Las tarjetas #SUBE y la protección de datos personales

enero 31, 2012 § 17 comentarios

Estimados, este artículo esta basado en una consulta de un amigo personal, sobre mi opinión acerca de este tema, que debo confesar que antes de ponerme a investigarlo a fondo, sólo lo había escuchado de lejos (dado que como soy de la ciudad de Santa Fe, la tarjeta realmente me pasaba lejos).

Aquí en nuestra ciudad, tenemos sistema de tarjetas hace tiempo, si bien son de empresas privadas y para líneas determinadas, el sistema es sencillo: las tarjetas son anónimas, uno las puede comprar en lugares habilitados, lo mismo que ir a recargar. Las usa, en el mismo ticket te dice cuanto saldo te va quedando y así la gente vive libre de las monedas. Cuando me comentaron de SUBE, pensé que debía ser algo por el estilo, pero viendo el tema, veo que hay diferencias…

En primer lugar, las tarjetas sólo son entregadas a quien realizan un trámite (sencillo aparentemente) con su DNI, de manera que cada número de tarjeta queda vinculada a una persona física. ¿Por que? Según pude interiorizarme, sería porque el Estado así puede saber cuantas personas tienen subsidio (porque estos viajes están subsidiados) y cuantas personas viajan por día en cada línea, y así saber si los prestadores del transporte cumplen con la cantidad de unidades que deben ofrecer. ¿Es necesario? Técnicamente no, porque aún siendo 100% anónimas las tarjetas, por sistema, uno podría consultar, cuantas personas tomaron el 186 a las 7:30 en la estación X, y así podría igual saber tal dato, sin necesidad de poder trazar que persona viajaba y cuál no. Con respecto al tema de controlar los subsidios, de manera que nadie tenga más de una tarjeta, creo que tampoco tiene mucho sustento, ya que aunque una persona tuviera dos o más tarjetas, eso no haría que viaje “más o menos”, sino que bastaría nuevamente consultar al sistema, cuantas personas en un día, utilizaron tal línea, o tal tren y listo, sabríamos que cantidad real utiliza el servicio y si se están cumpliendo las prestaciones adecuadas para tal número.

Pero ahí no terminan las novedades, ya que lo que brindan las tarjetas SUBE es un sistema de consulta de saldos, donde lo único que necesito para saberlo es el número de tarjeta y… nada más, ahi se terminaron las exigencias de seguridad (además de un captcha espantoso). Pero las sorpresas continúan, al ver que no solo me dice cuál es mi saldo, sino que me da un listado de los últimos 10 viajes realizados! Y aquí ya la cosa me empezó a hacer ruido…

Mi primera sensación es la de un rudo golpe contra la privacidad… y lo es sin dudas, porque saber el itinerario de una persona es información sensible, desde el punto de vista que cualquiera que se pudiera hacer con el número de mi tarjeta, podría semanalmente sentarse por internet a investigar por donde anduve viajando, a que hora, en fecha me tome que colectivo o tren. Genial! (exclamo una novia celosa que hace tiempo sospecha de las andanzas de su novio). Claro, genial para esta chica, que tiene anotado el número de tarjeta de su chico, y que cada tanto le dice… ¿por donde anduviste? para comparar su anduvo por los lugares que ella sabía por el sistema. Desde el punto de vista de la privacidad, empezamos perdiendo el partido.

De vuelta, ¿Por que?. Acá la cosa ya empieza a perder sustento. ¿Por qué yo como titular de la tarjeta, voy a querer saber mis propios gastos? (si supuestamente soy el único que tiene el número de tarjeta). Yo quiero saber el saldo a lo sumo, para saber si me alcanza para volver a casa. La respuesta no parece clara, y me suena más a un proyecto apurado del gobierno, que no hizo tiempo de pensar en estos “detalles”. A ver, si el sistema es electrónico, es sabido que siempre quedan los registros, pero que esos datos estén tan accesibles, es poco común y diría que no recomendado. Aquí en Santa Fe, con tarjetas anónimas, también queda registro, pero sólo los puede ver el muchacho que me carga el saldo y la empresa en su caso. Y la verdad es que no conozco a nadie que quiera saber sus propios viajes.

