A lo largo de esta unidad, daremos una serie de pinceladas a modo de introducción, sobre las diversas partes que abarca la seguridad informática.

Como sabes, el crecimiento de Internet en los últimos años ha convertido los ordenadores y las redes en algo a lo que cada vez se le da un uso más cotidiano. Precisamente, este aumento de ordenadores conectados entre si a través de Internet, supone también un incremento de peligrosidad ante ataques, propagación de virus y demás amenazas que pueden comprometer los sistemas de información.

A lo largo de esta unidad veremos los conceptos básicos de seguridad informática. Muchos de ellos te servirán como punto de partida para profundizar en unidades posteriores.

Además de comprender ciertos conceptos, esta unidad te ayudará a reflexionar sobre la necesidad de la seguridad en el ámbito informático y las consecuencias que puede acarrear el descuidar este aspecto.

A lo largo de este epígrafe veremos a modo de introducción en qué consiste la seguridad informática. Comenzaremos reflexionando sobre el término de seguridad en su más amplio sentido. La RAE (acrónimo de Real Academia de la lengua Española) define seguro como:

Por tanto, si trasladamos el término al ámbito informático, nos podemos referir a seguridad informática como:

La seguridad absoluta es imposible, por eso hablaremos siempre de fiabilidad.

Una vez visto el concepto de seguridad, vamos a hacer una clasificación de la misma. Es importante proteger nuestro sistema con antivirus y elementos de software. Sin embargo, no hay que olvidarse de que la seguridad también consiste en una serie de medidas asociadas a elementos físicos. Por otro lado, al hablar de seguridad se tiende a pensar en mecanismos de prevención ante posibles daños, dejando de lado aquellos mecanismos que podemos emplear para minimizar los daños una vez que han ocurrido.

Cuando hablamos de seguridad informática, frecuentemente se tiende a pensar en seguridad en el software. Si bien este tipo de seguridad es importante, no debemos olvidarnos de que la seguridad informática también consiste en una serie de medidas asociadas a elementos físicos. Además, podrás comprobar que la clasificación de la seguridad también puede ir en función del momento en que los mecanismos entran en funcionamiento. De forma análoga a lo que mencionábamos anteriormente, un error común es referirse de forma exclusiva a mecanismos que actúan antes de que se produzca una catástrofe, olvidando los que se ocupan de minimizar los daños una vez ésta ocurre.

A continuación profundizaremos un poco más sobre estos conceptos y veremos algunos ejemplos.

Si bien se podrían establecer multitud de clasificaciones dependiendo de una serie de criterios, a continuación vamos a realizar una clasificación de la seguridad atendiendo al momento en que se ponen en marcha dichas medidas de seguridad.

Teniendo esto en cuenta, distinguimos entre:

• Seguridad activa: bajo esta clasificación agrupamos el conjunto de medidas que se toman para prevenir o minimizar los riesgos.
• Seguridad pasiva: en este caso, las medidas se enfocan a minimizar los daños una vez ha ocurrido la catástrofe.

Clasificación de diferentes técnicas de seguridad activa y pasiva

Tipo de medida	Ejemplos de medidas de seguridad
Seguridad activa.	Utilización de contraseñas. Cifrado de la información. Instalación de antivirus. Sistema de detección de incendios.
Seguridad pasiva.	Realización de copias de seguridad. Conjunto de discos redundantes. Disponer de extintores.

Como hemos dicho, la clasificación de la seguridad puede atender a diversos criterios. Vamos a ver otra clasificación, en este caso, dependiendo del tipo de recurso a proteger.

• Seguridad física: entendemos seguridad física como el conjunto de medidas que se toman para proteger el hardware, las instalaciones y su acceso y demás elementos físicos del sistema. Un fallo común, es olvidarse de este tipo de seguridad centrándose únicamente en la seguridad lógica.
• Seguridad lógica: complementa a la seguridad física y se encarga de proteger los elementos lógicos del sistema como son el software y la información mediante herramientas como antivirus, contraseñas, etc.

Clasificación de diferentes técnicas de seguridad física y lógica.

Tipo de medida	Ejemplos de medidas de seguridad
Seguridad física.	Mobiliario ignífugo. Control de acceso a las instalaciones. Sistemas de alimentación ininterrumpida. Detectores de humo y extintores.
Seguridad lógica.	Uso de antivirus. Cifrado de información. Cortafuegos mediante software. Filtrado de direcciones MAC (acrónimo de Media Access Control) en conexiones inalámbricas.

En este epígrafe aprenderemos a qué se refiere Ignacio con esos tecnicismos que utilizaba en su conversación con Juan y desglosaremos los objetivos que se persiguen con las medidas de seguridad informática.

Para analizar los objetivos que se persiguen con la seguridad informática, deberíamos comenzar preguntándonos ¿qué queremos proteger?

Al principio de esta unidad hemos visto que la seguridad informática consiste en llevar a cabo una serie de medidas que hacen el sistema más fiable. Además de esto, el objetivo primordial de la seguridad es proteger los activos de la empresa, especialmente la información.

