Privacidad vs Seguridad, tensión inelástica

Por Gabriel Zurdo, CEO de BTR Consulting

La privacidad es una prioridad para la comunidad mundial, pero desde el inicio de la pandemia y la proliferación del cibercrimen, incluidos el abuso sexual infantil, los delitos de odio, el robo de identidad y los delitos económicos financieros, cuanto más se conecta el mundo entre sí, mayor es la tensión entre mantener la privacidad y proteger a las posibles víctimas. La comunicación on-line puede conectar y enriquecer la vida de las personas, pero también se está utilizando como vehículo para la comisión de delitos. Los malos ahora pueden llegar a un público más amplio y masivo de víctimas potenciales, sin límites de fronteras y coordinarse con otros, compartir las prácticas más efectivas y expandir sus actividades ilegales mientras están protegidos por el anonimato.

Somos testigos de cómo “bandas de delincuentes” subcontratan servicios y configuran a “piacere” instrumentos tecnológicos para atacar a blancos específicos sobre los cuales hicieron ciber-inteligencia utilizando en gran medida información que las propias víctimas aportaron. La capacidad de escalar actividades dañinas es tan eficiente como la instrumentación de prácticas de construcción comunitaria. Internet ha proporcionado un entorno para que prosperen los depredadores y delincuentes.

Días atrás el FBI solicitó a los padres que aumenten la atención sobre los niños durante el cierre de escuelas y el distanciamiento social, con la amenaza de COVID-19 y la cuarentena, los niños pasan más tiempo del habitual en dispositivos digitales para educación y entretenimiento. Es fundamental que los padres reciban información sobre estos peligros y lo que pueden hacer para reducir el riesgo para sus hijos.

Hemos observado que mecánicamente son los mismos usuarios y su entorno familiar quienes proveen información sobre su identidad, conductas, apetencias, gustos y asimismo y más grave aún; problemas, frustraciones, conflictos familiares y personales/privados. Esta no es una problemática tecnológica, es necesario articular políticas y posturas que respeten los derechos de las personas y al mismo tiempo permitir controles sistemáticos para proteger, disuadir y, cuando sea necesario, investigar para enjuiciar a quienes están socavando la seguridad de los ciudadanos del mundo, eso sí, se promulgan leyes y se construye jurisprudencia.

Privacidad de Apps de monitoreo COVID-19: Controles vs Efectividad

La instalación y el uso de estas aplicaciones son voluntarias en la mayoría de los países, pero en otros son obligatorios. China es un claro ejemplo, al que en India, Indonesia y Vietnam. En Turquía, los que han sido infectados con el virus deben descargar la aplicación. Países sin ningún lugar a dudas respecto de sus valores democráticos prometen que los datos de los usuarios serán resguardados y privados, por ejemplo en Países Bajos y Francia, existe la preocupación de que la aplicación pueda usarse como una herramienta de vigilancia. Más allá de las diferencias culturales y políticas entre países, hay dos puntos principales en juego cuando se trata de privacidad:

Identidades de los usuarios: la mayoría de los países han implementado un enfoque de anonimización o seudonimización, que se puede cumplir con la conexión Bluetooth. Los pocos países que optaron por un enfoque que no respeta la privacidad, como Kuwait, han implementado una aplicación de geolocalización.

Almacenamiento de datos: todas las aplicaciones requieren una arquitectura de datos (la estructura interna para registrar, almacenar y procesar información) y los desarrolladores deben elegir entre un enfoque centralizado o descentralizado. Con una arquitectura centralizada, los datos se cargan en un servidor controlado por la autoridad sanitaria del gobierno en lugar de almacenarse localmente en los dispositivos de los usuarios.

La aplicación francesa StopCovid utiliza una arquitectura centralizada, mientras que Alemania finalmente adoptó un enfoque descentralizado desarrollado por Google y Apple. El Reino Unido adoptó un enfoque centralizado, pero, ante las crecientes críticas sobre el riesgo a la privacidad que plantea su aplicación centralizada, cambió a la técnica Google-Apple . Países como Japón e Italia hicieron la misma elección.

Otra ecuación por resolver se refiere a la efectividad de las aplicaciones basadas en Bluetooth, dependiendo de factores ambientales, el margen de error de ubicación física podría llegar hasta algo más de 20 metros. Debido a que la estimación precisa de la proximidad física y el tiempo de contacto son esenciales, este nivel adicional de incertidumbre puede disminuir en gran medida la efectividad de tales aplicaciones. En adición sendas debilidades de seguridad identificadas pre-pandemia darían nuevamente por tierra con la efectividad de este tipo de recurso.

El rendimiento técnico es otro punto bajo análisis, varias aplicaciones expusieron errores importantes, bajo rendimiento o poca compatibilidad con iPhones, como con COVIDSafe de Australia. Este tipo de inconvenientes y limitaciones en proyectos y plataformas que surgieron como mucho hace solo tres meses atrás, demuestra lo endebles de los recursos que deben mantener nuestra seguridad y privacidad, esta cuestión fundamental pasa desapercibida cuando una APP ofrecida en un “store” tiene exactamente la misma clase de “fallas” pero no conlleva el stress y rigurosidad a la que nos obliga la pandemia.

Estos desafíos son bien conocidos por la industria, quienes deben ser los garantes del acceso seguro y, en consecuencia, implementan tecnologías de información centralizadas. Naturalmente, el público utiliza cada vez más sus teléfonos personales y aplicaciones como WhatsApp, y el vuelco masivo al trabajo a distancia durante la epidemia amplificó la tendencia.

