Mi paso por el Women Techmakers Zaragoza

Poner una charla de una abogado un sábado a la hora de la siesta y tras conocer los testimonios de calidad de personas que pasaron por el Congreso Women Techmakers de Google en Zaragoza, requiere un plus intentando “despertar” inquietudes.

Aprovecho a dejaros la presentación que guió la charla AQUÍ. (advertiros que las tres últimas slides, al ser vídeos, no se ven en Slideshare. En todo caso, explico una de ellas al final de este post)

Privacidad seguridad desarrollo web susana gonzalez Derecho tecnologico womanstechmakersComo casi siempre comencé presentándome para quienes no me conocen. Una slide con “cosas escritas” define lo que soy parcialmente yo. Parcialmente porque, aun cuando mi padre siempre me ha dicho que “en comunidad nunca muestres tu habilidad”, soy bastante desobediente y todo apunta a que me encante estar metida en muchos jardines, algunas veces frondosos y, otras, pantanosos.

Sin embargo, el pasado día 20 de octubre en el #WTMZ18 descubrí que “lo mío” es común a las mujeres tech de este siglo. Desgasta, agota, inquieta, remueve, y es consustancial al trabajo en el entorno TIC. Algo que no es nuevo, que ya han venido haciendo nuestras antepasadas. Ojalá, al menos, estemos allanando el camino a las mujeres tech del siglo próximo.

Ya somos más de 7400 millones de habitantes en el planeta. De ellos más del 50% utiliza Internet, y casi el 30% asegura comprar online al menos una vez a la semana.

Cuando decimos habitantes, hablamos de personas. Personas que compramos entradas online, que interactuamos en redes sociales con otras personas no siempre conocidas en la vida real; personas que nos fiamos de los titulares de las noticias que leemos en internet (si, también de las basadas en la desinformación, de las fakenews…), que nos creemos los bulos que circulan por whatsapp y… sobre todo personas que nos movemos e interactuamos en base a lo que nos ofrece confianza.

Seguridad es confianza.

Seguridad es confianza, confianza en que las cosas van a ir bien. Cuando interactuamos con una web suponemos que quien la ha diseñado y quien la gestiona ha pensado en proteger o preservar nuestra información y nuestra seguridad.

Cuando nos vamos a lanzar un proyecto online, ya sea una web, una app, o un ecommerce pensamos en infinidad de cosas importantes, generalmente necesarias y vinculadas a su producción futura, como su nombre y el nombre de dominio, sus costes, sus contenidos, el público objetivo, la marca, e incluso el posicionamiento en buscadores (aunque este aspecto se descuida en muchas ocasiones).

Sin embargo, dejamos siempre de último lo que para el usuario parece no ser interesante hasta que se produce el problema, es decir que el proyecto sea legal, que cumpla los estándares y la normativa para garantizar los derechos del usuario.

Diseñar un proyecto de web o aplicación teniendo en cuenta la privacidad y la seguridad temprana nos ahorrará tener que dar marcha atrás y rediseñar el proyecto más adelante; lo que nos va a acarrear, además de una enorme responsabilidad legal ante posibles reclamaciones y sanciones, una pérdida reputacional importante frente a quien lo haga cumpliendo y ofrezca esa confianza desde el inicio.

Toma nota de estos dos principios básicos

privacidad seguridad desarrollo web legal web compliance susana gonzalezLlevar estos dos principios básicos a la práctica supone ya un gran paso frente a lo que nos encontramos cada día:

  • Seguridad y privacidad desde el diseño de forma proactiva y preventiva, es decir, no reactiva o correctiva.
  • Privacidad y seguridad como configuración predeterminada (olvidémonos de check premarcados o de intentar no informar o engañar al usuario usurpando sus datos sin darles la debida información mínima que, además, en cada caso será diferente).

Normas a tener en cuenta

Hay una serie de normas que debemos tener en consideración cuando estamos diseñando nuestro proyecto en Internet. Podemos leerlas y ponernos en acción aunque no seamos abogados.

La diferencia entre cualquier otro profesional y un especialista legal tecnológico es que conocemos las normas a aplicar y estamos todos los días al tanto de novedades interpretativas; es decir, de cómo las están interpretando los órganos con capacidad de inspección y sanción, los tribunales y las autoridades de certificación y control; por eso, no todo el mundo es abogado, ni abogado tecnológico además de informático, farmacéutico, arquitecto; de la misma manera que los abogados especialistas en tecnología no solemos ser farmacéuticos o arquitectos (alguno hay que sabe mucho de informática y que incluso tiene enormes capacitaciones técnicas adquiridas a base de estudiar y de pura inquietud práctica).

