Noticias y Novedades

A QUÉ SE PUEDE ENFRENTAR CEDRO DESPUÉS DEL HACKEO

La Nueve, grupo vinculado a Anonymous, reivindicó el hackeo de la base de datos de CEDRO (Centro Español de Derechos Reprográficos) por el Día Internacional de la Propiedad Intelectual, el pasado 26 de abril. Con este acceso no autorizado a la base de datos de la entidad encargada de la gestión de los derechos de propiedad intelectual de libros, revistas y prensa que se atribuye La Nueve, el grupo hacker quiso protestar contra el canon.
El anuncio del ataque informático iba acompañado de este tuit: “Con la pasta que robáis mediante el canon ya podríais destinar unos céntimos a mejorar la seguridad”.
La Nueve reivindicó el ‘hackeo’ contra CEDRO para protestar por el canon
La Nueve explica con detalle a merca2, en qué se basa para considerar insuficientes las medidas de seguridad adoptadas por CEDRO. “CEDRO ya tenía vulnerabilidades importantes en 2014, lo que le llevó a renovar su web”, explican como antecedente. “Sin embargo dejó todo su sistema de contactos y comunicaciones en un subdominio sin apenas seguridad”. Crónica de una intrusión en una base de datos Continúan relatando que se trataba de una aplicación “montada sobre asp.net en un servidor Apache. Asp.net es un framework, es decir, una infraestructura de programación de software utilizada, según menciona asp.net en su propia página, para construir aplicaciones y servicios usando tecnologías .NET.
El grupo de ‘hackers’ asegura que CEDRO “dejó su sistema de contactos en un subdominio sin apenas seguridad”
A la aplicación “programada en Java se podía acceder sin demasiados problemas” debido a que “todos sus usuarios y administradores incumplían las más elementales normas de protección con contraseñas”. Además, estas contraseñas se hallaban “almacenadas en texto plano, sin cifrar”. También denuncian una falta de control cotidiano: “Si hubieran estado atentas a revisar los logs de acceso a esa aplicación que contenía los datos de 75.000 usuarias/os habrían descubierto el acceso al sistema de IP’s claramente anónimas con usuarias/os legítimas/os de la aplicación”.
Las contraseñas se hallaban almacenadas en “texto plano, sin cifrar”
La Nueve asegura que este problema al que se refieren no es nuevo y ya avisaron del mismo en 2014, pues “exponían datos sensibles”. Afirman que CEDRO corrigió “ese error cuando publicamos la vulnerabilidad”, si bien “mantuvieron la aplicación en Java”. El grupo que se considera hacktivista, profundizando en esta última vulnerabilidad, manifiesta que entonces “tenían passwords en formato user=password, es decir, que la contraseña era exactamente igual al nombre de usuario. “Desde la aplicación mencionada”, prosiguen, “se accedía a todos los datos privados de asociaciones y socios de CEDRO permitiendo el envío masivo de mensajes y archivos” así como “volcarlos a distintos formatos”.
Antes de alertar de la vulnerabilidad en 2014 los ‘hacktivistas’ aseguran que en CEDRO había contraseñas que eran exactamente igual que el nombre de usuario
Merca2 contactó con CEDRO para recabar su versión de los hechos, mencionando específicamente el fin y la urgencia de contrastar la versión de La Nueve. No ha habido respuesta por parte de la entidad de gestión de derechos de autor.
"CEDRO hackeo Anonymous protesta"
Imagen de una protesta de partidarios de Anonymous en Los Ángeles en 2008. /Michael Pattinson (Wikimedia).
Cómo se distribuyen las culpas a partir de ahora No son necesarias grandes nociones en Derecho para saber que la irrupción sin autorización previa en bases de datos ajenas está castigada en el Código Penal. Sin embargo, si el debate se ciñe solamente a la culpabilidad o no culpabilidad de La Nueve o qué grado de la misma corresponde atribuir al grupo hacktivista se podría perder una perspectiva considerablemente más amplia.
No se puede dejar de preguntar por la responsabilidad que le compete a la empresa, organismo público o asociación cuyas bases de datos caen en manos extrañas
Cabe preguntarse por la responsabilidad que le compete a la empresa, organismo público o asociación cuyas bases de datos caen en manos extrañas por no haber dispuesto las medidas de seguridad necesarias. Samuel Parra, investigador jurídico en ePrivacidad, explica a merca2 que la obligación que tienen las empresas de proteger los datos es “una obligación de resultado”. Con esto quiere decir que “hagas lo que tengas que hacer, pon las medidas que quieras, pero el resultado ha de ser que no te hackeen”.
La obligación que tienen las empresas de proteger los datos es una obligación de resultado
“La legislación parece que persigue un cien por cien de efectividad en materia de seguridad informática”, resume Parra. La cuestión es que, como sabe o al menos intuye cualquiera, la seguridad informática total no existe. No todo es tan draconiano, a pesar de todo. “Esa normativa que impone toda la acción en el resultado también dice”, que pueden existir excepciones. “Si tengo medidas de seguridad bien instaladas”, ejemplifica Parra, “pero llega un ladrón con una ametralladora, me apunta y se lleva un pendrive, no se podría decir que yo no he puesto las medidas de seguridad”.
Esa normativa que constituye una obligación de resultado no es tan draconiana en todos los casos
Preguntado por el caso del hackeo a CEDRO, el investigador jurídico, aunque prudente cuando dice que “habría que ver cómo han entrado” en las bases de datos también se atrevió a aventurar que “seguro que ha sido por un exploit o alguna tontería similar”. “Si es así, en este caso la responsabilidad va a caer sobre ellos [CEDRO] seguro”, estima Parra. De ser finalmente de esta manera, continúa explicando, la Agencia Española de Protección de Datos “los sancionarían o apercibirían”.
Si la entrada en la base de datos se ha producido por un ‘exploit’ o similar la responsabilidad puede caer sobre la empresa, asegura un experto
Reitera que “hay que estar al tanto del caso concreto” ya que no solo es importante cómo se produjo la intrusión sino “qué hizo la empresa antes y después del hackeo para evitar las intrusiones”. Fuente: merca2