuestas en la Web en que se pregunta, por ejemplo, si hay que eliminar “el impuesto del canon” o si éste debería gravar “sólo originales y no soportes físicos”, es preciso aclarar, en aras del interés de los ciudadanos, esta cierta confusión en el planteamiento de qué es el “canon digital” o compensación equitativa por copia privada, como llama a esta figura el artículo 25 de la Ley de Propiedad Intelectual.
Aún falta tiempo para que desaparezca la necesidad del usuario de hacer copias para su uso privado. Hasta entonces, los usuarios seguirán haciendo copias privadas de los contenidos adquiridos para reproducirlos en dispositivos cuyo empleo es más cómodo (por tamaño, características técnicas, etc.) pero que no tienen modo de albergarlos y reproducirlos si no es mediante una copia (por limitaciones del hardware básicamente).
El trabajo ajeno no es gratuito: el esfuerzo creativo del artista y la labor de quienes ponen esa creación a nuestra disposición han de recibir su justa contraprestación, que se traduce en una compensación en caso de adquirirse la obra por medios distintos de los fijados por el autor (en la mayoría de casos la compraventa de copias originales). Por otro lado, las obras sujetas a licencias de contenido abierto y/o libre también requieren una compensación, si no económica, sí de divulgación de la obra bajo su nombre y con otros requisitos.
No obstante, esta compensación ha de ser definida apropiadamente y teniendo en cuenta los estrictos fines para los que fue ideada la figura, su esencia. El sistema de la compensación equitativa por copia privada, generalizado en Europa, existe en España desde 1987; el problema nace de la actual redacción del artículo 25 de la Ley de Propiedad Intelectual y la orden ministerial que lo desarrolló en junio de 2008 y ahora prorrogada (Orden PRE/1743/2008, de 18 de junio). Su regulación actual desvirtúa el concepto que se trata de proteger, la compensación económica al autor por su esfuerzo creativo y el incentivo a la creación, para convertirlo en una suerte de “permiso de copias privadas”, y que grava con precios exagerados e injustificados determinados dispositivos: por ejemplo, la impresora de 70 ó más copias por minuto, para la que se prevé una compensación de 227,00 euros por unidad. Ese tipo de dispositivos no se adquiere para hacer una simple copia privada.
Estado y usuarios no han de esperar al “fin de la copia” para que se configure una legislación sobre Propiedad Intelectual apropiada para todos los ciudadanos (y no sólo “beneficiosa para unos”). Ya existen en nuestro ordenamiento jurídico instrumentos adecuados para proteger de manera óptima los derechos de propiedad intelectual en nuestro sistema jurídico; lo absolutamente injustificado e inconstitucional es crear una ley o modificar las existentes para favorecer un derecho privado por encima de los de la mayoría, como haría la Disposición Final Primera de la Ley de Economía Sostenible, de aprobarse ésta en la actual redacción de su anteproyecto.
María Teresa Nevado
Áudea Seguridad de la Información
www.audea.com
La seguridad informática está alcanzando tales cotas de importancia que ya hay algunas empresas que se han apuntado a la corriente que inició Mozilla, los creadores del famoso navegador Firefox, de recompensar económicamente a aquellas personas que les comuniquen debilidades de seguridad de su producto. La cantidad que paga Mozilla es de 500 dólares y una camiseta cuando se trata de vulnerabilidades desconocidas y que no sean causadas por aplicaciones de terceros.
Por su parte, Google parece que también lo ha entendido como una buena idea, ya que para su proyecto de sistema operativo Chromium también ofrece recompensas para aquellos usuarios que reporten deficiencias de seguridad en el software. Si bien la cantidad inicial que pagaría Google sería también de 500 dólares inicialmente, este importe se puede ver aumentado hasta los 1.337 dólares. Esta cifra no está elegida por casualidad, sino que es un claro guiño a la comunidad hacker, ya es una forma de hacer referencia a leet (élite).
Desde el ataque dirigido a Google desde China, y la recomendación de las autoridades de Francia y Alemania de no utilizar el navegador de Microsoft Internet Explorer, parece que los fabricantes no quieren dejar de contar con la inestimable colaboración de la comunidad de usuarios y desarrolladores. Esta colaboración sin duda ayudará a Google y a Mozilla a estar en mejores condiciones de evitar que les ocurra lo mismo que a Microsoft respecto a su navegador Internet Explorer.
Manuel Díaz
Áudea Seguridad de la Información
www.audea.com
Hace pocos años gestionábamos una cuenta de correo que pedía una contraseña, la cual podíamos cambiar las veces que se quisiera. Hoy, la cantidad de servicios en Red que piden un acceso seguro a través de contraseña pueden contarse por decenas: varias cuentas de correo electrónico, blogs, foros, redes sociales, cuentas bancarias, viajes, comercios…
Lo seguro es tratar de no repetir contraseñas, debido especialmente a que cada sitio web puede tener diferentes niveles de vulnerabilidad de cara a que éstas sean hechas públicas y también por el simple hecho de la peligrosidad que existe en tener una llave que abra todas las puertas.
Por eso, la pregunta de varios expertos es cómo llegar a la contraseña perfecta. Hay varias opciones, según puede leerse en Livescience: un inicio de sesión universal para todos los servicios que empleemos, el uso del teléfono móvil para acceder a estos, passwords basados en características físicas de su dueño, tales como patrones del iris del ojo o la voz.
Para ser eficaz, hoy en día se nos piden dos cosas principalmente: por un lado, contraseñas que mezclen todo tipo de caracteres, y por otro, que esa clave sea modificada cada poco tiempo. De igual manera, se suelen estudiar las contraseñas más empleadas, a la vez que se ofrecen recomendaciones y generadores de éstas, para los menos creativos. El problema es que lo que nos hace más fuertes (contraseñas distintas para cada servicio) también se vuelve nuestro punto débil (recordarlas todas puede llegar a ser imposible).
Un único inicio de sesión
Alrededor de nueve millones de sitios web aceptan ya un inicio de sesión único llamado OpenID. Este tipo de acceso descentralizado es apoyado desde grandes de Internet como Google, Yahoo! y la red social Facebook.
“El usuario se autentica con un sólo proveedor, evitando la dispersión actual en Internet”, explica Brian Kissel, CEO de JanRain y presidente de la Fundación OpenID.
Existen críticos con este tipo de inicio de sesión, que argumentan que si un sitio es más vulnerable a un ataque puede provocar que la contraseña ‘universal’ caiga en manos de otras personas.
Con el teléfono móvil
Bob Bakley, del grupo de investigación Burton, ve el futuro de las contraseñas muy cerca de los móviles. Piensa que el inicio de sesión único se hará a través del teléfono móvil.
“Los móviles podrían actuar como claves para entrar en nuestro ordenador y a los servicios a los que nos conectemos, sin necesidad de otras contraseñas adicionales”, explicaba Bakley a TechNewsDaily recientemente, a la vez que añadía que el mismo dispositivo móvil detectaría si alguien ha accedido a nuestra clave.
Contraseñas biométricas
A través de características físicas propias del individuo, tales como rasgos del iris, huellas dactilares, patrones de voz…
Sus promotores la defienden del resto propuestas asegurando que su índice de error no supera el 1% en ningún caso (el reconocimiento de huellas dactilares en un portátil, por ejemplo), algo de lo que se aprovechan sus detractores, quienes argumentan que la identificación biométrica no es nunca una identificación 100% personal. También señalan que las condiciones que rodean (ambientales o de salud) al sujeto puede ofrecer problemas en este campo.
Fuente: www.20minutos.es
