Reflexión sobre el #atentado de #Barcelona

Todavía resuenan en los oídos de muchos los gritos de angustia producidos por los heridos en las ramblas de Barcelona y seguimos sintiendo la pena por los fallecidos.

Quiero felicitar desde estas lineas a los compañeros de los Mossos d’ Escuadra, de la Guardia Urbana y a los compañeros de Guardia Civil y Cuerpo Nacional de Policía por su magnifico trabajo tras este atentado.

Homenaje en Las Ramblas tras el atentado islamista
Homenaje en Las Ramblas tras el atentado islamista

Otra ciudad española ha sufrido el mazazo del terrorismo, desde el 30 de julio de 2009 no se producía ningún atentado en territorio español, en aquella ocasión con el resultado de dos Guardias Civiles fallecidos.

El atentado de Barcelona va camino de tener el triste récord de ser el tercero en número de fallecidos tras los atentados del 11M en Madrid y el atentado de Hipercor, también en la ciudad de Barcelona, sin embargo es el segundo en número de heridos.

Este atentado pone de manifiesto que pese al magnifico trabajo de los servicios de información de las FF. y CC. de Seguridad es cuestión de tiempo que suframos atentados en suelo español.

Lo que sorprende de este caso es la cantidad de personas integradas en la célula terrorista, hasta ahora se han contabilizado doce miembros, cosa que contrasta con la tendencia de ISIS de que sus seguidores actúen en solitario para evitar la detección por parte de las fuerzas y cuerpos de seguridad.

Por otro lado también sorprende la juventud de los componentes de esta célula, alguno de ellos es menor de edad,  tenia 17 años y, sorprende la rapidez de su proceso de radicalización.

En este caso, como en cada vez más ocasiones, los terroristas son personas que han residido en Europa prácticamente toda su vida, en este caso casi todos los implicados son nacidos en España, emigrantes de segunda generación, el mismo colectivo que quienes ocasionaron los disturbios de Paris de octubre de 2005.

Por otra parte, el hecho de que la célula terrorista pudiera estar dirigida por el imán de la mezquita de Ripoll, y que ahora se descubra que esta persona fuese el reclutador de varios terroristas del 11M, que tambien entrenase a varios miembros de Al Qaeda que acabaron inmolándose en Irak sin que las autoridades se hubiesen percatado de que se dedicaba a adoctrinar jóvenes terroristas, creo que se puede considerar un fallo grave.

No es la primera vez que utilizo este blog para alertar de que el verdadero peligro no reside en las grandes mezquitas de las capitales de provincia, regidas por miembros del Consejo conocidos por los servicios de información, sino en pequeños locales situados, ocultos de “miradas indiscretas” en alguno de los más de ocho mil núcleos de población de menos de veinte mil habitantes de la geografía española, en los cuales se alquilan locales para utilizarlos como mezquita, lejos del control de los servicios de seguridad, en donde cualquier imán se siente seguro para lanzar soflamas radicales a sus fieles.

Hay que recordar que en este caso el radicalismo se ha producido en una población relativamente pequeña, que tenían su base de operaciones en una casa ocupada en una población pequeña, Alcanar (Tarragona), pero también es necesario recordar que los terroristas que realizaron el atentado del 11M en Madrid tenían su lugar de reunión en una casa aislada de otra población no muy grande Morata de Tajuña (Madrid).

Es perentorio que la Guardia Civil y las policías locales reciba formación e instrucciones para que estén atentos y sepan detectar este tipo de locales de culto, auténticos focos de radicalismo islamista.

La AEPD recopila las obligaciones de Protección de Datos a las Administraciones Públicas

Las Administraciones Públicas (AAPP) actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades. Consecuentemente, se van a ver afectadas por las previsiones del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En muchos casos, los efectos del RGPD serán los mismos que para cualquier otro responsable o encargado. En algunas áreas, sin embargo, existen especificidades para el sector público.

Agencia Española de Protección de Datos
Agencia Española de Protección de Datos

El RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable a partir del 25 de mayo de 2018. Las modificaciones que deberán realizarse para alinear la normativa y la práctica de las AAPP con las previsiones del RGPD habrán de estar listas para aplicarse, a más tardar, en esa fecha de 2018.

