33 Shares 2775 Views 1 Comments

¿Anónimo o seudónimo?: Listas de bloqueo y el RGPD

24 diciembre, 2018
33 Compartido 2,775 Visualizaciones 1

Tips para que tus envíos navideños no causen problemas: Hashes, tablas arcoíris y salts.

La intención es lo que cuenta, y lo único que querías era aumentar las ventas esta navidad, y desear a tantos clientes, casi clientes, destinatarios de tus Newsletter y demás socios como fuera posible, unas felices navidades y próspero año nuevo. Sin embargo, algunos de tus correos han llegado a destinatarios que no querían recibir más noticias tuyas. Está claro que en el pasado siempre has mantenido tus listas de correo y eliminado cuidadosamente a todos los dessuscriptores, pero de alguna forma, una dirección ha aterrizado de nuevo en tu lista por culpa de una re-importación. Y sin querer, se ha alterado la paz, tus correos se han convertido en no deseados, y tu reputación está sufriendo, así como tus ventas a largo plazo.

Para evitar que esto suceda, los proveedores de servicios de correo electrónico (ESP) suelen mantener las denominadas listas negras, que tienen como objetivo evitar que se envíen correos a las direcciones que contienen, ya sea por cuentas de correo de determinados clientes o en general. Sin embargo, el almacenamiento de datos personales, aunque sea para esta finalidad, no está extento de problemas según el nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor en Mayo de 2018.

La situación es peliaguda, ya que por un lado, ya no se pueden enviar correos a una dirección que ha solicitado ser eliminada de una lista, pero tampoco se pueden almacenar sus datos para garantizar precisamente eso. Existe una solución: los llamados algoritmos de Hash se utilizan para generar valores hash a partir de direcciones de correo, de forma que queden encriptadas. Por ejemplo, para una dirección de correo como ejemplo@gmail.com, obtenemos el siguiente hash HEX: CEF6F9D4072AFB523209C648F258FB36960DAE5B11D5FB1E04BAADD6C7439B3B. Este valor se almancena en una lista negra de bloqueo, y se compara con el valor hash de cada dirección de correo que se va a importar. Si hay una coincidencia, la dirección de correo correspondiente se bloquea y no se vuelve a utilizar.

Este sistema funciona, pero tiene sus pegas: en primer lugar, los algoritmos que generan los hash cambian con relativa frecuencia, y tienen que ser actualizados para que no queden obsoletos. La segunda vulnerabilidad son las llamadas “Tablas Arcoíris”: Con ayuda de los algoritmos hash, se pueden generar listas enormes con valores de entrada y sus correspondientes valores hash, y a partir de ellas se pueden reconstituir las direcciones de correo buscando su traducción como si de un diccionario se tratara. Existen soluciones para ambos problemas. Los valores hash generados con un algoritmo que ya no es seguro pueden ser corregidos con un algoritmo actualizado y fiable. Y contra las Tablas Arcoíris, se pueden utilizar los llamados “salts”, que son fragmentos aleatorios (caracteres, números…) que se añaden al valor de entrada que se quiere codificar (en nuestro caso, las direcciones de correo) antes de que se genere el hash, aumentando así su complejidad. Se tendría que crear una Tabla Arcoíris separada de cada “salt” posible con el fin de descifrar las direcciones de correo, lo cual es teóricamente posible, pero en la práctica inviable.

Enhorabuena si has conseguido leer hasta aquí. Ahora pasemos a algo menos técnico. ¿Qué pasa con la legalidad?. El RGPD se aplica únicamente a los datos personales. Las direcciones de correo electrónico son información personal, pero ¿lo son también su valor hash? Lo importante, según la legislación, es si el cifrado de direcciones de correo personales mediante algoritmos hash representa una seudonimización o el anonimato.

Dado que el primer método que hemos comentado permite el retorno a la dirección de correo personal de forma relativamente sencilla y sin esfuerzo considerable, este procedimiento es sólo una seudonimización, por lo que los valores hash generados siguen considerándose datos personales, y están sujetos al RGPD.

El segundo método es diferente, ya que las direcciones de correo se procesan varias veces con algoritmos modernos y seguros (en el mejor de los casos) a los que además se les ha suministrado un “salt” lo que hace que traducir el valor hash a una dirección de correo sea muchísimo más complicado. Estos datos cifrados se consideran anónimos, y por lo tanto, no están sujetos al RGPD.

Los expertos en correo electrónico de la Certified Senders Alliance (CSA) recomiendan, por tanto, el segundo procedimiento, algo más complejo, para la implementación de listas negras de modo que no estén sujetas al RGPD. Estas y otras cuestiones legales se debatirán en un workshop el día 12 de abril de 2019 dentro de la CSA Summit que tendrá lugar del 10 al 12 de abril en Colonia, Alemania.

Te podría interesar

Las tres claves del panorama actual del ‘phishing’ en las organizaciones
Ciberespionaje
19 compartido2,281 visualizaciones
Ciberespionaje
19 compartido2,281 visualizaciones

Las tres claves del panorama actual del ‘phishing’ en las organizaciones

Mónica Gallego - 2 agosto, 2019

Proofpoint es una compañía de ciberseguridad que protege los activos más importantes y de mayor riesgo para organizaciones y empresas:…

Un ciberataque lleva a un barco a aguas turbulentas
Network Security
19 compartido2,447 visualizaciones
Network Security
19 compartido2,447 visualizaciones

Un ciberataque lleva a un barco a aguas turbulentas

Mónica Gallego - 1 agosto, 2019

Menos de dos meses después del aviso sobre problemas de ciberseguridad en los barcos, la Guardia Costera de los Estados…

Convenio de colaboración en ciberseguridad, entre el Centro Criptológico Nacional y la Universidad San Pablo-CEU
Actualidad
8 compartido926 visualizaciones
Actualidad
8 compartido926 visualizaciones

Convenio de colaboración en ciberseguridad, entre el Centro Criptológico Nacional y la Universidad San Pablo-CEU

Vicente Ramírez - 20 junio, 2018

  El convenio ha sido firmado esta mañana por el secretario de Estado director del CNI y del CCN, Félix…

Un comentario

  1. Pingback: ¿Anónimo o seudónimo?: Listas de bloqueo y el RGPD

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.