Buscar este blog

lunes, 17 de septiembre de 2018

Metadatos en documentos para periciar

Hoy vamos a hablar de algo que muchas personas desconocen o no piensan en ello: los metadatos (la información sobre un archivo, que no la información que se muestra en un archivo). Los metadatos pueden hacer que un documento digital normal y corriente se convierta en información comprometedora.

Los metadatos de un documento

Empecemos nuestro artículo con algo de teoría. Las leyes americanas definen tres categorías de metadatos:

  1. Los metadatos de aplicación los añade la aplicación utilizada para crear el documento. Este tipo de metadatos contiene las ediciones que realiza el usuario, incluidos el historial de cambios y los comentarios.
  2. Los metadatos del sistema incluyen el nombre del autor, el nombre del archivo, tamaño, cambios, etc.
  3. Los metadatos incrustados pueden ser las fórmulas de las celdas de Excel, los hipervínculos y los archivos asociados. Los metadatos Exif de archivos gráficos también pertenecen a esta categoría.

Este es un ejemplo clásico de los problemas que pueden causar los metadatos comprometidos. El gobierno de 2003 del Reino Unido sobre las supuestas armas de destrucción masiva de Irak. La versión .doc del informe contenía metadatos incrustados sobre los autores (o, más bien, sobre las personas que introdujeron los últimos 10 cambios). Esta información puso en duda la calidad, la autenticidad y la credibilidad del informe.

De acuerdo con el artículo que seguidamente publicó la BBC, como resultado del descubrimiento de los metadatos del archivo original, el gobierno optó por usar la versión .pdf del informe porque contenía menos metadatos.

Un archivo (adulterado) de 20 millones de dólares

En 2015, hubo otra revelación relacionada con los metadatos que guardaba relación con un cliente de Venable, un bufete de abogados americano. Una compañía cuyo vicepresidente acababa de dimitir contactó con Venable. Poco después de su salida, la firma perdió un contrato con una organización gubernamental frente a un competidor (un competidor que trabajaba con el ex vicepresidente).

La empresa acusó al ex vicepresidente de mal uso de secretos empresariales afirmando que así fue cómo ganaron el contrato del gobierno. En su defensa, el demandado y su nueva firma proporcionaron como prueba una oferta comercial similar preparada para un gobierno extranjero. Aseguraron que se creó para otro cliente antes de la puja en EE. UU. y, por ello, el ex vicepresidente no había violado el pacto de no competencia con el demandante.

Pero los demandados no pensaron que los metadatos de sus pruebas contenían un código temporal anormal. El sistema de metadatos mostró que el archivo se guardó por última vez antes de su última impresión, lo que, según afirmó un experto, no puede suceder. El código de tiempo de la última impresión son metadatos de aplicación y se guardan en el documento solo cuando el archivo se guarda. Si un documento se imprime y no se guarda después, la nueva fecha de impresión no se guardará en los metadatos.

Otra prueba de la falsificación del documento fue su fecha de creación en el servidor de la empresa. El documento se creó después de que se presentara la demanda en el juzgado. Además, se acusó a la parte demandada de alterar la fecha de la última edición en los archivos .olm (la extensión que utiliza Microsoft Outlook para archivos de Mac).

La prueba de los metadatos bastó para que el tribunal fallara a favor de los demandantes. Los demandados tuvieron que pagarles 20 millones de dólares y unos cuantos millones más en sanciones.

Archivos ocultos

Los archivos de Microsoft Office ofrecen una herramienta configurada para recopilar información privada. Por ejemplo, las notas al pie pueden incluir información adicional cuyo propósito no es un uso público. El control de cambios integrado en Word también podría usarse para espiar. Si eliges la opción “mostrar final” (o “ninguna revisión”, o similar, según la versión de Word que uses), los cambios almacenados desaparecerán de la pantalla, pero seguirán en los archivos a la espera de un lector observador.

Además, hay notas en las diapositivas de Power Point, columnas ocultas en las hojas de Excel, etc.