El impacto del RGPD sobre las AAPP puede sintetizarse en los siguientes puntos:

  1. Necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que llevan a cabo. Esta obligación no deriva sólo de la necesidad de cumplir con el principio de legalidad establecido en el RGPD, sino que viene impuesta por el hecho de que las finalidades o la base jurídica de los tratamientos son informaciones que deben proporcionarse a los interesados (arts. 13 y 14 RGPD) y recogerse en el registro de actividades de tratamiento. La identificación de finalidades y base jurídica tiene exigencias adicionales en los casos en que se traten datos de los considerados como objeto de especial protección, que incluyen, entre otros, los datos sobre salud, ideología, religión o pertenencia étnica. El tratamiento de estos datos está, con carácter general, prohibido, y sólo podrá llevarse a cabo si es aplicable alguna de las excepciones previstas en el art. 9.2 del RGPD. Entre ellas pueden destacarse, a los efectos de este documento, el que el tratamiento sea necesario para satisfacer un interés público esencial, el que sea necesario para fines de prevención, asistencia sanitaria o salud pública, o que sea necesario para la gestión de los servicios de asistencia social, en todos los casos en los términos que establezca la legislación española o de la Unión Europea.
  2. En el caso de la actividad de las AAPP será muy habitual que la base jurídica de los tratamientos sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Tanto el interés público como los poderes públicos que justifican el tratamiento deben estar establecidos en una norma de rango legal.
  3. En los casos en que la base jurídica de los tratamientos sea el consentimiento, éste deberá tener las características previstas por el RGPD, que exige que sea informado, libre, específico y otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos a partir de la fecha de aplicación del RGPD, incluso para tratamientos iniciados con anterioridad.
  4. Necesidad de adecuar la información que se ofrece a los interesados cuando se recogen sus datos a las exigencias del RGPD (arts. 13 y 14). El RGPD obliga a ofrecer una información que es más amplia que la actualmente exigida por la Ley Orgánica de Protección de Datos. Obliga, además, a que esta información se proporcione de forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Tanto esta obligación como la recogida en el siguiente punto requerirán la modificación de los documentos que actualmente recogen estas cláusulas informativas y la adaptación de los que se utilicen en el futuro en circunstancias como, por ejemplo, las convocatorias de subvenciones o de pruebas selectivas.
  5. Necesidad de establecer mecanismos visibles, accesibles y sencillos, incluidos los medios electrónicos, para el ejercicio de derechos. Estos mecanismos, en particular cuando se trate del ejercicio por medios electrónicos, deben incorporar procedimientos para verificar la identidad de los interesados que los utilizan.
  6. Necesidad de establecer procedimientos que permitan responder a los ejercicios de derechos en los plazos previstos por el RGPD. En algunos casos será preciso valorar la necesidad de que sean los encargados del tratamiento con los que se haya contratado la prestación de determinados servicios los que colaboren en la atención a las solicitudes de los interesados. En estos casos, esa colaboración debe incluirse en los contratos de encargo de tratamiento.
  7. Necesidad de valorar si los encargados con los que se hayan contratado o se vayan a contratar operaciones de tratamiento ofrecen garantías de cumplimiento del RGPD. El RGPD establece una obligación de diligencia debida en la elección de los encargados de tratamiento que deben aplicar todos los responsables, contratando únicamente encargados que estén en condiciones cumplir con el RGPD.
  8. Necesidad de adecuar los contratos de encargo que actualmente se tengan suscritos a las previsiones del RGPD. El RGPD establece que la relación entre responsables y encargados deberá formalizarse mediante un contrato o un acto jurídico que vincule al encargado. En el caso de las AAPP será frecuente que el encargo de tratamiento se establezca mediante actos jurídicos, por ejemplo en la norma de creación de órganos encargados de la prestación de servicios informáticos. El RGPD exige expresamente que tanto los contratos como los actos jurídicos deberán tener un contenido mínimo que excede del actualmente previsto por la normativa española de protección de datos.
  9. Necesidad de hacer un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se desarrollen. El RGPD hace depender la aplicación de todas las medidas de cumplimiento que prevé para responsables y encargados del nivel y tipo de riesgo que cada tratamiento implique para los derechos y libertades de los afectados. Por ello, todo tratamiento, tanto los ya existentes como los que se pretenda iniciar, deben ser objeto de un análisis de riesgos. En el contexto de las AAPP se dispone de metodologías de análisis de riesgos focalizadas principalmente en la seguridad de la información. Esas metodologías deben ampliarse para incluir riesgos asociados al incumplimiento de las disposiciones del RGPD.