El tema se puso más complicado cuando se publicaron mil itinerarios de viajes (Noticia de Segu-Info) por parte de Anonymous. Al principio me asombre de ver todos esos datos de itinerarios, sin DNI ni nombres ni apellidos, sino una recopilación de viajes por número de tarjetas. Pero luego me dio curiosidad de chequear el sistema del gobierno y dije… es tan asi? Sí, era así nomás, es más tuve que probar como 20 veces porque el sistema estaba caído (ahí realmente les creí que lo tenía instalado y administraba el Gobierno :). Es por internet, gratis, sólo necesito saber un número y tengo los últimos 10 viajes que realizó esa persona… increíble pero real dijo un delincuente especializado en secuestros express.

Ahora yo pregunto… si hicieron que las personas asociaran la tarjeta a su DNI, porque al menos no piden aleatoriamente números del DNI como refuerzo de seguridad del sistema? Eso lo tiene hasta el sistema para anotarse a exámenes de mi facultad.

Pero bueno, realizada la catarsis, hablemos desde lo jurídico. Cumple con la Ley Nº 25.326 de Protección de Datos Personales? En principio, el site muestra el isologotipo debajo. Esto quiere decir que cumple con las normas de seguridad exigidas en el art. 9 de la Ley? No necesariamente, sólo implica que se inscribio la base. Son datos personales los revelados por el sistema? Cumple con las normas de seguridad exigidas? Comencemos por el principio…

Art. 2: “A los fines de la presente ley se entiende por:
— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.”

Como lo dice expresamente el concepto del art. 2 de la LPDP, los datos personales son aquellos que hagan a una persona determinada o determinable. Datos que hagan a una persona determinada, es directamente decir su nombre apellido o DNI. En cambio, los determinables son menos comunes y en las capacitaciones que he podido dictar sobre Datos Personales, siempre les doy a los asistentes el ejemplo del perfil psicológico. Es decir, cuando se arman perfiles psicológicos de un alumno por ejemplo, no se pone el nombre y el apellido, se pone un número X, pero luego se hace todo un minuscioso detalle de las características de ese alumno, que es alto, morocho, se sienta adelante, muy revoltoso, que se mete el dedo en la nariz y sabe mucho de computadoras. Entonces, sin dar nombre y apellido se dan una serie de datos que hacen que la persona sea fácilmente identificable.

Personalmente opino que la publicación de un itinerario de viajes, con horarios, fechas, línea o tren que está tomando, permiten inferir una serie de datos que hacen a la privacidad de una persona, y que por lo tanto SON DATOS PERSONALES que hacen a una persona determinable.

Vamos bien… ahora, cumple con las medidas de seguridad exigidas?

“ARTICULO 9° — (Seguridad de los datos).
1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. “

Eso es más complicado de responder. La publicación de itinerarios por parte de Anonymous, no fue técnica ni legalmente un hacking… De hecho, se hizo público el código (pueden encontrar el link en este post de Segu-Info) utilizado para obtener esos datos (veanlo por gusto, son sólo 18 líneas muy sencillitas), que no hacen más que ir ingresando números y guardando resultados (y saltando ese endeble CAPTCH) de manera seriada. Esto NO es hacking en Argentina, porque el hacking (art. 153 bis) existe sólo cuando el sistema es de acceso restringido, tema que aquí no existe desde el momento que sólo pide un usuario sin pedir contraseña.

Más allá de esta divergencia, decía que es compleja la respuesta porque desde afuera uno no puede saber si el organismo que administra a SUBE cumple con todas las exigencias de la Disposición 11/2006.

Sin embargo, desde afuera, si podemos saber que el sistema permite el ingreso contando sólo con el usar (Nº de tarjeta) sin otro requisito más, lo que a mi criterio sería una falta al inciso 7 de las normas de seguridad para las bases de datos “básicas” (7. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información.).

Para ir finalizando, creo que el sistema SUBE es interesante en cuanto a la idea de reemplazar monedas, lo cuál no dudo que es muy exitoso en ese aspecto. Desde aquí se ha intentado analizar sus consecuencias en relación a la información que se brinda, su legalidad y su necesidad.