Por último, los intentos de esconder la información sin saber cómo hacerlo adecuadamente no suelen funcionar. Un buen ejemplo de ello es un documento legal publicado en CBSLocal en referencia a un caso de los Estados Unidos contra Rod Blagojevic, ex gobernador de Illinois. Se trata de una moción de 2010 para que el tribunal emitiera una citación a Barack Obama.

Algunas partes del texto están escondidas con cajas negras. Sin embargo, si se copia y pega el bloque de texto en un editor de textos, se puede leer por completo.

Las cajas negras en un PDF pueden ser útiles para esconder información cuando se imprime, pero esta medida se puede saltar en formato digital

Archivos dentro de archivos

Los datos de archivos externos incrustados en un documento son una historia totalmente diferente.

Para enseñaros un caso real, buscamos entre algunos documentos de páginas web .gov y seleccionamos para examinar el informe tributario del año financiero 2010 del Departamento Estadounidense de Educación.

Descargamos el archivo y desactivamos la protección de solo lectura (la cual no requería contraseña). Aparentemente, hay un gráfico normal en la página 41. Seleccionamos “Cambiar datos” en el menú de contexto y, finalmente, se abrió un archivo fuente incrustado de Microsoft Excel que contenía todos los datos de origen.

Informe en un archivo Word que contiene un Excel con muchos datos de origen para este y algún que otro gráfico.

No es necesario decir que dichos archivos incrustados podrían contener cualquier cosa, como por ejemplo mucha información privada; quienquiera que publicara el documento debió de dar por hecho que dicha información era inaccesible.

Recolección de metadatos

El proceso de recopilar metadatos de un documento perteneciente a una organización de interés se puede automatizar con la ayuda de software como FOCA (Fingerprinting Organizations with Collected Archives), de ElevenPaths.

FOCA puede encontrar y descargar formatos de archivos requeridos (por ejemplo, .docx y .pdf), analizar sus metadatos y descubrir muchas cosas sobre la organización, como el software utilizado en el servidor, los nombres de usuario, etc.

Debemos hacer una gran advertencia llegados a este punto: analizar webs con dichas herramientas, aunque solo sea con fines de investigación, podría molestar a los propietarios de las webs e, incluso, podrían calificarlo de ciberdelincuencia.

Curiosidades documentadas

Estas son un par de peculiaridades de los metadatos que no conocen todos los expertos en informática sobre el sistema de archivos NTFS que utiliza Windows:

Afirmación 1: Si borras un archivo de una carpeta e inmediatamente guardas un archivo nuevo con el mismo nombre en la misma carpeta, la fecha de creación será la misma que la del archivo que has borrado.

Afirmacion 2: Además de otros metadatos, NTFS mantiene la fecha del último acceso al archivo. No obstante, si abres el archivo y compruebas la fecha del último acceso en las propiedades, la fecha es la misma.

Pensarás que estas curiosidades son solo errores, pero son, en realidad, características documentadas. En el primer caso, hablamos de túneles, requeridos para permitir la compatibilidad de software. Por defecto, este efecto tiene una duración de 15 segundos en los que el nuevo archivo recibe la fecha de creación asociada al archivo anterior (se puede cambiar el intervalo en la configuración del sistema o desactivarlo por completo en el registro). De hecho, en mi caso, el intervalo por defecto basta para que me tope con los túneles un par de veces por semana mientras hago mi trabajo.

El segundo caso también está documentado: desde Windows 7, y en favor del rendimiento, Microsoft desactivó el guardado automatizado de la fecha de último acceso. Se puede activar en el registro. Sin embargo, una vez activado, no se puede revertir el proceso para corregir el problema; el sistema de archivos no mantiene las fechas correctas (como comprobó un editor de disco de bajo nivel).

Esperamos que los expertos en informática forense estén al tanto de estas peculiaridades.

Por cierto, los metadatos pueden ser alterados mediante aplicaciones por defecto del SO o aplicaciones nativas, además de con software especial. Lo que significa que no se puede confiar en los metadatos como prueba en un juicio a no ser que vayan acompañados de documentación adicional, como de servicios de correo o registros de servidores.

