Aportar contraseñas en un juicio es ilegal

La Ley obliga a almacenar las contraseñas de acceso de forma «ininteligible», por lo que aportar en un proceso judicial la contraseña en claro de un usuario implicará necesariamente la vulneración de la Ley. Bien lo sabe Interflora España, que ha sido sancionada al aportar en una denuncia por estafa el nombre de usuario y la contraseña de acceso del presunto estafador que era también cliente.

El artículo 11.3 del derogado Real Decreto 994/1999 establecía:

«Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.»

En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:

«El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.»

¿Qué significa «ininteligible»?, pues según el Diccionario de la Real Academia: «No inteligible», así que con el concepto aclarado podemos continuar.

En el caso de hoy tenemos a  Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el Juzgado correspondiente.
Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora.

Este hecho lo puso en conocimiento de la Agencia Española de Protección de Datos mediante la correspondiente denuncia.

Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Sin embargo, luego afirmó que las contraseñas se almacenan generando un hash con el criptosistema SHA-1 y luego aplicando una codificación Base64, y que no es posible descifrarlas, sino que la clave que introduce el cliente en la autentificación se encripta y se compara con la que hay almacenada. Declaraciones contradictorias.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que «no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible«.

Ninguna de las alegaciones de Interflora prosperan y finalmente, aunque la infracción constituye una sanción mínima de 60.000 euros, la Agencia se lo deja en 1.000 euros.

Este caso también ha puesto de manifiesto las diferencias entre lo que se indica en el Documento de Seguridad de la empresa y lo que ocurre realmente. Según el Documento de Seguridad de Interflora, respecto a las contraseñas de afirma que «en el caso de aplicaciones de gestión definidas en el presente documento de seguridad, el cifrado de contraseñas será realizado por el sistema gestor de bases de datos o por la propia aplicación», lo cual no era cierto. Así como tampoco los Avisos Legales que afirman algo parecido en su página web.

La Resolución sancionadora es de fecha 4 de junio de 2009. Descargar.

Comments
  • Herminio
    Posted 12 agosto 2009 12:32 0Likes

    Por qué si la sancion mínima es de 60.000 euros la APD, la deja en 1.000 euros. ¿No esta delinquiendo la APD al hacerlo?

  • Valentín
    Posted 12 agosto 2009 15:13 0Likes

    Samuel,
    Te voy a reprochar el titular de esta noticia.
    La sanción no es por aportar la contraseña sino por no cumplir con el documento de seguridad y con el RD 1720/2007.

    Herminio
    Art 45.5 de la LOPD. Contempla la reducción de la cuantía de la sanción en función de la antijuridicidad de la infracción,etc. Es absolutamente legal.

  • Samuel Parra
    Posted 12 agosto 2009 17:16 0Likes

    Hola Valentín.
    La sanción, si observas la Resolución, emana de la vulneración del artículo 11.3 del Real Decreto 994/1999 (el 1720/2007 no era aplicable todavía); este artículo, el 11.3, te lo invoca la Agencia en el Fundamento de Derecho Tercero, donde dice literalmente: «En el presente supuesto, la password, palabra clave o PIN cuando se refiere a números resulta inteligible y ello es lo que provoca la apertura del presente procedimiento.».

    El hecho de que en el Documento de Seguridad se declare una cosa, y luego la realidad sea otra es irrelevante a efectos sancionadores: lo que importa es la REALIDAD y no lo que digas en el Documento de Seguridad; además, en ningún sitio existe una tipificación en relación a que no se cumpla con el documento de seguridad, lo que te exige la LOPD y su reglamento es que tengas un Documento de Seguridad con unos mínimos: si tienes Documento de Seguridad pero por ejemplo no cifras las contraseñas, la sanción no puede venir en ningún caso por «mentir» en el Documento de Seguridad (infracción sin tipificar) sino por no cifrar las contraseñas.

    Además, en el propio artículo he citado literalmente otro extracto de la Agencia, donde dice que: «no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible», aquí te está diciendo la Agencia (no yo), que aportar la contraseña al Juzgado ya es sancionable, pero aquí lo es incluso antes porque la contraseña era visible desde un primer momento.

