Caso Prueba y verás
En el momento de la redacción de este artículo, aún no había una resolución sobre el caso |
Debido a que el expediente de este caso aún no tiene nombre, lo hemos denominado "Caso Prueba y verás" por el nombre de la campaña en el que está relacionado dicho caso. Dicha campaña pretende mostrar la calidad de los efectos 3D de la consola Nintendo 3DS antes del lanzamiento mediante una gira en 12 ciudades. Para poder participar, es necesario reservar previamente mediante un formulario web o bien por teléfono. Debido a un fallo de seguridad, la información de los participantes que reservaron fue accesible por cualquiera. Entre los datos se encontraban nombres, apellidos, direcciones de email, números de DNI y códigos postales, muchos de menores, ya que la edad mínima para el evento era de 16 años.
Contenido |
Días 6 y 7 de febrero del 2011
Un usuario de estos mismos foros, con nick adan_gecko, descubrió el día 6 de febrero del 2011 un fallo de seguridad grave que permitía visualizar y modificar los datos de los participantes al evento. El fallo de seguridad no requería ningún conocimiento en especial de informática, como más adelante afirmarían los medios de comunicación y una nota de prensa de Nintendo Ibérica. El fallo consistía en una página de administración en la cual no era necesario introducir ni usuario ni contraseña para acceder. Para reproducir el fallo, los pasos a seguir eran:
- Introducir en la barra del navegador la dirección http://admin.pruebayveras.com, y pulsar enter.
- Al mostrarse la página, se puede ver un campo que solicita un usuario, y otro campo que solicita una contraseña, además de un botón para enviar. Para acceder, era necesario pulsar el botón de enviar sin rellenar ninguno de los campos.
- Al cargarse, se mostraban las listas de usuarios pudiendo ser incluso modificadas.
Estas medidas, claramente insuficientes para garantizar la seguridad de un fichero de datos de carácter personal, incumplen el artículo 9 de la Ley Orgánica 15/1999, como se verá más adelante en este artículo, siendo la causante del problema 8media, gestora del evento.
El día siguiente, lunes, contactó con Nintendo Ibérica enviándoles el siguiente email:
« | Muy buenas,
Me pongo en contacto con usted en relación con la campaña "Prueba y verás" que la compañía que dirige viene realizando en tierras españolas. Le hago saber que recientemente he descubierto de forma accidental en el 'minisite' de la campaña la presencia de una vulnerabilidad por la cual todos los datos personales de los suscritos a aquella quedan expuestos de forma pública. Le adjunto una pequeña muestra de los documentos que lo prueban para que pueda verificar la existencia de dicha vulnerabilidad. Quisiera recordarle que según el Artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Caracter Personal: El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Además de que acorde a lo dispuesto en los Artículos 44 y 45: Son infracciones graves: [...] Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas. La vulnerabilidad descubierta permite a cualquier tercero el acceso y modificación de datos de carácter personal (como puedan ser nombre y apellidos, DNI, correo electrónico, datos postales y la fecha y hora de la cita) por la falta de seguridad de sus sistemas informáticos; lo que como ha podido leer se encuentra tipificado como una infracción grave penada con entre 60.000€ y 300.000€ de multa. Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público. Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente. Si está interesado en ponerse en contacto conmigo, por favor no dude en llamar al número de teléfono [...]. También me podrá encontrar el próximo [...] a las [...] en [...], donde precisamente acudiré a probar el producto promocionado por la campaña. Saludos cordiales, —adan_gecko |
» |
El email fue interpretado por Nintendo como un chantaje para conseguir beneficios del suceso, aunque el usuario en cuestión lo ha negado en estos foros al asegurar que nunca buscó un beneficio de ello, sino meramente que se solucionase el problema lo antes posible. Este email se mostró el día 9 en este mensaje. El usuario nunca recibió respuesta.
