5 razones por las que no debes tocar mi abandonweb

Captura de pantalla 2015-04-05 13.09.51

Así fue mi portal (clic aquí). Ahora es mi abandonware

Esto de la izquierda es un pantallazo de una web que me hice en 2003. Quise tener mi propio portal en Internet. Urgando en discos duros del pasado encontré una carpeta con los htm. Es mi abandonware y no puedes tocarlo.

A finales del siglo XX editaba la revista Logopress, lo que ahora es RevistadeArte.com. Empecé en 1998, año arriba año abajo. Lo hacía como hobby, cuando no jugaba a la Play, usando editores que permitían la creación de páginas en HTML básico.

En 2003 decidí tener mi propio sitio web. Alquilé un espacio en Yahoo! GeoCities (a cambio de mis datos personales) y lo usé como banco de pruebas. Usé varios editores de webs, programas para FTP… a ver qué pasa, al más puro estilo Homer: Homer’s web page.

El objetivo era que en mi página pudieras encontrar enlaces a programas P2P, videojuegos antiguos (abandonware), explicaciones sobre cómo crear una página web… Algo se puede ver aún aquí. A los pocos días decidí que me interesaban más otras cosas y dejé mi proyecto abandonado. Recuperado del abandono, se puede ver otra vez el producto de horas de investigación. Es ciencia: Mi primera web personal.

Mi web es mi abandonware. Descatalogada, relegada al olvido, difícil de encontrar. Pero mía.

Estos son los 5 motivos por los que no debes tocar mi abandonware:

  1. Es mío.
  2. He decidido volver a sacarlo a luz 12 años después.
  3. Si yo no estuviera ya, mis herederos podrán decidir el futuro de mi abandonware.
  4. Tú no eres quién para negarme el fruto de mi trabajo. Dentro de unos años querré venderlo (a cambio de unos dogecoins). Ahora no, porque considero que no es el momento.
  5. Because fuck you. Thats why.

¿Alguna duda?

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

Si quieres mantener tu empleo tienes que seguir estudiando [o ser funcionario]. Así funciona el capital humano

Querer descubrir el infinito nos hace diferentes

Querer descubrir el infinito nos hace diferentes (imagen cedida por Alexander van Dijk)

Las empresas apuestan por el capital humano. En los procesos de selección se valora cada vez más la actitud del candidato: número y calidad de los artículos que haya publicado, su asistencia a congresos, sus actividades de voluntariado, que tenga hobbies relacionados con las materias del puesto al que postula. Superar la fase de contratación es el principio de un proceso de aprendizaje en la empresa y la continuación de la formación del eterno postulante.

El conocimiento universitario se queda obsoleto antes de recibir el título. La educación exige formación continua. Una vez contratado, el empleado debe ganarse el puesto cada día por medio de formación específica y general. La específica, dotada por la empresa; la general, impulsada por medio de sistemas de gamificación. El profesional [y la empresa] debe valorar, trabajar y reforzar lo que se conoce como ‘capital humano’.

La Teoría del Capital Humano forma parte del cuerpo teórico de la Economía de la Educación, junto con las teorías de Segunda Generación, que se desarrollaron a partir de la primera. Surgió en la década de los 60 de la mano de SCHULTZ, BECKER y MINCER, quienes trataron de dar respuesta a la incógnita de la tasa de crecimiento de la renta, uniendo el factor de la educación al capital físico y al del trabajo.

El concepto de capital humano, fue dado a conocer por SCHULTZ en una conferencia que impartió en 1960. Puso en relación la habilidad y el conocimiento con el capital indicando que esta es una inversión deliberada cuyo crecimiento es mayor que el del capital convencional y convirtiéndola en rasgo del sistema económico. Ante estas afirmaciones, algunos autores presentaron su oposición a que se aplicase el concepto capital humano al hombre alegando razones de carácter económico o humanístico.