Esto ha evidenciado un nuevo fenómeno, mantener el control sobre los dispositivos y aplicaciones utilizados para el trabajo, es mucho más difícil, ya que los empleados consideran que las aplicaciones que utilizan normalmente para su vida personal tienen un mejor rendimiento y son más agradables que las tecnologías corporativas. Al igual que con las aplicaciones de seguimiento de contactos, el principal problema aquí es cómo implementar un “control y esquema de seguridad” teniendo en cuenta las voces y preocupaciones de las personas.

De hecho, el control es el principal problema en juego en las elecciones actuales para aplicaciones de rastreo de contactos de coronavirus. Independientemente del país, hay gobiernos y agencias de salud que desean controlar o incluso centralizar los datos. Por lo tanto, la mayoría de ellos han optado por sistemas centralizados desarrollados a nivel nacional, de manera similar a los sistemas de información corporativos. Como se señaló, varias aplicaciones han sido criticadas por esta elección, así como por problemas técnicos.

Google y Apple han propuesto una aplicación que se percibe como más confiable y que proporciona mayor seguridad y privacidad a través del anonimato y la arquitectura descentralizada. Dado el dominio y el control que ejercen estas empresas es esperable que estén menos preocupados por la privacidad de los usuarios que los gobiernos. Apple y Google están hablando con los consumidores y, por lo tanto, tienen en cuenta sus intereses y necesidades, al menos superficialmente. Saben que el éxito de sus aplicaciones depende de la adopción del usuario, y que esta adopción se vería comprometida si las aplicaciones desarrolladas compiten con las implementadas por los gobiernos. Por lo tanto, ofrecen acceso a sus interfaces de programación de aplicaciones (API) a cada país que desea implementar la aplicación. Esto permite a los países configurarlos como lo deseen, especialmente en lo que respecta a cuestiones de privacidad. Se deben alentar y utilizar los esfuerzos para educar y aprender de los ciudadanos y residentes sobre los problemas de tales aplicaciones para la toma de decisiones. También es esencial que los encargados de formular políticas incorporen y enfaticen la experiencia del cliente en las experiencias de empleados y ciudadanos. Esto no es solo una cuestión de adopción, sino también, en general, de establecer confianza en los tomadores de decisiones, ya sea en las empresas o en el gobierno.

Videoconferencia, sin privacidad ni seguridad

Finalmente, el daño colateral más evidente de uso doméstico es representado por las plataformas de videoconferencia. Zoom, Signal, Google Hangouts, Houseparty y Skype, son las más elegidas. Verificamos las especificaciones de las principales aplicaciones de videollamadas, sus características de seguridad y políticas de privacidad, y su cumplimiento contra buenas prácticas de mercado. La mayoría de las aplicaciones analizadas apenas cumplen con los estándares mínimos o prácticas razonables de seguridad. Otras como Houseparty, Discord o Doxy, incluyen debilidades y vulnerabilidades que dejan a los usuarios expuestos a espionaje o ciberataques.

En este contexto, Australia, Canadá, Gibraltar, Hong Kong, Suiza y el Reino Unido han publicado una carta abierta que destaca cinco principios de seguridad y privacidad que requieren una mayor atención de los servicios de videoconferencia. Seis autoridades de protección de datos y privacidad de países en cuatro continentes han dirigido una carta abierta a las compañías de videoconferencia pidiéndoles que reevalúen cómo protegen los derechos de privacidad y los datos de los ciudadanos de todo el mundo.

Millones de personas encerradas en sus hogares durante la pandemia, utilizan intensamente servicios de videoconferencia; incluso para mantenerse en contacto con amigos y familiares y para organizar reuniones de trabajo, clases on line y consultas médicas virtuales, etc. Sin embargo, el aumento en la demanda también ha sido acompañado por innumerables problemas de seguridad que enfrentan algunas de las plataformas, algunos subsanados durante la marcha, aun así, algunas plataformas claramente deben reconocer que su concepción y diseño dista del fin para el que actualmente se pretende su uso.

La carta destaca cinco principios en los que las empresas de videoconferencia deberían centrar su atención: seguridad, privacidad, conocer a su audiencia, transparencia y equidad, y control del usuario final. Enviada a las principales marcas y sus propietarios; Sin embargo, Microsoft, Cisco, Zoom, HouseParty y Google han recibido la carta directamente.

Es esperable que las compañías protejan los datos de los usuarios mediante la implementación de ciertas salvaguardas de seguridad como estándar, como el encriptado de extremo a extremo para todas las comunicaciones y la autenticación de dos factores para los inicios de sesión, así como al exigir a los usuarios que creen contraseñas seguras. También se espera que las plataformas soliciten a las personas que actualicen regularmente a la versión más reciente de su cliente de comunicación. También se debe prestar especial atención a garantizar que la información esté adecuadamente protegida cuando sea procesada por terceros, incluso en otros países. Definitivamente la pandemia ha llevado a que las plataformas se utilicen de formas diferentes a las que fueron diseñadas, lo que puede abrir las puertas a amenazas imprevistas, es mandatorio revisar nuevos casos de uso e implementar las medidas necesarias de protección de datos y privacidad en consecuencia.

Si aún quedaba algo por analizar desde el punto de vista de riesgo, resulta que en nuestros sondeos e investigaciones, encontramos falta total de “governance” en relación a “Políticas y Procedimientos” para conectividad y mantenimiento de la privacidad y seguridad, cada gobierno, organización, empresa y familia utiliza a “piacere” distintas marcas de plataforma y dependiendo con quien o quienes debe interactuar varía y modifica la plataforma para conectarse, el dispositivo que utiliza y sus condiciones de utilización.

Esto es particularmente importante cuando se trata de niños, grupos vulnerables y contextos donde las discusiones sobre las llamadas pueden ser especialmente sensibles (en educación y salud, por ejemplo), o cuando se opera en jurisdicciones donde los derechos humanos y los problemas de libertad civil pueden crear más riesgo para las personas que participan en la plataforma.