Cuando hablábamos del concepto de seguridad informática, se hacía referencia a la fiabilidad de los sistemas informáticos. Si entendemos un sistema de información como un conjunto de elementos que se combinan entre sí para lograr que una empresa cumpla con sus objetivos, un sistema informático, se podría entender como un subconjunto de un sistema de información. Dicho de otro modo, un sistema informático consiste en un conjunto de elementos como son el hardware (elementos físicos), software (elementos lógicos) y además, el personal experto que maneja los elementos lógicos y físicos (elementos humanos).

Para concretar un poco más en el objetivo que se persigue, vamos a definir una serie de características que debería cumplir un sistema seguro:

• Confidencialidad: se trata de que sólo puedan acceder a los recursos de un sistema los agentes autorizados. Por ejemplo, si yo envío un mensaje una persona, solamente el destinatario debería tener acceso al mismo.
• Integridad: los recursos del sistema sólo pueden ser modificados por los agentes autorizados. Garantiza que la información sea consistente. Por ejemplo, al hacer alguna transacción electrónica como pagar un artículo por Internet. Es muy importante que nadie pueda modificar los datos bancarios durante el tránsito.
• Disponibilidad: para que exista disponibilidad los recursos del sistema tienen que estar a disposición de los agentes autorizados. Lo contrario sería una denegación de servicio. Para ilustrar este aspecto podemos pensar en cualquier empresa que preste algún servicio a través de Internet como, por ejemplo, una empresa de comercio electrónico. El hecho de que la aplicación de comercio electrónico no esté disponible, se traduce directamente en la desaparición del servicio y por tanto en pérdidas económicas, entre otros problemas.
• No repudio: permite garantizar que los participantes en una transacción, no nieguen haber realizado una operación “en línea”. Por ejemplo, que una persona haga una compra y posteriormente se niegue a pagarla alegando que no fue él quien hizo la transacción.

Como ya sabrás, en los últimos años, el número de personas que utilizan Internet de forma cotidiana ha crecido exponencialmente. Numerosos trámites que anteriormente se hacían mediante formularios en papel, ahora se realizan a través de aplicaciones web. El comercio electrónico ha ganado terreno frente al comercio tradicional siendo cada día más común hacer compras de todo tipo a través de Internet, etc. De la misma forma, en las empresas las conocidas como TIC (Acrónimo de Tecnologías de la Información y la Comunicación), cada vez juegan un papel más importante.

Todo ello hace que Internet sea un territorio relativamente hostil, siendo susceptible de amenazas cualquier dispositivo que esté conectado a la red.

En este epígrafe vamos a diferenciar entre estos términos y ver la relación que existe entre ellos.

Las vulnerabilidades y las amenazas son dos términos estrechamente relacionados. Si bien, una vulnerabilidad es la medida en que un elemento del sistema es susceptible de ser afectado por un atacante, una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño. Puede ser mediante la exposición, modificación o destrucción de información, o mediante la denegación de servicios críticos, aprovechándose de una vulnerabilidad.

Por otra parte, un ataque consiste en la materialización de una amenaza.

Para comprenderlo, qué mejor forma que ilustrarlo con un ejemplo…

Existen varias razones por las que un programa puede presentar vulnerabilidades. Una mala instalación o configuración podría ser una de esas razones, pero lo más común son errores cometidos durante el desarrollo del programa. Se dejan puertas abiertas a la entrada de intrusos.

Un bug (en inglés significa error) o agujero de seguridad es un fallo existente en un programa fruto de un error durante la programación del mismo que da lugar a una vulnerabilidad. En muchos casos, se detecta un bug cuando el programa ya está en explotación. Entonces, los desarrolladores implementan pequeños programas que rectifican dicho error. Estos pequeños programas se conocen como parches.

Debido a que en numerosas ocasiones, las vulnerabilidades no son descubiertas a tiempo, existe lo que se conoce como ataques de día cero. Estos ataques son aquellos que se producen cuando los atacantes son conocedores de la vulnerabilidad antes que el propio fabricante y, por tanto, antes de que exista un parche para reparar la vulnerabilidad.

Con respecto a los atacantes, la terminología es amplia y existen muchos términos dependiendo de las características del atacante y del ataque que efectúa. Este abanico de términos se verá en unidades posteriores, pero es interesante que te familiarices con la palabra hacker (en inglés pirata informático), como término genérico que se suele utilizar para referirse a la persona que efectúa el ataque informático.

Si tenemos en cuenta el objetivo del ataque, podemos distinguir entre ataques activos y pasivos.

• Ataque activo: Modifica o altera el flujo de datos.
• Ataque pasivo: Su objetivo no es alterar la comunicación sino que simplemente escucha o monitoriza para obtener información a través del tráfico.

