martes, junio 07, 2011

La Web de Confianza Online de Inteco Hackeada

Ha sido bajarme del avión y recibir todos los correos electrónicos de la gente preocupada por el mensaje que les había llegado desde Inteco. ¿Es esto cierto? Pues sí, la web de Confianza Online de Inteco ha sido hackeada y, además de llevarse los datos de los usuarios registrados, han publicado una noticia con un mensaje de apoyo al movimiento 15M. ¿Ironía el hackeo de una web dedicada a la Confianza Online de nuestro Cert?


Deface completo



El texto de la noticia

Y el mensaje que han enviado a los miembros que tenían sus datos allí ha sido el siguiente:

Asunto: Importante. Mensaje para los usuarios de la plataforma de formación en línea de INTECO.

Estimado/a usuario/a:

Nos ponemos en contacto con usted para comunicarle que INTECO ha sufrido un incidente de seguridad que ha provocado una sustracción de datos de información personal de la base de datos de usuarios de nuestra plataforma de formación en línea. Los datos que han sido robados son aquellos que nos facilitó usted durante el proceso de registro, entre los que pueden estar:

- Nombre y apellidos.
- Número de teléfono.
- DNI.
- Correo electrónico.

Hemos procedido a bloquear el acceso a la plataforma de formación hasta que el problema haya sido resuelto y se pueda garantizar su seguridad. Le informaremos tan pronto se reanude el servicio de modo que pueda continuar con su actividad formativa.

Existe el riesgo de que la información sustraída pudiera ser empleada con fines maliciosos. Por ese motivo, le recomendamos que siga los siguientes consejos de seguridad:

1. Desde INTECO nunca se le solicitará información de carácter personal por correo electrónico o teléfono. No responda a ninguna petición de información de estas características.

2. No haga clic en enlaces incluidos en mensajes de correo electrónico, mensajes SMS o MMS cuyo origen no sea confiable.

3. Mantenga su equipo adecuadamente protegido con aplicaciones de seguridad y debidamente actualizado con los parches recomendados por el fabricante.

4. Ante cualquier duda, póngase en contacto con INTECO en la dirección de correo incidencias@cert.inteco.es

Desde INTECO queremos pedirle disculpas por los inconvenientes causados y nos ponemos a su disposición para resolver cualquier duda que pueda surgirle.

Reciba un cordial saludo.


El mensaje no va firmado digitalmente, ni el texto va suscrito por nadie en concreto y es enviado desde un buzón genérico. ¿Algún comentario al respecto de toda esta historia?

Saludos Malignos!

50 comentarios:

Mot dijo...

A mi me ha tocado. Hice un curso de LOPD :|

fossie dijo...

Si es que al final resulta que nada es seguro y que los "hackers" le ponen más empeño en las webs que los administradores en hacerlas seguras.

El tema de Confianza Online siempre me ha parecido curioso ya que realmente es un tema de confianza muy genérico. He visto muchas páginas con el sello de Confianza Online que no son nada seguras por lo que ¿que seguridad da ese sello? ¿simplemente nos indica que nos podemos fiar de que los dueños de la web no nos harán ninguna trastada?

En fin que pienso que esto se debe al "movimiento" que hay últimamente de entrar y "robar" datos para demostrar que es posible (sony, nintendo...)

Opsy dijo...

Confianza Online es, supongo que entre otras cosas, un sello que garantiza al usuario que la página en la que está comprando ofrece unas mínimas garantías de calidad.
No creo que esté orientada a seguridad informática sino más bien a los derechos de los consumidores, por ejemplo devolución del dinero en productos defectuosos, compromiso de que los precios ofrecidos en la página son válidos, tramitación de reclamaciones, junta de arbitraje, etc.
Si queréis un ejemplo de una actuación de Confianza Online podéis buscar en google el caso del disco duro de la Fnac.

Anónimo dijo...

¿Cómo ha sido?