El capital humano presupone un comportamiento racional de los individuos, quienes calculan la conveniencia de invertir en su educación poniendo esta en relación con el coste y su potencial beneficio. La idea subyacente es que las habilidades y capacidades que se adquieren incrementan el factor productivo y, en consecuencia, la correspondiente retribución según el rendimiento marginal. A través de un prisma macroeconómico, vemos que a mayor educación, mayor crecimiento económico. Si el prisma usado es el de la microeconómica, vemos que el capital humano une la educación, la productividad y los salarios por medio de una relación causal directa. Esta segunda versión es, a su vez, dividida por CALERO en otras dos, fuerte o débil, en función de la repercusión en la inversión a futuro. En todos los casos, esta Teoría encuentra su aplicación práctica en la actualidad en acciones educativas mediante la generación de acciones formativas dentro de la empresa, así como por medio de las propias impulsadas por la Fundación Tripartita y las Administraciones Públicas.

Desarrollando la Teoría de del Capital Humano, surgen las teoría de Segunda Generación: la Teoría de la Selección, que señala la educación del trabajador como factor de selección usado por la empresas; la Teoría de la Competencia por los Puestos de Trabajo o de la Cola, que centra su atención en la selección de trabajadores para determinados puestos de trabajo y salario en función de su educación; y la teoría de los mercados de trabajo internos y segmentados, según la cual la educación determina el recorrido productivo y salarial de forma vitalicia. Las tres parten de la hipótesis de la selección negando la relación causal directa antedicha de la Teoría del Capital Humano.

La Teoría del Capital Social y las de Segunda Generación impulsan el desarrollo del individuo. Antes nos podíamos referir a un proceso colectivo de acumulación de conocimientos. Ahora se trata de un proceso centrado en la persona y diseñado para que la educación determine el recorrido productivo y salarial a lo largo de su vida.

Más información:

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

“El lunes es el mejor día de la semana” para los que convierten el trabajo en su pasión

monedas Bitcoin impresora 3D

Los premios de Derecho en Red fueron monedas Bitcoin impresas en 3D

¿Qué máster debes estudiar para ser abogado de nuevas tecnologías?

Ser bueno en algo requiere gusto; querer ser excelente, implica, pasión, riesgo y actitud.

El conocimiento ahora se genera a través de la innovación y se adquiere por medio de la experimentación. La actitud sirve para demostrar conocimientos y aptitud.

La entrega de premios Derecho en Red, que acaba de tener lugar en Logroño, en el Colegio de Abogados, fue un lugar de encuentro para personas que van más allá de los que otros denominan ‘saber’. Tras la ceremonia, conversamos sobre nuestras experiencias con el Bitcoin, los drones, las impresoras 3D… e hicimos alguna aditoría con SSL Labs mientras tomábamos café con los premiados:

Los premiados y los que nos dedicamos a aplicar el derecho a la tecnología investigamos, experimentamos y compartir nuestros hallazgos en forma de post. Lo actual… ya quedó anticuado. El conocimiento en la red sirve de base, pero es necesario innovar. La Sociedad del Conocimiento está evolucionando, sin perder su integridad, y transformándose en una Sociedad de la Innovación. Mi experiencia con los libros es un tanto aciaga porque el proceso de revisión por pares y la publicación lleva meses y hace que lo escrito carezca de actualidad. El blog es hoy el principal baluarte del conocimiento sobre innovación.

Cada cual tiene sus caminos y sus métodos de aprendizaje. El mío fue descubrir qué me apasiona fuera de mi actividad profesional, unir ambos y especializarme en convertir mi trabajo en mi pasión. Ahora puedo decir que “el lunes es el mejor día de la semana“.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

Lo más destacado de 2014 publicado en mi blog personal: ICAM, DerechoAlOlvido, Klingon, Congreso, GMail y Cookies

Estos son los 6 temas más destacados que traté en 2014 en mi blog:

Captura de pantalla 2014-11-05 20.29.003 de noviembre de 2014: Estos son los fallos de seguridad en el servicio de email que el Consejo presta a los abogados españoles

Analizo el servicio de e-mail que se presta a los abogados: es inseguro por defecto; nos envían la contraseña en texto plano; no almacenan el hash de las contraseñas sino estas en sí mismas; pinchando el router se desvela el contenido de todas las conversaciones con nuestros clientes.

Leer más…

dont-forget-646997-m26 de mayo de 2014: [mis] Reflexiones sobre la Sentencia del #DerechoAlOlvido

Explico que el Derecho al Olvido se garantiza a las personas físicas, no solo a los ciudadanos europeos.

Aprovecho el pot para indicar el estado del procedimiento y resolver dudas.