Metadatos: Seguridad

Una característica integrada de Microsoft Office llamada Inspector de documento (en Word 2016, Archivo → Información → Inspeccionar documento) muestra al usuario los datos que contiene un archivo. En cierta medida, esta información se puede borrar a petición (aunque no la información incrustada, como la del documento del Departamento de Educación que hemos citado antes). Los usuarios deberían tener cuidado cuando inserten gráficos y diagramas.

Adobe Acrobat es capaz de eliminar los metadatos de los archivos de forma parecida.

En cualquier caso, los sistemas de seguridad deberían gestionar la prevención del filtrado de datos. Por ejemplo, nosotros disponemos de un módulo DLP (Prevención de la pérdida de datos por sus siglas en inglés) en Kaspersky Total Security for Business, Kaspersky Security for mail servers y Kaspersky Security para plataformas de colaboración. Estos productos pueden filtrar metadatos confidenciales, como los cambios de registro, los comentarios y los objetos incrustados.

Por supuesto, el método ideal (la lectura imposible) para prevenir por completo la filtración de información es contar con una plantilla responsable, informada y bien capacitada.

Fuente: Klab

miércoles, 12 de septiembre de 2018

La Justicia limitó el uso que el Gobierno puede darle a los datos de ciudadanos


La Cámara en lo Contencioso Administrativo Federal le ordenó a la ANSES que no ceda información –como teléfono o mail– de una mujer a la Secretaría de Comunicación.

La Cámara en lo Contencioso Administrativo Federal le ordenó a la ANSES que se abstenga de cederle a la Jefatura de Gabinete datos personales de una mujer para que formen parte de una base con fines de comunicación.

Fuentes judiciales informaron a Infobae que la Sala V de la Cámara aceptó el planteo de Carmen Torres Abad para que la ANSES no ceda la información respecto de su número de teléfono y su cuenta de correo electrónico sin su consentimiento.

Los camaristas Guillermo Treacy, Pablo Gallegos Fedriani y Jorge Alemany señalaron que la ley de protección de datos personales establece que cuando el estado quiere obtener información de una persona debe tener el consentimiento expreso de ella, excepto en casos puntuales que establece la ley y en los que puede sacarlos de oficio.

Lo que se puso en discusión fue el Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública, que depende de la Jefatura de Gabinete de la Nación, que se firmó en 2016. Allí se fijó que la Secretaría podía obtener datos de la ANSES para mantener información a la población sobre distintos temas y a través de distintas vías. El caso generó polémica por el tipo de uso que se le iba a dar a esa información, sobre todo política o de propaganda.

La Justicia determinó que cuando el estado quiere obtener información de una persona debe tener el consentimiento expreso de ella

La Justicia determinó que cuando el estado quiere obtener información de una persona debe tener el consentimiento expreso de ella

Pero la mujer objetó que su teléfono y su correo electrónico formaban parte de esa base cuando ella no había dado su consentimiento.

Los camaristas explicaron que hay algunos supuestos en los que el estado puede obtener datos sin el consentimiento de la persona: cuando sea con fines de defensa nacional, seguridad pública o represión de delitos; cuando los datos sean de personas vinculadas a las fuerzas armadas, fuerzas de seguridad, organismos policiales y organismos de inteligencia; o cuando sean datos necesarios para el cumplimiento de la misión que la misma ley que autorice el tratamiento determine.

"En consecuencia, toda vez que ni el número telefónico ni la dirección de correo electrónico se encuentran dentro de la categoría de ´datos nominativos´, lo cierto es que para que pueda efectuarse la cesión de estos datos o para el tratamiento de los mismos se requiere el consentimiento expreso del interesado", explicaron los camaristas sobre el caso.

Y agregaron: "Al respecto, se advierte que el tratamiento de los datos en cuestión para los fines perseguidos por la Secretaría de Comunicación Pública, es decir, ´mantener informada a la población´ o ´la identificación, evaluación y análisis de problemáticas o temáticas de interés en cada localidad del país´, no son objetivos que se vinculen con una finalidad de defensa nacional, seguridad pública o represión de delitos, tal como lo exige la doctrina especializada. Asimismo, el organismo al cual se cederían esos datos, la Secretaría de Comunicación Pública dependiente de la Jefatura de Ministros, no tiene competencias en estas materias".