No veo realmente la necesidad ni fundamento de informar los datos de viajes realizadas, que sí son datos personales, que sí deben ser protegidos adecuadamente. Nuestra propia Ley de Protección de Datos Personales en su art. primero, establece que su finalidad es garantizar el derecho al honor y a la intimidad de las personas y desde mi punto de vista, la publicación de manera cuasi liberada de itinerarios de viajes, afecta sin dudas la intimidad de los usuarios de una manera irrazonable e injustificada.

Autor:  Marcelo Temperini – Abogado – Director de la Red Iberoamericana El Derecho Informático
Fuente: Blog de Marcelo Gabriel Ignacio Temperini

¿Qué sucedió y qué está por venir en seguridad y privacidad? – Entrevista a Mariano del Río

enero 31, 2012 § Deja un comentario

En el comienzo de este nuevo año, desde el Observatorio de INTECO, creemos que es interesante lanzar una reflexión tanto de lo que ha acontecido en seguridad de la información y privacidad durante este último año, como de lo que está por venir en 2012. Y para ello, quién mejor que nuestros expertos colaboradores del Blog de la Seguridad de la Información.

A lo largo de varias entregas, iremos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.

A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).

Inauguraremos esta colección con la opinión de Mariano del Río (@mmdelrio), consultor en seguridad de la información y experto en seguridad relacionada con el cloud computing y miembro del Board del capítulo argentino de Cloud Security Alliance (CSA), y frecuente colaborador de este Blog.


¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?
Podríamos decir que el 2011 fue el año más fuerte de impulso y adopción de soluciones basadas en cloud computing hasta la fecha. Esta “nueva” modalidad de servicios de TI presenta una gran cantidad de beneficios, tanto económicos como tecnológicos, que bien gestionados podrían facilitar ampliamente el gobierno de TI, la reducción de costes y en definitiva el acercamiento los servicios de TI al negocio que corresponda.

Pero todo no es tan sencillo, las guías de seguridad recomiendan que aquellas organizaciones que decidan ir hacia soluciones en cloud, tengan un cierto grado de madurez en lo que a la gestión de TI se refiere, el correspondiente análisis de riesgos y que la adopción de los servicios en cloud computing se realicen en forma paulatina, con el objetivo de minimizar el impacto en la Organización. Lo que se pudo observar durante todo el 2011 es que esto en líneas generales no se ha realizado y muchas empresas podrían haber priorizado los aspectos económicos (de corto plazo), dejando de lado aquellas aspectos de seguridad que permitan llevar a cabo la migración en un nivel de riesgo aceptable.

¿Se pueden apuntar tendencias para el 2012?
Recientemente se ha producido un caso relevante de seguridad en relación a cloud computing, con el cierre de Megaupload. Si bien este caso está más relacionado con los derechos de autor, muchos usuarios legítimos del portal podrían haber perdido información personal/confidencial.

Aunque este caso es muy particular, desde el plano de la seguridad se pone en duda la “disponibilidad” de la información en los servicios de cloud computing. Incluso grandes referentes de cloud computing recomiendan no hacer más backups, dado que la información se encuentra en muchos sitios y en forma redundante…Y yo me pregunto: ¿los usuarios legítimos de Megaupload habrán realizado sus resguardos o confiaron la información al proveedor de servicios de cloud?

En definitiva casos como el comentado dejan claro que si bien el cloud computing puede ser un factor competitivo al momento de optar por un determinado servicio de TI, la responsabilidad por el cuidado de la información sigue siendo del usuario/Organización, con las particularidades que incorpora el cloud computing.

Creo que durante 2012 se presentarán muchos más incidentes, aún más que durante 2011, donde ya tuvimos un año muy fuerte con las principales empresas de cloud computing afectadas.

Este año a los grandes jugadores del cloud computing se le suman las empresas que han migrado hacia soluciones de cloud y que podrían comenzar a sufrir la falta de gobierno y análisis de riesgos, con la consecuente materialización de incidentes de seguridad.