Leer más…

Captura de pantalla 2014-12-31 14.43.1921 de abril de 2014: ram wanI’ qaSmoHlu’bogh wej Dajlaw’ nuq nID

Probablemente el primer artículo jurídico escrito en klingon; el primero al menos en la Tierra.

Explico los derechos básicos de los consumidores y usuarios en relación con el comercio electrónico.

Leer más…

2463525895_e87aa0bbab6 y 7 de marzo de 2014: Diputados: con Bitcoin, digan adiós al derecho al olvidoProductos comprados con Bitcoin entran en el Congreso (España)

Demostré en el Congreso de los Diputados que es posible incluir notas imborrables en las transacciones de Bitcoin. Sugerí colaborar con los dueños de Internet para controlar la normativa en otros países.

Leer más… & Leer más…

Captura de pantalla 2014-02-13 00.44.4713 de febrero de 2014: Cómo espiar gratis usando GMail + Streak

Cómo rastrear los e-mails que envías, saber si los han abierto, cuántas veces, en qué minuto y dónde estaba la persona cuando lo abrió. Me centro en aspectos técnicos y legales.

Termino el post con un script en python que bloquea los ataques con Streak.

Leer más…

paradoja_epicel7 de febrero de 2014: Cómo hacer una auditoría de cookies (Paradoja EPICEL)

Cómo hacer una auditoría de cookies (Ley de cookies) paso a paso. Pongo ejemplos con códigos de invocación (Youtube) y frames (Nyan.cat). Indico el tiempo que lleva y los recursos necesarios. Doy una recomendación al legislador y le dirijo unas palabras en la lengua negra de Mordor.

Leer más…

Como cada año, hago públicas las estadísticas de mi blog:

Este blog fue visto cerca de 290.000 veces en 2014. El día más movido del año [2014] fue el 3 noviembre con 1.648 visitas. El artículo más popular del día fue Estos son los fallos de seguridad en el servicio de email que el Consejo presta a los abogados españoles.

Consulta los datos estadísticos más relevantes:

Imágenes: Los autores de las imágenes usadas en este post están citados en los post enlazados.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?

Estos son los fallos de seguridad en el servicio de email que el Consejo presta a los abogados españoles

A los abogados españoles se nos proporciona un correo electrónico inseguro por defecto, enviándonos la contraseña en texto plano y con una configuración inicial que desvela el contenido de todas las conversaciones con nuestros clientes. Lo proporciona el Consejo General de la Abogacía Española, a través de las webs de muchos de los colegios de abogados españoles, como el ICAM.

Actualización (31/10/2014): Reporto las incidencias al ICAM por escrito a través del canal privado del colegiado. Sin respuesta.

Actualización (3/11/2014 a las 2pm): acabo de recibir una llamada del CGAE. Me indican que ellos lo hacen bien y que el sistema es seguro, ya que permite accesos http o https, siendo responsabilidad de los colegios el facilitar una u otra opción por defecto y siendo responsabilidad del abogado elegir una u otra para su uso.

Actualización (5/11/2014): Detecto que ICAM guarda en claro las contraseñas de todos los abogados con cuenta de correo @icam.es. Reporto el fallo al ICAM y actualizo este post con el hallazgo.

Actualización (7/11/2014): Reporto las incidencias al ICAM por escrito a través del canal privado del colegiado. Sin respuesta.

Actualización (08/11/2014 a las 8pm): Tras crear una petición en Change.org (aquí) dirigida al ICAM para que arregle los fallos de seguridad, el Colegio de Abogados cambia el acceso por defecto al correo solo desde su web principal para que sea https bajo cifrados SSL (aquí su nota de prensa por Twitter), manteniendo inseguros los demás accesos. El problema es que han olvidado cambiar el resto de enlaces (por ejemplo, los que ofrecen en el área privada para abogados, que siguen dirigiendo a http). El ICAM decide no responder a la la pregunta pública que les he hecho para saber si sus técnicos trabajan para solucionar el resto.

Actualización (13/11/2014): El caso, que ya salió en la prensa, vuelve a copar portadas por segunda vez (El Colegio de Abogados de Madrid, una casa con grietas). El ICAM no reacciona, a pesar de que también otros abogados e ingenieros publican posts sobre ello: ¿Por qué el servicio de correo de los Colegios de Abogados no es adecuado?, etc

Actualización (25/02/2015): Una persona del área de comunicación del ICAM filtra correos personales míos a la prensa durante lo que han llamado “una cena de amigos”. Me entero gracias a un periodista al que le ha llegado uno de mis e-mails impresos.

