Cómo redactar un contrato de pentesting

Síguenos en |    

Érase una vez un ciudadano particular que se acababa de comprar una casa y al que le preocupaba mucho la seguridad.

Le habían dicho que la barriada en la que había comprado la casa era muy tranquila, pero aún así quería saber lo segura que resultaba. Sin embargo, no tenía claro cómo hacerlo. Entonces pensó en algo: le daría las llaves a uno de sus mejores amigos (que era vigilante de seguridad) y le pediría que examinara por dentro y por fuera la casa, para descubrir cómo alguien podría llegar a entrar.

De esa manera, su amigo debía probar las ventanas, las cerraduras o cómo de resistente era la valla. El objetivo era descubrir cualquier posible vía de entrada en la casa para por ejemplo, robar algo. Hecha la prueba, el amigo le dijo que había encontrado una ventana que cerraba mal y una cerradura mal instalada.

Lo que el amigo de nuestra pequeña historia había hecho era lo que en el mundo de la ciberseguridad se llama un escáner de vulnerabilidades. Es decir, el primer paso para conocer las fortalezas, debilidades y necesidades de tu negocio desde el punto de vista de la ciberseguridad.

¿Pero era eso un pen test? No, era solo el primer paso para llegar a uno. Es decir, y siguiendo con la analogía de la casa, ahora que nuestro ciudadano particular ya sabía que la casa tenía algunas vulnerabilidades, lo siguiente que iba a hacer era contratar a un “ladrón”. El objetivo ahora era que esa persona entrara en la casa y se hiciera con todo lo posible, para lo que debía aprovecharse de las vulnerabilidades conocidas (o nuevas que encontrara). Por ejemplo, quizá el ladrón pudiera acceder a la casa gracias a la ventana que cerraba mal. Ahora bien, la alarma se disparaba correctamente y eso hacía que lo pudieran acabar deteniendo.

Eso sí sería un pentesting, pen test, penetration test o examen de penetración, o lo que es lo mismo, un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos. De esa forma, una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.

password-2781614_1920.jpg

Continuar leyendo “Cómo redactar un contrato de pentesting”

El efecto Brexit en cuestiones jurídico tecnológicas

Síguenos en |    

“Brexit means Brexit”, dijo la primera ministra Theresa May por allá julio de 2016 tras ser elegida para el cargo. Sea lo que sea que eso acabe significando, lo que sin duda supondrá (y ya lo está haciendo) es uno de los terremotos jurídicos más importantes que ha visto Europa en muchas décadas. Desde las mercancías al transporte pasando por los permisos de trabajo o residencia, el efecto jurídico de Brexit es inmenso.

Ese efecto también se notará en materias más relacionadas con el derecho tecnológico. Es decir, protección de datos de carácter personal, propiedad intelectual e industrial, gestión de dominios web, contratos online o incluso criptomonedas, entre otras. Por ello hemos pensado analizar cómo Brexit puede impactar en cuestiones de corte más jurídico – tecnológicas.

En cualquier caso, y antes de adentrarnos en ello, comencemos por el principio: ¿qué es Brexit?

Brexit es un acrónimo inglés formado por “Britain” (Gran Bretaña, en español) y “Exit” (Salida). De ese modo, es la palabra utilizada para hacer referencia al referéndum que tuvo lugar el 23 de junio de 2016, donde los ciudadanos británicos decidieron sobre a la continuidad del Reino Unido en la Unión Europea.

La decisión fue impactante e inesperada, ya que un 51.9% de los británicos votaron a favor de la salida del país de la Unión Europea (el 48,1% restante votó en contra).

resultados_brexit
Los resultados del referéndum del 23 de junio de 2016

El resultado del referéndum ha supuesto que por primera vez en la historia se aplique el art. 50 del Tratado de la Unión Europea, que regula la retirada voluntaria de un Estado miembro de la Unión. Evidentemente esta salida del Reino Unido no se podía hacer de forma inmediata, ya que era necesario un periodo de negociación para debatir los acuerdos de la retirada, configurar el régimen transitorio aplicable a las relaciones constituidas con anterioridad a la fecha de retirada y negociar un nuevo marco jurídico aplicable al Reino Unido, tanto con la Unión Europea así como con el resto de países.

