SE ACABARON FACTURAS SORPRESA

A más tardar el 1 de marzo de 2010, todos los proveedores de origen entendiendo como tal una empresa que suministra al cliente itinerante servicios de comunicaciones móviles públicas terrestres al por menor, ya sea a través de su propia red o como operador de red móvil virtual o revendedor, deberán otorgar a todos sus clientes itinerantes la oportunidad de optar voluntaria y gratuitamente por un mecanismo que facilite información sobre el consumo acumulado, expresado en volumen o en la divisa en que se facture a dichos clientes por los servicios itinerantes de datos regulados, y que garantice que, si no media el consentimiento previo del cliente, el gasto acumulado en servicios itinerantes de datos regulados a lo largo de un período establecido no rebase un límite financiero determinado.

A tal efecto, el proveedor de origen pondrá a disposición uno o más límites financieros máximos para períodos determinados de uso, con la condición de que el cliente sea informado previamente de los volúmenes correspondientes. Uno de estos límites (el límite financiero por defecto) será de aproximadamente 50 EUR por período de facturación mensual (sin IVA) y no podrá ser superior a este importe.

Alternativamente, el proveedor de origen podrá establecer límites expresados en volumen, con la condición de que el cliente sea informado previamente de los importes financieros correspondientes. A uno de estos límites (el límite de volumen por defecto) corresponderá un importe financiero de aproximadamente 50 EUR por período de facturación mensual (sin IVA) y no podrá ser superior a este importe.

Además, el proveedor de origen podrá ofrecer a sus clientes itinerantes otros límites de volumen con límites financieros máximos mensuales diferentes, esto es, superiores o inferiores.

A más tardar el 1 de julio de 2010, el límite por defecto mencionado en los párrafos segundo y tercero se aplicará a todos los clientes que no hayan optado por otro límite.

Todos los proveedores de origen velarán también por que se envíe una notificación apropiada al teléfono u otro dispositivo móvil del cliente itinerante, por ejemplo, mediante un mensaje SMS, por correo electrónico o abriendo una ventana emergente en su ordenador, cuando los servicios itinerantes de datos hayan alcanzado el 80 % del límite financiero o de volumen máximo acordado. Los clientes tendrán derecho a exigir a su operador que deje de enviarles dichas notificaciones y a exigir al proveedor de origen, en cualquier momento y con carácter gratuito, que les vuelva a prestar el servicio.

Por lo demás, cuando se rebase este límite financiero o de volumen, se enviará una notificación al teléfono u otro dispositivo móvil del cliente itinerante. Esta notificación indicará el procedimiento que debe seguirse si el cliente desea continuar con la prestación de estos servicios y el coste de cada unidad adicional que se consuma. Si el cliente itinerante no responde tal como se le solicita en la notificación recibida, el proveedor de origen dejará de inmediato de prestar y cargar en cuenta al cliente itinerante los servicios itinerantes de datos regulados, a menos y hasta que este solicite la continuación o renovación de la prestación de dichos servicios.

A partir del 1 de noviembre de 2010, cuando un cliente itinerante solicite acogerse a un mecanismo de límite financiero o de volumen o retirarse del mismo, el cambio se realizará el día hábil siguiente a la recepción de la solicitud, gratuitamente y sin condiciones ni restricciones con respecto a otros elementos del abono.

Todo ello viene detallado en el Reglamento 717/2007 del Parlamento Europeo, relativo a las itinerancias en las redes públicas.

MALWARE EN APLICACIONES LEGÍTIMAS

Esta Semana, he recibido este correo, la verdad, bastante preocupante de confirmarse las noticias que se detallan:

Si allá por el 2005, Mark Russinovich, nos mostro como Sony incluía un Rootkit en sus CDs para tratar de evitar la copia y distribución de contenidos protegidos, que podía ser aprovechado por otro malware para ocultarse en el Sistema Operativo, este mes de Marzo se han destapado varias noticias relacionadas.
Así, desde Hispasec y Security By Default, nos informan como Vodafone ha distribuido junto con el software de su HTC Magic, el troyano empleado por la Bornet Mariposa, el Conficker, el Lineage y otro software para robo de datos bancarios. Por otro lado, nos cuentan también, que los cargadores USB de Energize incluyen un troyano con el que un usuario podría lograr el control de los sistemas afectados, que por cierto, ya es posible explotarlo a través de Metasploit.