Anónimo dijo...

fossie, lo de últimamente, supongo que te referirás a los últimos 20 años, porque el hecho de que ahora se publicite más, no quiere decir que no se lleve haciendo muuuucho tiempo (y me quedo corto)

Anónimo dijo...

Esto demuestra que la seguridad al 100% no existe. Por cierto, el titular está mal porque por lo que se puede ver en la web Confianza On-line pertenece a Red.es

Anónimo dijo...

confianza online NO es una web de la empresa INTECO...

fossie dijo...

Pues si, la seguridad 100% no existe pero que es que se ve cada cosa... una cosa es que te hackeen algo utilizando técnicas avanzadas y otra que te hagan una inyección sql o que dejes los directorios visibles (no digo que sea el caso)

Si anónimo, eso es cierto, ahora se publicitan más las cosas y en los últimos años también se ha estado haciendo pero aún así me parece una "moda". Cuando alguien descubre algo en un sitio pues intentar ver si ese "algo" puede existir en otros sitios y cuando se publica otras personas también buscan ese "algo"

No se si me explico... se me va la pinza jeje

Anónimo dijo...

Confianza online no pertenece a Inteco...

Anónimo dijo...

Como dice "Opsy", el sello es porque cumplen la LOPD y tienen políticas ajustadas a la ley de comercio minorista, etc... no se preocupan por la seguridad 100%. Yo he tenido que preparar políticas para webs que "necesitaban" ese sello y sólo es burocracia legal.

Pero queria comentar que soy uno de los afectados por el robo, en meneame encontré un enlace al fichero en formato .txt que se compartia en 'MediaFire' (podeis buscar), notifiqué a incidencias@inteco el hallazgo, y no se si por eso, o porque ya estaban en ello, ahora está eliminado, pero ha estado disponible más de 20 horas, en ese espacio se ha tenido que descargar mil veces...

Pude comprobar que había más de 20.000 registros, con nombre y teléfono. y me sienta mal, porque todos los que habemos en él somos estudiantes o a lo mucho, simples currantes. No políticos ni nada de eso, y ni mucho menos tenemos nada que ver con la web o sus responsables y promotores, por lo que no está bién lo que han hecho, se ampare en el movimiento que se ampare...

Me caia simpático éste movimiento, pero si empiezan a perjudicar a los ciudadanos, se les dará la vuelta, antes o después.

Winston Smith dijo...

A menudo es necesario recordar verdades como templos: si estás conectado eres vulnerable. La seguridad informática es un concepto my ambigüo que consiste fundamentalmente en filtrar información, es decir, permitir o impedir el tráfico de paquetes de
datos. El insecto se replica incesantemente.
http://hacksperger.wordpress.com/

Anónimo dijo...

Es un problema de recursos y de educación. En la Administración publica se dedican muy poco recursos de personal a la seguridad TIC, falta personal. No me extraña para nada este incidente, y mas que se van a producir en otras instancias de la Administración.

Y no digamos la cultura del trabajador sobre estos temas, ninguna.

Anónimo dijo...

Lo que más me gusta es que alguien se arrogue mayorías inexistentes diciendo que el pueblo quiere cambiar las cosas. ¿Quién? ¿Asambleas que no representan ni al 0,01% de la población? ¿O quizá es que entienden que todo aquel que no votó, independientemente de su circustancia, estaba a favor de lo que ellos dicen?

Se les está yendo la pinza pero mucho

INTECO NO dijo...

Solo leo mentiras y mas mentiras que si el Inteco actuo muy bien!

Por favor que no nos engañen mas, el INTECO no informo uno a uno, es mentira, envio un mail generico, ni el texto va suscrito por nadie en concreto, no uno por no como nos estan vendiendo.

Les roban los datos al Inteco y encima me vende que estan actuando bien.

Por cierto que se apliquen sus consejos de seguridad, visto lo visto.

Nadie dimite?
Aqui nunca pasa nada?
No deberian denunciar al Inteco la gente de la LOPD?

