Si ves las barbas de tu vecino pelar… “Posible incumplimiento de la Ley 34/2002, de 11 de julio”

Ayer una amiga, un poco preocupada, me pidió consejo sobre un correo que acababa de recibir. Lo enviaba el Ministerio de Energía, Turismo y Agenda Digital, y era sobre el incumplimiento de nuestra amiga la LSSI. Tiene una tienda “física” y una página Web estática, hecha con mucho cariño, eso sí, sobre la cual recibía este aviso de incumplimiento de la ley, información resumida sobre la Ley con consejos de cómo cumplirla, y el consejo de subsanar el tema para evitar recibir multas.

Ministerio de Energía, Turismo y Agenda Digital

La ley es de 2002, o sea, lleva suficiente tiempo vigente para considerarse establecida, y todos sabemos que no conocer las leyes no nos exime de la obligación de cumplir con ellas, por lo que me parece hasta “un detalle” que envíen avisos con instrucciones en lugar de la multa directamente.

Este es el texto íntegro:

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), establece para aquellas personas (tanto particulares como empresas establecidas en España o que dirijan sus bienes o servicios al público español) una serie de obligaciones que han de cumplir. Esta ley es de aplicación a aquellas páginas web que realicen actividades que tengan un fin económico o lucrativo.

Entre dichas obligaciones se encuentra el deber de proporcionar en dichas páginas información sobre la identidad de su titular o sobre los precios de sus productos (artículo 10 de la Ley 34/2002), de manera que tanto las autoridades competentes como los usuarios puedan acceder a ella de manera permanente, fácil, directa y gratuita. Asimismo, en caso de que, a través de dicha página web se pueda contratar electrónicamente (compras, reservas,…), además de las obligaciones anteriores, el titular tendrá la obligación de proporcionar al destinatario la información recogida en los artículos 27 y 28 de ley.

Sin embargo, se ha observado que su página web no cumple con alguna de estas obligaciones.

Por este motivo, le recordamos que, a fin de garantizar la transparencia y confianza de los usuarios, y evitar posibles sanciones, deberá incluir en su página web la información indicada en el documento que se adjunta.

Puede obtener una información más detallada sobre los contenidos y obligaciones de la Ley 34/2002 a través de la página web www.lssi.es.

Subdirección General de Servicios de la Sociedad de la Información
Secretaría de Estado para la Sociedad de la Información y la Agenda Digital
Ministerio de Energía, Turismo y Agenda Digital

Parece ser que el Gobierno se está armando de herramientas modernas (¿big data + agentes + algo de IA?) para hacer rastreo de la Web e identificar estas infracciones. Os aseguro que la página de mi amiga es una gota en el océano, que no tiene ni SEO ni SEM y por lo tanto recibe poquísimas visitas, así que si esto se lo han mandado a ella, se lo van a mandar a todo el mundo.

Así que recomiendo encarecidamente hacer los cambios necesarios en vuestros sitios Web para cumplir con la ley.

Aquí podéis encontrar el PDF de 2 páginas con la información necesaria.

Si no haces venta online, con estos puntos descritos en el PDF hay suficiente:

a) Nombre o denominación social, residencia o domicilio, correo electrónico y cualquier otro dato para establecer comunicación directa y efectiva (formulario de contacto, teléfono o fax).
b) Los datos de inscripción registral (obligación no exigible a los particulares).
e) Número de identificación fiscal.

Si tienes algún tipo de catálogo de productos con precios, entonces necesitarás también poner esto:

f) Si los productos o servicios se muestran con su precio, deberá indicarse, de manera clara y exacta, si éste incluye o no los impuestos aplicables y, en su caso, los gastos de envío.

¿Todos a Liechtenstein?


El mes pasado nos fuimos de vacaciones a Liechtenstein. Así, tal cual, para visitar uno de los pocos países de Europa que nos faltan por conocer. Es un pequeñísimo país conformado en su mayoría por montañas alpinas y que disponde de solo un valle habitado, pero ¡vaya valle! El del Rin. Ahí están casi todos los municipios con cierta población: la pequeña capital Vaduz (6000 habitantes); y donde vive y trabaja la gente, Schaan – incluídos los cuarteles generales de LA multinacional liechtensteiniana, Hilti. El centro histórico de Vaduz se recorre a pie en 15 minutos, tiene una catedral, un extraño y moderno parlamento, unos cuantos museos, una oficina de tursmo, y allá en el risco de la peña que preside la localidad, el castillo de Vaduz, residencia oficial del Fürst (príncipe) y su familia.