Ejemplos de ataques

Ataque	Descripción	Tipo
Sniffing. (En inglés significa husmear).	Consiste en un análisis del tráfico, habitualmente utilizado para recabar contraseñas.	Pasivo.
Spoofing (Suplantación).	Técnicas de suplantación de identidad.	Activo.
Aprovechar agujeros de seguridad.	Como su nombre indica, son ataques que aprovechan vulnerabilidades del software.	Activo.
Denegación de servicio (DoS).	Mediante una saturación de información se causa la caída del servicio de tal forma que las usuarias o los usuarios legítimos no lo puedan usar.	Activo.
Ingeniería social.	Engloba un conjunto de técnicas en las que el atacante convence a un usuario o usuaria para obtener información confidencial.	Pasivo.
Phishing. (En inglés significa suplantación de identidad).	Es una variante de ingeniería social. El atacante se hace pasar por una persona o empresa de confianza para recabar información como contraseñas, datos bancarios, etc.	Pasivo.
Troyanos.	Consiste en un software que se instala en el equipo atacado sin que el usuario o usuaria sea consciente y permite al atacante hacerse con el control del equipo.	Se puede comportar de forma activa o pasiva.
Adivinación de password. (En inglés significa contraseña).	Pueden ser ataques por fuerza bruta en los que se prueban las opciones posibles hasta dar con una contraseña válida o por diccionario, en los cuales se prueban una serie de contraseñas preestablecidas.	Pasivo.

Hasta ahora hemos visto las vulnerabilidades, amenazas y ataques que podemos sufrir. En este epígrafe veremos diferentes técnicas o mecanismos que tenemos para proteger nuestro sistema.

Teniendo en cuenta que esta unidad es una introducción a la seguridad para que te familiarices con los principales conceptos, no vamos a profundizar en lo que a medidas de seguridad se refiere, pero vamos a citar algunos consejos genéricos que será útil que conozcas. Algunas de estas técnicas o medidas son:

• Identificación y Autenticación: procedimiento por el que se reconocen y verifican identidades válidas de usuarios o usuarias y procesos. Tres tipos:
  • Estática (usuario/clave).
  • Robusta (claves de un solo uso, firmas electrónicas).
  • Continua (firmas electrónicas aplicadas a todo el contenido de la sesión).
• Control de la adquisición y actualización del software: previene contra los virus, caballos de Troya y el robo de licencias.
• Cifrado: proporciona confidencialidad, autenticidad e integridad.
• Actuaciones en el nivel de arquitectura: las veremos en unidades posteriores.
• Gestión de incidentes: Detección de ataques, históricos, control de integridad, etc.
• Acciones administrativas: Identificación de responsables de seguridad, política de sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc.
• Formación: Información a los usuarios y usuarias de las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, etc.

Al igual que ocurría en otros aspectos, los mecanismos de seguridad se podrían clasificar en base a diferentes criterios. En este caso haremos una clasificación atendiendo al momento en que se llevan a cabo.

1. Si los mecanismos tratan de evitar que ocurra un desastre, decimos que se trata de un mecanismo de prevención.
2. Las medidas aplicadas en el momento en que se está produciendo el desastre de denominan medidas de detección.
3. Una vez se han producido los daños, las medidas tomadas para restaurar el estado al momento previo a que se ocasionasen los daños, son medidas de recuperación.

Hasta ahora hemos visto el concepto de vulnerabilidad, de amenaza y de ataque. A continuación veremos lo que son los riesgos, los métodos y las herramientas que se utilizan para gestionarlos. Los objetivos de la gestión de riesgos son identificar, controlar y eliminar las fuentes de riesgo antes de que acaben materializándose en daños.

Entendemos el riesgo como la posibilidad de que una amenaza se materialice aprovechando una vulnerabilidad y viene dado por la siguiente ecuación:

Analizando esta ecuación, vemos que el riesgo aumenta cuando aumentan tanto las amenazas como las vulnerabilidades como el valor de los bienes (o varios de ellos, lógicamente).

Por otra parte, definiremos el impacto como los daños o consecuencias que ocasiona la materialización de una amenaza. Los impactos se pueden clasificar en:

• Impactos cuantitativos: englobaríamos en este tipo de impactos a aquellos que se pueden cuantificar económicamente. Por ejemplo, se inunda una pequeña sala donde había 3 equipos que no contenían datos importantes y el impacto queda reducido al valor económico de los equipos.
• Impactos cualitativos: suponen daños no cuantificables económicamente, como por ejemplo, un ataque que no suponga pérdidas económicas pero que deja notablemente dañada la reputación de la empresa. Un daño cualitativo, por lo tanto, puede ocasionar impactos cuantitativos indirectamente.

Llegados a este punto, te habrás preguntado como abordar la gestión de los riesgos en la empresa. El análisis de los riesgos es el primer paso en la gestión de riesgos. Debemos dar respuesta a preguntas como:

• ¿Qué elementos necesitan protección?
• ¿Cuáles son las vulnerabilidades de esos elementos?
• ¿Qué amenazas pueden aprovechar esas vulnerabilidades?

En definitiva, valorar la magnitud del riesgo.

Aunque se podrían establecer múltiples clasificaciones, en este caso vamos a dividir el desarrollo de dicho proceso en tres subprocesos:

• Identificación de riesgos: lista de riesgos potenciales que pueden afectar a la organización.
• Análisis de riesgos: medición de la probabilidad y el impacto de cada riesgo, y los niveles de riesgo de los métodos alternativos.
• Evaluación de riesgos: lista de riesgos ordenados por su impacto y su probabilidad de ocurrencia

Todo este proceso está fundamentado en una base teórica. Tomando como base metodológica a, MAGERIT de España, se define de la siguiente manera según el ministerio de política territorial y administración pública:

Sus principales objetivos son:

• Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
• Ofrecer un método sistemático para analizar tales riesgos.
• Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
• Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

Como puedes ver, el enfoque que tiene MAGERIT es el de evaluar los riesgos desde el punto de vista de un sistema de información, es decir, no es algo específico de sistemas informáticos.