Alex Millà dijo...

Vaya, un ZAS en toda la boca.

Si al final siempre pasa lo mismo, en casa de cada uno hace lo que le da la gana. :)

Chen dijo...

Yo tb soy uno de los afectados...

Anónimo dijo...

Al que dice lo de las asambleas... que yo sepa en el movimiento de Democracia Real Ya / No les votes (manifestación del 15-M y por lo tanto raíz del movimiento) las asambleas son una parte muy pequeña.
Usted se está confundiendo por lo que dicen en la TV y los periódicos. Las asambleas y acampadas NO SON el movimiento, son una minoría, muévase por la red.
Y vea bien el vídeo, porque el vídeo de Anonymous habla del consenso de mínimos, no de las cosas raras que algunos iluminados dicen en las asambleas.

fossie dijo...

me "encanta" entrar en politiqueo y que encima el debate se haga entre "anónimos"... (ironic mode off)

Anónimo dijo...

Al de la crítica al movimiento, que sepa que el que haya hackeado ésto NO ES el movimiento.
Puede que sea un hacker con simpatía por el movimiento, y que quiera difundir ésto. Pero no lo es.
Por otro lado, que haga un deface sin publicar datos de usuarios no lo veo mal, es una forma de difundir el mensaje y llamar la atención. Pero distribuir datos de personas (si realmente lo ha hecho) no está bien, claro.

Pj dijo...

Se han difundido datos de los usuarios, ayer circulaba por Internet un txt con ellos (o al menos parte de ellos)

Vue dijo...

Como he comentado antes, en el comentario de las 10:04, y corroborando a "Pj" y respondiendo al Anónimo de las 12:30 PM :

No sé si ésto ha sido provocado por "el Movimiento", pero ya se lo han atribuido ellos mismos, y SI, HAN HECHO PUBLICOS DATOS DE CIUDADANOS, QUE NADA TIENEN QUE VER CON INTECO, Excepto asistir a su formación online gratuita.

Prueba de la publicación : http://www.meneame.net/story/hackeadas-pagina-web-confianzaonline-inteco

Lo dicho, no cuentan con mi simpatía, así no, no se puede joder al ciudadano de esa manera.

Anónimo dijo...

Haber que sanción les aplica el organismo encargado de velar por la LOPD para proteger a los más de 20.000 perjudicados y que de verdad se haga efectiva.
Es indignante.

Anónimo dijo...

Y aun tienen la desfachatez de aconsejar…. El único consejo básico para los usuarios es que nunca vuelvan a utilizar ningún servicio de estos señores y así quedan libres de que nunca mas se les robe su información personal. Pero lo mas grave es que estos señores también trabajan con el ministerio del interior y demás ministerios en temas de seguridad, ¿y si mañana les roban toda la información que puedan tener de los cuerpos de seguridad del estado…?

Anónimo dijo...

La pregunta que surge es, ahora quienes son los que van a dimitir, porque jugamos con el dinero de los españoles, nos pasamos por el forro los procesos de admisión de trabajo para meter a los amiguitos y encima lo hacemos a la vista de todos, total cualquiera se queja, hacemos cursos y máster de MIERDA, ahora esto ya no se puede tapar, empezaran a dimitir o le hacharan la culpa a otro pobre becario...

Indignación máxima!!!

fossie dijo...

Dios como se os va la pinza pidiendo dimisiones y multas millonarias. Todos somos personas y todos cometemos errores. Vale que ellos aconsejan sobre como estar un poco más seguros en internet pero eso no quiere decir que esa página sea Fort Knox.

Como se nota cuando "pataleais" contra algo con tal de hacer revuelo y que la gente se escandalice. ¿Acaso habeis pedido dimisiones en Nintendo o en Sony? Es el mismo tipo de información por lo que también habría que pedir las mismas multas pero me da a mi que esto es solo intentar montar un escandalo.