Los jueces señalaron que la ANSES puede tener los datos de teléfono y correo electrónico de la mujer para los trámites administrativos del organismo. "En cambio, la cesión de esos datos a la Secretaría de Comunicación Pública tendría como fin, tal como está indicado en la resolución administrativa, lograr objetivos o finalidades distintas a las que oportunamente llevaron a la ANSES a requerirlos", aclararon.

La Cámara también destacó que no tiene que haber existido un daño concreto con el uso de esa información personal para hacer el reclamo. "El solo tratamiento de los datos -sin la autorización del interesado- constituye en sí mismo un agravio que la Ley de Protección de Datos Personales intenta prevenir", dijeron los jueces. Infobae

viernes, 7 de septiembre de 2018

Removing Signatures from PDFs in Acrobat Pro 9

***EDIT 1/2/2013*** This article describes the process of exporting your PDF as a PostScript file and redistilling it to remove digital signatures. What I failed to make explicit in the original article is that this procedure WILL REMOVE ALL INTERACTIVE FEATURES, including form fields, buttons, hyperlinks, etc., as they are not supported in PostScript. In the scenario described in my article, this was not an issue, and in the time since I wrote the article I’ve had a number of readers inform me they have found the information helpful for them as well. However, a recent comment made me realize my omission.

Again, if you have interactive elements such as form fields, buttons, hyperlinks, etc. in your PDF that you need to preserve, DO NOT export to a PostScript file as they will be lost. And obviously, when redistilling, do not overwrite your original PDF file.
***

Today I ran across a problem as I was editing metadata in a set of PDFs that are to be included on an indexed CD publication. Several of the PDFs had signatures, and therefore disallowed any changes. According to the official Acrobat help, “You cannot remove a signature unless you are the one who placed it and you have the digital ID for signing it installed.” While the signatures might have been important in their original workflow, they’re irrelevant for this project. I don’t want to have to go back to my client and ask for new unsigned PDFs just so I can make minor changes to the metadata. A Google search on the Internet for removing signatures via some other means yielded no results except an old script hack from several versions ago, which may or may not work in 9; I didn’t want to try it.

So I started experimenting, and after a few minutes I found a simple solution:

  1. Export the PDF as a PostScript file (File: Export: PS)
  2. Convert the PS back into PDF (File: Create PDF from File, choose the PS)

PDF/A

PDF/A

Según el dicho tradicional, “el diablo está en los detalles” y en este caso no podía ser menos. No siempre basta poder “abrir” un documento, hay que poder “entenderlo”. Por eso surgió la variante PDF/A

Algunos de los escenarios contemplados por PDF/A son los siguientes:

  • Si al abrir el documento en un ordenador el primer párrafo es un texto en tamaño 12 con fuente Frutiger y el ordenador no dispone de esa fuente, no puede “dibujar” las letras en pantalla. Por tanto, PDF/A obliga a que la definición de las fuentes se embeba en el documento. Es decir no basta el nombre de la fuente sino la descripción para poder dibujarla. Esto lógicamente implica un tamaño mayor del documento.
  • Si el documento indica en un párrafo: “El contrato se firma de acuerdo a lo establecido en la norma http://www.boe.es/Norma123456” y esa URL ya no está disponible en la web indicada, el documento pierde gran parte de su sentido. Podemos leer el documento completo pero al no poder acceder a la referencia, no se puede entender completamente. PDF/A no admite que se incluyan URL ya que su contenido podría no estar disponible dentro de varios años.
  • Si el documento PDF está protegido con una clave y no disponemos de la clave no puede leerse. PDF/A no admite documentos encriptados para evitar que no pueda leerse sin clave.
  • La fidelidad de los documentos es importante; si tenemos un texto o una imagen embebida y la definición de los colores no puede reproducirse igual que en la plataforma en que se creó, podría incluso no visualizarse elemento importantes del documento. PDF/A no admite colores que dependan del dispositivo. Debe utilizarse siempre colores independiente de dispositivo, de acuerdo a la ICC
  • Hay muchas otras opciones que admite PDF (como embeber archivo de audio o video que podrían no reproducirse) y que no son admisibles en PDF/A……

Por tanto el formato PDF/A limita algunas de las muchas operaciones posible en PDF y en otros casos lo que hace es especificar la forma concreta en que debe hacerse entre varias alternativas. Todo ello con el objetivo de que el documento puede almacenarse en un gestor documental y, pasados muchos años , pueda abrirse, leerse y entenderse.

