15 mayo 2014

Ni Google ni AEPD: La tercera vía

Estoy seguro de que a estas alturas todo el mundo ha oído hablar del fallo del TJUE contra Google en relación al llamado "derecho al olvido". Las noticias sobre Google y el derecho al olvido han llegado prácticamente a colapsar los temas de debate de los últimos días en los foros especializados. Sin embargo, estoy bastante decepcionado con todas las aproximaciones que he leído al respecto, ya que, tanto a favor como en contra, se limitan (en los mejores casos) a cuestionar los argumentos, pero sin plantear alternativas.

Personalmente, reconozco que la sentencia me ha sorprendido. Sin entrar en términos técnicos, los buscadores son meros intermediarios, y aceptar que la defensa de la privacidad se puede dirigir contra el mensajero (en lugar de dirigirse contra quien publica realmente la información) me parece peligroso. Si el intermediario tiene que dejar de ser neutral... es cuestión de tiempo que esa falta de neutralidad de subvierta.

Sin embargo, esto no quiere decir que el buscador no tenga ninguna responsabilidad. Obviamente es él quien ordena la información antes de mostrársela al usuario, en base a sus famosos (aunque desconocidos) algoritmos, y por lo tanto quien decide la relevancia del contenido. Y en esa relevancia, en ese orden, creo que es donde puede estar la tercera vía.

En el fondo, olvidar es un proceso natural por el cual nuestros recuerdos van siendo enterrador debajo de otros más recientes, de forma que cada vez sean menos patentes. Mi propuesta sería tan simple (de entender, al menos) como exigir que los buscadores incorporasen en su algoritmo un proceso similar, por el cual el contenido "antiguo" es progresivamente relegado a un puesto inferior en la lista de resultados según va pasando el tiempo. De este modo, el contenido no desaparece, pero sólo quien esté suficientemente interesado en "recordar" va a ser capaz de llegar a la información que busca (o a encontrarse con ella).

De hecho, este planteamiento ni siquiera es nuevo para Google. En su motor de búsqueda de noticias, Google News, ya incorpora esta funcionalidad. ¿Por qué no adoptar el mismo planteamiento? No sólo estarían favoreciendo el "derecho al olvido", sino que además estarían aproximando el funcionamiento del algoritmo al funcionamiento del cerebro humano. ¿No os parece que ganamos todos?

07 abril 2014

No te defiendas. Recupérate

Reconozco que últimamente no me prodigo mucho en el blog. La verdad es que llevo una temporada bastante ocupado... pero hoy quiero compartir con todos vosotros uno de los temas que me están manteniendo ocupado estos últimos tiempos.

Los que leéis el blog habitualmente ya sabréis que llevo bastante tiempo dándole vueltas a la idea de que la seguridad, tal y como se plantea a día de hoy, está condenada al fracaso. A lo largo de la historia hemos levantado muros, portado escudos, instalado firewalls o desplegado antivirus con el fin de protegernos frente a los ataques... sabiendo que, tarde o temprano, nuestras defensas iban a ser inevitablemente vulneradas. Día tras día comprobamos eso de que la seguridad total es imposible... y pese a todo nos seguimos empeñando en tratar de alcanzarla.

Frente a este planteamiento, un poco ilógico si lo pensamos fríamente, quiero abogar por un cambio total de paradigma. Sabemos que los incidentes de seguridad son inevitables. Algunos serán leves, otros más graves, y unos pocos requerirán, por su extrema gravedad, la activación de nuestros planes de contingencias. ¿Y si tomamos esta situación como punto de partida para nuestro planteamiento frente a la seguridad?

La propuesta se resume en el título del post: dejemos de centrar nuestros esfuerzos en evitar lo inevitable, y enfoquémoslos en minimizar su impacto. Asumamos que vamos a tener incidentes de seguridad, y tratemos de garantizar que, pase lo que pase, el daño que provoquen sea mínimo. Orientemos nuestras medidas de seguridad hacia la reducción de la criticidad de los propios activos, en lugar de dedicar recursos a preservarla.