Debes saber que, a la hora de gestionar la seguridad en una organización, se hace necesario reflejar de alguna manera todos los objetivos de seguridad. Entre otras cosas, para esto están las políticas de seguridad.

Teniendo esto en cuenta, una política de seguridad es el documento donde se van a plasmar todos los objetivos de la empresa en lo relacionado a seguridad de la información. Dicha política formará parte de la política general de la empresa.

Dicho de otro modo, mediante la política de seguridad, se define la manera de hacer un buen uso de los recursos hardware y software de la organización. Esto se logra:

• Concienciando a todo el personal en lo relativo a seguridad.
• Identificando las necesidades de seguridad
• Detectando las vulnerabilidades y el riesgo que entrañan en caso de ser aprovechadas por un atacante
• Estableciendo diferentes procedimientos para afrontar los problemas que puedan surgir.
• Etc.

Hasta ahora hemos visto la importancia de analizar los riesgos y de gestionarlos y documentarlos mediante una política de seguridad. Además, se deben aplicar una serie de técnicas y procedimientos de forma organizada para controlar el correcto funcionamiento de la organización. En otras palabras, se busca verificar que se cumplen los objetivos de la política de seguridad. Ésto, en términos generales, es lo que se conoce como auditoría.

El concepto de auditoría, inicialmente fue enfocado al terreno económico-financiero, pero hoy en día, este proceso se aplica en diversos ámbitos. En concreto y tomando como punto de partida la definición del párrafo anterior, la auditoría informática, consiste en una serie de procesos que se aplican para proteger los recursos de la empresa y asegurar un correcto funcionamiento.

Una auditoría puede llevarse a cabo por personal de la propia empresa o por personal ajeno a la misma, siendo esta opción la más aconsejable. La razón por la que es preferible que la auditoría se lleve a cabo por una persona o equipo ajeno a la empresa es de sentido común: si el encargado de los sistemas informáticos analiza los riesgos existentes con el fin de detectar deficiencias, es probable que su criterio no sea del todo objetivo. En algunos casos podría ser como “tirar piedras contra su propio tejado”.

Las etapas generales de una auditoría de podrían resumir a los siguientes puntos:

• Evaluación inicial del entorno auditable.
• Definición del alcance y los objetivos de la auditoría.
• Planificación.
• Puesta en marcha del proceso.
• Informe y propuestas de mejora.
• Seguimiento.

Muchos de estos procesos se pueden automatizar y, por ello, existen numerosos programas destinados a auditoría de seguridad.

A continuación vas a aprender en qué consiste un elemento fundamental en la gestión de riesgos: el plan de contingencias. Un plan de contingencias es un instrumento de gestión que consiste en una serie de medidas a llevar a cabo de forma complementaria al funcionamiento habitual de la empresa. Su objetivo es garantizar la continuidad del negocio de una organización en caso de se produzca un impacto.

Para ello, un plan de contingencias se desarrolla en tres subplanos independientes:

• Plan de respaldo: consiste en una serie de medidas preventivas. Su objetivo es simplemente tratar que no se materialicen las amenazas que puedan llegar a causar un impacto.
• Plan de emergencia: en este caso, el momento de aplicar el plan es durante el desastre, por tanto, el objetivo en este caso es paliar los daños del ataque.
• Plan de recuperación: como su propio nombre indica, en este caso se trata de recuperarse, restaurar el sistema y minimizar los daños tras un impacto.

Es de suma importancia que el personal de la empresa conozca perfectamente el plan de contingencias para actuar en consecuencia. De lo contrario, perdería gran parte de su sentido.

Además de especificar medidas organizativas, también recoge información acerca de las responsabilidades del personal, los materiales empleados para llevar a cabo las medidas, etc.

En la constitución de 1978 ya se recoge el derecho a la protección de datos de carácter personal. En 1992 nace la LORTAD, primera Ley que regula de forma específica el tratamiento de los datos de carácter privado. Posteriormente, la LORTAD, fue derogada dando paso en 1999 a la LOPD, (acrónimo de Ley Orgánica de Protección de Datos). Actualmente, y desde 2018, está en vigor la llamada LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, Ley Orgánica 3/2018, de 5 de Diciembre).

En los siguientes apartados veremos lo que es la LOPDGDD y de qué manera afecta a una organización. Vas a comprobar, que dicha ley afecta principalmente a la manera en la que las empresas deben gestionar los datos de carácter personal de las personas.

Es importante conocer las directrices de esta ley, ya que, de incumplir algunos aspectos, una empresa podría enfrentarse a importantes sanciones.

A continuación, vamos a ver en qué ámbitos y situaciones es aplicable la LOPDDGG. Por ejemplo, de cara la protección de datos de carácter personal, no es lo mismo un entorno empresarial que desarrolle una actividad económica, que un entorno doméstico.

La LOPDDGG establece su ámbito de aplicación en el artículo 2, de forma que “Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”

Teniendo esto en cuenta, es importante distinguir a qué se refiere la Ley con el concepto de fichero. Un error común es pensar en un fichero como una serie de datos almacenados con formato digital en algún soporte informático. El concepto de fichero al que se refiere la LOPDDGG (como en la LOPD) consiste en un conjunto de datos almacenados en cualquier soporte e independientemente de que estén automatizados o no (en este aspecto, supuso una novedad en la LOPD con respecto a la LORTAD).