  10. Necesidad de establecer un Registro de Actividades de Tratamiento. Este registro sustituye, en parte, a la obligación de notificar los ficheros y tratamientos a las autoridades de protección de datos. El RGPD establece un contenido mínimo de ese registro, tanto para responsables como para encargados de tratamiento. El registro podrá organizarse sobre la base de las informaciones ya proporcionadas en las notificaciones de los ficheros existentes. El registro deberá mantenerse actualizado y a disposición de las autoridades de protección de datos.
  11. Necesidad de revisar las medidas de seguridad que se aplican a los tratamientos a la luz de los resultados del análisis de riesgo de los mismos. La normativa española de protección de datos contiene previsiones específicas sobre medidas de seguridad atendiendo básicamente al tipo de datos que se tratan. El RGPD, sin embargo, deja sin efecto esas previsiones, en la medida en que exige que las medidas de seguridad se adecúen a las características de los tratamientos, sus riesgos, el contexto en que se desarrollan, el estado de la técnica y los costes. Puede ocurrir que, tras un análisis de riesgo, y tomando en cuenta todos los demás factores, las medidas de seguridad sean las mismas que la normativa española prevé para un tipo determinado de datos. Pero en todo caso la aplicación de esas medidas no puede derivarse automáticamente de que se traten unos datos u otros, sino que ha de ser la consecuencia de un análisis de riesgos específico para cada tratamiento. En el caso de las AAPP, la aplicación de las medidas de seguridad estará marcada por los criterios establecidos en el Esquema Nacional de Seguridad.
  12. Necesidad de designar un Delegado de Protección de Datos (DPD). El RGPD prevé que todas las “autoridades u organismos públicos” nombrarán un DPD. También establece cuáles habrán de ser los criterios para su designación (cualidades profesionales y conocimientos en derecho y práctica de la protección de datos), su posición en la organización y sus funciones. Prevé, igualmente, que en el caso de las autoridades u organismos públicos puedan nombrarse un único DPD para varios de ellos, teniendo en cuenta su tamaño y estructura organizativa. En consecuencia, como medida previa deben identificarse las unidades en que se integrar el DPD dentro de cada órgano u organismo, su posición en la estructura administrativa y los mecanismos para asegurar que los DPD designados reúnen los requisitos de cualificación y competencia establecidos por el RGPD. La designación del DPD debe comunicarse a las autoridades
  13. Necesidad de establecer mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos y reaccionar ante ellas, en particular para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad a las autoridades de protección de datos y, si fuera necesario, a los interesados. El RGPD establece, asimismo, la obligación de mantener un registro de todos los incidentes de seguridad, sean o no objeto de notificación.
  14. Necesidad de valorar si los tratamientos que se realizan requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados y de disponer de una metodología para llevarla a cabo. El RGPD establece que, con anterioridad a su puesta en marcha, los tratamientos que sea probable que supongan un alto riesgo para los derechos y libertades de los afectados deberán ser objeto de una Evaluación de Impacto sobre la Protección de Datos. El RGPD determina algunos de los casos en que se presumirá que existe ese alto riesgo y prevé que las autoridades nacionales de protección de datos publiquen listas de otros tratamientos de alto riesgo. También contempla un contenido mínimo de las Evaluaciones de Impacto.
  15. En el caso de tratamientos basados en la consecución de fines de interés público o vinculados al ejercicio de poderes públicos, el RGPD prevé que pueda no llevarse a cabo la Evaluación de Impacto, pese a tratarse de tratamientos de alto riesgo, cuando la norma de base regule la operación o conjunto de operaciones de tratamiento y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de esa norma de base.
  16. Necesidad de designar un Delegado de Protección de Datos (DPD). El RGPD prevé que todas las “autoridades u organismos públicos” nombrarán un DPD. También establece cuáles habrán de ser los criterios para su designación (cualidades profesionales y conocimientos en derecho y práctica de la protección de datos), su posición en la organización y sus funciones. Prevé, igualmente, que en el caso de las autoridades u organismos públicos puedan nombrarse un único DPD para varios de ellos, teniendo en cuenta su tamaño y estructura organizativa. En consecuencia, como medida previa deben identificarse las unidades en que se integrar el DPD dentro de cada órgano u organismo, su posición en la estructura administrativa y los mecanismos para asegurar que los DPD designados reúnen los requisitos de cualificación y competencia establecidos por el RGPD. La designación del DPD debe comunicarse a las autoridades de protección de datos. Asimismo, deben establecerse mecanismos para que los interesados puedan contactar con el DPD.
  17. Necesidad de adaptar los instrumentos de transferencia internacional de datos personales a las previsiones del RGPD. El RGPD mantiene el modelo de transferencias internacionales ya existente, pero amplía el catálogo de instrumentos para ofrecer garantías suficientes que no requerirán de autorización previa de las autoridades de protección de datos. Entre estos instrumentos se incluyen los jurídicamente vinculantes y exigibles entre autoridades y organismos públicos. También prevé expresamente que requerirán autorización las transferencias basadas en acuerdos no jurídicamente vinculantes.

