- Protección de datos personales - http://www.samuelparra.com -

Aportar contraseñas en un juicio es ilegal

Posted By Samuel Parra On Martes, 11 agosto 2009 @ 20:48 In Multas | 13 Comments

[1]La Ley obliga a almacenar las contraseñas de acceso de forma “ininteligible”, por lo que aportar en un proceso judicial la contraseña en claro de un usuario implicará necesariamente la vulneración de la Ley. Bien lo sabe Interflora España, que ha sido sancionada al aportar en una denuncia por estafa el nombre de usuario y la contraseña de acceso del presunto estafador que era también cliente.

El artículo 11.3 del derogado Real Decreto 994/1999 establecía:

“Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”

En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

¿Qué significa “ininteligible”?, pues según el Diccionario de la Real Academia [2]: “No inteligible”, así que con el concepto aclarado podemos continuar.

En el caso de hoy tenemos a  Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el Juzgado correspondiente.
Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora.

Este hecho lo puso en conocimiento de la Agencia Española de Protección de Datos mediante la correspondiente denuncia [3].

Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Sin embargo, luego afirmó que las contraseñas se almacenan generando un hash con el criptosistema SHA-1 y luego aplicando una codificación Base64, y que no es posible descifrarlas, sino que la clave que introduce el cliente en la autentificación se encripta y se compara con la que hay almacenada. Declaraciones contradictorias.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.

Ninguna de las alegaciones de Interflora prosperan y finalmente, aunque la infracción constituye una sanción mínima de 60.000 euros, la Agencia se lo deja en 1.000 euros.

Este caso también ha puesto de manifiesto las diferencias entre lo que se indica en el Documento de Seguridad de la empresa y lo que ocurre realmente. Según el Documento de Seguridad de Interflora, respecto a las contraseñas de afirma que “en el caso de aplicaciones de gestión definidas en el presente documento de seguridad, el cifrado de contraseñas será realizado por el sistema gestor de bases de datos o por la propia aplicación”, lo cual no era cierto. Así como tampoco los Avisos Legales que afirman algo parecido en su página web.

La Resolución sancionadora es de fecha 4 de junio de 2009. Descargar [4].


Article printed from Protección de datos personales: http://www.samuelparra.com

URL to article: http://www.samuelparra.com/2009/08/11/aportar-contrasenas-juicio-ilegal/

URLs in this post:

[1] Image: http://www.samuelparra.com/wp-content/uploads/2009/08/flores.jpg

[2] Diccionario de la Real Academia: http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=ininteligible

[3] denuncia: http://www.samuelparra.com/como-denunciar/

[4] Descargar: http://www.samuelparra.com/wp-content/uploads/2009/08/sancion-interflora.pdf