Actualización (25/03/2015): Reporto las incidencias al ICAM por escrito a través del canal privado del colegiado (imagen). Sin respuesta.

Quede claro que:

  • El servicio de correo electrónico que ofrece el CGAE a los abogados cumple una finalidad básica: envia correos sin cifrar y permite su cifrado.
  • Existe la vía de acceso https (aquí), aunque no es la que el ICAM (por poner un ejemplo) ofrece por defecto a través de su web. La que ofrece por defecto es http://mail.icam.es/pronto/

Hace unos días (30/10/2014) presenté el Informe sobre la necesidad legal de cifrar información y datos personales en España, que acabamos de elaborar en Abanlex para una empresa de cifrado (que aparece en la portada del informe). Uno de los puntos más destacados del informe es el de la obligación de cifrar datos que pesa sobre todos los abogados: Los abogados estamos obligados a cifrar.

Los abogados tratamos datos que deben ser cifrados. No tienen por qué ser los que merecen ser protegidos con medidas de nivel alto según la LOPD, pero que nos obligan a cifrar tanto la información almacenada como las comunicaciones que realizamos con ellos. Envié este informe a varios medios de comunicación recibiendo respuestas de interés de casi todos ellos. El más interesado fue El Confidencial: especialistas contactados por el medio habían auditado el servicio de correo electrónico que se ofrece en la web del ICAM para cerciorarse de que los abogados podemos fiarnos de las herramientas que nos proporcionan los Colegios y había obtenido interesantes resultados: el correo del ICAM es inseguro por defecto.

Captura de pantalla 2014-11-01 19.08.11

Abogado de Madrid, solicita tu correo profesional en www.icam.es

Me personé a las pocas horas en el ICAM para advertir a mi Colegio de que El Confidencial iba a publicar al día siguiente una interesante noticia que desvelaba los fallos del correo electrónico que proporciona el ICAM a los abogados. A las pocas horas, El Confidencial mantuvo reuniones telefónicas con miembros del Colegio y del Consejo, por lo que mi visita igual no fue muy necesaria, pero creí conveniente hacerla. Me atendió la gente de comunicación del Colegio, que demostró inquietud y ganas de conocer qué es lo que realmente nos están dando a los colegiados.

Para estar seguro de que lo que iba a publicar El Confidencial era cierto y poder ayudar a mi Colegio en lo que hiciera falta, hice averiguaciones antes de ir al ICAM y trabajé con un auditor especializado en cifrados, a quien di acceso temporal y supervisado a mi cuenta del ICAM para que pudiéramos comprobar juntos las afirmaciones. Aquí el detalle:

¿El ICAM envía la contraseña en claro?

Dice el Consejo en su comunicado (ver aquí):

“Ni el Consejo General de la Abogacía Española ni el Colegio de Abogados de Madrid han remitido a los abogados los datos de usuario y contraseña en texto plano para su alta en los servicios telemáticos. El envío cifrado o encriptado garantiza la seguridad de la información y de los datos de acceso a los servicios de la abogacía”

Vamos a comprobar cómo miente el Consejo General de la Abogacía Española (CGAE):

Captura de pantalla 2014-11-01 19.19.20

Opción disponible en la sección privada para abogados https://www.icam.es/miICAM.icam

Solicito una cuenta de e-mail @icam.es a través de la sección privada para abogados de ICAM. Para acceder a esta sección, ICAM me solicita identificarme con un certificado electrónico. Uso el certificado obtenido gratuitamente en la FNMT para persona física. A continuación, ICAM me solicita un usuario y contraseña únicos, que solo pude obtener acreditando en el Colegio mi condición de abogado. Accedo al área privada y remito mi solicitud enviando mis datos bajo cifrado SSL (https). En todo el proceso, la seguridad es máxima.

A las pocas horas, abro mi correo electrónico y recibo esto (tal cual se ve en la imagen):

Captura de pantalla 2014-11-01 18.57.16

Usuario y contraseña (que he cambiado) enviados en claro a través de un correo electrónico no cifrado.