Hoy en El Orden Mundial me encuentro este precioso reportaje sobre el país. Dentro de él, me llama la atención el siguiente alegato del Fürst ante la OCDE (2001) por las acusaciones de paraíso fiscal y en especial por el secreto bancario que rige en Liechtenstein y que tantos capitales atrae:

“un intercambio completo y mundial de la información supondría dejar a los ciudadanos completamente transparentes ante el Estado en todos sus asuntos financieros, obligados permanentemente —a diferencia del delincuente común— a probar su inocencia ante las autoridades. Las intenciones pueden ser buenas, pero la consecuencia lógica sería un Gobierno mundial, llamado OCDE, responsable ante nadie, excepto unos pocos políticos que manejarían los hilos en la sombra”.

Una no diría que un monarca absolutista de un paraíso fiscal donde supuestamente se blanquea dinero de todo tipo de origen iba a tener un discurso tan parecido a… ¿Anonymous? Este pensamiento me hace soñar con una versión del Cryptonomicon que sustituya el pequeño reino inventado de Kota Kinabalu. Y los cables submarinos a tender, que fuesen los de Telefónica…

La US Visa Act y lo que publicas en redes sociales

Desde que dejé de escribir aquí regularmente, el mundo se está convirtiendo en un sitio mucho más oscuro. Y no se trata de que al entrar en años una vea el pasado con ese sesgo que te impide ver lo malo o al menos lo tedioso y te magnifica lo bueno: la nostalgia. Comparativamente, no hay color. En las pizzas de Telepizza y las ensaladas de Iberia hay menos olivas. En el trabajo cada vez te dan más responsabilidad y te quitan espacio vital (vamos, que te confinan en un open plan con una densidad que me río yo de ciertos barrios de Calcuta). Todo, absolutamente todo, es más plasticoso y endeble. Se ve que la obsolescencia programada se ha convertido en una ciencia exacta e infalible.

Y luego viene Trump y gana las elecciones en Estados Unidos, haciendo buenas muchas predicciones y avisos publicados en este blog.

¿Se acuerdan de lo de la privacidad y las ranas en agua puesta a hervir? Tick. Ahora acuérdense de aquello de “escribir en Internet es como escribir una postal. Nada impide que el cartero, o quien tenga acceso al cachito de cartón, incluyendo el vecino cotilla del 7º4ª, lo lea”. Pues si son viajeros y sobrevuelan o pisan Estados Unidos, ahora les va a empezar a impactar.

Se trata de la recién aprobada “Visa Investigation and Social Media Act of 2017“.

Según esta nueva ley, el ministerio del interior estadounidense debe revisar “toda la actividad pública en redes sociales” a la hora de decidir si conceder o no el visado a los aplicantes. Esto incluiría también a los que se postulan para el ESTA (el programa de control y autorización de entrada a Estados Unidos para extranjeros que no requieren visado, como por ejemplo los ciudadanos de la Unión Europea).

Dice el republicano Jim Banks al respecto: “Hacer que se revise lo que han publicado los aplicantes en redes sociales antes de darles permiso a venir a Estados Unidos es algo de sentido común. Las empresas lo hacen en su procesos de selección de personal, y creo que ya era hora de que hiciéramos lo mismo con las personas que solicitan un visado”.

Y digo yo: tiene más razón que un santo. No porque sea algo bueno, sino porque es algo posible. Y era de esperar que tarde o temprano lo hicieran. Lo que esto implica para la libertad de expresión y las posibilidades de discriminación que se abren en este proceso a raíz de esta medida es harina de otro costal. Básicamente, un proceso que ya era bastante incierto para los que solicitaban su VISA se convierte en algo totalmente arbitrario.

Ejemplo práctico. El otro día esto me hizo gracia y lo retwiteé (¡patada a María Moliner!).

Si ahora me rechazasen una solicitud de ESTA, cuando soy una persona que representa un riesgo inexistente al país de las barras y estrellas, ¿sería debido a esa gráfica representación de los estragos que el viento y otros agentes atmosféricos perpetran en el cabello de cualquier ser humano (excepto Enrique Peña Nieto)?

Volvemos al tema de la postal y escribir en Internet. Publicar es un acto consciente, es una decisión que tiene que ser evaluada. En 2005 cuando empezó este blog y Donald Trump no era más que un “playboy” millonario entrado en añitos, así como en 2017. Es un constante caminar por la fina línea que va entre la expresión de tus ideas y la evaluación de las repercusiones que tiene exponerlas. En un Estado democrático como el que todos los ciudadanos de la Unión Europea tenemos el privilegio de habitar, siempre dentro del marco legal (no injuriar, no ofender, no discriminar, no hacer apología de la violencia), es un gran avance poder exponer nuestras ideas, defenderlas, refutar las que consideramos incorrectas, declararse orgulloso miembro de colectivos históricamente expuestos a discriminación y plantar cara cuando hay intentos de erosionar tus derechos y los de los demás. Escribir en Internet, en redes sociales, etc. es un ejercicio de responsabilidad. ¡Retwittear también!

