33 Shares 2730 Views 1 Comments

¿Anónimo o seudónimo?: Listas de bloqueo y el RGPD

24 diciembre, 2018
33 Compartido 2,730 Visualizaciones 1

Tips para que tus envíos navideños no causen problemas: Hashes, tablas arcoíris y salts.

La intención es lo que cuenta, y lo único que querías era aumentar las ventas esta navidad, y desear a tantos clientes, casi clientes, destinatarios de tus Newsletter y demás socios como fuera posible, unas felices navidades y próspero año nuevo. Sin embargo, algunos de tus correos han llegado a destinatarios que no querían recibir más noticias tuyas. Está claro que en el pasado siempre has mantenido tus listas de correo y eliminado cuidadosamente a todos los dessuscriptores, pero de alguna forma, una dirección ha aterrizado de nuevo en tu lista por culpa de una re-importación. Y sin querer, se ha alterado la paz, tus correos se han convertido en no deseados, y tu reputación está sufriendo, así como tus ventas a largo plazo.

Para evitar que esto suceda, los proveedores de servicios de correo electrónico (ESP) suelen mantener las denominadas listas negras, que tienen como objetivo evitar que se envíen correos a las direcciones que contienen, ya sea por cuentas de correo de determinados clientes o en general. Sin embargo, el almacenamiento de datos personales, aunque sea para esta finalidad, no está extento de problemas según el nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor en Mayo de 2018.

La situación es peliaguda, ya que por un lado, ya no se pueden enviar correos a una dirección que ha solicitado ser eliminada de una lista, pero tampoco se pueden almacenar sus datos para garantizar precisamente eso. Existe una solución: los llamados algoritmos de Hash se utilizan para generar valores hash a partir de direcciones de correo, de forma que queden encriptadas. Por ejemplo, para una dirección de correo como ejemplo@gmail.com, obtenemos el siguiente hash HEX: CEF6F9D4072AFB523209C648F258FB36960DAE5B11D5FB1E04BAADD6C7439B3B. Este valor se almancena en una lista negra de bloqueo, y se compara con el valor hash de cada dirección de correo que se va a importar. Si hay una coincidencia, la dirección de correo correspondiente se bloquea y no se vuelve a utilizar.

Este sistema funciona, pero tiene sus pegas: en primer lugar, los algoritmos que generan los hash cambian con relativa frecuencia, y tienen que ser actualizados para que no queden obsoletos. La segunda vulnerabilidad son las llamadas “Tablas Arcoíris”: Con ayuda de los algoritmos hash, se pueden generar listas enormes con valores de entrada y sus correspondientes valores hash, y a partir de ellas se pueden reconstituir las direcciones de correo buscando su traducción como si de un diccionario se tratara. Existen soluciones para ambos problemas. Los valores hash generados con un algoritmo que ya no es seguro pueden ser corregidos con un algoritmo actualizado y fiable. Y contra las Tablas Arcoíris, se pueden utilizar los llamados “salts”, que son fragmentos aleatorios (caracteres, números…) que se añaden al valor de entrada que se quiere codificar (en nuestro caso, las direcciones de correo) antes de que se genere el hash, aumentando así su complejidad. Se tendría que crear una Tabla Arcoíris separada de cada “salt” posible con el fin de descifrar las direcciones de correo, lo cual es teóricamente posible, pero en la práctica inviable.

Enhorabuena si has conseguido leer hasta aquí. Ahora pasemos a algo menos técnico. ¿Qué pasa con la legalidad?. El RGPD se aplica únicamente a los datos personales. Las direcciones de correo electrónico son información personal, pero ¿lo son también su valor hash? Lo importante, según la legislación, es si el cifrado de direcciones de correo personales mediante algoritmos hash representa una seudonimización o el anonimato.

Dado que el primer método que hemos comentado permite el retorno a la dirección de correo personal de forma relativamente sencilla y sin esfuerzo considerable, este procedimiento es sólo una seudonimización, por lo que los valores hash generados siguen considerándose datos personales, y están sujetos al RGPD.

El segundo método es diferente, ya que las direcciones de correo se procesan varias veces con algoritmos modernos y seguros (en el mejor de los casos) a los que además se les ha suministrado un “salt” lo que hace que traducir el valor hash a una dirección de correo sea muchísimo más complicado. Estos datos cifrados se consideran anónimos, y por lo tanto, no están sujetos al RGPD.

Los expertos en correo electrónico de la Certified Senders Alliance (CSA) recomiendan, por tanto, el segundo procedimiento, algo más complejo, para la implementación de listas negras de modo que no estén sujetas al RGPD. Estas y otras cuestiones legales se debatirán en un workshop el día 12 de abril de 2019 dentro de la CSA Summit que tendrá lugar del 10 al 12 de abril en Colonia, Alemania.

Te podría interesar

Expertos en ciberseguridad luchan por el “derecho a reparar”
Sin categoría
19 compartido2,086 visualizaciones
Sin categoría
19 compartido2,086 visualizaciones

Expertos en ciberseguridad luchan por el “derecho a reparar”

Mónica Gallego - 21 mayo, 2019

Se está librando una batalla entre fabricantes y usuarios sobre quién tiene derecho a reparar un producto, y las empresas…

Stripe ayuda a reducir el fraude hasta un 25% más con respecto  a la versión Radar 1.0
Actualidad
15 compartido1,150 visualizaciones
Actualidad
15 compartido1,150 visualizaciones

Stripe ayuda a reducir el fraude hasta un 25% más con respecto a la versión Radar 1.0

Vicente Ramírez - 20 abril, 2018

“Radar for Fraud Teams” ofrece herramientas avanzadas de gestión y personalización para profesionales especializados en fraude en las empresas Stripe…

Ignorar la biometría de voz incrementa el riesgo de fraude
Actualidad
31 compartido1,455 visualizaciones
Actualidad
31 compartido1,455 visualizaciones

Ignorar la biometría de voz incrementa el riesgo de fraude

Vicente Ramírez - 20 diciembre, 2018

Con las Navidades a la vuelta de la esquina, las compras online crecen exponencialmente y los usuarios vuelcan en múltiples…

Un comentario

  1. Pingback: ¿Anónimo o seudónimo?: Listas de bloqueo y el RGPD

Deje un comentario

Su email no será publicado