Menores que se citan para pegarse, grabarlo y subir el video a internet

Ayer se detuvo a siete menores en Jumilla por organizar peleas para posteriormente subirlas a la red. Lo hacían citándose en el exterior de los centros escolares durante los recreos o bien, a la salida de los mismos.

Entre los responsables se encontraban muchachos de tan corta edad, algunos de ellos inimputables, tenemos que señalar que los menores para realizar esas grabaciones y subirlas a internet, deben de tener legalmente más de catorce años, que es lo que exigen las redes sociales para abrir esas cuentas, aunque muchos menores obtienen el teléfono móvil en la primera comunión, abriendo cuentas en twitter, Tuenti, etc. bajo la excusa de que “todos sus amigos lo tienen”.

No son hechos aislados ya que en los últimos dos meses se han producido hechos similares en otras poblaciones como Lugo, Bilbao, La Coruña y Santa Cruz de Tenerife Dejando atónitos a padres que no saben porque sus hijos se dedican a participar en esas peleas. En alguno de los lugares anteriores se ha llegado a constatar la existencia de apuestas.

Entre los analistas no puedo estar más disconforme con uno de los entrevistados en el canal 24 horas de TV, que achacaba esos hechos a episodios de bullying. En primer lugar, las víctimas de este tipo son en un porcentaje muy alto, personas reservadas, que eluden el enfrentamiento, y que precisamente por eso constituyen el blanco de sus agresores.

Estas peleas difieren mucho de ese comportamiento atacante-victima que sucede cuando existe bullying, en este caso son enfrentamientos concertados entre “machos alfa” de la clase, cuyo objetivo no es lesionar al contrario sino, conseguir un video que se haga viral, lo importante no es la pelea, es el video.

Para los jóvenes que tienen más vida dentro de sus Smartphone que fuera de ellos, que lo que intentan es conseguir hacerse hueco en el mundo digital, donde cuentan más los followers en twitter e Instagram que las personas que conocen en vivo y en directo, para estos jóvenes el conseguir un video viral que tenga muchas reproducciones en YouTube es lo más importante, aunque sea a costa de hacer algo malo o reprobable.

Los jóvenes necesitan decir en sus redes sociales que han vivido cualquier evento, motivo por el cual lo graban todo para poder exponerlo en sus redes sociales, y no nos sorprenda que ninguno intente separar a quienes se están pegando, ellos han acudido allí para ver un espectáculo y dejar constancia de ello haciendo fotografías, videos etc.

Ha cambiado la escala de valores en la que se mueven muchos de nuestros hijos, para ellos es más interesante su reputación en la web que en la vida real.  Necesitan ser el primero en colgar su experiencia, la más original, la más novedosa, aunque sea considerado una aberración.

Es fundamental que los padres y educadores cambiemos nuestra manera de ver como nuestros hijos se relacionan con internet, y aunque parezca difícil, saber más que ellos sobre lo que están haciendo sino iremos a remolque de esta situación que no hecho más que empezar.

Asociaciones de padres, ya han dicho que no saben cómo atajar el problema y jurídicamente veo difícil que prospere una condena para los menores como la que se ha planteado con el caso de Jumilla deteniendo a siete menores y acusándoles de delitos contra la intimidad y la propia imagen de menores de edad y de varios delitos de lesiones, me explico…

Para que exista un delito contra la intimidad de alguno de los menores que se ven en el video ha de ser porque fuesen forzados a esa pelea o hubiese una negativa expresa a que se les grabase, hay que tener en cuenta que los actos se hacen en la vía publica y, hasta el momento los medios de prensa hablan de concierto entre todos los presentes para pegarse, grabarlo y subirlo a internet, máxime también hay que tener en cuenta que quienes graban los videos también son menores.

El delito de lesiones, es un delito publico pero como he relatado antes, es una pelea acordada, en la que pese a la violencia de las imágenes, priman más estas que la propia pelea, hay consentimiento mutuo para la misma, y, aunque no puedan dar dicho consentimiento al ser todos menores, podríamos hablar de un combate de boxeo en vía pública, comportamiento deplorable pero no ilícito según nuestro Código Penal, y que posiblemente, tampoco haya habido pérdidas para el Estado debido a tener que dar atención médica a los contendientes ya que la prensa informa que las Fuerzas y Cuerpos de Seguridad habían sido alertadas por profesores y padres, no por tener conocimiento de ninguno de de los implicados se le haya tenido que atender en ningún centro sanitario.

La solución pasa por una formación en la utilización de redes sociales, tanto para los padres como para los hijos, que conozcan cuales son las consecuencias de sus actos y dosificar la presencia en internet de menores hasta la mayoría de edad, rediciendo a cero su presencia en menores con edad inferior a catorce años.