Si a esto añadimos otras noticias, como la distribución de malware desde la página Oficial de Firefox, o la "forma" de detectar nuevo malware de los antivirus, hace que el tema del malware este más candente que nunca.

LA LUCHA CONTRA EL SPAM. 2ª PARTE: TIPOS DE PROTECCIÓN

En la primera parte hablábamos sobre los tipos de Spam que existen, ahora en esta segunda abordaremos las soluciones posibles que se pueden implementar para protegernos de este tipo de amenazas. Podemos distinguir cuatro tipos de soluciones o filtros para luchar contra el Spam: filtro de escritorio, filtro de servidor, filtro transparente y filtro appliance.

Filtro de escritorio: Es el más conocido y básico, consiste en la instalación de una aplicación en nuestro ordenador que, habiendo descargado ya el correo, se dedica a separarlo entre “spam” y “no spam”, logrando así archivar el spam para poder eliminarlo todo de vez posteriormente. Muchos packs de antivirus “todo en uno” contienen este tipo de filtros, el problema es que son poco eficaces pues el correo llega a entrar en nuestra máquina y son molestos puesto que esos filtros hay que instalarlos, configurarlos y mantenerlos, además de supervisar que no cometan errores de filtrar algún correo que no sea de spam como tal. Esta opción solo sería razonable en el caso de usuarios particulares en sus domicilios que bajan localmente el correo a sus máquinas y con volúmenes pequeños de correo diario. Hay soluciones gratuitas en este tipo pero como todo lo gratuito no ofrece ningún tipo de garantía.

El filtrado de servidor: También es una solución por software, pero consiste en instalar el filtrado directamente sobre el servidor de correo (si se tiene uno dedicado a ello), de esta forma el servidor recibe todo el correo y antes de distribuirlo en los buzones de los usuarios filtra y separa el spam, lo analiza y lo elimina o lo pone en cuarentena. El problema de este tipo de solución es que carga el servidor de correo con más servicios y que requiere configuración y mantenimiento frecuente.

El filtrado transparente: Consiste en establecer un servidor intermedio para spam entre el servidor de correo externo o interno y la red a la que deben llegar los correos, redirigiendo los registros MX de nuestro domino a ese servidor, de esta forma el spam se quedará en esa máquina y solo se reenviarán los correos válido. El problema de este sistema es que es costosa la implementación y la máquina requerirá también un mantenimiento independiente y supervisión.

El filtrado appliance: Es el más utilizado por las empresas actualmente, y consiste en establecer un dispositivo en la red físicamente. Este sistema permite filtrar todo el correo con unas sencillas directivas que una vez configuradas requieren poco mantenimiento. Además permite añadir otras funciones muy útiles orientadas a la seguridad de las redes como Antivirus, Anti-malware, prevención de intrusiones, restricciones de navegación Web, control de aplicaciones (Messenger, emule, etc…) y firewall.

De este último tipo, en Megastar S.L., nos decantamos por las soluciones de Netgear Prosecure, dependiendo del número de usuarios se pondrá un modelo u otro adaptándola al tipo de empresa y a sus necesidades; por ejemplo, UTM 10 y UTM 25 permiten además de lo antes mencionado, 10 VPNs IPSec (redes privadas virtuales) que nos permiten trabajar desde distintas ubicaciones físicas como si estuviéramos en la misma red local, con un cliente instalado en el equipo que se quiere conectar, y 5 SSL, que funcionan igual pero mediante navegación web sin instalar nada en el equipo, aunque por supuesto con usuario y contraseña y con seguridad cifrada.

El UTM 10 está diseñado para redes de unos 10-15 usuarios máximo y el UTM 25 hasta 25-30 usuarios. Luego estaría la serie STM para empresas más grandes que pueden llegar a gestionar desde 150 hasta 600 puestos máximo, según el modelo que se instale. Aunque los STM no incluyen Firewall y habría que instalarlo aparte si se desea. Para soluciones de este tamaño, también confiamos en ASTARO.