La teoría dice que los incidentes de seguridad pueden afectar a la disponibilidad, a la integridad o a la confidencialidad de nuestros activos. Pero en la práctica esto se reduce a una casuística muy sencilla: podemos perder (porque se paran) nuestros servicios, podemos perder (porque desaparece o porque se corrompe o modifica incorrectamente) la información o se puede difundir (de forma no autorizada) esa información. Si el objetivo es minimizar la gravedad de que eso ocurra, el planteamiento pasaría por:

  • Tener servicios replicados, de forma que la caída de uno no suponga un problema ya que hay un servicio idéntico funcionando. Esto no sería estrictamente tener servicios en alta disponibilidad, sino tener múltiples servicios idénticos. 
  • Que la información sea lo más volátil posible, que tenga "fecha de caducidad". 
  • Que la información sea lo más abierta y pública posible.
No obstante, mi propuesta es ir un paso más allá. No propongo que dejemos de protegernos de los incidentes, sino que los provoquemos intencionadamente. Frecuentemente. Qué pasaría si todas las semanas tiramos nuestros servicios? Si todas las semanas eliminamos nuestra información? Si todas las semanas divulgamos en Internet nuestra información? Cómo actuaríamos? Qué cambiaríamos en nuestra seguridad para lidiar con estas situaciones?

Si nos acostumbramos a gestionar incidentes graves de manera habitual nuestras medidas de seguridad nos garantizarán no sólo que nuestros servicios (y por tanto nuestro negocio) son resilientes, sino que acabaremos centrando nuestros recursos en aquello que realmente es lo importante, y seremos capaz de lidiar de manera tan habitual con este tipo de incidentes que dejarán de ser graves. Siendo menos seguros habremos conseguido ser más seguros. Contrasentido? Un poco. Arriesgado? Por supuesto. Utópico? Puede ser. Pero... Y si funciona?

18 febrero 2014

Esteganografía informativa: defendiendo la privacidad ante el Big Data

Reconozco que el título del post no es "apto para todos los públicos", pero creo que resume bastante bien el planteamiento que quiero recoger en este post.

Cada vez es más complejo mantener unos niveles de privacidad elevados en el mundo digital. Bien sea porque nosotros mismos no nos preocupamos por nuestra privacidad, porque la "vendemos" a cambio de servicios o porque directamente hay empresas y/o gobiernos que se encargan de limitarla, la privacidad en el mundo digital es cada vez más ilusoria. Nuestro rastro digital, queramos o no, cada vez es más nítido. Y por si fuera poco, cada vez surgen tecnologías más capaces de rebuscar en ese confuso mar de datos inconexos para extraer información útil que, generalmente, suele estar ligada a nuestra identidad digital. El Big Data no sé si es el presente, pero claramente es el futuro.

El objetivo de la privacidad es, precisamente, el contrario: evitar que la información sobre nuestra identidad digital salga a la luz. Pero como en cualquier otro caso, la defensa siempre va por detrás del ataque. Ocultar nuestros datos mientras otros intentan descubrirlos es una batalla asimétrica en la que siempre vamos a ir varios pasos por detrás.

Frente a este planteamiento, basado en el principio clásico de seguridad por oscuridad, mi propuesta es buscar una alternativa diferente, más en línea con los planteamientos de la seguridad abierta. No obstante, la idea no es nueva. Hay mucha gente que no se preocupa por su privacidad digital porque se considera "una gota en el océano". ¿Y si pudiéramos utilizar ese planteamiento para asegurarnos, de algún modo, que el océano es tan grande que nadie va a poder identificar nuestra gota? Es más... ¿Y si generásemos datos ficticios en forma de progresión geométrica cada vez que se intenta acceder a un dato ligado a nuestra identidad digital?

La idea de ocultar una serie de datos válidos rodeándolos de datos no válidos es precisamente lo que se conoce como esteganografía. La única diferencia sería que en este caso no nos limitaríamos a rodear los datos válidos de datos falsos, sino que dispondríamos de algún sistema capaz de incrementar exponencialmente la cantidad de datos falsos, de modo que se pudiera limitar en gran medida la eficacia de los sistemas de Big Data a la hora de analizar nuestra información personal.

Por supuesto, como todas las buenas ideas, esta no es mía. Simplemente he tratado de extrapolar los principios de un nuevo sistema de "cifrado", Honey Encryption, que descubrí hace unos días, pero cuyos principios no sólo me parecen enormemente innovadores, sino que creo que tienen un prometedor futuro por delante. Ójala veamos en un futuro avances en este tipo de planteamientos... porque creo que por ahí puede venir el futuro de una parte de la seguridad.

30 enero 2014

ENS: El día D ha llegado

El Esquema Nacional de Seguridad se publicó en el BOE el 29 de Enero de 2010, por lo que entró en vigor el 30/01/2010, tal y como establece su disposición final tercera. No obstante, en su disposición transitoria establecía que los sistemas de información existentes en ese momento tenían un plazo de 12 meses para adecuarse a sus exigencias, que podía ser ampliado hasta los 48 meses si existían circunstancias que impidiesen su plena aplicación y se dispusiera de un plan de adecuación aprobado.