Recomiendo leer también la entrada “Comunicado a mi hijo sobre uso del teléfono móvil

Ransomware #WannaCry que es y como evitarlo

El pasado mes de marzo, [w: Wikileaks] publicó una serie de vulnerabilidades del sistema operativo Windows que utilizaba la Agencia Central de Inteligencia de los Estados Unidos, la conocida CIA, para espiar a usuarios.

Estas vulnerabilidades en muchos casos dan acceso al sistema de forma remota, y han servido a hackers chinos para desarrollar un virus que se ha llamado “WannaCrypt” que secuestra la información de los ordenadores infectados, pidiendo un rescate.

Dicho virus llega en forma de mensaje con un enlace o fichero adjunto, utilizando lo que se denomina “ingeniería social” con una noticia atractiva o que anime al receptor del mensaje a abrir el documento anexo o a abrir el enlace, al hacer esto, queda el ordenador infectado, a la vez, el virus busca nuevos ordenadores en la red para infectarlos de la misma forma. Una vez hecho esto aparece una pantalla como la que hay a continuación.

WannaCrypt
Pantalla WannaCrypt

La infección se produce encriptando la información, y pidiendo un rescate de entre 100 y 300$ en bitcoin que es una moneda virtual de internet de muy difícil seguimiento a través de la red.

La propia pantalla pone las instrucciones para efectuar el pago de la cantidad solicitada.

El virus apareció el pasado 12 de mayo sobre las 12,00 horas en España y a día de hoy, 15 de mayo, ha infectado a más de doscientos mil ordenadores en todo el mundo causando solo en perdida de horas de trabajo cantidades multimillonarias.

Lo primero que hay que decir a todo lo expuesto es que el parche de Microsoft que repara esta vulnerabilidad esta publicado desde el 14 de marzo de 2017 en el boletín de seguridad MS-17-010 y, que el virus no se habría propagado de la forma que lo ha hecho si los ordenadores, sobre todo los de las grandes empresas y Organismos Oficiales, se hubiesen actualizado como recomiendan todos los expertos.

A día de hoy, y tras un fin de semana frenético, el Centro Criptográfico Nacional, dependiente del CNI ha realizado un completo informe, al mismo tiempo, ha publicado varios parches para el citado virus.

Por un lado, ha creado un fichero de lotes, un fichero con extensión *.bat, que tiene como misión evitar la ejecución del virus, tanto en ordenadores en inglés como ordenadores en castellano.

En segundo lugar, ha creado varios ficheros ejecutables que previenen la infección, porque afecta a versiones antiguas de Windows que ya no tenían soporte como son Windows 2000 y Windows XP. Por lo tanto deberemos de utilizar aquella versión que concuerde con nuestra versión de Windows.

A día de hoy se han detectado tres versiones del propio virus, que se han llamado WannaCry-A, WannaCry-B y WannaCry-C incluso ya hay noticias de una versión 2.0 con lo que se espera nuevas infecciones durante los próximos días.

Se recomienda actualizar el sistema operativo Windows utilizando el sistema propio de Microsoft “Windows update” o descargar la versión adecuada desde el enlace del el boletín de seguridad MS-17-010.

A continuación pongo los enlaces originales al informe del ransomware realizado por el Centro Criptologico Nacional: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4488-informe-del-ransomware-de-la-familia-wannacry-que-incluye-medidas-para-su-deteccion-y-desinfeccion.html

Y a la web desde donde se pueden descargar las herramientas citadas en este post, recomiendo ENCARECIDAMENTE, que quienes vayan a utilizar los parches lean los archivos readme.txt del propio servidor que explican par que sirve cada parche. https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND?path=%2F

 

El billete de Ursicino

El escultor palentino Ursicino Martinez, conocido por todos como “Ursi” falleció el 7 de enero de 2007 en Palencia.

Muchas de sus obras se encuentran en el museo de la Diputación provincial de Palencia.

Sus inquietudes artísticas nacieron desde muy joven y tal era su talento que llegó a pintar un as de oros en una mesa de un bar, provocando la hilaridad de cuantos se hallaban en el lugar al ver al dueño intentando recoger la carta pintada para ponerla en el mazo con las demás.

En una ocasión, teniendo tan solo 15 años, pintó a plumilla un billete de 100 pesetas que logró pasar como autentico, con el que se compro un sombrero de paja y con la vuelta del mismo, se pasó unas buenas fiestas con sus amigos.

El billete de Ursicino
El billete de Ursicino

Ese billete se exhibe como una autentica obra de arte, en el Museo de la Academia de Policia de Avila.