martes, 8 de mayo de 2012

GOOGLE no incumple las medidas de seguridad (por esta vez)

La asociación de consumidores y usuarios FACUA presentó una denuncia en la Agencia Española de Protección de Datos solicitando que se investigaran los fallos de seguridad de diversas aplicaciones para Android, que permitían que terceros accedieran a las claves utilizadas por los usuarios. Esta denuncia se basaba en un informe realizado por la Universidad Alemana de Ulm titulado “Catching AuthTokens in the Wild. The Insecurity of GOOGLE's ClientLogin Protocol”, al que se dio publicidad en distintos medios de comunicación de todo el mundo.

De acuerdo a la denuncia de FACUA, “los tokens o códigos de autenticación que recibe el usuario al ingresar a las aplicaciones Calendar, Contacts o Picasa desde Android eran enviados por conexiones que utilizaban el protocolo HTTP sin cifrar, lo que les hacía vulnerables a ataques”. FACUA reconocía que GOOGLE había comenzado a solucionar el problema, pero consideraba necesaria la intervención de la AEPD para proteger el derecho fundamental de datos de los usuarios españoles.”

Lean más información sobre la denuncia aquí y aquí.

La Agencia abre procedimiento sancionador por incumplimiento del art. 9 de la LOPD, relativo a seguridad de datos, y más en concreto, de los arts. 104 y 93 del reglamento de desarrollo de la ley. Finalmente, archiva el procedimiento. Veamos por qué:

El art. 104 RLOPD se refiere a la necesidad de cifrar los datos que viajen por redes de comunicaciones públicas, pero sólo es exigible su implantación en el caso de datos a los que se aplica el nivel de seguridad alto (datos especialmente protegidos, como por ejemplo, los datos de salud).

“De acuerdo con el análisis llevado a cabo por la universidad alemana, la eventual utilización de mecanismos de interceptación de la comunicación establecida entre un dispositivo Android conectado a Internet a través de una red pública abierta y el servicio de autenticación de GOOGLE del que hacen uso las aplicaciones analizadas en el momento en que se conecta el usuario hacía posible que terceros no autorizados pudieran capturar el instrumento técnico empleado para autenticar al usuario, el denominado authToken, facilitándose así la suplantación del usuario en posteriores intentos de conexión a esas aplicaciones, al tener esos instrumentos un período de validez de varios días.

El citado instrumento constituye un dato de carácter personal relativo a un usuario de las aplicaciones de GOOGLE, dado que precisamente se destina a autenticar su identidad y, por tanto, le hace identificable. Este dato, que se transmitía sin cifrar en la citada comunicación, sin embargo, no es uno de los contemplados en el apartado 3 del artículo 81 del Reglamento de desarrollo de la LOPD, por lo que no le resulta de aplicación el transcrito artículo 104.”

El art. 93, por su parte, establece medidas de identificación y autenticación de nivel básico (es decir, que deben ser cumplidas por cualquier fichero o tratamiento de datos de carácter personal). El art. 93, determina en su apartado 3, que “cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.”

Frente a esto, la Agencia argumenta:

Como se ha expuesto, si bien el denominado authToken no es en sí una contraseña, pues no es conocida por el usuario, sí es un instrumento unívocamente relacionado con el usuario de las aplicaciones de GOOGLE y su finalidad es precisamente la autenticación del usuario, por lo que análogamente a lo que el artículo 93 se exige para las contraseñas, deberían implementarse mecanismos que aseguren su confidencialidad, dado que en caso contrario, el procedimiento de autenticación perdería su eficacia. En consecuencia, resulta deseable que, aunque no esté expresamente previsto en el Reglamento, la transmisión de este instrumento por redes de comunicaciones se realice de forma cifrada, tal y como actualmente se hace, tras las modificaciones diligentemente implementadas por GOOGLE en su protocolo, al conocer los resultados del estudio realizado por la Universidad de Ulm.”

Teniendo en cuenta que no se ha producido ningún incumplimiento de la normativa de protección de datos, y que no existe constancia de que terceros hayan aprovechado estas vulnerabilidades para tratamientos indebidos, la AEPD archiva el procedimiento.

Texto completo de la resolución aquí.

3 comentarios:

David González Calleja dijo...

Muy curioso que no se analice la aplicación de la LOPD a Google Inc. Muy curioso que no se le haya dado audiencia también.

Ad Edictum dijo...

A mí me sorprenden los huevos de la AEPD para abrir procredimientos a Google Spain por infracciones cometidas por Google Inc. ¿Pero no habíamos quedado en que las empresas del mismo grupo eran personjas jurídicas independientes también en lo que se refiere a protección de datos?

David González Calleja dijo...

Pero esto se abrió contra Google Inc., no contra Google Spain. Por eso digo que me habría gustado que lo hubieran analizado.