Por tanto, para hacer efectiva la retirada del Reino Unido como Estado miembro de la Unión Europea (en adelante UE), se debían pasar por las siguientes 5 fases (indicar que ahora mismo todavía estamos en la Fase 3):

Continuar leyendo “El efecto Brexit en cuestiones jurídico tecnológicas”

Qué hacer cuando tu hijo se gasta 4.000 euros en emojis

Síguenos en |    

Los micropagos online o la adquisición de pequeñas piezas de contenido para un juego o servicio llevan varios años a la orden del día. Ese fenómeno es lo que ha conseguido que un juego gratuito como Fortnite genere más de 3 billones de dólares solo durante 2018. Una particularidad de ese fenómeno es que el jugador adquiere de forma muy sencilla, y por importes muy pequeños, ítems útiles para el juego o servicio (un sombrero o un tipo especial de emoji, por ejemplo). Por tanto, dado el poco esfuerzo que implica el pago, se hace con regularidad. 

Ahora bien, muchos de los servicios que incluyen micropagos son usados por niños, y ellos no siempre tienen claro el concepto de micropagos. Eso ha llevado a numerosos casos en los que un menor de edad gastaba miles de euros en un juego al comprar decenas de miles de ítems (desde puntos en FIFA a gemas en Clash of Clans). El problema está en que el menor no siempre entiende que está adquiriendo algo que cuesta dinero (como podrían ser unos zapatos), sino un elemento del juego que necesita para seguir jugando.

Ello ha llevado a cuestionar mucho cómo se muestran los micropagos a menores de edad, pensados normalmente con la voluntad de generar cierta adicción y consumo compulsivo. De hecho, Apple, Amazon y Google han sido condenados a la devolución de millones de dólares en relación a muchos de estos micropagos fraudulentos (por haber implicado grandes gastos y sin consentimiento paterno).

Curiosamente, hace muy poco hemos tenido otro caso similar a los comentados, pero implicando de lleno a uno de los influencers más conocidos, en España y más allá. Nos referimos al youtuber ElRubius.

Continuar leyendo “Qué hacer cuando tu hijo se gasta 4.000 euros en emojis”

Las recomendaciones europeas para buenas prácticas en el marketing de influencia

Síguenos en |    

El pasado 10 de diciembre de 2018 se aprobó la “Recomendación de buenas prácticas en el marketing de influencia” de la EASA (European Advertising Standards Alliance).

En primer lugar, ¿qué es una recomendación de buenas prácticas? Pues bien, son pautas no vinculantes que tienen como objetivo lograr un alto nivel de coherencia en la competencia y aplicación de la autorregulación de la publicidad en toda Europa. Además, están diseñadas para estimular y ayudar a las discusiones nacionales sobre el desarrollo de una autorregulación efectiva y están pensadas ​​como un medio para tomar acciones claras tanto en Europa como a nivel nacional.

photo-1545341122-5f5ebb2cce2b

La rápida evolución de la tecnología y del desarrollo de plataformas ha hecho que las prácticas de publicidad y marketing evolucionen y aumenten exponencialmente. Por ello, la presente recomendación de la EASA pretende buscar los elementos clave de las técnicas del marketing de influencia, así como ayudar a las organizaciones autorreguladoras a crear sus propias prácticas nacionales.

Continuar leyendo “Las recomendaciones europeas para buenas prácticas en el marketing de influencia”

La fuerza imparable (RGPD) contra el objeto inamovible (Blockchain)

Síguenos en |    

Cuenta la leyenda que el origen de la palabra “contradicción” en chino proviene de una historia en la que un comerciante estaba tratando de vender una lanza y un escudo.

Cada vez que al comerciante le preguntaban cómo de buena era su lanza, éste aseguraba que podía atravesar cualquier escudo. A su vez, cuando le preguntaban lo bueno que era su escudo respondía que podía detener los ataques de cualquier lanza. Entonces un día alguien le preguntó qué pasaría si arrojaba su lanza contra su escudo. El vendedor no supo qué contestar y eso dio origen a la palabra.

Esta historia no es más que otra versión de la famosa paradoja de la fuerza imparable contra el objeto inamovible, un problema de lógica clásica que no intenta reflejar una realidad sino jugar con la teoría de esa realidad.