    En definitiva, yo lo veo bastante claro, y como ya dije, la apertura del procedimiento sancionadora es por tener las contraseñas sin cifrar, no por no cumplir con el Documento de Seguridad.
    En este otro artículo sí tienes una sanción por no tener Documento de Seguridad, que es lo tipificado: http://www.samuelparra.com/2008/03/25/no-tener-documento-de-seguridad-puede-salirte-caro/

    Nunca te podrán sancionar por no cumplir con el Documento de Seguridad porque eso no es una conducta típica (y perdona que me repita), te podrán sancionar por no cumplir con alguna de las medidas que exige el Real Decreto correspondiente, y te pongo un ejemplo: yo pongo en el Documento de Seguridad que hago copias de seguridad diarias, pero me llega una inspección y comprueba que las copias de seguridad son semanales ¿me podrían sancionar porque «miento» en el Documento de Seguridad?, en ningún caso, porque hacerlas semanalmente es el mínimo que me exige la ley, por tanto no hay conducta infractora; ¿y si comprueban que no hago copias de seguridad?, me sancionarán entonces, pero no por mentir en el Documento de Seguridad, sino por vulnerar el artículo 94.1 del Real Decreto 1720/2007 que es la norma que me obliga…

  • José Ramírez
    Posted 12 agosto 2009 18:40 0Likes

    Hola Samuel. Te comento mi caso. En marzo de 2007 me detectarón una disfunción hepática grave, por lo que di parte a la compañía de seguros de mi entidad bancaria RURALVIDA, indicándoles que el tribunal de incapacidades me habia dado la INCAPACIDAD PERMANENTE ABSOLUTA con fecha de noviembre de 2007(revisable cada dos años). Estos, me pidieron toda clase de informes, incluidos el dictamen del tribunal de incapacidades con su resultado final, en la que entre otras cosas me decían ( en dicho dictamen) que, dicha disfunción había sido producido por la ingesta de alcohol durante mucho tiempo ( falso) y por «según ellos» trastornos en la personalidad por adicción a sustancias. Esto da lugar a varias interpretaciones: 1º.-Que según ellos soy alcohólico. 2ª que además soy toxicómano (cuando la realidad es que, debido a una gran depresión por separación matrimonial muy traumática, un psiquiatra de pago (no dependiente de la Seguridad Social) me recetó TRANQUIMAZIN 2 mg…UN COMPRIMIDO CADA 8 HORAS DURANTE MAS DE AÑO Y MEDIO¡¡¡¡ y que para mayor INRI me la recetó mi médico de cabecera, que no se entera en hombre, diciendo que la medicación prescrita era correcta…?????) Lo peor del caso es que…según los señores de la compañía de seguros, me pidieron documentación a través de la entidad bancaria (RURALCAJA) y cual es mi sorpesa cuando un buen dia me notifican operariosde la misma que ya había cobrado el seguro (unos 34.000 euros) y que, obviamente, habian tenido aceeso a información que, según tengo entendido es confidencial. Esta entidad está en Almussafes (Valencia) un pequeño pueblo de apenas 7.000 habitantes, donde fui Jefe de Policía Local. Desde entonces me miran TODOS LOS HABITANTES como un apestado, como un borracho y un drogata (nunca he tomado mas de una copa esporádicamente ni consumido sustancias psicotrópicas o drogas) De quien es la culpa??? A quien debo denunciar?? A Ruralvia o a Ruralcaja??? lo bien cierto es que mi reputación se ha ido al garete por hacer (quienes sean) las cosas con el culo (y perdón por la expresión) o quizás por cotilleo, muy dado en los pequeños pueblos. Ruego me asesores. Gracias.

  • Valentín
    Posted 12 agosto 2009 22:00 0Likes

    Samuel,

    Totalmente de acuerdo con tu planteamiento. Quizás me he explicado mal y con argumentos «pelin» torpes.

    Sin embargo discrepo con la Agencia en donde dice: “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visibleâ€?
    En ninguna parte del RD se establece que el cifrado de la contraseña haya de ser irreversible (o al menos no lo recuerdo). Ha de ser ininteligible en donde se encuentre almacenada.

    Eso abre una puerta que es en la que, de forma poco clara, me apoyo para discrepar contigo en el titular.

    No acabo de entender por qué es sancionable según la AGPD y me explico a continuación

    Si en tu D.S. estableces que la aplicación almacenará la contraseña cifrada, pero de forma reversible mediante una contraseña maestra auditada y con doble custodio (cada mitad la conoce una de dos personas, ejemplo de la PCI de Visa y MasterCard), por un lado cumples el RD -la contraseña es initeligible en su almacenamiento- y por otro lado te dejas la posibilidad de presentarla como prueba en un juicio sin ser sancionado por la AGPD.
    Por otro lado como la contraseña no es un dato personal -no cumple con todos los requisitos- tampoco estás infringiendo la LOPD por cuanto no estas revelando un dato personal sin previa petición del juez.

    Pero bajo estos requisitos no hay nada que me genere el riesgo a sanción, salvo el criterio personal del Instructor de la AGPD.

    Lo que está claro es que los del Dpto. de Sistemas o los del Jurídico de Interflora son unos patanes y ellos solos se han puesto la soga al cuello.