Eso de que nos pasamos por el forro los procesos de admisión de trabajo para meter a los amiguitos... pues supongo que habrá algún caso pero donde se da más es en las empresas privadas. Lamentablemente el problema aqui no son los "amiguitos" sino que las empresas privadas se aprovechan un monton del estado ya que tener un contrato del estado es un chollo y les facturan un pastón por hacer un trabajo mediocre (aunque por suerte no todas las empresas trabajan así)

Me gustaria que alguno de los "listos" que van lanzando acusaciones demuestre algo y que diga que empresa y que amiguitos son los responsables de este problema. Y nuevamente volvemos al eterno dilema. ¿Si alguien me roba la cartera es culpa mia por llevarla en el bolsillo del pantalon (poco seguro)? ¿o es culpa del que me la roba? Vale que yo podría salir con una caja fuerte colgada al cuello pero ¿es normal?

Y que conste que no me hace gracia que se haya revelado información personal pero eso es culpa del hacker que la difundió. Puede que tenga parte del culpa la web pero tampoco sabemos que tipo de problema de seguridad han tenido y si era más o menos complejo acceder a esa información.

Es un tema complejo que siempre esta en el aire pero la verdad es que me molesta que siempre se aprovechan estas cosas para arremeter contra las instituciones. ¿Porque no se hace antes? ¿porque ninguno de los "listos" les avisó que habia un problema de seguridad? que facil es criticar...

Ale, ya me he quedado agusto! :)

Anónimo dijo...

Igual si los avisaron durante años y nadie hizo nada para remediarlo...

fossie dijo...

Si, así es, igual los avisaron y nadie hizo nada. Igual el hackeo es cosa de un extraterrestre...

Es lo guay de esto, es fácil hablar con suposiciones y conjeturas pero ¿quien habla con rigor?

Si alguien tiene los datos que los exponga y no empeceis con polémicas ni escandalos porque eso no ayuda.

Si yo veo un problema de seguridad en un sitio lo primero que hago es avisar y si pasado un tiempo pasan de mi pues se hace público y que se busquen la vida pero que yo sepa el hacker no ha dicho que les hubiera avisado ¿porque no ha hecho público el email donde les informaba del problema?

Y... en el caso de detectar un problema de seguridad seguro que si habrían hecho caso si se pone en conocimiento del grupo de delitos tecnológicos.

Toy cabreao!!!!!! jajajajaja

Anónimo dijo...

Me ha recordado la parábola de los 6 pentesters.

Habia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.

El primero de ellos realizo una búsqueda en Google del dominio y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"

El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"

El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"

El cuarto dio uso de SQLPowerInjector y levantando la mano expreso "Las consultas a la base de datos se realizan con el usuario administrador, puedo
ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"

El quinto pentester abrio un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"

Por ultimo el sexto de ellos envio un email de pishing a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy facil utilizar ingeniería social"

Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nHabia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.

El primero de ellos realizo una búsqueda en Google del dominio y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"

El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"

El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"

El cuarto dio uso de SQLPowerInjector y levantando la mano expreso "Las consultas a la base de datos se realizan con el usuario administrador, puedo
ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"

El quinto pentester abrio un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"

Por ultimo el sexto de ellos envio un email de pishing a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy facil utilizar ingeniería social"

Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nadie le importaba la seguridad.

"Parábola de los Seis Pentesters".
Encontrada en una abadia abandonada en las afueras de Gerli.adie le importaba la seguridad.

"Parábola de los Seis Pentesters".
Encontrada en una abadia abandonada en las afueras de Gerli.

Anónimo dijo...

Pero si ellos tienen un CERT... y son referentes es seguridad, están sometidos a un SGSI y a la LOPD. Eso significa que existen los procedimientos necesarios para identificar ese problema de seguridad antes de que ocurra. AHHHH vale, que se han pasado los procedimientos por ahí

El mismo de antes dijo...

Podría aplicarse después de todos los comentarios para paràbola de los seis hindúes.