Curiosamente, la llegada de uno de los cambios normativos más importantes de los últimos 20 años en Europa, el Reglamento General de Protección de Datos (en adelante RGPD), se asemeja a una fuerza imparable que todo el mundo debe aplicar (incluso más allá de la Unión Europea).

Por otro lado, hace 10 años nace un tipo de tecnología que se aleja muy considerablemente de los esquema conocidos y que entre sus características básicas presenta la inmutabilidad de los cambios que recopila. Obviamente estamos hablando de blockchain, o lo que es lo mismo, un objeto aparentemente inamovible.

Esta fuerza imparable (el RGPD) y ese objeto inamovible (blockchain) están chocando de pleno desde la aplicabilidad del primero el pasado 25 de mayo de 2018. De hecho, prometedores proyectos han cerrado por ello. Y ese choque está ocurriendo en materias aparentemente irreconciliables: 1) el derecho de supresión frente a la inmutabilidad de la cadena; 2) la identificación clara y centralizada de responsables, encargados e interesados frente a un sistema completamente descentralizado; 3) el cifrado de la información personal subida a la cadena de bloques o 4) la prohibición (con límites) de decisiones únicamente automatizadas frente a “contratos inteligentes” autoejecutables e irrevocables.

¿Pero es esa fuerza tan imparable como dice y ese objeto tan inamovible como aparenta? A lo largo de este post vamos a intentar a explicar en detalle las problemáticas que están surgiendo entre uno y otro elemento, así como las posibles soluciones (presentes y futuras) que puedan permitirnos superar esta paradoja.

force_object_china
La batalla original entre la fuerza imparable y el objeto inamovible

Continuar leyendo “La fuerza imparable (RGPD) contra el objeto inamovible (Blockchain)”

La regulación de la publicidad de influencers en España, Europa y más allá

Síguenos en |    

En las últimas semanas el Reino Unido se ha puesto mucho las pilas en materia de publicidad y marketing de influencia. Y sobre todo se las ha puesto a los influencers.

Para empezar, el Advertising Standards Authority (ASA) advirtió a casi 300 influencers que en redes sociales estarían vulnerando las reglas establecidas en relación a las publicaciones patrocinadas. La ASA es la organización que analiza la adecuación de un anuncio o campaña, si alguien lo denuncia, en Reino Unido.

En este sentido, la organización fundamentaba estas advertencias en la necesidad de informar al consumidor. En especial cuando los seguidores de los influencers se encuentran ante una publicación que incluye un producto o servicio concreto, por el cual el influencer en cuestión está siendo remunerado pero que no se identifica adecuadamente como publicidad. Continuar leyendo “La regulación de la publicidad de influencers en España, Europa y más allá”

Cuestiones legales del servicio Cobot para coworkings

Síguenos en |    

Desde la llegada a España de los coworkings en la última década, el auge de este tipo de espacios no ha dejado de crecer.

Sin embargo, todavía existe un sector de la población que se pregunta ¿qué es un coworking? Pues bien, un coworking es un espacio compartido por diferentes trabajadores, en su mayoría emprendedores y autónomos de diversas empresas, que se utiliza como oficina común. El objetivo primordial de estos espacios es establecer una red de contactos profesionales que favorezcan a todos los usuarios así como ahorrar costes.

Una figura a destacar dentro de los emprendedores y autónomos en coworkings son los influencers. Éstos hacen uso de estos espacios no solo como lugar de trabajo sino como una oportunidad de poder llevar a cabo relaciones con otros profesionales y por qué no, encontrar nuevas marcas con las que realizar campañas. Asimismo, también son muchos los influencers que llevan a cabo una labor publicitaria de los espacios coworking a fin de conseguir que los profesionales abandonen el estilo laboral tradicional y opten por estos nuevos espacios de trabajo. Además, y por si la incidencia de los influencers fuese poca con lo expuesto, también podemos encontrarlos lanzándose como empresarios creando o fundando sus propios coworkings.

Una de las herramientas más populares hoy en día para la gestión de un coworking es Cobot. La misma es un software que intenta facilitar la organización de las tareas diarias de los espacios de coworking. Este software fue creado a principios de 2010 por Upstream-Agile, empresa alemana que opera desde Berlín.

cobot 1

Continuar leyendo “Cuestiones legales del servicio Cobot para coworkings”