El ICAM me envía el usuario y la contrasela en claro, junto con un enlace de acceso no cifrado. No me preocupé por que la contraseña estuviera en claro, porque el remitente es icam.es (supuse que enviaba los mensajes por canales cifrados) y porque mi correo solo opera bajo SSL. El envío de una contraseña en claro en estas condiciones que imaginé no es alarmante. No es el mejor sistema, pero podría ser suficiente.

El servicio del ICAM no me exige ni sugiere cambiar la contraseña enviada en claro. Como parte del experimento, estuve usando la misma contraseña inciial durante varios días y luego la cambié sin problemas por esta: “123456”.

Comprobé el original del e-mail, del que he borrado algunas líneas personales y quitado una IP, y descubrí que no hay ni ápice de aplicación de cifrado alguno:

Return-Path: <correo@icam.es>
Received: from mail.redabogacia.org (mail.redabogacia.org. [XXX.XXX.XXXX.XXX])
From: "Correo ICAM" <correo@icam.es>
To: <pablo@prestadorloquesea.com>
Subject: SOLICITUD CUENTA DE CORREO
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
Su cuenta de correo: pablo@icam.es ha sido Activada, acceda a la =
p=E1gina web http://mail.icam.es/pronto/ Usuario=3Dpablo y =
Contrase=F1a=3DQSsj4075. Consulte instrucciones en la web del ICAM.

Para enviarme la contraseña, el ICAM aparentemente usa Microsoft Outlook Express 6, una versión de cliente de correo electrónico diseñada para Windows XP y que dejó de estar operativa en 2009.

Hablando con el CGAE, me revelan que no son ellos los que envían la contraseña de acceso en claro sino el Colegio de Abogados (ICAM en mi caso). Cabe la posibilidad de que la hayan enviado desde un SSL.

El valor de la información:

Un ‘caballero’ (con nombre y de una institución) me dijo un día antes de la publicación del artículo en El Confidencial: “Nosotros jamás enviamos la contraseña en claro. Además, la contraseña es de un solo uso. Y en el e-mail decimos que es obligatorio cambiarla”.

Pues, querido ‘caballero': Me habéis enviado la contraseña en claro. Llevo usando la misma todo este tiempo, para hacer pruebas, sin cambiarla. Y no me habéis informado de que es obligatorio cambiarla.

Dando vueltas al tema, veo que, ya que no cifran podrían haber usado la clave pública PGP que tengo en Red Iris (y que aprendí a usar gracias a Luis Delgado), y todos felices, pero no. De todas formas, si el CGAE envía el usuario y la contraseña desde un webmail o un servicio que cifra bajo SSL, todo perfecto. Pero… no parece que haya sido así. Lo explico en el siguiente punto.

A los pocos días decido cambiar mi contraseña de acceso a la siguiente: 123456. Se puede. Ningún sistema de seguridad me impide elegir una contraseña insegura.

http://mail.RedAbogacia.org opera sin cifrado SSL

Accedo a la portada que da acceso al servicio de correo electrónico del Consejo General de la Abogacía Española (mail.redabogacia.org).

Lo que encuentro es un servicio webmail sin cifrados SSL que corre en un servidor que el Consejo ha contratado a la sociedad Jazz Telecom, S.A. (o a un proveedor que usa sus servicios) y cuyas máquinas, ciertamente, están en Madrid, según la localización de su IP. Cierto es que existe una versión “https”, pero si se usa la http, todoas los datos vuelan si cifrar.

Captura de pantalla 2014-11-01 20.16.55

Prometo que no di al botón “entrar”

El valor de la información:

El ‘caballero’ de antes me dijo también: “Si Microsoft me envía las contraseñas en claro, no entiendo por qué nosotros no podemos”.

A ver: No sé si Microsoft hace eso, pero, si lo hiciera, lo haría usando conductos cifrados SSL, asegurando la confianza sobre el envío de los datos entregados. Además, Microsoft no es un Colegio de Abogados, ni ofrece herramientas preconfiguradas para el ejercicio de la abogacía en España. Es más, en EE.UU. (de donde es Microsoft), no hay una ley de protección de datos equivalente a la que hay en España y es posible que el servicio del que me habla sea para uso personal o privado.

De todas formas, aún no tengo por qué preocuparme. Hay servicios de correo electrónico basados en tecnologías que ofuscan los datos en origen y permiten su recepción clara en destino. Vamos a comprobar si este es el caso, en el punto siguiente.

