El portal de Derecho Español más completo y útil para jurístas, empresas y particulares
Bienvenid@
Legalidad en captura transparente de trafico https
- Foros Legales
- Derecho Laboral General
- Tema: Legalidad en captura transparente de trafico https
- Derecho Laboral General
Nuevo Comentario
5
Comentarios
Legalidad en captura transparente de trafico https
Hola
Desde hace unos dias, el proxy de la empresa ha empezado a capturar el trafico HTTPS que se realiza desde los ordenadores de la empresa.
Tecnicamente, lo que hace el proxy es que suplanta la identidad de la web a la que se llama, generando un certificado SSL con el dominio de la web destino, de forma que el navegador habla directamente via HTTPS con el proxy y este hace otra conexion contra la web destino.
Si solo se hiciera esto (ataque Man In The Middle), el navegador bloqueria la navegacion avisando que el certificado de la web conectada no esta firmado por una autoridad certificadora de confianza, pero como han instalado en el dominio Windows la autoridad certificadora de la empresa con la que se generan esos certificados al vuelo, tanto Microsoft Explorer como Chrome no advierten que el trafico esta siendo capturado y da la apariencia que el trafico HTTPS se esta haciendo entre el navegador y la web conectada.
Al usar Firefox, este no confia en las autoridades certificadoras instaladas en el dominio, con lo que aqui es donde hemos confirmado las sospechas al ver los avisos de seguridad.
Aunque han puesto algunas excepciones como las de algunos bancos, la pagina principal de google, etc., hay infinidad de webs en las que se podria capturar informacion, incluidas cookies, user/password, etc.
Por ejemplo, el acceso a GMail o Google Maps si es capturado. No solo podrian ver los correos privados, sino que capturarian cookies con las que autenticarse en otra maquina.
La excusa de que los ordenadores del trabajo son solo para uso laboral no es valida, ya que todo el mundo tiene conectada la cuenta de google incluso para temas de trabajo, asi como otras cuentas usadas a la vez para temas profesionales pero que a su vez tienen usos personales (cuentas de GitHub, StackOverflow, etc.).
Tengo algunas preguntas:
1. Es legal que puedan capturar el trafico HTTPS cuando supuestamente se trata de trafico cifrado punto a punto
2. Si es legal, no deberia haber una comunicacion oficial al respecto indicando que se va a hacer (no lo han ocultado del todo pero la mayoria de gente no lo sabe ni entiende las consecuencias), que se va a guardar, donde, como se protegera esa informacion, como se registrara quien accede a esa informacion, etc.?
Desde hace unos dias, el proxy de la empresa ha empezado a capturar el trafico HTTPS que se realiza desde los ordenadores de la empresa.
Tecnicamente, lo que hace el proxy es que suplanta la identidad de la web a la que se llama, generando un certificado SSL con el dominio de la web destino, de forma que el navegador habla directamente via HTTPS con el proxy y este hace otra conexion contra la web destino.
Si solo se hiciera esto (ataque Man In The Middle), el navegador bloqueria la navegacion avisando que el certificado de la web conectada no esta firmado por una autoridad certificadora de confianza, pero como han instalado en el dominio Windows la autoridad certificadora de la empresa con la que se generan esos certificados al vuelo, tanto Microsoft Explorer como Chrome no advierten que el trafico esta siendo capturado y da la apariencia que el trafico HTTPS se esta haciendo entre el navegador y la web conectada.
Al usar Firefox, este no confia en las autoridades certificadoras instaladas en el dominio, con lo que aqui es donde hemos confirmado las sospechas al ver los avisos de seguridad.
Aunque han puesto algunas excepciones como las de algunos bancos, la pagina principal de google, etc., hay infinidad de webs en las que se podria capturar informacion, incluidas cookies, user/password, etc.
Por ejemplo, el acceso a GMail o Google Maps si es capturado. No solo podrian ver los correos privados, sino que capturarian cookies con las que autenticarse en otra maquina.
La excusa de que los ordenadores del trabajo son solo para uso laboral no es valida, ya que todo el mundo tiene conectada la cuenta de google incluso para temas de trabajo, asi como otras cuentas usadas a la vez para temas profesionales pero que a su vez tienen usos personales (cuentas de GitHub, StackOverflow, etc.).
Tengo algunas preguntas:
1. Es legal que puedan capturar el trafico HTTPS cuando supuestamente se trata de trafico cifrado punto a punto
2. Si es legal, no deberia haber una comunicacion oficial al respecto indicando que se va a hacer (no lo han ocultado del todo pero la mayoria de gente no lo sabe ni entiende las consecuencias), que se va a guardar, donde, como se protegera esa informacion, como se registrara quien accede a esa informacion, etc.?
Un relato muy detallado e interesane, sin duda. Y un buen par de preguntas.
En mi modesto entendimiento, aunque no soy laboralista, le voy a dar mi opinión, que creo bien fundada, más por mi interés en 'nuevas tecnologías' y sus implicaciones que en temas esctrictamente laborales, en los que en modo alguno soy experto.
Mi opinión respecto a su primera pregunta es: SI, es legal, siempre que se cumplan determinados requisitos.
Respecto a la segunda, la respuesta es: SI, la empresa está obligada a comunicarlo a sus empleados, pudiendo suponerle lo contrario la imposición de multa importante por parte de la AEPD. Y debe establecer claramente cuales son las normas de uso de internet en la empresa, pudiendo limitarlo como estime conveniente e incluso prohibir su uso para asuntos personales.
La empresa puede regular las cosas casi-casi (la casuística es infinita) como quiera. Lo único que tiene que hacer es comunicar las cosas de forma clara y detallada a sus empleados.
En mi modesto entendimiento, aunque no soy laboralista, le voy a dar mi opinión, que creo bien fundada, más por mi interés en 'nuevas tecnologías' y sus implicaciones que en temas esctrictamente laborales, en los que en modo alguno soy experto.
Mi opinión respecto a su primera pregunta es: SI, es legal, siempre que se cumplan determinados requisitos.
Respecto a la segunda, la respuesta es: SI, la empresa está obligada a comunicarlo a sus empleados, pudiendo suponerle lo contrario la imposición de multa importante por parte de la AEPD. Y debe establecer claramente cuales son las normas de uso de internet en la empresa, pudiendo limitarlo como estime conveniente e incluso prohibir su uso para asuntos personales.
La empresa puede regular las cosas casi-casi (la casuística es infinita) como quiera. Lo único que tiene que hacer es comunicar las cosas de forma clara y detallada a sus empleados.
Somos una empresa de desarrollo, con lo que logicamente tenemos mas permisos que una empresa con usuarios "normales".
Precisamente por eso, muchos navegamos para temas profesionales, pero por el camino siempre se acaba usando cuentas personales (de Google pej).
Hay otras opciones como usar una VPN cifrada a traves del proxy contra el router personal de casa, pero no se trata de eso.
La cosa es que no me parece bien que lo hagan y menos que no lo informen adecuadamente. Segun me han dicho, lo van a consultar y creen que es legal y por tanto simplemente acabaran informandolo ...
Precisamente por eso, muchos navegamos para temas profesionales, pero por el camino siempre se acaba usando cuentas personales (de Google pej).
Hay otras opciones como usar una VPN cifrada a traves del proxy contra el router personal de casa, pero no se trata de eso.
La cosa es que no me parece bien que lo hagan y menos que no lo informen adecuadamente. Segun me han dicho, lo van a consultar y creen que es legal y por tanto simplemente acabaran informandolo ...
