aedel

Sitel y la Agencia de Protección de Datos

Hemos cambiado de año y de decenio, y desde este pequeño lugar en Internet, queremos haceros llegar (aunque con retraso) nuestros mejores deseos para este complicado año en el que nada va a ser evidente.

Acabamos el año discutiendo de SITEL y lo comenzamos con un informe de la Agencia de Protección de Datos quien, al parecer, ha inspeccionado el sistema y se pronuncia en los siguientes términos sobre él en sus conclusiones:

1ª.- La incorporación de los datos a SITEL sólo es posible cuando la operadora que presta el servicio a la línea objeto de interceptación, una vez recibida y analizada la autorización judicial, activa dicha inclusión. Las Fuerzas y Cuerpos de Seguridad no pueden por sí mismas, introducir información en SITEL.
2ª.- La actividad de las Fuerzas y Cuerpos de Seguridad en relación con SITEL queda enmarcada en el ejercicio de las funciones de policía judicial previstas en la LOPJ y en la LECrim. En consecuencia, dicho acceso se efectúa exclusivamente en los términos previstos por la autoridad judicial y para la investigación concreta a la que se refiera dicha autorización de interceptación, pudiendo acceder al sistema los agentes facultados por ella designados. Por tanto, el tratamiento de datos en SITEL se produce siempre bajo el control de la autoridad judicial que ordena la interceptación.
3ª.- La finalidad de SITEL es la de poner la información obtenida como consecuencia de la interceptación a disposición de la autoridad judicial que hubiera ordenado aquélla. Por tanto, los agentes facultados encuentran limitada su capacidad de acceso y uso a la información en los términos derivados de la autorización judicial de interceptación, quedando la información contenida en SITEL bajo el control de la autoridad judicial.
4ª.- SITEL almacena la información relacionada con el contenido de la comunicación y la información relativa a la interceptación con el alcance que se deriva de la orden dictada por la autoridad judicial que controla la interceptación, cumpliendo así el principio de proporcionalidad previsto en el artículo 4.1 de la LOPD.
5ª.- Los datos contenidos en SITEL son objeto de bloqueo una vez concluida la investigación que motivó la interceptación y ordenada judicialmente la restricción de los accesos al sistema, no pudiendo producirse el acceso a los mismos salvo que sea requerido por dicha autoridad. El borrado físico se producirá también a instancia de la autoridad judicial a la que corresponde el control de la información contenida en SITEL.
De este modo, se da cumplimiento al principio de conservación previsto por el artículo 4.5, en relación con el artículo 16.3 de la LOPD.
6º.- El tratamiento de datos efectuado por SITEL se encuentra amparado en el artículo 579 de la Ley de Enjuiciamiento Criminal y en el artículo 33 de la Ley General de Telecomunicaciones, habiendo considerado el Tribunal Supremo en SSTS de 5 de febrero de 2008 (Sala de lo Contencioso-Administrativo) y 5 de noviembre de 2009 (Sala de lo Penal), entre otras que ésta cita, adecuado el rango normativo de ambas disposiciones.
7º.- De conformidad con las previsiones de la LOPD, así como de las necesarias garantías de integridad, exactitud y control judicial de la información contenida en SITEL, las Fuerzas y Cuerpos de Seguridad no han de cumplir con el deber de información al afectado acerca del tratamiento de sus datos ni pueden atender las solicitudes de ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
8ª.- Se considera que los procedimientos de firma electrónica implantados en el momento en que la información se incorpora al sistema, su grabación en otros soportes y su transmisión a la autoridad judicial, garantizan los principios de exactitud e integridad previstos en la LOPD.
9ª.- SITEL garantiza el cumplimiento de las medidas de seguridad de nivel alto previstas en el RLOPD, debiéndose hacer especial referencia a aquellas relacionadas  con el acceso al sistema por los distintos usuarios del mismo y la seguridad del trasporte de los soportes que contengan la información hasta su entrega a la autoridad judicial.

El Ministro Rubalcaba explica SITEL

Resulta sorprendente que un Ministro de detalles técnicos de pruebas electrónicas, y es lo que hizo el Ministro Rubalcaba en Hora 25.

De nuevo sin entrar en las peligrosas implicaciones políticas, vale la pena escuchar las explicaciones del Ministro.

Acceso-e de los ciudadanos a las Administraciones

Hoy entra en vigor el Real Decreto 1671/2009, por el que se desarrolla parcialmente la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos.

De las alegaciones que AEDEL hizo llegar durante el plazo de información pública, sólo alguna de ellas se han tenido en consideración. Otras, como la trazabilidad, los protocolos de actuación judicial en estos entornos, así como terceras partes que verifiquen y den fe de la efectiva disponibilidad de las sedes electrónicas, no han tenido tan buena acogida.

Habrá que esperar al nuevo reglamento sobre el esquema nacional de seguridad para ver si, ahí, vemos solventadas estas cuestiones. Porque no todo se salva con la presunción de veracidad a favor de la Administración y sus funcionarios.

Los problemas evidenciales de SITEL

Imagen extraída de “Así funciona SITEL”.Vista en La información (el original en formato flash)

Dejando a un lado las disputas políticas, a una asociación como la nuestra no puede por menos que interesarle el debate abierto alrededor de las garantías evidenciales de las grabaciones telefónicas realizadas con el sistema SITEL.

No entramos ni salimos sobre la acusación de “Gran Hermano” que se le hace al sistema, pues hemos de presumir que todas las intervenciones de las comunicaciones que se efectúen en nuestro país se harán con las preceptivas órdenes judiciales, estableciendo el sistema los remedios de la nulidad de actuaciones cuando un juez exceda los límites de la ley y la constitución.