Hoy es 30 de Enero de 2014, de modo que se acaban de cumplir los 48 meses del plazo máximo admitido para que las Administraciones Públicas cumplan con el ENS. ¿Cuál es la situación actual?

La mejor forma de analizar el cumplimiento del ENS es acudir al Artículo 41 del Real Decreto, que establece que los organismos públicos tienen que publicar en sus respectivas sedes electrónicas las correspondientes declaraciones de conformidad, diciendo que cumplen con todas las exigencias del ENS (y esta es una de ellas). De hecho, incluso existe una guía específica (CCN-STIC-809) que establece cuál debe ser el contenido de dicha declaración de conformidad.

Dicho esto... cuál es la situación? Pues bien, después de recurrir a la clásica búsqueda y de analizar la información de la web www.cumplimientoens.es, el resultado es:


Vaya por delante mi más sincera enhorabuena a la Diputación de Badajoz, aparentemente único organismo público de los más de 8.000 en todo el estado que ha cumplido con su obligación legal en materia de seguridad de la información, y al que todos deberíamos agradecer el habernos salvado del bochornoso 0. Ahora bien... Un 0,01% debería ser aceptable?

No quiero meter el dedo en la llaga, puesto que los datos (incluso aunque no haya sido capaz de localizar unos cuantos casos más) son bastante elocuentes. Sin embargo, sí que creo que los datos deberían servir para reflexionar acerca del motivo por el cual hemos llegado a esta situación. Y se me ocurren varias alternativas:

  • Plazo insuficiente: El punto de partida era tan malo que no ha dado tiempo a cumplir con todas las exigencias. 
  • Exigencia excesiva: Había que llegar a un nivel de seguridad tan alto que no somos capaces de alcanzarlo. 
  • Presupuesto insuficiente: Requiere tal cantidad de productos de seguridad que el presupuesto no ha sido suficiente para adquirirlos e integrarlos a tiempo. 
  • Medios propios insuficientes: Requiere tal cantidad de dedicación de personal interno para conseguir la adecuación que no se ha podido sacar el tiempo suficiente para realizar la adecuación. 
  • Concienciación insuficiente: La seguridad preocupa tan poco que no se ha sido capaz de priorizarlo lo suficiente como para conseguir los recursos necesarios para la adecuación.
A mi se me ocurren estos como los motivos principales para que un organismo público no haya concluido su adecuación al ENS. ¿Cuáles pensáis vosotros que son los más importantes? ¿Cuál ha sido vuestro caso?

13 enero 2014

Mi pronóstico: Inseguridad

No, no voy a escribir un post de pronósticos de seguridad para el año 2013. Hoy sólo quiero plantear cuál es mi visión del futuro que nos espera, aprovechando que esta mañana he leído un par de artículos muy interesantes y que, en conjunto, me temo que plantean una visión bastante pesimista del futuro que nos espera en términos de seguridad.

El primero es un post en el que Enrique Dans afirma que, nos guste o no, los avances tecnológicos van más rápido que la seguridad, y que la inseguridad asociada a esta situación no va a detener su evolución. El segundo es un post de David Maeztu en el que, pronosticando un futuro en el que nuestro coche será capaz de denunciarnos automáticamente por exceso de velocidad, plantea un panorama en el que la legislación no sólo no nos va a proteger de esa inseguridad asociada a los avances tecnológicos, sino que probablemente la acabe amparando (al menos, en términos de privacidad).

Mi pronóstico es pesimista porque, sintiéndolo mucho, comparto gran parte de las visiones anteriores. No creo que la seguridad sea una prioridad en la sociedad moderna, y por lo tanto ni tecnólogos ni legisladores creo que le vayan a dar una importancia que la sociedad no le da. La pirámide de Maslow de nuestra sociedad ha cambiado, y la seguridad/privacidad ha perdido peso. Nuestra sociedad está dispuesta a sacrificar parte de los niveles de la base a cambio de conseguir un poco más de aquello que está en la cúspide de la pirámide.

Ante este panorama no creo que se pueda hacer mucho. La respuesta de libro serían programas de formación, trabajos de concienciación, pero... Acaso sirve de algo nadar contra corriente? A veces pienso si no sería mejor dejarse llevar, y simplemente tratar de minimizar los daños. Si en la eterna lucha contra el riesgo vemos que no podemos ganar, no deberíamos cambiar nuestra estrategia y tratar de aprovecharnos de él?

Será que hoy me he levantado pesimista...