En fin, si se rechazase mi hipotética solicitud de ESTA debido al golpe de viento al cabello de Trump, pues debería dar las gracias a Homeland Security por haber rechazado mi solicitud a hacer turismo en Estados Unidos. Ese hecho significaría que ya se habría convertido el país en un Estado fascista de culto al líder, y por lo tanto sería mejor estar fuera que dentro de ese país.

Pero claro, yo no soy una traductora del ejército estadounidense en Irak o una nigeriana homosexual, o nadie cuya vida dependa de un proceso de petición de asilo comenzado muchos meses atrás, cuando el mundo era un poquito menos oscuro.

¿No te gustan las normas de publicación de la red social que usas? Pásate al Indie Web

Hoy leo que hay revolución “YouTuber” porque a ese colectivo le fastidian las nuevas normas de contenidos del sitio donde cuelgan sus, digamos, ocurrencias: si un vídeo no es del agrado de YouTube, no se mostrará publicidad y por lo tanto estos nuevos artistas (o algo así) no ganarán ni un euro por las visitas que ese contenido reciba. Censura, gritan, y se desahogan con pataletas que van de lo algo divertido a lo altamente ridículo.

Además leo que en Noruega un director de periódico “serio” se queja de que los “cutres” de Facebook le censuren la famosa foto de la “niña del Napalm”. Ya se sabe, el “machine learning”. Está muy avanzado, claro está, pero donde hay una niña desnuda que llora, el algoritmo ve a una niña desnuda que llora (pornografía infantil), no una foto icónica de la historia del periodismo (cultura y tal).

Pueden patalear todo lo que quieran, pero la lógica aplastante siempre está presente, aunque sólo a veces los que deciden ignorarla se pegan de bruces con ella. Facebook es de los accionistas de Facebook. YouTube es de los accionistas de Google/Alphabet. Estos propietarios hacen lo que quieren con sus productos. Lo que quieren o lo que más les conviene o una mezcla de ambas cosas. Y si ambas empresas le dan importancia a (1) cuidar su imagen pública en un momento en que lo políticamente correcto es incuestionable y (2) minimizar riesgos y costes de denuncias debido a ciertos contenidos, pues aplicarán las normas que tengan que aplicar para filtrar contenidos que consideren perniciosos para ellos.

Aquí lo hemos tenido claro desde siempre. Si quieres ser propietario absoluto de tus contenidos, si quieres controlar qué se publica y cómo, con la legislación vigente como único límite (a menos que seas un criminal, claro), te lo tienes que hacer tú mismo. Contrátate un hosting, instálate un gestor de contenidos, publica como si no hubiese mañana. A esto se le llama la “Indie Web” entre los que abusamos del inglés. Una vez hecho esto, usa las redes sociales más conocidas donde puedes “pescar” seguidores para “mover agua hacia tu molino”. Eso sí, no esperes que se te financie el “estilo de vida” de esta manera…

¡Apoya la campaña a favor del cifrado fuerte de la Fundación Mozilla!

Mozilla Foundation Encrypt Campaign
Mozilla Foundation Encrypt Campaign

A través del grupo de Slack coders México me entero de una campaña de la Fundación Mozilla para promover el cifrado fuerte.

Se trata de unos videos cortos en los que se trata el tema de un modo sencillo para que cualquier persona pueda formarse una decisión informada sobre el tema. De momento están solamente en inglés. Voy a ver si hay manera de traducirlos y compartirlos con el beneplácito de los chicos de Mozilla.

Vale la pena compartir y difundir esta campaña.

EEUU: Regla 41 (Rule 41), puerta trasera a los ordenadores y teléfonos de todos los ciudadanos

Me contactan por correo electrónico para que difunda esta información en ¿Quién vigila al vigilante? Les doy las gracias por sacarme de esta sequía de publicación. Se trata de un tema crucial que merece toda nuestra atención.

Regla 41 resumen

Pues resulta que en EEUU se está intentando aprobar la modificación a una regla federal (la 41) por el mecanismo express alegando que se trata solamente de cambios de procedimiento y que no modifica los derechos y libertades de los ciudadanos estadounidenses.