Sabemos que es un debate interesado; aún así que se discuta desde algunos sectores de la fiscalía sobre los problemas de integridad de las grabaciones, de la necesidad de que vayan firmadas y de que se garantice la autenticidad del contenido del DVD que el juzgado recibe, no son cuestiones, como sabemos, carentes de importancia; y, aunque sea en un contexto de batalla política, es bueno que se genere conciencia de la necesidad de implantar criterios estrictos de integridad, complitud y autenticidad a las pruebas electrónicas. Para eso nacimos como asociación.

Sólo desear que el debate, descargado de su “plomo” político resulte en una mejora de la normativa existente y en una reflexión legislativa en profundidad sobre los requerimientos de seguridad reforzados que hay que exigir a las pruebas electronicas.

Ser socio de AEDEL

Hemos cargado nueva información sobre como ser socio de AEDEL.

Nunca asociarse ha sido tan sencillo: puedes pedirnos información sobre la asociación a través del formulario que encontrarás en CONTACTO, o bien rellenar uno de los formularios que encontraréis en “CÓMO ASOCIARSE”, en donde se encuentra información práctica de cómo convertirse en socio.

¡Así de fácil!

El pen-drive del caso Gürtel

Para evitar hablar de la sacrosanta relación abogado-cliente y de cómo algunos magistrados se la saltan a la torera y con ella las garantías constitucionales, conviene centrarnos en el tan traído y llevado USB intervenido al contable de los imputados y de cómo su contenido, parece, se va a convertir en la prueba reina de este proceso.

Si, como espero, las conversaciones entre abogado-cliente sobre la veracidad del contenido del tan sobado USB se sacan del proceso ¿quien asegura que lo las Excel son auténticas? ¿quien asegura su integridad?

La Gaceta de los Negocios nos describe cómo se autentica un pen drive en los juzgados españoles y no podemos dejar de pensar que necesitamos, cada vez con más urgencia, una ley de pruebas que permita hacer estas cosas no ya con más diginidad, sino con mayor rigor.

Si queréis leer el texto, aquí os lo colgamos en pdf.

El cifrado de discos y su impacto en el analisis forense

De todos es conocido que el cifrado fuerte es una de las mejores medidas de protección para mantener la confidencialidad y prevenir el acceso no autorizado a los datos, la necesidad de dar cobertura simultanea a estos puntos, esta haciendo que cada día proliferen más. Este intersante articulo publicado en el ACM SIGOPS Volume 42 Issue 3 presenta la evolucion del cifrado completo de discos (full disk encription - FDE) y su posible impacto en el analisis forense.

La creciente incoporacion del cifrado total tanto en los modernos sistemas operatvos como en las propias unidades de disco, esta creando nuevos retos para los analistas forenses que ahora se encuentran ante mecanismos de cifrado fuertes que no pueden ser circunvalados si no es mediante la introducción de la correspondiente frase de paso o contraseña de acceso.

Asi mismo, se trata la virtualización de sistemas como uno de los metodos mas eficaces para realizar analisis forense de sistemas com FDE.

Una lectura más que recomendable para afrontar los retos planteados por los FDE.

La Policia neozelandesa presenta una nueva herramienta forense

Según publica el New Zeland Herald tecnicos del laboratorio de la policía han creado un sistema informático para ayudar a los detectives de examinar los ordenadores decomisados y otros artículos que contengan microchips.

El Laboratorio de Delitos Electrónicos que conmemoró el pasado Agosto su 25 aniversario, realizo formalmente el lanzamiento del dispositivo - conocido como un medio para “pruebas virtualizado” (EVE) -cuyo desarrollo se realizo integramente ‘in house’.

Permite a los investigadores a examinar un ordenador incautado o otros dispositivos de almacenamiento en sus propios ordenadores:

Según publica el mendionado periodico, hay retrasos de hasta dos años en el procesamiento de pruebas, debido sobre todo a la escasez tanto de medios tecnicos como humanos para la realizacion del analisis.

AEDEL se incorpora al Consejo Nacional Consultor sobre CyberSeguridad (CNCCS)

AEDEL  se incorpora como miembro al Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) junto con nuevos miembros entre los que se cuentan Telefónica, Barcelona Digital Centro Tecnológico, la Universidad de Deusto el Laboratorio S3Lab, o el Colegio Oficial de Ingenieros de Telecomunicación (COIT).

Según Paloma LLaneza, Presidenta de AEDEL, “Agradecemos la invitación que nos ha cursado el Consejo que hemos aceptados encantados. Creemos que desde AEDEL, como asociación que reúne expertos en el entorno de las evidencias electrónicas especializados en materias tan relevantes como el derecho de las comunicaciones, la tecnología y arquitectura de la seguridad lógica, la ingeniería de las telecomunicaciones, la protección de la información SGSI (ISO27001), podremos aportar nuestro conocimiento sobre el mundo de la seguridad informática”

Sobre CNCCS
El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada que tiene, como miembros fundadores, a Panda Security, S21Sec, Hispasec Sistemas y Secuware. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la cyberseguridad nacional o global, con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Forensic para móviles

El NIST publica un informe en el que repasa las especificaciones técnicas de filtrado para obtener evidencias íntegras de dos marcas de telefonía móvil: Nokia y Motorola.

Sin desmerecer el esfuerzo, este se queda corto, sobre todo en un mundo lleno de teléfonos que hacen de todo menos llamar.