Domingo, 8 de Mayo de 2011

Tormenta en la 'nube' de la informática

El robo de datos de más de cien millones de usuarios a Sony revela que ese tipo de información ya no se encuentra en los países de origen de los ciudadanos. Las diferentes legislaciones ponen trabas a las denuncias

 

BLANCA SALVATIERRA ·08/05/2011 - 08:00h

En los últimos años se ha hablado mucho del cloud computing o informática en la nube, las aplicaciones que se utilizan sin estar instaladas en el ordenador del usuario y cuyos archivos también se almacenan en la red. La mayoría de los servicios en internet, a la vez, solicitan al usuario sus datos personales para acceder a ellos. No todos los internautas saben que su derecho a reclamación en caso de incidencia depende en parte de dónde se encuentran ubicados físicamente los servidores de las empresas que ofrecen el servicio y, por tanto, los datos. Al menos, eso es lo que argumentan algunas empresas.

El robo de datos a los servidores de Sony, que ha afectado a más de cien millones de usuarios en todo el mundo, hareabierto el debate sobre las medidas de seguridad que aplican las compañías para salvaguardar la información que le facilitan los usuarios y, en caso de robo, filtración o pérdida, qué derechos y obligaciones entran en juego.

"Las empresas deben prepararse para el peor escenario", dice un experto

Amazon también experimentó el mes pasado una caída en sus servidores y perdió parte de la información de clientes como Foursquare o Quora. Aunque en este caso se trató de un error técnico en la configuración de la red, las disculpas llegaron tras una semana de silencio, el mismo tiempo que Sony tardó en ofrecer una explicación detallada sobre el robo. A ellos se ha sumado la tienda de electrónica Best Buy que, por segundo mes consecutivo, ha tenido que informar de que algunas de las direcciones de correo electrónico de sus clientes han sido robadas debido a un fallo de seguridad de un proveedor externo.

El director técnico de la compañía de seguridad PandaLabs, Luis Corrons, reconoce que el almacenamiento de datos en la nube ha facilitado el acceso e intercambio de información, pero destaca que también se ha simplificado el camino a los ciberdelincuentes. "Nadie puede garantizar un 100% de seguridad, pero es importante que las empresas estén preparadas para el peor escenario posible. Los servidores de Sony tenían vulnerabilidades, y esa ha sido la puerta de entrada", explica. Este experto en seguridad destaca que, aunque el caso de Sony ha sido extremo, "se producen robos de datos en internet a menor escala continuamente".

La mayor brecha de la historia

Ninguna de las grandes de la red almacena sus datos en España

Una vez producido el ataque, el segundo problema es la responsabilidad de la empresa con sus clientes. Sony ha anunciado esta semana que sus jugadores estadounidenses contarán con un seguro de cobertura de hasta un millón de dólares por cliente (698.000 euros) por robo de identidad.

El acceso que los ciberdelincuentes han tenido a datos bancarios de tarjetas de crédito y cuentas corrientes es el que ha provocado la mayor alarma entre los usuarios, si bien la sustracción de la información personal, pese a ser un bien intangible, ya supone por sí misma la mayor brecha de seguridad en la historia de internet. La única declaración oficial del presidente de Sony, Howard Stringer, apunta a que en la compañía son conscientes de la dimensiones del problema: "En los últimos meses, Sony se ha enfrentado a un terrible terremoto y tsunami en Japón. Pero ahora nos enfrentamos a un evento hecho por el hombre, un atentado criminal, y estamos trabajando con el FBI y otras fuerzas de la ley de todo el mundo para detener a los responsables", ha especificado en un comunicado oficial.

Sony está estudiando una posible indemnización a los usuarios de otros países, pero aún no ha especificado en qué se concretará. "Hay que exigir una legislación que establezca que las compañías deben cumplir unas normas de seguridad y que, en el caso de no hacerlo, se establezcan sanciones", señala Corrons. En este sentido, tanto la Agencia Española de Protección de Datos (AEPD) como los ciudadanos españoles tienen un problema.

"La situación no va a mejorar", advierte el director de la APD

Ubicación de los datos

Los grandes de la red no almacenan sus datos en España, y esto provoca que en ocasiones intenten acogerse a ello para no indemnizar a sus usuarios ante robo o pérdida de datos. El director de la AEPD, Artemi Rallo, explica con rotundidad que el hecho de haber recabado los datos desde España ya hace aplicable la legislación española. "La empresa argumenta que el ciudadano debería alegar ante un tribunal de EEUU, y eso es inaceptable; es una negación del derecho. Y en algunos casos hemos tenido que llegar a los tribunales", asegura Rallo.

Microsoft también ofrece servicios de cloud computing y almacena datos de sus clientes. De hecho, acaba de presentar en pruebas Office 365, un producto para empresas diseñado para trabajar online. Los servicios en la nube que Microsoft lanza en España tanto para usuarios como para empresas almacenan los archivos de los usuarios en un complejo de 50.000 metros cuadrados con 200.000 servidores ubicado en Irlanda.

La compañía insiste en que, en primer término, el hecho de que estén ubicados en estos países ya implica que se cumple con la legislación europea. "Nosotros trabajamos para asegurarnos de que se cumple la legislación de cada uno de los países en los que lanzamos esos servicios", explica la jefa de producto de negocio de Microsoft Ibérica, Isabel Bernardos. "De hecho, hay países en los que no hemos lanzado algunos servicios por asuntos de restricciones", añade. En una comunicación de la Comisión al Parlamento Europeo de finales del año pasado ya se mencionaba la informática en la nube como uno de los grandes retos en materia de protección de datos. En el caso de Sony, la AEPD ha iniciado un expediente de oficio al que se ha sumado la asociación de consumidores Facua.

Según esta, si Sony no contaba con suficientes medidas de seguridad habría vulnerado el "principio de seguridad de los datos", regulado en la Ley de Protección de Datos. Rallo valora que es posible que no exista el servidor totalmente seguro, pero también considera que, por el poder de la empresa en cuestión, "hay que exigir un grado de diligencia extraordinario, cercano al riesgo cero".

Rallo explicaba a este diario hace un año que la privacidad se había convertido en "un estorbo" para las grandes compañías de internet. El caso de Sony le hace reafirmarse y ofrecer un mal pronóstico: "Lamentablemente, la situación no va a mejorar en el futuro a no ser que estas empresas reconduzcan su dinámica". Para él, la única solución es "anteponer la privacidad a otro tipo deconsideraciones".