Cuando se abre un documento en PDF/A, los visores (como el Adobe Reader) suelen indicarlo. Esto es cada vez más habitual en documentos de la administración pública, como el Ministerio de Hacienda.

Actualmente se han publicado 3 versiones de PDF/A:

  • PDF/A-1, la primera versión publicada en 2005, basada en PDF 1.4 y que tiene 2 variantes PDF/A-1a y PDF/A-1b.
  • PDF/A-2, basada en PDF 1.7 y publicada en 2011
  • PDF/A-3, basada en PDF 1.7 y publicada en 2012 que añade a la anterior la posibilidad de embeber documentos en otros formatos (Lo que en mi opinión personal parece chocar con la propia esencia de PDF/A)

Dado que al generar el PDF/A podría no haberse cumplido las especificaciones, y dentro de 20 años ya no podría hacerse nada cuando se abra el documento, existen diversas herramientas para verificar la conformidad de un archivo PDF al estándar antes de plantearse su almacenamiento.

En http://www.pdfa.org puede encontrarse documentación, herramientas e información adicional. Puede hacerse pruebas rápidas de generación con programas como LibreOffice, OpenOffice o Microsoft Office, que permiten guardar o exportar en formato PDF y en concreto como PDF/A.

Un ciberdelincuente acaba detenido gracias a ProtonMail, tras realizar un ataque


ProtonMail ayuda a detener a un ciberdelincuente británico

ProtonMail es uno de los servicios de correo electrónico cifrado de extremo a extremo más populares. Hoy nos hacemos eco de una noticia en la que la plataforma ha descubierto al ciberdelincuente que estaba detrás de importantes ataques DDoS durante este verano. Además, la misma persona fue responsable de llevar a cabo amenazas de bomba en diferentes escuelas de Reino Unido y hasta en un vuelo entre este país y Estados Unidos. Se trata de George Duke-Cohan, un joven de solo 19 años.

ProtonMail colabora para detener a un ciberdelincuente

Este hacker era usuario de ProtonMail VPN, el servicio de VPN de esta compañía. Fue a esta misma empresa, entre otras, a las que George y su grupo realizaron ataques de denegación de servicios (DDoS) durante los últimos meses. Estos ataques provocaron que el servicio de correo electrónico estuviera incluso por momentos inutilizado. Ya hablamos en un artículo anterior de los problemas que estaba teniendo esta plataforma.

Este joven británico cometió un error que permitió a ProtonMail identificarlo como el responsable de los ataques que habían sufrido. Era el líder del grupo Apophis Squad y se apodaba optcz1.

Una vez fue detenido, confesó los crímenes. Entre ellos se encuentran amenazas de bomba contra 400 escuelas en Reino Unido, así como un vuelo entre este país y Estados Unidos el pasado 9 de agosto.

ProtonMail ya tiene soporte PGP completo y verificación de direcciones

ProtonMail ya tiene soporte PGP completo y verificación de direcciones

Según explican desde ProtonMail, fue la información que ellos proporcionaron a las autoridades la que ayudó enormemente a la investigación a detener a este joven británico.

Desde la compañía indicaron que Duke-Cohan y otros miembros de Apophis Squad fueron usuarios de ProtonMail. Esto fue una información valiosa que redujo la búsqueda de posibles sospechosos.

Detenido un hacker británico

Información a las autoridades de Reino Unido

ProtonMail proporcionó la información sobre Duke-Cohan a las autoridades de Reino Unido a principios de agosto. Sin embargo no la utilizaron en ese momento para su arresto.