Entrando en http://mail.ICAM.es desvelas tu contraseña

Abro la página de acceso al webmail del ICAM. El servicio tiene dos vías de acceso: una en html (mail.icam.es) y otra con un webmail en flash (mail.icam.es/pronto) pero las dos en http básico. El ICAM no lo dice en ningún lado, pero existe una versión oculta con SSL (aquí). Me decido por la flash que ofrece por defecto a través de su web, optando por la única opción con posibilidades de salvarse. El CGAE, en la reunión telefónica que he mantenido con ellos, me dice que no recomiendan la versión flash (cosa de la que me entero por teléfono porque no hay lugar que haya encontrado en el que el ICAM ni el CGAE lo digan). Veamos:

Captura de pantalla 2014-11-01 20.50.26

Acceso al webmail para abogados del ICAM

Antes de pulsar el botón “Entrar” pido a mi compañero auditor que haga un simple captura de los datos de autenticación. Es decir, le pido que me diga qué ve un cualquiera que esté enganchado buscada o casualmente a mi conexión. El resultado alucinante lo explico debajo del código.

autenticacion

Al pulsar el botón “Enviar”, mi contraseña vuela en claro y perfectamente visible para cualquier persona.

Resultado: Al pulsar el botón “ENVIAR”, mi contraseña de estrellitas (********) se convierte en texto plano (QSsj4075) y queda a disposición de cualquier persona conectada a mi red. Si me conecto a una red wifi cuyo router no he configurado yo personalmente (bares, restaurantes, aeropuertos, piñas…) debo llamar a mi cliente para pedirle que se despida de sus secretos, ya que yo he renunciado sin saberlo a mi deber de confidencialidad. Poca o ninguna confianza me genera un proveedor que me obliga a revelar en claro mi contraseña en cada acceso.

Me dice mi compañero auditor que “lo que hemos visto es el payload, es decir, la carga de los paquetes. La captura en sí es:”

paquetes

Captura de los paquetes

Otros saben mi contraseña y yo jamás tendré constancia de ello. Puedo usar el correo de ICAM durante años y un tercero puede ver todo lo que envío y recibo. El Colegio quizá saque un comunicado diciendo que ellos no envían la contraseña en texto plano sino que es el abogado el que la envía de esa forma al pulsar el botón enviar. O que si no quiere que pase esto, puede entrar en https en lugar de usar la opción por defecto sin cifrar. En fin…

Es igual. Aún no estoy suficientemente preocupado. Continúo con la prueba.

Por defecto, http://mail.ICAM.es envía sin cifrar

Entro en el webmail y comienzo a redactar un e-mail para un cliente que se está jugando la cárcel. Afortunadamente, me ha enviado todas las pruebas a mi correo electrónico. ¡Es culpable! pero voy a usar el Derecho (y el artículo 24 de la Constitución) para salvarlo.

Captura

Mail para salvar de la cárcel a un cliente, redactado en la plataforma de correo que ICAM aporta a los abogados

Voy a suponer que soy un abogado normal que confía en que la plataforma que me ofrece ICAM (por defecto en html) está preparada para este tipo de envíos. ¡Es impensable que un colegio de abogados entregue herramientas que permiten el envío de información sin cifrar! ¿O es pensable?

Pues, efectivamente, es pensable. De esta forma que he seguido, toda la información que envío desde mail.ICAM.es se transfiere en claro, sin cifrar y a disposición de cualquiera. ¡Hola mundo: he aquí que mi cliente es culpable! La prueba, en lugar de hacerla con un texto tan largo, la hicimos con una sola palabra en el subject  (“prueba”), captando sin querer los datos de la transmisión y obteniendo este resultado:

envio

Todo el contenido es visible en los envíos realizados a través de mail.icam.es

Estas fueron las palabras de mi colaborador:

Como bien te percataste, va todo en TEXTO CLARO, SIN CIFRAR. Como luego carga un applet en flash, podría ocurrir que este cifrase, pero NO es el caso.