Teniendo esto en cuenta, se regirá por esta legislación el tratamiento de datos efectuado en territorio español o en caso de no efectuarse en territorio español, cuando le sea de aplicación la legislación española.

Por el contrario, no será de aplicación a los datos almacenados en el ejercicio de actividades domésticas. Tampoco es aplicable a los ficheros sometidos a la normativa sobre protección de materias clasificadas (asuntos relativos a secretos oficiales). Así como, los establecidos para la investigación de asuntos relacionados con el terrorismo.

Te habrás preguntado qué entidad es la encargada de gestionar todo lo relacionado con la protección de datos. La AEPD (Agencia Española de Protección de Datos) es un ente de Derecho Público cuyo principal cometido es el de velar por el cumplimiento de la legislación en lo referente a protección de datos.

Las principales funciones de la AEPD, las vamos a clasificar, por en lado, en funciones relacionadas con los usuarios y usuarias, y por otro, en relación a las organizaciones que custodian los datos de carácter privado.

Funciones en el ámbito de los usuarios y usuarias (siempre atendiendo a lo referente a la protección de datos):

• Garantizar sus derechos.
• Atender a posibles reclamaciones.
• Informar a los usuarios y usuarias sobre sus derechos promoviendo campañas de comunicación cuando sea oportuno.

Funciones en el ámbito de las organizaciones que tratan los datos. Puedes considerar:

• Velar por el cumplimiento de la Ley.
• Requerir medidas de corrección.
• Sancionar a quien no se atenga a la legislación ordenando el cese del tratamiento si fuese necesario.
• Proporcionar ayuda e información.
• Autorizar o denegar la transferencia de datos internacionales.

Otras funciones:

• Elaboración de normativa.
• Representación española en los foros internacionales.

Con estas siglas ARCO nos referimos al conjunto de derechos ciudadanos en relación con los datos personales registrados en el Registro General de Protección de Datos.

• Derecho de acceso: cualquier persona puede dirigirse a una empresa u organismo público que contenga sus datos y solicitar información para saber qué datos tienen exactamente y la forma en que fueron obtenidos estos datos. La entidad que posee dichos datos tiene un plazo de un mes para atender adecuadamente la petición
• Derecho de rectificación: para ejercer el derecho de rectificación debes realizar un escrito acompañado de una copia de tu D.N.I dirigido al responsable del fichero que contiene los datos. En este caso, cuentas con un plazo de 10 días a partir del cual podrás poner una reclamación si tu petición no ha sido contestada de manera satisfactoria.
• Derecho de cancelación: tu como ciudadano o ciudadana tiene derecho a que tus datos sean cancelados de forma definitiva si así lo solicitas. Para ejercer este derecho, el proceso es análogo al que se sigue cuando se quiere rectificar algún dato, siendo también el plazo establecido de 10 días.
• Derecho de oposición: en los casos en los que no sea necesario el consentimiento del afectado o afectada y cuando existan motivos relativos a una situación personal. Si tu eres esa personal, podrías oponerse al tratamiento de tus datos. En tal supuesto el responsable del fichero excluirá el tratamiento de tus datos (siempre que una Ley no disponga lo contrario).

Además de los derechos ARCO (acrónimo de Acceso, Rectificación, Cancelación y Oposición.), la ley establece otros dos derechos: a la Portabilidad y a la Supresión u Olvido. Además, la AEPD establece una serie de derechos para los ciudadanos y ciudadanas como el derecho a no recibir publicidad no deseada, el derecho de exclusión de guías telefónicas, etc. En el siguiente “Para saber más” puedes encontrar un enlace a este sitio.

En el anterior apartado hemos hablado de algunos derechos de los ciudadanos y ciudadanas de cara al tratamiento de sus datos de carácter personal. A continuación, nos centraremos en las características de esos datos y los relacionaremos con una serie de medidas de seguridad a adoptar en función de su naturaleza. Es importante que te des cuenta, de que no es lo mismo almacenar datos como el nombre y los apellidos de una persona, que datos relativos a su religión, orientación sexual, etc. En consecuencia, las medidas a adoptar para mantener la privacidad de dichos datos, también serán diferentes.

Teniendo todo ello en cuenta, la LOPD establecía que las medidas se clasificaban en tres niveles en función del tipo de datos:

Nivel de protección de los datos según su naturaleza con las medidas de seguridad asociadas

Nivel	Tipo de datos	Medidas
Básico	Nombre y apellidos. Números de teléfono. Dirección postal y email. Fecha y lugar de nacimiento. Etc.	Documentación de seguridad donde se reflejen las funciones de cada usuario o usuaria del fichero. Cambio de contraseñas cada año. Mantener un registro de incidencias en relación al fichero. Los datos desechados deberán ser borrados o destruidos. Realización de copias de seguridad.
Medio	Relativos a infracciones administrativas o penales. Aquellos que permitan evaluar la personalidad o comportamiento de una persona. Aquellos de los que sean responsables: Administraciones tributarias. Entidades financieras. Entidades gestoras y la Seguridad Social.	Medidas de nivel básico y además: Auditoría al menos una vez cada dos años. Establecer mecanismos de control de acceso a los datos.
Alto	Relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Aquéllos que contengan datos derivados de actos de violencia de género.	Medidas de nivel medio (y por tanto básico) y además: Cifrado de los datos. Copias de seguridad almacenadas en un lugar diferente al de los datos. Mantener un registro de los accesos a los datos.