El hacktivismo les dará grandes dolores de cabeza tanto a proveedores de servicio como a las Organizaciones que apoyen cualquier acción que los grupos de protesta consideren amenazante. En relación a este punto, se habla mucho de los distintos ataques DDoS, pero ¿quién lo está considerando como una amenaza real al momento de realizar análisis de riesgos? ¿Quién está libre de ser víctima de un DDoS?

En definitiva, el cloud computing podría ser el factor impulsor de aquellos procesos clave de seguridad de la información que las regulaciones no lograron establecer y que incluyen a la clasificación de activos, gestión de riesgos, incidentes, cambios, en definitiva, el involucramiento de la seguridad de la información a lo largo de la Organización. Quizás sea el 2012 el año en que esos viejos proyectos de clasificación de información y gestión de activos se ejecuten definitivamente, o veremos los resultados en los distintos incidentes.

Fuente: Inteco

Demuestran cómo clonar tarjetas de crédito de forma inalámbrica

enero 31, 2012 § Deja un comentario

La investigadora de seguridad Kristin Paget mostró en vivo en el pasado ShmooCon 2012 celebrado en Washington cómo es posible clonar una tarjeta de crédito con tecnología de pago sin contacto (RFID) y que la copia pueda ser usable al menos una vez.

Para ello se sirvió de un lector de tarjetas RFID (50$ en eBay) para poder obtener los datos de la tarjeta de un voluntario entre el público, entre los que figura el CVV de un sólo uso que se emplea para autenticar dichos pagos sin contacto. Una vez obtenidos dichos datos, procedió a crear un duplicado de la tarjeta mediante un grabador de tarjetas (300$) y mediante el software de pago sin contacto de un iPhone procedió a “donarse” 15$ con la tarjeta recién creada. Para evitar acusaciones de fraude, le entregó al voluntario un billete de 20$ a cambio…

No es difícil imaginar lo que se podría conseguir con un equipamiento algo más sofisticado en un lugar lleno de gente (el metro o un estadio, por ejemplo).

Fuente: Kriptopolis

Proponen intercambiar entre usuarios la SUBE para evitar el registro personal de viajes

enero 31, 2012 § 1 comentario

Intercambiar la tarjeta SUBE para evitar que el Gobierno conozca los movimientos de los usuarios. Esa es la consigna que lanzó ayer un grupo político de jóvenes en rechazo al sistema de la tarjeta SUBE, que registra el movimiento que cada pasajero realiza, a través de colectivos o trenes, en la zona metropolitana de Buenos Aires.

Según la Casa Rosada, el registro de los movimientos de cada tarjeta -que se obtiene de manera gratuita y personal presentando el DNI- posteriormente se cruzará con datos de la AFIP, la Anses y el ministerio de Desarrollo Social para “individualizar” cada subsidio al pasaje.

“Nuestra propuesta es un acto de resistencia civil pacífica ante el abuso despótico del Gobierno”, explicó a LA NACION el vocero del Partido Liberal Libertario (PLL), Marcelo Duclos, que lanzó la iniciativa. “Llamamos a la gente a que cambie la tarjeta, a que no se quede con la suya. Que se la den a un amigo o a un compañero de trabajo para que no sepan sus movimientos”, agregó.

Ayer, Anons.ar, un grupo de hackers argentinos que dice formar parte de Anonymous, expuso en Internet los registros de viajes de SUBE . La acción fue publicada en un sitio web con el objetivo de señalar la falta de medidas de seguridad para mantener a resguardo la información personal de los pasajeros.

“Si Anonymous tuvo acceso a los datos, también lo puede tener cualquier empresa privada y el Estado. No queremos darle al Gobierno el gusto de tener a un clic de distancia la información de cada pasajero”, afirmó Duclos.

Según contó el vocero de PLL, desde el partido ya están estudiando la posibilidad de organizar “un día general de cambio de SUBE” de manera periódica. ¿Cree que los usuarios la van a intercambiar aunque tengan créditos diferentes en sus tarjetas?, preguntó este diario. “Prefiero perder dos o tres pesos de carga y no darle al Gobierno mis datos”, sostuvo Duclos. “La gente carga crédito cuando se le acaba, así que puede intercambiar la tarjeta antes de ponerle más plata”, agregó.