Vemos los campos:

– “To”, “CC”, “BCC” à a quién/quiénes envié el mail
– “subject” à de qué trata
–  “body” à el contenido
– Etc…

Por tanto, como se puede ver, este servicio de email está COMPLETAMENTE en CLARO, cualquiera, esnifando paquetes, puede obtener credenciales, emails (enviados y visualizados), etc…

Ahora mis ganas de usar el servicio de correo electrónico que me ha dado ICAM son cercanas a cero.

He tratado de usar la aplicación instalable del servicio de correo del CGAE, por si esta soluciona el problema. Pero, simplemente, no funciona. La he instalado en Windows 7 y 8, pero el ejecutable no muestra la herramienta, a pesar de estar corriendo en segundo plano. La única opción es desistir y usar el webmail inseguro.

Vamos a suponer que nadie nos capta la contraseña en el proceso de autenticación. ¿Cómo se debe usar el servicio de correo electrónico que nos ofrece el CGAE, a través de los colegios de abogados? Lo vemos a continuación.

El ICAM almacena las contraseñas en claro

La práctica más peligrosa que puede realizar un prestador de servicio de correo electrónico es guardar la contraseña en claro en su servidor. En cuestión de minutos y por medio de una inyección de SQL, un hacker malo puede obtener todas las contraseñas de todos los correos electrónicos de todos los abogados que usen el servicio de correo del ICAM.

Para comprobar que realmente el ICAM guarda las contraseñas en claro, en lugar de un hash de estas, realicé la siguiente prueba: solicité que me recordaran la contraseña.

Captura de pantalla 2014-11-05 20.29.00

Página del ICAM, con faltas ortográficas, para solicitar el envío de tu contraseña por correo electrónico

Lo lógico habría sido recibir un enlace para crear una nueva contraseña. En cambio, recibí mi contraseña. Epic fail merecedor de un face palm.

Captura de pantalla 2014-11-07 01.03.31

¡Recibo mi propia contraseña! Luego, las conservan sin hashear.

Este error en el servicio de correo del ICAM es uno de los más graves que se pueden cometer en Internet. Según describe Yago Jesús en SBD (aquí), servicios como este son dignos del “muro de la vergüenza de la gestión de contraseñas“; es decir, son dignos de entrar en Password Fail. Si son admitos a esta web, cosa difícil porque necesitan probar el sistema y no son abogados del ICAM, una vez el Colegio solucione el error épico aparecerá en la web como servicio seguro, motivo de orgullo.

El 7/11/2014 reporté el fallo directamente al servicio informático del ICAM a través del área privada del Colegio para abogados.

Los abogados estamos obligados a cifrar

La explicación de por qué los abogados estamos obligados a cifrar, la encontramos en el Informe que hemos elaborado al respecto en Abanlex (descárgalo desde aquí) y del que me siento orgulloso. Es el primero que se ha hecho de este tipo y el primero de otros que vendrán, ya que faltan sectores afectados (como el de la prensa por su deber de secreto profesional y por ciertos datos que tratan). El informe se puede reutilizar gratis, incluso con fines comerciales ;)

Cómo se debe usar mail.ICAM.es

Lo primero de todo: no debes usar mail.icam.es en http sin SSL por todo lo que ya he dicho hasta aquí. Si te animas a usarlo es que no valoras en absoluto la confianza que tus clientes han depositado en ti, porque el ICAM almacena tu contraseña en claro y queda a disposición de “hackers malos”. De todas formas, como hay gente para todo, vamos a ello.

Si te arriesgas, necesitarás instrucciones:

  • El mail que envía ICAM dice: “Consulte instrucciones en la web del ICAM”
  • ¿Dónde están esas instrucciones? No están. Solo encontrarás esto:
    • Manual para configurar Outlook: Antes el ICAM prestaba un buen servicio de correo electrónico basado en la solución Google Apps. Ahora, que si por la NSA y que si por Snowden, no lo usan. Pero ahí sigue el manual antiguo.
    • Condiciones de utilización del servicio de correo del ICAM: Nos comprometemos a no enviar SPAM. ¿Y las instrucciones?
    • Guía práctica de adecuación de despachos jurídicos: Se encuentra en la sección privada para abogados. No dice nada sobre cómo cifrar. Y, de cualquier forma, no recomiendo usar esta guía porque está desactualizada desde 2011.
    • Manual CommuniGate Pro: Buscando en Bing (¡¿quién usa Bing?! usé Google) encuentro el manual del programa de ordenador, en inglés, del que se puede sacar algo de información.