El detalle es que tras una lectura no demasiado profunda surgen dudas al respecto. Dicha norma, si se modifica, permitirá a las autoridades federales a tomar control de las computadoras y los teléfonos móviles (SmartPhones) de los residentes en EEUU. No quiero entrar en términos técnicos, pero ¿se extrañan ahora de esas imágenes que corren por ahí de Mark Zuckerberg, Consejero Delegado de Facebook, con una etiquetita cubriendo la cámara Web de su laptop?

Mark Zuckerberg cubre su Webcam con cinta (fuente https://www.hackread.com/mark-zuckerbergs-laptop-cam-tape/)

Se puede leer más sobre el tema aquí (en español) y aquí (en inglés).

(2008) Bruce Schneier: Inside the Twisted Mind of the Security Professional

Uncle Milton Industries has been selling ant farms to children since 1956. Some years ago, I remember opening one up with a friend. There were no actual ants included in the box. Instead, there was a card that you filled in with your address, and the company would mail you some ants. My friend expressed surprise that you could get ants sent to you in the mail.

I replied: “What’s really interesting is that these people will send a tube of live ants to anyone you tell them to.”

Security requires a particular mindset. Security professionals — at least the good ones — see the world differently. They can’t walk into a store without noticing how they might shoplift. They can’t use a computer without wondering about the security vulnerabilities. They can’t vote without trying to figure out how to vote twice. They just can’t help it.

SmartWater is a liquid with a unique identifier linked to a particular owner. “The idea is for me to paint this stuff on my valuables as proof of ownership,” I wrote when I first learned about the idea. “I think a better idea would be for me to paint it on your valuables, and then call the police.”

Really, we can’t help it.

This kind of thinking is not natural for most people. It’s not natural for engineers. Good engineering involves thinking about how things can be made to work; the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal. You don’t have to exploit the vulnerabilities you find, but if you don’t see the world that way, you’ll never notice most security problems.

I’ve often speculated about how much of this is innate, and how much is teachable. In general, I think it’s a particular way of looking at the world, and that it’s far easier to teach someone domain expertise — cryptography or software security or safecracking or document forgery — than it is to teach someone a security mindset.

Which is why CSE 484, an undergraduate computer-security course taught this quarter at the University of Washington, is so interesting to watch. Professor Tadayoshi Kohno is trying to teach a security mindset.

You can see the results in the blog the students are keeping. They’re encouraged to post security reviews about random things: smart pill boxes, Quiet Care Elder Care monitors, Apple’s Time Capsule, GM’s OnStar, traffic lights, safe deposit boxes, and dorm -room security.

The most recent one is about an automobile dealership. The poster described how she was able to retrieve her car after service just by giving the attendant her last name. Now any normal car owner would be happy about how easy it was to get her car back, but someone with a security mindset immediately thinks: “Can I really get a car just by knowing the last name of someone whose car is being serviced?”

The rest of the blog post speculates on how someone could steal a car by exploiting this security vulnerability, and whether it makes sense for the dealership to have this lax security. You can quibble with the analysis — I’m curious about the liability that the dealership has, and whether their insurance would cover any losses — but that’s all domain expertise. The important point is to notice, and then question, the security in the first place.

The lack of a security mindset explains a lot of bad security out there: voting machines, electronic payment cards, medical devices, ID cards, internet protocols. The designers are so busy making these systems work that they don’t stop to notice how they might fail or be made to fail, and then how those failures might be exploited. Teaching designers a security mindset will go a long way toward making future technological systems more secure.

That part’s obvious, but I think the security mindset is beneficial in many more ways. If people can learn how to think outside their narrow focus and see a bigger picture, whether in technology or politics or their everyday lives, they’ll be more sophisticated consumers, more skeptical citizens, less gullible people.

If more people had a security mindset, services that compromise privacy wouldn’t have such a sizable market share — and Facebook would be totally different. Laptops wouldn’t be lost with millions of unencrypted Social Security numbers on them, and we’d all learn a lot fewer security lessons the hard way. The power grid would be more secure. Identity theft would go way down. Medical records would be more private. If people had the security mindset, they wouldn’t have tried to look at Britney Spears’ medical records, since they would have realized that they would be caught.

There’s nothing magical about this particular university class; anyone can exercise his security mindset simply by trying to look at the world from an attacker’s perspective. If I wanted to evade this particular security device, how would I do it? Could I follow the letter of this law but get around the spirit? If the person who wrote this advertisement, essay, article or television documentary were unscrupulous, what could he have done? And then, how can I protect myself from these attacks?

The security mindset is a valuable skill that everyone can benefit from, regardless of career path.

Tecnologías de la información y la comunicación, libertad individual, derecho a la privacidad. ¿Cómo lograr que los avances en lo primero no afecten negativamente ni a lo segundo ni a lo tercero?