Aspectos legales de los Bug Bounty Programs: una historia de piratas

“Imposible me ha sido rehusarme a las repetidas instancias que el Caballero Trelawney, el Doctor Livesey y otros muchos señores me han hecho para que escribiese la historia circunstanciada y completa de la Isla del Tesoro. Voy, pues, a poner manos a la obra contándolo todo, desde el alfa hasta el omega, sin dejarme cosa alguna en el tintero (…)

La Isla del Tesoro (1901) Robert Louis Stevenson.

Capítulo I: De piratas, corsarios y hombres

Seguramente desde que el hombre es hombre, han existido modalidades o mecanismos de supervivencia basados en la explotación de las vulnerabilidades ajenas, por decirlo de la manera más aséptica y eufemística posible. La versión más organizada y regulada de esas iniciativas se conocen hoy en día como Bug Bounty Programs o programas de recompensa por errores en software.

Pero la ficción y la historia -a partes iguales- presentan abundantes ejemplos de personas que hicieron carrera y fama siendo amigos de lo ajeno. Sin embargo, debemos reconocer que no todas las historias son iguales. ¡Comencemos!

Capítulo II: Autorizaciones, patentes de corso y bulas 

La primera Ordenanza regulando y fomentando la actividad corsaria fue promovida por el rey Felipe IV en 1621 debido a la incesante actividad corsaria y pirata de ingleses, holandeses, franceses, argelinos y turcos, que asolaban el comercio español, tanto en las Indias como en el Mediterráneo. 

De esta forma, los comerciantes, en tiempo de guerra y con consentimiento real, podían invertir su papel de “presa” por el de cazador.

Debido al éxito de las patentes de corso, se publicaron otras Ordenanzas que ampliaban los cometidos del corsario, normalmente cuando el país se encontraba en guerra. Por ejemplo, destacan  las ordenanzas de 1674, 1702, 1718 (que explícitamente decían “contra turcos, moros y otros enemigos de la Corona”), las de 1762, 1779, 1794 (contra intereses franceses principalmente), la de 1796 esta vez en lucha contra los ingleses y la de 1801 nuevamente contra los británicos.

El Tratado de Utrecht de 1713 intentó terminar con las patentes de corso, al declararlas prohibidas, pero el fenómeno continuó durante el siglo XVIII y no fue declarado prohibido hasta el Tratado de París de 1856, que puso fin a la guerra de Crimea.

“(…)Los católicos que se han ceñido con la cruz para el exterminio de los herejes, disfrutarán de las indulgencias y privilegios otorgados a quienes van en defensa de Tierra Santa.”

Bula papal emitida el 4 de noviembre de 1184 e incorporada como Canon III del Cuarto Concilio de Letrán de 1215 

Continuar leyendo “Aspectos legales de los Bug Bounty Programs: una historia de piratas”

La vuelta al mundo en una transferencia internacional de datos

Síguenos en |     

“¿Acaso la Tierra ha disminuido?

– Sin duda que sí- respondió Gualterio Ralph-. Opino como míster Fogg. La Tierra ha disminuido, puesto que se recorre hoy diez veces más aprisa que hace cien años.”

La vuelta al mundo en 80 días, Capítulo III
Julio Verne

La anterior frase, del genial libro “La vuelta al mundo en 80 días” de Julio Verne, fue publicada en 1872, cuando la Tierra empezaba a quedarse “pequeña”. Hoy un turista puede dar la vuelta al mundo en una semana, la Estación Espacial Internacional tarda aproximadamente hora y media y seguramente nuestros datos personales se propagan a través de todos los servidores del globo en cuestión de minutos. Así que hoy, nuestro querido planeta tiende a diminuto.

Sin embargo, no vamos a hablar hoy de viajes de personas, sino de cómo pueden viajar nuestros datos personales entre los distintos países.

Ahora que se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), posiblemente una de las norma más importantes de lo que llevamos de siglo, nos vamos a adentrar en una parte muy concreta de ese mundo: las transferencias internacionales de datos.

En primer lugar, repasemos unos cuantos conceptos clave que nos serán de ayuda durante todo el viaje:

1.- Ámbito de aplicación RGPD

Como ya sabemos, el  famoso RGPD se aplica al tratamiento de datos personales y afecta en principio a responsables y encargados de los países miembros del Espacio Económico Europeo, independientemente de que el tratamiento de los datos tenga lugar en la Unión o no.  

Sin embargo, el Reglamento también se aplica a responsables o encargados no establecidos en la Unión cuando las actividades de tratamiento estén relacionadas con:

A) La oferta de bienes o servicios a dichos interesados en la Unión.

B) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Sin olvidar aquellos casos en los que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con lo cual, el territorio sobre el que se aplicará el RGPD es bastante más amplio – y difuso – de lo que podemos pensar inicialmente.

2.- ¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un flujo de datos personales a terceros países fuera del Espacio Económico Europeo. Es decir, allí donde no se aplica el RGPD.

Continuar leyendo “La vuelta al mundo en una transferencia internacional de datos”

Cómo redactar un contrato de pentesting

Síguenos en |     

Érase una vez un ciudadano particular que se acababa de comprar una casa y al que le preocupaba mucho la seguridad.

Le habían dicho que la barriada en la que había comprado la casa era muy tranquila, pero aún así quería saber lo segura que resultaba. Sin embargo, no tenía claro cómo hacerlo. Entonces pensó en algo: le daría las llaves a uno de sus mejores amigos (que era vigilante de seguridad) y le pediría que examinara por dentro y por fuera la casa, para descubrir cómo alguien podría llegar a entrar.

De esa manera, su amigo debía probar las ventanas, las cerraduras o cómo de resistente era la valla. El objetivo era descubrir cualquier posible vía de entrada en la casa para por ejemplo, robar algo. Hecha la prueba, el amigo le dijo que había encontrado una ventana que cerraba mal y una cerradura mal instalada.

Lo que el amigo de nuestra pequeña historia había hecho era lo que en el mundo de la ciberseguridad se llama un escáner de vulnerabilidades. Es decir, el primer paso para conocer las fortalezas, debilidades y necesidades de tu negocio desde el punto de vista de la ciberseguridad.

¿Pero era eso un pen test? No, era solo el primer paso para llegar a uno. Es decir, y siguiendo con la analogía de la casa, ahora que nuestro ciudadano particular ya sabía que la casa tenía algunas vulnerabilidades, lo siguiente que iba a hacer era contratar a un “ladrón”. El objetivo ahora era que esa persona entrara en la casa y se hiciera con todo lo posible, para lo que debía aprovecharse de las vulnerabilidades conocidas (o nuevas que encontrara). Por ejemplo, quizá el ladrón pudiera acceder a la casa gracias a la ventana que cerraba mal. Ahora bien, la alarma se disparaba correctamente y eso hacía que lo pudieran acabar deteniendo.

Eso sí sería un pentesting, pen test, penetration test o examen de penetración, o lo que es lo mismo, un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos. De esa forma, una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.

password-2781614_1920.jpg

Continuar leyendo “Cómo redactar un contrato de pentesting”