Andy Yen, fundador de ProtonMail, indicaba que no está claro qué contenido podría haber tenido Duke-Cohan o Apophis Squad del servicio de correo electrónico cifrado. Eso sí, aseguraba que los miembros del grupo habían sido usuarios del servicio de correo electrónico cifrado y que múltiples actores de amenaza estuvieron involucrados.

Indican que respeto al ataque DDoS que sufrieron este verano, pueden dar tres nombres. Uno de ellos, obviamente, es George. Además, este grupo también había dirigido ataques a otros servicios como Tutanota.

ProtonMail ahora es compatible con la red Tor para evitar a los gobiernos

ProtonMail ahora es compatible con la red Tor para evitar a los gobiernos

Antes de todo esto, durante el pasado mes de mayo, el joven británico ya fue detenido y estuvo bajo investigación. Sin embargo parece que todo esto no le afectó y continuó con sus amenazas. Ahora tendrá que comparecer ante un tribunal de su país el próximo 21 de este presente mes.

En definitiva, el servicio de correo electrónico cifrado ProtonMail ha colaborado para detener a un joven británico que ha realizado diferentes ataques y amenazas durante los últimos meses.

Fuente > ZDNET - Javier Jiménez

jueves, 16 de agosto de 2018

Tiene la dirección IP dinámica el carácter de dato personal



02/11/2016
Por Noemí Brito Izquierdo

Recientemente, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictado una sentencia importante en relación al caso C‑582/14, en lo que concierne a las posibilidades del gestor o titular de un sitio de internet y, en definitiva, de cualquier prestador de servicios en línea de defenderse y reaccionar en caso de que un ataque cibernético por parte de los usuarios pudiera comprometer el correcto funcionamiento de su página y servicios, al permitirle conservar y tratar ciertos datos personales de los usuarios, en particular, su dirección de protocolo de internet dinámica (direcciones de IP dinámica) que, como ya apunta esta sentencia, constituye, para tal gestor y/o prestador, un dato personal cuando éste dispone de medios legales que le permitan identificar de forma razonable al usuario de que se trate gracias a información suplementaria en manos del proveedor de acceso a Internet del usuario. Ciertamente, esta información serviría a tal gestor o prestador para articular las acciones legales que correspondiera frente a los usuarios atacantes en defensa de sus derechos e intereses legítimos.
A tenor de esta sentencia se plantean dos cuestiones principales, a saber:
1. ¿Tiene la dirección IP dinámica el carácter de dato personal?
2. ¿Puede justificar el interés legítimo del gestor o titular de un sitio web en garantizar el correcto funcionamiento general del mismo la conservación y, en general, el tratamiento de ciertos datos personales (direcciones IP dinámicas) de los usuarios sin su consentimiento?

Dirección IP como dato personal
En lo que concierne a la primera cuestión, se debe destacar que desde hace ya algún tiempo atrás, tanto la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE)[1], cuanto la jurisprudencia del Tribunal Supremo español[2] viene categorizando a las direcciones IP de los usuarios como datos de carácter personal, con la consiguiente aplicación de los principios de  información y de consentimiento a los efectos del tratamiento de los mismos, así como del resto de la normativa protectora de datos personales. También la Agencia Española de Protección de datos (AEPD) se ha manifestado en algún Informe Jurídico en este mismo sentido.[3]
En este contexto, la STJUE de 19 de octubre de 2016, -en la línea ya apuntada de forma previa también por las Conclusiones del el Sr. M. CAMPOS SÁNCHEZ-BORDONA, Abogado General de este Alto Tribunal, del pasado 12 de mayo de 2016[4]-, examina específicamente el caso de las direcciones de IP dinámicas, que son aquellas direcciones IP que son asignadas de forma temporal al usuario por el proveedor de servicios de acceso a Internet (ISP) ostentando, por consiguiente, una duración máxima determinada y cambiando con cada nueva conexión a Internet. A diferencia de las direcciones IP estáticas (invariables y que permiten la identificación del dispositivo conectado a la red), las direcciones IP dinámicas no permiten relacionar, mediante ficheros accesibles al público, un ordenador concreto y la conexión física a la red utilizada por el proveedor de acceso a Internet. La única manera de poder identificar al usuario que está detrás de las IP dinámicas sería cruzando esta información con la información suplementaria en manos del ISP.
A este respecto, la anterior STJUE aclaró que una dirección IP dinámica registrada por un proveedor o gestor de servicios de medios en línea, es decir, por el gestor de un sitio de Internet, durante la consulta de su sitio de Internet accesible al público constituye, respecto a este gestor, un dato personal cuando el mismo dispone de medios legales y razonables que le permitan identificar al usuario gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicho usuario[5]. En definitiva, se tratará de una persona física identificable y con ello, de conformidad con el derecho aplicable, de información de tipo personal.