    Un cordial saludo.

  • Pit
    Posted 13 agosto 2009 01:13 0Likes

    Samuel, tu interpretación respecto al documento de seguridad supondria que su significado es vacio: solo importa que lo tengas, lo que ponga en el no tiene importancia. Sin embargo, he oido alguna vez a personal de la Agencia decir que esto no es cierto, que lo que pone el el documento de seguridad es ley para la empresa pero que, por otra parte, con el volumen de denuncias que tienen no se van a parar en esos detalles, ni nadie lo va a denunciar. Al igual que los códigos tipo, otro tema en el que no entran por lo mismo. Las mejoras que supone un código tipo para quienes lo adoptan serian obligatorias y originarian la sanción correspondiente en caso de incumplimiento. Claro, ¿quien va a denunciar el incumplimiento de un código tipo? nadie, por fortuna para la Agencia.

  • Samuel Parra
    Posted 13 agosto 2009 11:19 0Likes

    Hola Pit: pero según esa teoria, en el ejemplo que he puesto sobre las copias de seguridad, ¿la empresa sería sancionada por no hacerlas cada dia y sí cada semana? ¿en base a qué artículo?, porque el RD te dice expresamente que el Documento de Seguridad tendrá carácter de «documento interno de la empresa».

    Valentin: yo no estoy tan seguro que una clave reversible vaya a ser conforme al RD, dando igual que esté auditada cada hora y con triple custodio… pero vamos, es mi opinión 🙂

  • jc
    Posted 16 agosto 2009 23:21 0Likes

    Hola Samuel…

    Pues yo tengo mis dudas en este tema…

    Si no lo he entendido mal, es un cliente de la página web de interflora, correcto?

    Las contraseñas son uno de los mecanismos de identificación y autenticación que exige el RLOPD (RMS en su momento) con respecto a los USUARIOS AUTORIZADOS DEL SISTEMA DE INFORMACIÓN…

    Quiero decir.. que esta obligación es aplicable al personal interno/externo de interflora, no a sus clientes.

    Clara muestra de ello… es que no conozco ningún servicio web en el que la contraseña caduque al año (pensad en gmail, hotmail, la página del banco, la de la DGT para consultar el saldo por puntos, etc. etc. etc.)

    Considero que está mal que las contraseñas no se almacenen de forma ininteligible por Interflora… pero no creo que la AEPD sea competente para sancionarlo.

    Si resulta que los clientes también son «usuarios» en los términos del RLOPD… nos adentramos una vez más en un terreno muy peligroso donde acaba pringando todo el mundo.

  • Recaredo
    Posted 17 agosto 2009 11:11 0Likes

    Vaya chorrada, si el tipo era un chorizo que no pagaba las flores es lógico que la empresa manejara la contraseña de acceso a su correo; a él es al que hay que condenar, no a la empresa de floristería, que son las vfíctimas. La verdad es que esta puta ley es una pasada, espero que la deroguen a no tardar mucho.

  • Anonimo
    Posted 18 agosto 2009 12:55 0Likes

    Samuel Parra dijo:

    Samuel Parra dijo el 13 de Agosto, de 2009, a las 11:19

    Hola Pit: pero según esa teoria, en el ejemplo que he puesto sobre las copias de seguridad, ¿la empresa sería sancionada por no hacerlas cada dia y sí cada semana? ¿en base a qué artículo?, porque el RD te dice expresamente que el Documento de Seguridad tendrá carácter de “documento interno de la empresaâ€?.

    La cuestión está en que si tu tienes un incidente de seguridad, pero estás bien protegido, dentro de los límites lógicos de lo que es el «estado del arte» de la informática, te podrias librar, pues no se pueden tomar todas las precauciones para que tu sistema sea invulnerable. Pero si tienes un buen DS, que incumples, y como consecuencia tienes un incidente de seguridad que origine actuaciones de la Agencia, no podrias alegar esa imposibilidad de cubrirte de todos los riesgos. Así en el caso de Arsys, si hubiesen tenido ya implantado completamente el SGSI, podrian haberse librado de la sanción. El fallo fue no tenerlo.
    Esta es mi conclusión de lo que he ido hablando con los inspectores en las diversas inspecciones a las que he asistido. Lo malo es que como apenas se pueden tener retazos de conversación durante la inspección, estas ideas las voy componiendo poco a poco.

  • Samuel Parra
    Posted 24 agosto 2009 23:55 0Likes

    Anónimo: yo creo que la Agencia aplica la tesis del Supremo, en el sentido que en materia de seguridad se impone una obligación de resultado, siendo irrelevante si tienes todas las ISO, todos los SGSI habidos y por haber, etc.

Leave A Comment

Your email address will not be published. Required fields are marked *