Por ahora, la propuesta se difunde desde la página de PLL en Facebook .

Posiciones encontradas
Quienes no comparten esta propuesta son algunas asociaciones de usuarios, que defendieron el sistema de registro de viajes de SUBE. “Entiendo que son muchos datos en poder del Gobierno, pero es la única manera que tienen para identificar la capacidad económica de cada usuario”, expresó el titular de Consumidores Libres, Héctor Polino. “La Casa Rosada va a tener esa información para poder decir si mantiene o le quita el subsidio a determinado usuario”, agregó.

Desde la Asociación de Defensa de los Consumidores y Usuarios de la Argentina (Adecua), su presidente, Sandra González, calificó la propuesta como “poca seria”. “Me parece que es medio paranoica la idea de intercambiar las tarjetas, ya que hay 6 millones de SUBE entregadas. No creo que el Gobierno quiera controlarnos”, expresó González, y señaló: “Parece que ya nos olvidamos del problema de las monedas y de las colas que había que hacer para conseguirlas. La SUBE era necesaria”.

LA NACION intentó comunicarse con el secretario de Transporte, Juan Pablo Schiavi, pero sus voceros no atendieron las llamadas realizadas. En declaraciones públicas con el canal C5N, el funcionario defendió hoy el sistema de pago electrónico e informó que en la calle ya circulan 6.300.000 plásticos violetas .

Cuestionan el registro de datos
Vía Libre, una de las organizaciones que defiende el software libre, fue una de las primeras en cuestionar el acceso que tendrá el Gobierno a información personal de millones de usuarios. “La recolección por parte del Estado de los datos de transporte de todos los ciudadanos y su posterior guarda en una base de datos es una medida abusiva e innecesaria que invade la privacidad y viola el derecho a la intimidad del que gozan los ciudadanos”, destacó Vía Libre en su página web. “Esto viola la Ley de Protección de Datos Personales”, agregó.

Junto con la publicación de algunos de los registros de SUBE filtrados, Anons.ar difundió un comunicado en el que afirmó: “El gobierno argentino exige una identificación por DNI cuando no es necesaria, y luego rastrea cada uso de esta tarjeta, creando una base de datos del ir y venir de cada ciudadano”. Aunque el detalle de viajes no publica la identidad del pasajero, los datos son auténticos ya que pueden chequearse en el sitio oficial de SUBE .

Fuente: La Nación

El Pentágono quiere restregar ADN en sus chips para evitar falsificaciones

enero 31, 2012 § Deja un comentario

Desde hace ya algunos años, el ejército de los Estados Unidos trata de hacer frente como puede a un enemigo invisible y con una capacidad inaudita para infiltrarse en sus sistemas electrónicos: los chips falsificados. Aunque hace años el hardware militar se elaboraba usando componentes propietarios diseñados en exclusiva para el Pentágono, la reducción de costes y la elevada factura de mantener en activo costosísimas máquinas que en ocasiones tienen una vida útil de varias décadas ha obligado a los contratistas a utilizar piezas relativamente comunes en algunos dispositivos, lo que abre las puertas a que se cuelen procesadores e integrados de procedencia dudosa.

Este tipo de hardware, que en no pocas ocasiones tiene origen en China, puede presentar dos problemas: que no funcione como deba o (este es el más grave) que contenga funciones espía. El ejército ya se ha gastado unos cuantos millones de dólares en sustituir piezas que los propios contratistas daban por buenas (un problema que ya conocemos los consumidores de a pie), así que para evitar desastres mayores, está examinando la idea de firmar sus componentes con ADN.

El sistema, desarrollado por una compañía llamada Applied DNA Sciences, utiliza firmas orgánicas creadas a partir del genoma de plantas, virtualmente imposibles de imitar como si fueran hologramas de seguridad. Un simple escáner de mano puede utilizarse para verificar la autenticidad del hardware, y si hiciera falta realizar una prueba más a fondo, también sería posible extraer una muestra del ADN usando un bastoncito.