En cambio, la LOPDGDD ya no establece un conjunto de medidas de seguridad predefinidas a aplicar en función de los criterios anteriores. Lo que se plantea en la nueva Ley es que en función del riesgo que se estime o detecte, se establecerán las medidas determinadas. En general, si ya se estaban aplicando medidas fijadas en la LOPD, si no es necesario, pueden seguir manteniéndose, aunque también, si se detecta la correspondiente necesidad, podrían modificarse.

Es importante que sepas que cuando una organización incumple lo establecido por la Ley, puede ser sancionada con importantes sumas de dinero. La cuantía de las sanciones que impone la LOPDGG depende de varios parámetros como:

• La naturaleza de los derechos personales afectados.
• El volumen de los tratamientos efectuados.
• Los beneficios obtenidos.
• El grado de intencionalidad.
• La reincidencia.
• Los daños.
• El perjuicio causado.
• Etc.

Estableciendo una clasificación en cuanto a la gravedad de las infracciones y redondeando las cifras, tendríamos:

Tipos y cuantía de las sanciones en función de su gravedad

Gravedad	Infracción	Cuantía sanción
Leves	No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos. Recogida de datos personales sin informar previamente de sus derechos a los afectados y afectadas. No atender a las solicitudes de rectificación o cancelación de los datos. No proporcionar la información de solicite la AGPD.	Hasta 40.000€.
Graves.	No inscribir los ficheros en la AGPD. Utilizar los ficheros con distinta finalidad al objeto legítimo de la empresa. No permitir los derechos de acceso u oposición de los ficheros. Mantener datos inexactos o no efectuar las modificaciones solicitadas. No seguir los principios y garantías de la LOPDDGG. Recogida y tratamiento de datos sin el consentimiento del afectado o afectada. No remitir a la AGPD las notificaciones previstas en la LOPDDGG. Mantener los ficheros sin las debidas condiciones de seguridad. Vulnerar el deber de secreto para datos de nivel medio.	De 40.001€ a 300.000€.
Muy graves.	Recogida de datos de manera engañosa o fraudulenta. Recabar datos especialmente protegidos sin la autorización del afectado o afectada. Desatender u obstaculizar de forma sistemática el ejercicio de los derechos de cancelación o rectificación. Vulnerar el secreto sobre datos especialmente protegidos. La comunicación o cesión de datos en los casos que no esté permitida. No cesar en el uso ilegítimo a petición de la AGPD. No atender de forma sistemática los requerimientos de la AGPD. La transferencia de datos de carácter personal con destino a países que no apliquen medidas de protección equiparables o sin autorización.	De 300.000€ a 20.00.000€. 2% al 4% facturación bruta anual

Una vez vista la LOPDGDD, seguimos con la Ley de Servicios de la sociedad de la información, de aquí en adelante LSSI. La referencia normativa la encontramos en la Ley 34/2002 del 11 de Julio.

Como veremos a continuación, esta Ley se aplica al comercio electrónico y a aquellos servicios de Internet siempre que representen una actividad económica para el prestador o prestadora del servicio.

Hoy en día, cada vez son más las empresas que constituyen una actividad económica a través de Internet, ya sea directa o indirectamente. Con esto, nos referimos tanto a empresas de comercio electrónico, como empresas que realizan publicidad por vía electrónica o empresas intermediarias como proveedores de Internet o empresas de alojamiento. Estas empresas deberán conocer las obligaciones que establece la LSSI, pero además, los usuarios y usuarias, también están incluidos en el caso de que tengan una página con publicidad por la que perciban ingresos o simplemente, para conocer sus derechos como usuarios y usuarias en Internet.

Para analizar esta Ley, comenzaremos respondiendo a la pregunta ¿a quién es aplicable? La LSSI se centra en Internet y las nuevas tecnologías y es aplicable a los prestadores o suministradores de Servicios de la Sociedad de la Información, siempre que representen una actividad económica para el prestador o prestadora.

Además, el prestador o prestadora de servicios debe estar establecido en España o dicho de otro modo, su domicilio fiscal debe estar en territorio español siendo este su lugar principal de gestión de operaciones. Para aquellos no establecidos es España existen algunas excepciones, como por ejemplo, aquel que preste servicios ofrecidos a través de un establecimiento permanente en España. ¿Conoces algún caso?

Sin perjuicio de la legislación específica al respecto, la LSSI también es aplicable a los servicios de juegos de azar y apuestas.

Entonces… ¿a quién no es aplicable? Pues no será de aplicación a aquellos servicios que no constituyan una actividad económica. Tampoco a servicios prestados por notarios o notarias y registradores o registradoras, abogados o abogadas y procuradores o procuradoras, en el ejercicio de sus funciones de representación y defensa en juicio, a quienes se le aplicará normativa específica.