Seis hindúes sabios, inclinados al estudio, quisieron saber qué era un elefante. Como eran ciegos, decidieron hacerlo mediante el tacto.
El primero en llegar junto al elefante, chocó contra su ancho y duro lomo y dijo: «Ya veo, es como una pared».
El segundo, palpando el colmillo, gritó: «Esto es tan agudo, redondo y liso que el elefante es como una lanza».
El tercero tocó la trompa retorcida y gritó: «¡Dios me libre! El elefante es como una serpiente».
El cuarto extendió su mano hasta la rodilla, palpó en torno y dijo: «Está claro, el elefante, es como un árbol».
El quinto, que casualmente tocó una oreja, exclamó: «Aún el más ciego de los hombres se daría cuenta de que el elefante es como un abanico».
El sexto, quien tocó la oscilante cola acotó: «El elefante es muy parecido a una soga».
Y así, los sabios discutían largo y tendido, cada uno excesivamente terco y violento en su propia opinión y, aunque parcialmente en lo cierto, en su frente se erigía la enorme verdad del elefante.

"Parábola de los Seis Sabios Ciegos y el Elefante".
Atribuida a Rumi, sufí persa del s. XIII.

El mismo de antes dijo...

Habia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.

El primero de ellos realizo una búsqueda en Google del dominio y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"

El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"

El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"

El cuarto dio uso de SQLPowerInjector y levantando la mano expreso "Las consultas a la base de datos se realizan con el usuario administrador, puedo
ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"

El quinto pentester abrio un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"

Por ultimo el sexto de ellos envio un email malicioso a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy facil utilizar ingeniería social"

Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nadie le importaba la seguridad.

"Parábola de los Seis Pentesters".
Encontrada en una abadia abandonada en las afueras de Gerli.

Alex Millà dijo...

El mismo de antes dijo...: justamente leí ayer tu parábola en otro tema que no tiene nada que ver. Que casualidad. :)

fossie dijo...

uy cuantas siglas te sabes "Anónimo"... ya podías usar un nick.

Todo el mundo esta sometido a la LOPD, la gente no puede dar datos personales alegremente y que yo sepa ellos no lo han hecho por lo que no han infringido la LOPD. Quien ha infringido la LOPD ha sido el hacker por difundir la información.

¿Ellos tienen un CERT? Microsoft también y ¿alguién dimite? ¿acaso tener un CERT nos garantiza que seamos infalibles?. Si estan sometidos a un SGSI tal vez sea ese SGSI quien deba dar explicaciones ¿no?

El mismo de antes dijo...

Adaptación de la parábola anterior. (haber si sube está vez)


Habia seis pentesters discutiendo sobre la seguridad de un sitio web, dado que estaban ante un sistema cerrado, decidieron hacer un test de vulnerabilidad en modo Black Box.

El primero de ellos realizo una búsqueda en Google del dominio con la FOCA y dijo "El sitio tiene problemas de Information Disclousure, veo sobre que sistemas se ejecuta, es un problema de los Webmaster"

El segundo de ellos, ejecuto Nmap sobre el dominio y exclamo "Tiene el puerto de ftp abierto y ejecuta una versión vulnerable, es un problema del administrador del sistema"

El tercero de ellos utilizo ParosProxy y proclamo "El sistema tiene problemas de Cross Site Scripting y Sql Injection, evidentemente es un sitio que fue mal desarrollado"

El cuarto dio uso de sqlmap y levantando la mano expresó "Las consultas a la base de datos se realizan con el usuario administrador, puedo
ejecutar comandos en el shell del sistema, es claro que es un problema del administrador de la base de datos"

El quinto pentester abrió un comando en el shell y vio que la base de datos estaba en el mismo segmento de red que los usuarios, entonces dijo "Es un problema de los administradores del firewall, no hay zonas de seguridad creadas"

Por último el sexto de ellos envió un email malicioso a la secretaria del gerente de sistemas y consiguió instalar un troyano en su maquina " Es un problema de educación, es muy fácil utilizar ingeniería social"

Asi todos discutían acaloradamente cual de los problemas era mas grave, y aunque parcialmente cada uno en lo cierto, ante ellos se erigia la enorme verdad de que en esa empresa a nadie le importaba la seguridad.