[1] Remítase a la Sentencia de la Sección Sexta de la Sala de lo Contencioso-administrativo del Tribunal Supremo: http://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=7195354&links=%226153/2011%22&optimize=20141023&publicinterface=true
[2] Entre otras, resultan de interés las SSTJUE de 29 de enero de 2008 y de 24 de noviembre de 2011: http://curia.europa.eu/juris/liste.jsf?language=es&num=C-275/06 y http://curia.europa.eu/juris/document/document.jsf?docid=115205&doclang=ES
[5] No sería posible tal asociación (ni nos encontraríamos ante datos de carácter personal) cuando la identificación del interesado esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo, porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos, de modo que el riesgo de identificación sea en realidad insignificante. En este sentido, véase el Considerando 68 de las siguientes Conclusiones del Abogado General del TJUE: http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=690386. En este caso, el gestor o prestador de un sitio de Internet podrá articular diversas vías legales que le permiten dirigirse, en el caso de ataques cibernéticos, a la autoridad competente a fin de que ésta lleve a cabo las actuaciones necesarias para obtener dicha información del proveedor de acceso a Internet y para ejercitar acciones legales que correspondan.
[6] Este Reglamento puede consultarse a través de la siguiente dirección web: https://www.boe.es/doue/2016/119/L00001-00088.pdf



 























Se expone a continuación el análisis de una serie de resoluciones e informes de la Agencia Española de Protección de Datos (AEPD) que han analizado y despejado cuestiones dudosas.

El análisis de casos concretos ayuda con frecuencia a esclarecer aspectos prácticos que desde el punto de vista de la normativa de protección de datos pueden no resultar totalmente claros tras un primer análisis de la normativa.

La dirección IP: ¿Se considera datos de Carácter Personal?
Las direcciones IP o Internet Protocol es el conjunto de números que identifican de manera lógica y jerárquica un equipo en Internet; ya sea un ordenador o cualquier otro dispositivo capaz de conectarse a Internet.
La dirección IP con la que un equipo navega por Internet, es única en el momento de la navegación y ningún otro equipo puede estar navegando con la misma dirección, es por esto que cabría identificarla como la “matrícula” del equipo en Internet.13
 13 Hay que tener en cuenta que las direcciones IP pueden ser dinámicas o estáticas dependiendo si el usuario accede siempre con la misma dirección, o si lo hace cada vez que se conecta con una diferente. No obstante, e independientemente de que lo haga con una modalidad o con otra, queda registrado en el archivo histórico del proveedor.

 Si se parte del concepto de dato de carácter personal dispuesto en el artículo 3 a) de la LOPD se observa que el dato de carácter personal es todo aquel dato que identifique o haga identificable a una persona física.

La dirección IP por sí sola no hace identificable directamente a una persona física, sino que hace identificable a un equipo, y en su caso, a una conexión a Internet contratada a nombre de una persona en concreto, al menos inicialmente.

Todos los proveedores de acceso a Internet disponen de un fichero histórico14 en el que queda guardada la dirección IP asignada a cada uno de sus abonados en el momento concreto en el que se conectan, de igual manera los datos de tráfico, fecha, hora y otros de semejante naturaleza; de cara a poder facturar posteriormente los servicios.

Con todo ello, la Agencia Española de Protección de Datos, entendió en el Informe 327/2003 que siempre que medie la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, esto es, obtener su identidad civil (nombre dirección, número de teléfono, etc) por medios razonables, de modo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999.