Quiero que mi webmail corra siempre bajo https. ¿Cómo lo configuro? Entrando siempre únicamente en https://mail.icam.es

Quiero cifrar mis comunicaciones. ¿Cómo lo hago? Sigue estos pasos:

1) Pulsa en “preferencias” y selecciona “Correo Seguro”. Introduce una contraseña segura. Ojo: ¡Esto no convierte tu correo en seguro! Solo te genera un certificado de firma avanzada s/MIME.

imagen-sin-titulo

Crea una contraseña de “Correo Seguro” (imagen tomada de El Confidencial)

2) Exporta la llave y el certificado de seguridad. Guarda el archivo en un lugar seguro y, por supuesto, no pongas como título su contraseña.

Captura de pantalla 2014-10-31 00.13.50

Cualquier abogado entendería esta página. No creo que las instrucciones sean necesarias.

3) Haz la prueba de enviar un correo firmado electrónicamente con tu certificado avanzado. Si intentas enviar un mensaje cifrado sin haber seguido todos los pasos, te dará error.

Captura de pantalla 2014-10-31 00.12.44

Si intentas enviar un mensaje cifrado, te dará error.

4) Convence a tu cliente para que instale un certificado de firma avanzada en su gestor de correos electrónicos y te envíe un correo electrónico firmado electrónicamente. Solo de esa forma, tendrás acceso a su clave pública y podrás enviarle, en respuesta un correo electrónico cifrado.

mensaje cifrado

El servicio de correo del CGAE sí permite cifrar de forma efectiva. En este prueba trato de leer sin éxito un correo cifrado desde un dispositivo sin mi firma electrónica instalada. Cuando instalo el certificado, lo logro.

Si no tiene certificado válido, puede probar uno de alguno de estos proveedoresSecorio, InstantSSL / Comodo o StartCom.

Yo hice la prueba con el certificado que ofrece la FNMT (sin éxito) y con el que ofrece Comodo (con éxito). El proceso es el siguiente:

  1. Accede a Comodo, entrega tus preciados datos personales, lee los términos (jeje), acéptalos y recibe en tu correo electrónico un enlace que te lleva a una página desde la que se descarga e instala un certificado en tu navegador. Expórtalo y guárdalo en un lugar seguro.
  2. Instala Thunderbird (no hagas el moñas usando Outlook 6) y configúralo con tu correo electrónico personal. Importa el certificado obtenido en Comodo. Marca la opción de firmar por defecto con el certificado importado y agrégalo también para realizar cifrados.
  3. Envía un correo electrónico firmado a tu cuenta de @icam.es
  4. Responde a este correo electrónico marcando las opciones firmado y cifrado. Envía y listo.

Así de sencillo es usar correctamente el sistema de cifrado con la herramienta profesional que provee el ICAM a sus abogados. ¡Creando confianza! Todo correo electrónico que envíes a tus clientes de otra forma es una potencial causa de ilicitud. De todas formas, por el comunicado del CGAE, a quién le importa. Según lo que leo en el comunicado del Consejo, el abogado que use esta herramienta de endiablada dificultad es culpable de hacerlo mal.

Hablando con el CGAE me dicen que el sistema de cifrado es sencillísimo. Sí, ¿verdad?

Fui al ICAM a avisarles y colaborar con ellos porque creo en el Derecho. Creo en dar herramientas profesionales útiles a aquellos que las necesitan. Y me encuentro publicada una respuesta esquiva en la que aquellos que nos deben proteger se exculpan de su ineptitud y descargan su responsabilidad en el abogado que confía en ellos, sin mostrar un ápice de intención de arreglar el desaguisado que han montado.

Si el CGAE ofrece este servicio a los Colegios para que lo presten a los abogados, debe también velar por que esa prestación se haga de forma correcta. No puede consentir que se muestre por defecto la opción sin cifrar, que usen herramientas de correo como Outlook 6, que usen la versión flash que no recomiendan, que no tengan instrucciones de uso claras para los abogados, que permitan que las contraseñas en el proceso de identificación se envíen en claro… El CGAE debe velar por la confianza de los abogados en sus colegios o, por lo menos, manifestarse preocupado por ello.

Todos hacemos cosas mal. Suficientemente ciega es la Justicia como para que también lo sea el CGAE.

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?