"Parábola de los Seis Pentesters".
Encontrada en una abadia abandonada en las afueras de Gerli.

Anónimo dijo...

¿Muy preocupado estas tu por las dimisiones? Lo preocupante recalco, es que de un servidor de INTECO se ha sustraído los datos de mas de 20.000 usuarios.

Anónimo dijo...

Se han sustraído porque alguien no ha hecho su trabajo. En España nadie dimite, pero aquí donde estoy yo (USA) no dimitirían, estarían en la calle porque alguien los habría echado ya. Y querella, porsupu.

Anónimo dijo...

En este sitio me parece a mi, que poca gente hace su trabajo y el que lo quiere hacer bien se lo cargan o lo crucifican.

tayoken dijo...

Madre mía vaya peñazos...

Anónimo dijo...

Aquí algo que lo corrobora

http://pastebin.com/9d4HA5gB

El mismo de antes dijo...

Para el que hablaba de querellas, aquí la cosa está más o menos así.
Un Director de IT o de Seguridad Informática sólo será responsable a título personal cuando sea autor del delito, es decir, cuando haya realizado el hecho por sí solo, conjuntamente o por medio de otro del que se haya servido como instrumento. Así lo establece el artículo 28 del Código Penal.
También son considerados autores los que inducen a directamente a otra persona o personas a ejecutar el hecho delictivo y los que cooperan en su ejecución con un acto sin el cual no se habría efectuado.
Como vemos, en todos estos casos el Código Penal exige una implicación directa y dolosa del directivo en la ejecución de los actos. Esta implicación puede consistir en la participación directa en el acto delictivo o en la emisión de órdenes e instrucciones que lleven a los subordinados a cometer el delito.
Los delitos tecnológicos no admiten otra forma de comisión que la dolosa. Es decir, no pueden cometerse por imprudencia. Exigen una conducta activa e intencional del sujeto, una voluntad deliberada de cometer el delito.
La jurisprudencia ha desarrollado el concepto de responsabilidad penal por omisión, en la que puede incurrir un directivo respecto a conductas delictivas ejecutadas por quienes ocupan en la organización empresarial puestos subordinados. Para que se dé esta figura, el directivo debe tener conocimiento de los hechos y poder de disposición sobre los mismos, omitiendo el ejercicio de las facultades propias de su cargo para impedir el delito.
Para ello, es necesario que el directivo disponga de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo penal, y es necesario también que el directivo no ejerza las facultades de control que le corresponden sobre el subordinado y su actividad, o no actúe para impedir el acto delictivo.
Esta tolerancia dolosa, que situaría al directivo en la esfera de la autoría, es independiente del rango del directivo, ya que existirá responsabilidad penal por omisión siempre que el directivo tenga una posición de garante, es decir una obligación de supervisión y control sobre los actos de sus subordinados.
Por ello, para que los directivos de un Departamento de IT o de un Departamento de Seguridad Informática puedan ser declarados responsables penales de un delito cometido por uno de sus subordinados, el nivel de implicación del directivo en los hechos debe ser alto, a través de la autoría directa o del conocimiento y la tolerancia dolosa de los actos de sus subordinados.
La deliberada falta de control sobre riesgos con un nivel de probabilidad medio o alto podría ser asimilada a tolerancia dolosa, aunque será necesario analizar las circunstancias de cada caso.

En fin, we are in spain, Who will be the following?.....

Raistin dijo...

Habria que ver si el sgsi certificado cubria la plataforma de formacion.

En caso afirmativo, si el control de vulnerabilidades tecnicas es eficiente.