Te habrás preguntado las obligaciones que tiene una empresa de cara al cumplimiento de la LSSI. Dependiendo del tipo de actividad que desempeñe la empresa, la LSSI especifica una serie de obligaciones que debe cumplir. Para especificar estas obligaciones dividiremos las empresas en tres grupos:

Las empresas dedicadas al comercio electrónico, deben mostrar en su página Web una serie de datos que informen al usuario o usuaria, como por ejemplo:

• NIF (acrónimo de Número de Identificación Fiscal), domicilio, dirección de correo electrónico, teléfono o fax.
• Precios de los productos indicando impuestos y gastos de envío.
• Datos sobre la autorización administrativa necesaria para prestar los servicios que ofrezca la empresa.
• Una serie de datos relativos al contrato “en línea” en el caso que este exista.

En el caso de empresas que hacen publicidad a través de Internet:

• El anunciante debe identificarse con claridad.
• Debe reconocerse el carácter publicitario del anuncio de forma inequívoca.
• En caso de realizar concursos o juegos promocionales las condiciones deberán estar expresadas claramente.
• Cuando se envíe por correo electrónico o SMS (acrónimo de Short Message Service), se debe obtener previamente la autorización del destinatario o destinataria y proporcionar procedimientos sencillos para negar el consentimiento.

Para empresas intermediarias de los servicios de Internet (estas son las empresas que ofrecen alojamiento de datos, los buscadores y los proveedores de Internet):

• Colaborar con organismos públicos apara ejecutar resoluciones que precisen de su ayuda.
• Informar a los usuarios y usuarias para aumentar la seguridad en el entorno informático.

Imágenes, música, vídeo, contenidos…en la red existe un amplio abanico de recursos y obras de todo tipo y no todas tienen los mismos permisos para su uso y difusión.

Hace algunos años, la posibilidad de hacer una copia ilegal se reducía prácticamente a copiar obras musicales o cinematográficas sobre cintas magnéticas. Hoy en día, con la globalización de Internet y el uso generalizado de los ordenadores, la existencia de todo tipo de obras digitalizadas y colgadas en la red, es algo de lo más común.

A lo largo de este epígrafe veremos las directrices de la Ley de Propiedad Intelectual (de aquí en adelante LPI) y algunos tipos de licencias que se pueden asociar a las obras.

En este apartado conocerás las directrices de la Ley de Propiedad Intelectual. Muy pocas veces nos vemos afectados por esta ley pero quizás, tú seas un pequeño creador o creadora.

Según el Ministerio de Cultura…

El Real Decreto Legislativo 1/1996, de 12 de abril, aprueba el texto refundido de la Ley de Propiedad Intelectual.

La nombrada Ley, protege todo tipo de creaciones originales de cualquier tipo y expresadas en cualquier medio, lo que abarca desde un libro, a una coreografía. Por otra parte, se excluyen las ideas, conceptos matemáticos o métodos de operación, pero no la expresión de los mismos.

Existen dos tipos de derechos sobre una obra, los derechos de autor (persona que crea la obra) y los derechos conocidos como afines, pertenecientes a productores y productoras, ejecutantes no autores de la obra, etc.

Hay quien piensa que la propiedad intelectual de una obra nace en el momento de su inclusión en el Registro de Propiedad Intelectual o que el autor o autora de la obra debe estar inscrito en alguna sociedad privada de gestión, como por ejemplo, la SGAE (acrónimo de Sociedad General de Autores y Editores), pero ninguna de estas cosas son necesarias ya que la propiedad intelectual de una obra, comienza en el momento en que se crea dicha obra sin necesidad de llevar a cabo ningún trámite especial.

Posiblemente sabrás que, cuando se crea una obra, (ya sea literaria, pictórica, fotográfica, etc.) existen varias formas para proteger de forma legal el uso que se hace de dichos contenidos. Una de ellas, es el Copyright, que en España, constituye un derecho automático, aunque cada país tiene una legislación copyright aplicable con diferentes matices.

¿Has reconocido con facilidad este símbolo?

La manera de incluir el Copyright, aunque puramente indicativa, se formaliza de la siguiente manera:

Cuando un contenido incluye Copyright ya sabes que significa que tiene los derechos reservados y, por tanto, existen una serie de restricciones sobre el uso de dichos contenidos. Como por ejemplo, la utilización o la publicación parcial o total con fines comerciales.

Como hemos dicho, el Copyright constituye un derecho automático por si mismo, pero existen instrumentos que sirven de ayuda a la hora de ejercer este derecho, como son los depósitos de Copyright. Un depósito de Copyright, te permite demostrar que realmente eres el autor o autora. También te permite probar en qué fecha la obra ha sido creada. Sin este instrumento no siempre es una tarea trivial.

Como contrapunto al Copyright, surge lo que se conoce como Copyleft. Cuando una obra tiene una licencia Copyleft implica que dicha obra o contenido, tendrá permisos de copia, modificación y redistribución, y además impone la misma licencia a las copias y a las obras derivadas.

¿Con cual de los dos identificaría al software libre?

En el anterior apartado hemos visto las licencias Copyright. Llegados a este punto, puede que te preguntes ¿Pero las posibilidades se reducen a un Copyright o Copyleft? ¿No hay término medio?

Pues bien, como alternativa más flexible al Copyright, nacen las licencias Creative Commons que permiten reservar solamente determinados derechos de una forma muy sencilla.