Buscar asesoramiento jurídico especializado nos evitará más de un problema en nuestro proyecto online. Sí, parece una cuña comercial, pero imaginad que yo, que tengo mi web y la mantengo y procuro mejorarla, voy a un congreso de abogados a decirles que cada cual puede hacer hand-made una web o una app porque en internet hay infinidad de herramientas gratuitas y muchos más tutoriales para hacerla de forma básica, sin contar con la ayuda de un diseñador o desarrollador web.

Estaría recomendando montar una plantilla, por ejemplo en WordPress, sin que luego tengamos los conocimientos necesarios para indexarla en los motores de búsqueda o instalarle un certificado SSL; o sin saber por qué una actualización de un plugin nos rompe el CSS. Diríais que estaría siendo intrusista y vendiendo humo, ¿no?. Pues eso.

¿Quiénes tienen que cumplir, por ejemplo, la normativa LSSI?

Creo que todos los sitios de Internet actuales, de 2.0 para arriba, deben cumplir la Ley de Servicios de la Sociedad de la Información. No hace falta vender online, porque somos prestadores de servicios de información aunque no seamos un ecommerce o no tengamos una app.

Siempre que exista un formulario de contacto, que enviemos comunicaciones electrónicas comerciales y, desde luego, si propiciamos la contratación de bienes o servicios.

Como prestadores de servicios de información (PSI) tenemos obligaciones como:

  • No realizar comunicaciones electrónicas no consentidas expresamente, o puede ser considerado spam.
  • Obtener los datos personales de forma lícita y utilizarlos exclusivamente para la finalidad para la que expresamente ha sido autorizada.
  • Velar porque los contenidos sean lícitos y, aquí ya no sólo hablamos de cumplimiento de la normativa de publicidad, sino de pensar en la multitud de tipos de destinatarios de nuestra información, incluidos los menores; o en si las imágenes que utilizamos no infringen derechos de propiedad intelectual de otros PSI, lo que nos lleva a tener que conocer un poquito sobre licencias para el uso autorizado de dichas imágenes, etc, etc, etc.

Dónde reflejamos todo lo que debemos cumplir en nuestro proyecto online.

Todo esto se estudia y articula para cada sitio en Internet en los llamados textos legales. Esos avisos generalmente larguísimos que casi nadie lee. Casi nadie hasta que le surge un problema; porque …. cuando quieres reclamar acudes a ver cómo puedes hacerlo, y es entonces cuando descubres que no puedes contactar con nadie porque el titular de esa web no se ha identificado como obliga la normativa; o que donde debería indicar la identificación del responsable de la web dice “Este sitio web es responsabilidad de XXXXX” o directamente, de Amazon, del Corte Inglés o del bloguero admirado de turno de quienes se han copiado los avisos legales sin ni siquiera molestarse en cambiar los datos del responsable.

Se trata del aviso legal, la política de privacidad, la política de cookies, los términos y condiciones y, ya en nivel pro, la política de seguridad que contenga las medidas técnicas y organizativas de seguridad aplicables al sitio.

Unos textos legales bien redactados transmiten confianza. ¿Qué pensaríais si compramos un vestido monísimo y baratísimo en una web y no llega pasado mes y medio, acudís al aviso legal y no hay forma de hallar la dirección o el contacto con atención al cliente donde reclamar, o si encontráis que la tienda online ha hecho copy-paste de los textos de Amazon?

Es real. Mucha gente ha acudido a reclamar a Amazon por incumplimientos o disputas en sitios web que nada tienen que ver con ella porque, como decíamos antes, estos han copiado íntegramente sus avisos legales sin cambiar el responsable de la web (manteniendo a Amazon).

Al margen del posible delito al que nos enfrentamos por copiar unos textos, lo más seguro es que, además, Amazon tenga una dotación económica provisionada para asumir riesgos que un ecommerce de una pyme no se pueda permitir. De ahí que sea tan importante que los avisos sean personalizados al sitio.

Otros deberes

Además de contar con nuestros textos legales personalizados al sitio web concreto, tenemos que ser conscientes de las siguientes obligaciones:

1.- Debemos ser capaces de identificar brechas de seguridad en nuestra web que afecten a datos personales para poder cumplir la obligación de notificar los incidentes de seguridad que hayan ocasionado fugas de datos personales a la autoridad de control en el plazo máximo de 72 horas.