El impacto y daño sobre la imagen de INTECO ha sido enorme, pero que nadie se asuste, que recuerdo algo parecido en una importante empresa de hosting en el 2008.

Raistlin dijo...

Habria que ver si el sgsi certificado cubria la plataforma de formacion.

En caso afirmativo, si el control de vulnerabilidades tecnicas es eficiente.

El impacto y daño sobre la imagen de INTECO ha sido enorme, pero que nadie se asuste, que recuerdo algo parecido en una importante empresa de hosting en el 2008.

Raistlin dijo...

Habria que ver si el sgsi certificado cubria la plataforma de formacion.

En caso afirmativo, si el control de vulnerabilidades tecnicas es eficiente.

El impacto y daño sobre la imagen de INTECO ha sido enorme, pero que nadie se asuste, que recuerdo algo parecido en una importante empresa de hosting en el 2008.

Raistlin dijo...

Ouch! ¤#B@*! Blackberry...

Don_gash dijo...

Anda que no leo bobadas, a ver a sido un ataque a una web, si hubiera sido a otra pagina rollo "petardas" no nos quejaríamos tanto, jajaja.

El problema de todo esto no son las dimisiones, ni los amiguismos, que por cierto estamos en ESPAÑA y eso esta a la orden del día, hasta en el McDonals, lo importante puede ser la repercusión mediática, que el Inteco pierde toda credibilidad, que los que hemos hecho un máster con ellos de aquí a 3 o 4 años cuando vayamos a buscar curro vamos a tener que aguantar la gracieta y por ultimo y lo mas importante que la gente si empieza a tomar medidas legales pueden crear una situación muy desagradable ya que si la auditoria dice que ha sido un fallo y estaba dentro del plan SGSI puede costarles mucha pasta.

Espero que mis datos no se difundan mucho o bueno si mi teléfono le llega a una sueca tremenda tampoco me importaría. jajaja

Winston Smith dijo...

Está animado esto....ya sabemos que hablar de seguridad no es seguro, ¡nunca menciones la seguridad!, y toca madera. Ahora todo el mundo se desnuda en La Red,
(dejando a un lado el extraño placer de la exhibición), mostrarlo
todo significa algo así como "ahí está todo", no queda nada más que descubrir, es de dominio público. y
el destape impúdico de datos curiosamente queda cubierto por la inmensidad de modelos y perfiles colgados. Toda esa paja informática
que tanta memoria ocupa es un cementerio de datos inerme y esteril que se replica por las inercias del funcionamiento. Una locura. Se nos ha olvidado hablar de ese fenómeno tan interesante y muy de moda....las filtraciones. El flujo de información tiene dos direcciones no?, entra y sale. Atentamente.

Anónimo dijo...

Ha estos señores la pasta les da igual, pagamos todos los españoles...

fossie dijo...

Como decia... me "encanta" ver como el/los "anónimos" discuten y crean polémica mientras los nicks comentan sanamente... así da gusto!!!

Vamos anónimos del mundo, poneros un nick que es gratis y seguís teniendo privacidad... ;D

Winston Smith dijo...

En la web de INTECO: Pasteo: Así mismo se le informa que, si lo desea puede ejercitar los derechos previstos en el Art. 5 de la Ley a través del siguiente formulario de contacto, seleccionando como asunto LOPD e indicando su nombre completo, dirección de correo electrónico, y en el campo comentarios su DNI y el tipo de derecho que desea ejercitar, Acceso, Rectificación, Cancelación u Oposición, o cursar baja en los servicios ofrecidos por INTECO a través de su portal Web, solicitando la baja a través del enlace "Solicitar baja del portal", disponible en la pantalla de edición del perfil del usuario.
http://www.inteco.es/aviso_legal/
Por si fuera de interés para algún afectado u otro. Atentamente.

Anubys dijo...

Pues no han aprendido nada ;)

Esta mañana
http://www.confianzaonline.es/

Eleven Paths Blog

Seguridad Apple

Entradas populares