Creative Commons es una corporación americana sin ánimo de lucro. En el 2004, en España se adaptan las licencias a la legislación sobre propiedad intelectual, siendo la institución afiliada a CC la Universidad de Barcelona.

Este tipo de licencias cada vez son más utilizadas y de hecho España, encabeza el ranking (en inglés, tabla de clasificación) mundial de países en su utilización.

Las licencias Creative Commons ofrecen una serie de derechos a terceras personas bajo unas condiciones concretas. A continuación vamos a ver, según Creative Commons España, las condiciones a partir de las cuales se forman las licencias existentes:

• Reconocimiento: En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.
• No Comercial: La explotación de la obra queda limitada a usos no comerciales.
• Sin obras derivadas: La autorización para explotar la obra no incluye la transformación para crear una obra derivada.
• Compartir Igual: La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.

Con estas cuatro condiciones combinadas podrías generar las seis licencias que se pueden escoger:

• Reconocimiento (by): Te permite cualquier explotación de la obra, incluyendo una finalidad comercial, así como la creación de obras derivadas. La distribución de las mismas también está permitida sin ninguna restricción.
• Reconocimiento - NoComercial (by-nc): Te permite la generación de obras derivadas siempre que no hagas un uso comercial. Tampoco se puede utilizar la obra original con finalidades comerciales.
• Reconocimiento - NoComercial - CompartirIgual (by-nc-sa): No te permite un uso comercial de la obra original ni de las posibles obras derivadas, la distribución de las cuales la debes hacer con una licencia igual a la que regula la obra original.
• Reconocimiento - NoComercial - SinObraDerivada (by-nc-nd): No te permite un uso comercial de la obra original ni la generación de obras derivadas.
• Reconocimiento - CompartirIgual (by-sa): Sí te permite el uso comercial de la obra y de las posibles obras derivadas. Su distribución la debes hacer con una licencia igual a la que regula la obra original.
• Reconocimiento - SinObraDerivada (by-nd): Te permite el uso comercial de la obra pero no la generación de obras derivadas.

Licencias de recursos utilizados en la Unidad de Trabajo.

Recurso (1)	Datos del recurso (1)	Recurso (2)	Datos del recurso (2)
	Autoría: David Goehring Licencia: CC BY Procedencia: http://www.flickr.com/photos/carbonnyc/2294144289/		Autoría: darkomen Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/darkomen/486232380/
	Autoría: Jon McGovern Licencia: CC BY-NC Procedencia: http://www.flickr.com/photos/jonmcgovern/2673202881/		Autoría: Víctor Jiménez Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/capitangolo/4897032297/
	Autoría: Dr Craig Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/rorymunro/2822573726/		Autoría: Wicho Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/wicho/32925737/
	Autoría: Diego Méndez Licencia: Uso Educativo no comercial Procedencia: Elaboración propia		Autoría: Renee Silverman Licencia: CC BY-ND Procedencia: http://www.flickr.com/photos/reneesilverman/2969648123/
	Autoría: 24gotham Licencia: CC BY-NC-ND Procedencia: http://www.flickr.com/photos/iconeon/2419133069/		Autoría: Plan de Alfabetización Tecnológica Extremadura Licencia: cc by-nc-nd Procedencia: http://www.flickr.com/photos/patextremadura/4643852621/
	Autoría: tonyhall Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/anotherphotograph/2955909956/		Autoría: CPGXK Licencia: CC BY-NC-ND Procedencia: http://www.flickr.com/photos/xurriblog/4148073629/
	Autoría: driusan Licencia: CC BY-NC Procedencia: http://www.flickr.com/photos/driusan/2472706272/		Autoría: nhighberg Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/nels/2472063543/
	Autoría: afsart Licencia: CC BY-NC-SA Procedencia: http://www.flickr.com/photos/afsart/3190025729		Autoría: palomaleca Licencia: cc by-nc Procedencia: http://www.flickr.com/photos/palomaleca/4735584562
	Autoría: gemawla1 Licencia: cc by-sa Procedencia: http://www.flickr.com/photos/54749189@N03/5071780586		Autoría: -Jos Licencia: cc by-nc-sa Procedencia: http://www.flickr.com/photos/fernbronx/2250080822
	Autoría: Eric Caballero Licencia: cc by Procedencia: http://www.flickr.com/photos/eric85/3467533195		Autoría: Steve Rhode Licencia: cc by-nc-nd Procedencia: http://www.flickr.com/photos/steverhode/3183290111/
	Autoría: alles-schlumpf Licencia: cc by-nc-sa Procedencia: http://www.flickr.com/photos/29487767@N02/3338900345		Autoría: Juan Espino Licencia: cc by-nc-sa Procedencia: http://www.flickr.com/photos/slithor/393200868
	Autoría: Waldir Licencia: Wikimedia commons? Procedencia: http://commons.wikimedia.org/wiki/File:Copyright.svg		Autoría: Sertion Licencia: Wikimedia Commons? Procedencia: http://commons.wikimedia.org/wiki/File:Copyleft.sv
	Autoría: César Poyatos Licencia: cc by-nc-sa Procedencia: Montaje sobre http://www.flickr.com/photos/cpoyatos/4694049208