Día 8 por la tarde
La página web dejó de aceptar reservas, mostrando en su lugar la imagen que aparece en el margen. Es entonces, cuando el fallo informático ya ha sido solventado, que el usuario informó de lo sucedido, y se mostraron pruebas:« |
¿Queréis saber la razón de por qué las reservas están cerradas? Porque los chapuceros de 8media le hicieron a Nintendo una página de reservas tan chapucera que sin meter usuario ni contraseña permitía ver, modificar y descargarse los datos personales de cualquier suscrito a la campaña. :O Descubrí la vulnerabilidad el domingo, les avisé el lunes por la mañana y a las pocas horas ya habían arreglado parte del asunto, pero me imagino que ahora les toca rehacer todo el sistema. [poraki] Lo feo es que no he recibido respuesta por su parte... Estoy elaborando la denuncia para presentarla el próximo lunes ante la Agencia Española de Protección de Datos, y voy a poner a la disposición de todos los afectados un modelo para que puedan denunciar. Estamos hablando de nombres, apellidos, números de D.N.I., direcciones de correo electrónico, fechas de nacimiento, códigos postales y fechas de asistencia al evento promocional de 5000 personas, muchos de ellos menores de edad. La prueba de que estos hechos son reales: javier91, ¿tus iniciales son JGB y la letra de tu DNI es la P? (Si te molesta esta referencia indícalo y la retiro). Ahí queda eso, a partir de ahora cuidado con a quién le dáis vuestros datos... [rtfm] —Mensaje original |
» |
En este otro mensaje informa de poseer pruebas para demostrar lo sucedido:
« | Efectivamente, tengo documentos, capturas y vídeos. —Mensaje original |
» |
Y en el siguiente mensaje describía el funcionamiento de la página de administración:
« | Directamente había listados para descargar por ciudades y fecha. También había un buscador por email o DNI que permitía modificar los datos de los registrados. —{{{2}}} |
» |
Día 9 de febrero del 2011
El miércoles, Nintendo Ibérica mediante una nota de prensa notificó que más de 4.000 registros de usuarios fueron robados mediante "técnicas de hackeo" (en adelante en este artículo, se denominará "hackeo" como "crackeo"), para más adelante ser extorsionados. La noticia se publicó en la Agencia EFE y en el periódico digital El Mundo, entre otros medios.
Ese mismo día, el usuario en cuestión fue notificado a cerca de las 15 horas para prestar declaración:
« | Ahora comienza el capítulo más escabroso del culebrón:
Me acaban de llamar por teléfono de parte de 'Delitos Informáticos' de la Policía Nacional para que vaya esta tarde a prestar declaración a las 19:00, "en relación a unos correos electrónicos recibidos en Madrid". —Mensaje original |
» |
Además, se descubre un segundo email enviado tras haberse solucionado el fallo de seguridad:
« | Muy buenas,
Quisiera hablarle en relación con la vulnerabilidad descubierta en el 'minisite' de la campaña "Prueba y verás", de la cual les hice conocedores ayer vía correo electrónico. Me agrada mucho comprobar que dicha vulnerabilidad ha sido subsanada así como la celeridad con la que han solucionado el problema. Al no haber recibido respuesta por su parte, entiendo que la empresa que Usted dirige no tiene ningún reparo en afrontar las consecuencias legales y económicas de su infracción. Por lo tanto, salvo que en los próximos días se me comunique oposición por su parte, el proceso de denuncia continuará adelante con entrega de la documentación ante la Agencia de Protección de Datos prevista para el próximo lunes 14 de febrero. Muchas gracias por su atención —Mensaje original |
» |
En el anterior email puede verse que el usuario afirma encontrarse agradado al comprobar que el problema ha sido solucionado, y además felicita la rapidez de las medidas adoptadas. No obstante, podría interpretarse la segunda parte en negrita como unas contra-medidas adoptadas al no satisfacerse las peticiones del segundo email.
En el siguiente mensaje explica el procedimiento que se debía de seguir para acceder a los datos:
« | Procedimiento para acceder a los datos:
(Obviamente ya no se puede, si no no lo diría pues sería muy irresponsable de mi parte)
—{{{2}}} |
» |
En el siguiente email justifica a qué se debían las palabras acerca de una negociación:
« | Esperaba contrastar los hechos de la denuncia. Más que nada saber si el fichero de datos estaba bajo custodia de ellos o de 8media para así denunciar en consecuencia. —{{{2}}} |
» |
Aunque podría llegar a explicar las palabras acerca de una negociación, lamentablemente, nada demostraría que en realidad esas eran sus intenciones y no otras, siendo estas palabras, según afirma el usuario, "un lamentable error que ha llevado a una interpretación errónea de mi mensaje, aunque comprensible".