SIEMPRE CON COPIA OCULTA (CCO), POR FAVOR.

La Agencia Española de Protección de Datos (en adelante la AEPD) ha resuelto sobre si el envío de un correo electrónico a 42 destinatarios distintos, incluyendo las direcciones de e-mail en el campo “Con Copia (CC)” dejando, por tanto, visibles a todos los destinatarios las direcciones de correo electrónico de los receptores, es o no sancionable.

A juicio de la AEPD, ha supuesto una vulneración del deber de sigilo, pues no debería haber dado a conocer las direcciones de correo electrónico al resto de destinatarios; es decir, debería haber utilizado la opción “Con Copia Oculta” (CCO).

Sin embargo, la sancionada alegó contra la denuncia formulada que la dirección de correo electrónico de la denunciante puede ser encontrada en Internet en diferentes páginas, y que por tanto no ha vulnerado ningún secreto pues ella misma publica su dirección electrónica en Internet.

¿Cómo resuelve la AEPD esta cuestión? y además ¿la dirección de correo electrónico es un dato personal? y si los datos fueron obtenidos de Internet ¿son de acceso público y podemos tratarlos como queramos?. La respuesta es no.

La Agencia Española de Protección de Datos ya en el año 1999, emitió un informe jurídico sobre si la dirección de correo electrónico encajaba o no como un dato personal, diferenciando entre dos clases de direcciones las de minombre.apellido@megastar.com y las de sin.ningun.sentido@hotmail.com, y deja claro que en cualquiera de los dos casos es posible identificar a la persona que se encuentra detrás de una dirección email.

En el primer caso, no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal. En el segundo caso la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio.


Queda patente en ambos casos, que la dirección de correo electrónico es un dato personal; ahora queda por resolver la cuestión relativa a que la dirección se encuentra en varias páginas de Internet. En principio podríamos pensar que por el hecho de estar la dirección en Internet podemos hacer lo que queramos con ella: pues no.

La AEPD establece como la alegación de la denunciada, de que no puede ser merecedora de reproche administrativo alguno su conducta al revelar, por error, la dirección de correo electrónico del denunciante en Internet porque ésta ya estaba incluida por el propio denunciante en dicho medio, debe ser rechazada.

La inclusión voluntaria de dicha dirección de correo electrónico por aquél para la comercialización de los productos reseñados anteriormente no legitima la utilización de la misma por terceros para fines distintos de los expresamente señalados por el denunciante en cualquiera de las páginas en las que éste hubiera reflejado su dirección de correo electrónico, pues sólo el denunciante, como titular de sus datos personales, más concretamente, en este caso, de su dirección de correo electrónico, está legitimado, en los términos y con las excepciones establecidas en la LOPD, para decidir sobre el destino y uso de sus datos personales.

La LOPD califica la vulneración del deber de secreto como infracción leve o grave, dependiendo del contenido de la información facilitada al tercero sin consentimiento de su titular. El artículo 44.3.g) de dicha Ley califica como grave “La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”. Dicha infracción aparece tipificada como leve en el artículo 44.2.e) de la LOPD, que considera como tal “Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.”

En el caso que se examina, efectivamente la dirección de correo electrónico del denunciante constaba en varias páginas de Internet, pero, como ya se ha señalado, a los fines expresamente indicados en las mismas. La publicación en Internet de una dirección de correo electrónico por su titular no la convierte en un dato que pueda ser utilizado sin límite alguno por parte del responsable del fichero en el que se encuentren incluida.

De acuerdo con lo expuesto, en el presente caso, la difusión de la dirección de correo electrónico del denunciante, sin su consentimiento, es subsumible en el tipo de infracción calificada como leve, al no poder deducirse de los datos difundidos a terceros una evaluación de la personalidad del denunciante. Por ello, se considera que la denunciada. ha incurrido en la infracción leve tipificada en el artículo 44.2.e) de la LOPD.

La Agencia lo deja muy claro aunque la dirección aparezca en Internet, si no tenemos consentimiento del interesado no podremos utilizarla para ningún tipo de comunicación. ¡Ojo con no utilizar las Con Copia Oculta (CCO)!

Para mayor información la resolución de la AEPD está disponible, en su pagina Web, siendo la R/00874/2006.