Con una probabilidad de encontrar un falso positivo por cada billón de firmas, más de un proveedor con ganas de ahorrar unos céntimos se pensaría dos veces eso de comprar sus chips a granel en los mercados de Shenzhen. Al menos hasta que la tecnología avance lo suficiente como para clonar ADN en los bajos de una lavandería…

Fuente: Engadget

Dorkbot: conquistando Latinoamérica

enero 31, 2012 § Deja un comentario

El artículo Dorkbot: conquistando Latinoamérica por Pablo Ramos de ESET Latinoamérica desarrolla los motivos por los cuales esta familia de malware ha tenido tan alto  impacto durante la última mitad del 2011. En primer lugar, se presentan las variantes de esta familia de códigos maliciosos con el objetivo de conocer sus diferencias y cualidades técnicas como así también las metodologías de propagación y evolución.

En la segunda parte del artículo se analiza la propagación de esta amenaza en Latinoamérica y en los distintos países de la región y, además, se realiza una comparación con el resto del mundo. Asimismo, remarcaremos las diferencias entre las tendencias en la región y los índices de detección que registra este gusano. Luego se concluiremos con el análisis de los motivos que llevaron a esta amenaza a posicionarse como el código malicioso más importante de la región durante el 2011.

Fuente: ESET Latinoamérica

Los contenidos de Megaupload pueden ser borrados esta semana

enero 30, 2012 § Deja un comentario

Preocupantes noticias sobre el destino final de los documentos depositados en Megaupload por los internautas. Las autoridades federales de EE UU han terminado el registro de los servidores y copiado lo que consideran pruebas para inculpar a Megaupload. Las dos empresas que mantienen los servidores de alojamiento de la compañía podrían iniciar esta semana el borrado de los datos. Megaupload tiene congelados sus fondos y no puede pagar el mantenimiento de los mismos.

Carpathia Hosting y Cogent Communications Group podrían iniciar el borrado indiscriminado de datos esta misma semana. Según los fiscales, el futuro de los datos únicamente debe ser decidido ahora por estas dos empresas de albergue. El abogado de Megaupload, Ira Rothken, ha reclamado que se conserven no únicamente para apoyar la defensa de Megaupload, también para preservar los intereses de 50 millones de internautas que habían depositado documentación personal en el servicio.

“Somos cautelosamente optimistas en este asunto porque los EE.UU, tanto como Megaupload, deberían tener un interés común por proteger a los consumidores y esto podría conllevar algún tipo de acuerdo”, ha señalado a AP.

Megaupload ha sido clausurado por las autoridades estadounidenses por albergar y permitir la distribución de material protegido por derechos de autor. Sin embrargo, la empresa también ofrecía un servicio de almacenamiento de archivos personales a sus clientes. El Partido Pirata prepara la reclamación de los mismos ateniéndose a las leyes españoles.

Pendiente de una decisión final, el abogado Josep Jover ha comentado a este diario que se orientan hacia una demanda de protección de los derechos del consumidor que podría tener dos frentes. Una reclamación ante las autoridades de protección de datos y una demanda civil por daños y perjuicios tanto contra Megaupload como contra las organizaciones de Estados Unidos que pidieron judicialmente el cierre de sus servidores sin atender a lo que éstos albergaban. “No hay razón para demandar a la policía que cumplió con un encargo judicial. Sería como actuar contra el funcionario judicial que participa en un desahucio hipotecario. En todo caso se debe ir contra quienes lo promovieron”, comenta.

Los abogados se inclinan por una demanda de tipo civil en España basada en la protección de los derechos del consumidor en la que se reclamarían daños y perjuicios. “Muchas personas confiaron en Megaupload para depositar documentos personales de muy distinto tipo. Los hay que tienen el álbum familiar y otros, incluso empresas, que no podrán facturar, porque el material que debían suministrar lo tenían albergado en Megaupload”. De momento, más de dos mil internautas se han apuntado al formulario en Megaupload por los internautas.

Fuente: ElPais

¿Dónde estoy?

Actualmente estás viendo los archivos para enero, 2012 en Seguridad Informática.