Finalmente, ese día comentó acerca de su estancia en la comisaría, donde acudió a la cita:
« | Hola chavales, ya he regresado de estar un ratillo detenido. :)
Os cuento mi experiencia en comisaría: Llegué a comisaría y pedí indicaciones para Delitos Informáticos. Me dijeron que esperase en la sala contigua. Al rato apareció el agente de DDII y me acompañó a su oficina. De entrada decir que el agente y en general todos los funcionarios fueron muy simpáticos en todo momento. Ya en la oficina el agente me hizo la primera pregunta: - ¿Sabes por qué estás aquí? - Sí - Pues... cuéntame. Le conté con todo lujo de detalles mi versión de la historia, que es más o menos la concatenación de todos los mensajes que he ido dejando. Al parecer Nintendo me ha denunciado por "Revelación de secretos" y "Amenazas". En la denuncia al parecer se ven reflejadas todo tipo de imprecisiones temporales y factuales: dicen haber cerrado las reservas en las 24 primeras horas después de lo que ellos han denominado "robo" mientras que realmente lo hicieron en el doble de tiempo; además de asegurar que he borrado su base de datos, afirmación que es manifiestamente falsa no sólo porque yo no haya hecho tal cosa sino porque los eventos siguen organizándose y por lo tanto no han perdido los datos. Para colmo los datos que yo descargué (y que ya han sido borrados de mi equipo) no son una base de datos sino listados con sólo parte de los datos que estaban disponibles en la aplicación de administración. A continuación bajamos a calabozos donde me hicieron la ficha policial, midiéndome, tomándome todas las huellas de los dedos y las manos completas en todas las posturas imaginables. También me hicieron la típica foto de frente y de perfil. Aquí también hubo buen rollo con los funcionarios, e incluso bromeamos con subir las fotos a facebook. Después de todo esto llegó el abogado de oficio para presenciar la declaración. El agente me fue haciendo preguntas de todo tipo y por supuesto tuve la oportunidad de matizar y manifestar todo lo que me pareció conveniente. Hice especial hincapié en la sencillez procedimiento por el cual accedí a los datos, que dista de ser una "técnica de hacking" como mencionan en la denuncia. Con respecto a los listados con datos personales que descargué, en la misma declaración manifesté mi intención de borrarlos de inmediato así como no volver a usarlos, almacenarlos o comunicarlos en el futuro. Así, la única copia de los documentos, acompañados de las pruebas que muestran el procedimiento de acceso a los datos, permanece en un pendrive guardado en un sobre lacrado y firmado cuya apertura sólo puede ser efectuada por el Juzgado responsable del caso. Asimismo, se ha hecho constar este hecho en la propia declaración así como el nombre de los archivos y las claves de extracción contenidos en el dispositivo (son archivos comprimidos con clave). A partir de este momento, se inicia un proceso administrativo muy lento que con cierta probabilidad acabe en la desestimación del caso porque el Juez considere que mi actuación no sea constitutiva de delito. Si no fuese así, se celebraría un juicio por videoconferencia (he sido denunciado en Madrid pero vivo en Málaga) en el que igualmente mi declaración y las circunstancias probablemente derivarían en la desestimación del caso. Si por el contrario se me considerase culpable, en el peor de los casos se me impondría una multa. Yo por mi parte voy a presentar mi denuncia ante la Agencia de Protección de Datos antes de que acabe la semana, que es sinceramente por donde tenía que haber empezado. Ya lo sabéis, si os encontráis alguna vez en una situación similar bajo ningún concepto os pongáis en contacto con el infractor, acudid directamente a la Policía o a la Guarda Civil, que aunque a veces pueda no parecerlo, están para ayudarnos en estos casos. P.S.: No sé si es la primera vez que ocurre en EOL, pero este hilo se va a utilizar como prueba en el caso. —Mensaje original |
» |
10 de febrero del 2011
El día anterior ElOtroLado publicó la noticia sobre el caso distribuida por la agencia EFE, sin haber contrastado lo suficiente el suceso. Este error sería solventado a las horas (ya en el día 10, a las 2 de la mañana) con una actualización en la que Jixo, administrador del sitio, publicaba la otra versión de la historia. Ya por la tarde, ElMundo.es se haría eco de la noticia publicada en ElOtroLado y lo mismo sucedería con ElPaís.com.
14 de febrero del 2011
La Policía Nacional saca una nota de prensa [1] dónde manifiestan que hay informes periciales que dicen:
El pirata informático, al no recibir respuesta por parte de la compañía afectada, filtró los datos personales de un cliente en un foro de tecnología y videojuegos con gran cantidad de usuarios a nivel mundial. Igualmente público la posesión del listado de clientes. Además, tenía intención de divulgar en Internet la base de datos completa.
Los investigadores localizaron al hacker y procedieron a su detención y así pudieron evitar la publicación de algunos de los usuarios de Nintendo Ibérica.
Según el informe pericial realizado, el especialista concluyó que el joven informático buscó, consultó y modificó información de multitud de clientes y además descargó 55 agendas de eventos de la multinacional que se realizarían en siete ciudades diferentes en el mes de febrero