El Sector Público y la Seguridad

"¿qué nos protege? Supongo que los fundamentalistas religiosos dirían que la fe. Los académicos, que el conocimiento. Los médicos, que la ciencia. El policía, que una pistola de nueve milímetros. El político, que la ley. Pero en realidad, ¿qué nos protege?" ( Katzenbach, John. 2007. "El hombre equivocado"). 

En esta novela el autor cuenta como un hacker a través de la red convierte la vida de una estudiante y su familia en una pesadilla.

El sector público es crítico en este tema, ya que posee información de todo tipo -direcciones y teléfonos, financiera, de salud, de formación, vida laboral, judicial, etc.-, sobre personas y organizaciones, mucha de la cual hay que entregarle por ley, como los datos fiscales o datos de identificación para el NIF o el pasaporte o el carnet de conducir, y otros pueden recabarlos, igualmente apoyados en leyes, de organizaciones con las cuales se tenga una relación contractual, como el banco o el proveedor de servicios de telecomunicaciones.

Dependiendo del tipo de información, la filtración de datos puede afectar a la privacidad y seguridad de las personas, y por ende a sus vidas, como el caso de la protagonista de la novela con la que he abierto el artículo, o al funcionamiento de una empresa.

Son muchas las noticias acerca de pérdidas o filtraciones de datos, o ataques a las instituciones públicas. Wikipedia[i] ofrece un listado de pérdidas de datos del Reino Unido, debido a malas prácticas o descuidos, como pérdida de usb's conteniendo información sin cifrar, o venta de ordenadores en eBay de hospitales sin borrar los datos de pacientes.

El pasado mes de junio se publicó la noticia, de la cual se hizo eco IT Reseller[ii] de un ataque contra el parlamento alemán con nuevas variantes del troyano bancario Swatbanker[iii], que incorporaba funciones de filtro para el dominio “Bundestag.btg”. Cualquier ordenador infectado que accediera a la intranet del Bundestag, transferiría a los atacantes los datos del "cliente", introducidos en formularios, y los datos del navegador, además de las respuestas del servidor, haciéndose tanto con los datos de acceso como con información detallada del servidor. 

Y, también en este mismo mes de junio, un ataque de denegación de servicio a varias web del gobierno de Canadá mantuvo caídos los servicios asociados[iv].

Pero el sector público, además de su función de administrador de los bienes públicos tiene también como función garantizar la seguridad de los ciudadanos para lo que se sirve, entre otros medios, de la información que posee y recoge -supuestamente- dentro de lo que la ley le permite, ley que puede primar en ciertos casos la merma en los derechos de privacidad de los ciudadanos por mor de una mayor seguridad.

Algunos ejemplos ya conocidos serían la "Patriot Act" de Estados Unidos aprobada tras los atentados del 11-S, o la aprobación de una ley este año en el Reino Unido según la cual se pueden llevar a cabo actuaciones de hacking en equipos ajenos, o la interceptación de teléfonos de cualquier persona sin autorización judicial[v]. También, la intención del gobierno británico de prohibir el cifrado fuerte en las comunicaciones[vi], en línea con el director del FBI que argumentó que Apple y Google deben limitar la solidez del cifrado en smartphones para apoyar las iniciativas de aplicación de la Ley de Seguridad Nacional, cosa que a los ciudadanos los hace más vulnerables. ¿Pero no era el objetivo que los ciudadanos estuvieran más seguros?

En este punto y para terminar creo que viene bien una cita de hace 50 años del arquitecto inglés Cedric Price (1934-2003): “Technology is the answer, but what was the question?” 

* * *

[i] https://en.wikipedia.org/wiki/List_of_UK_government_data_losses (último acceso 11/09/2015)

[ii] http://www.itreseller.es/seguridad/2015/06/el-parlamento-aleman-atacado-por-malware (último acceso 11/09/2015)

[iii] http://www.siliconweek.es/security/descubren-un-troyano-que-se-mueve-golpe-de-peticiones-de-pago-y-facturas-irreales-60054 (último acceso 11/09/2015)

[iv] http://www.tripwire.com/state-of-security/latest-security-news/canadian-government-websites-taken-down-in-cyber-attack-anonymous-claim-responsibility/ (último acceso 11/09/2015)

[v] Análisis de la actualidad internacional: “Hacia una Patriot Act del viejo continente: quo vadis Europa?”, de Angel Vallejo y Julia Rubiales – p. 7 http://www.realinstitutoelcano.org/wps/portal/web/rielcano_es/contenido? (último acceso 11/09/2015)

[vi] http://www.businessinsider.com/david-cameron-encryption-back-doors-iphone-whatsapp-2015-7?r=UK&IR=T (último acceso 11/09/2015)