2.- Debemos contar con un análisis de nuestros riesgos en materia de seguridad de los datos personales que tratamos y decidir con responsabilidad cómo vamos a planificar la protección de los activos que tratan dichos datos (asumiendo los riesgos, externalizándolos o minimizándolos implementando las medidas técnicas y organizativas de control que consideremos adecuadas al nivel de protección y al riesgo identificado).

3.- Debemos cumplir con la obligación de informar con carácter previo a obtener el consentimiento para el tratamiento de datos personales y, además, ser capaces de guardar la evidencia del consentimiento informado, generando una base de datos articulada para ello de manera sistemática y coordinada con cualquier otro tratamiento de dichos datos en nuestra empresa, que nos permita dar respuesta real a los derechos de los usuarios webs, así como tener evidencia de que se ha prestado el consentimiento.

Otras recomendaciones de seguridad y privacidad en el desarrollo web

Existen estándares que nos permiten valorar desde el diseño si nuestra web va a salir a producción cumpliendo requisitos de seguridad y privacidad suficientes que considero que quienes os dedicáis a desarrollo web y de aplicaciones nativas deberíais conocer (a estudiar).

Por ejemplo, contamos con OWASP, un proyecto de código abierto dedicado a determinar y combatir las causas de un software inseguro que, además, nos da pistas de las medidas de control.

También SAST es un test White box que analiza el diseño del código para ayudarnos a descubrir fallos de seguridad y DAST es un test black box que analiza la versión final para valorar el cumplimiento de los estándares en seguridad y privacidad.

Demo time!

Visitamos una web de un conocido congreso para comprobar como informa a los usuarios y como tiene aseguradas las bases de datos de inscritos y patrocinadores.

Los textos legales suelen estar en el faldón. A pesar de ello, comprobamos que no los tiene. No hay ni rastro de avisos legales en el footer, pero tampoco aviso de primera capa de información de cookies ni de tratamiento de datos personales en los formularios de inscripción.

Empezamos bien: Incumplen.

La web tiene instalado certificado SSL (está en https) pero está mal implementado (lo podéis comprobar porque aparece en gris).

Al llegar al formulario, “tropiezo sin querer” con las comillas antes de introducir letras al azar :D.

Lo normal es que cualquier página bien hecha sanitice los datos introducidos y al teclear un carácter no permitido (como la comilla) lo elimine e impida la consulta a la base de datos. Sin embargo, en este caso no está bien asegurada (han utilizado una versión muy antigua de PHP) y conseguimos entrar a la base de datos del formulario de usuarios registrados.

Lo mismo nos sucede en la página de registro, “se nos vuelve a escapar” una comilla y nos da acceso a la intranet. Una vez allí, podemos ver en el menú de la izquierda “datos económicos del congreso”, datos que, evidentemente, deberían estar protegidos.

Decido salir de ahí. Pero una vez fuera, es decir en la página de registro, me fijo en la url.

Resulta que, en la parte final de la misma nos encontramos un fragmento como el siguiente:

…/cong/acceso_cong.php?idcongXxx….

Mmmm, parece claro que ese “cong” es porque es el acceso para congresistas. Pero, siendo un congreso importante, tendrá también un acceso para organizadores, ¿no?.

Lo que ya no tendría sentido es que ese acceso fuera tan obvio como sustituir en la url “cong” de congresistas por “org” de organizadores (u organización, vaya)… Probemos…

Pues… Voilá! Nos da acceso a los datos del comité organizador!! Entre ellos, los de todos los inscritos en el congreso, unas 700 personas, sus datos personales, datos de  tarjetas bancarias, cuotas de pago de la inscripción, etc.

Los datos muy seguros no están.

¿Qué sucedería si en lugar de haber accedido yo hasta donde accedí y me retiré, lo hubiera hecho un ciberdelincuente capturando toda esa información para cometer un ulterior delito?

Sí, cualquiera hoy en día puede montarse una web en WordPress o en cualquier otra plataforma. Pero cada día más los usuarios requerimos cumplimiento normativo y seguridad de nuestra información, o al menos deberá marcar la diferencia.

Y, para quienes no prevén cumplir los requerimientos de seguridad y privacidad desde el diseño, no solo deben ser conscientes de estar asumiendo riesgos de sanción y reclamaciones de daños y perjuicios, sino el enorme riesgo reputacional en el que incurren si los usuarios descubren la dejadez que supone que el responsable de la web esté dejando en plano, al alcance de “cualquiera que pase por allí”, sus datos personales e información en ocasiones tan sensible como los datos de tarjetas de crédito.

¿Creéis que merece la pena asumir el riesgo? Ya es hora de tomarnos las cosas un poquito en serio.