Novedades en la categoría Privacidad
Durante el gobierno de Ronald Reagan, como parte de la investigación del famoso escándalo Irán Contras/Irán-Contra, se exhibieron un par de emails entre John Poindexter y Oliver North como pruebas de su conspiración. Estos emails fueron obtenidos de los respaldos de los servidores de email, porque los autores los habían eliminado de sus computadores cuando se vieron sorprendidos.
Ahora se ha destapado un escandalillo que involucra la filtración de email, en este caso los de la ex gobernadora de Alaska, Sarah Palin, compañera de fórmula de John McCain en las elecciones presidenciales norteamericanas (esta es una nota para los despistados, que nunca faltan).
Pero resulta que los norteamericanos tienen normas sobre el uso de email por parte de funcionarios públicos, existen leyes federales que obligan a tener un registro histórico de los correos electrónicos. Esa es la razón por lo que el comportamiento de Palin es cuestionable (aunque no es la primera vez que los funcionarios de gobierno republicanos evaden estas normas).
Ahora, yo me pregunto ¿qué pasará por estos lados?
¿Habrá siquiera una política que norme el uso de correos electrónicos por parte de los funcionarios de nuestro gobierno?
Al menos siempre me he topado en la empresa privada que existen políticas, más o menos claras, que definen que el correo corporativo no puede ser usado para otras cosas que no sean los negocios de la empresa, y por lo tanto estos son auditables.
Al menos, yo creo que los correos entregados las instituciones públicas a sus funcionarios deben ser auditables, y esto significa que debe haber un registro histórico de estas comunicaciones para su posterior análisis en proceso forenses o investigativos. Pero incluso, estos registros deberían ser asequibles al público después de un tiempo (por su valor historiográfico).
La transparencia pasa por medidas como esta, ¿no creen ustedes?
El sitio CIPER Chile publica las declaraciones patrimoniales de nuestros senadores, algo que el senado se ha negado a hacer, pero como esta información es pública, sólo que para acceder a ella hay que ir a Valparaiso y solicitarla, la acción de CIPER Chile demuestra que si nuestras autoridades no quieren transparencia, la sociedad puede construir esta transparencia.
Pero los periodistas de CIPER, me sorprenden, por no manejar conceptos tan básicos de informática, han decidido tachar algunos datos de las declaraciones, por ejemplo, como las patentes de los automóviles, y parte de la dirección de las propiedades declaradas, sin embargo, no tachan códigos más importantes, como el ROL de la Propiedad, o el RUT de las personas.
No entiendo, ¿por qué tachan esa información?, si dado el ROL de la propiedad he podido obtener la dirección precisa de varias casas de nuestros senadores, y hasta he podido ver una foto satelital de donde viven.
La información no vive sola o desconectada, un código, como el ROL o el RUT permiten enlazar la información entre varias bases de datos, y como nuestro país es tan "avanzado" en términos de e-government, es posible obtener en el sitio del SII toda la información sobre un inmueble; con el RUT y el ROL puedo obtener aún más información, hacer un seguimiento de la situación tributaria de cada senador, y de ahí a sacar una foto satelital de la casa, el paso es trivial.
Con el RUT en el Registro Civil podría consultar aún más información, y lo que es peor, no sólo es posible obtener información, sino que además podemos ejercer acciones que puedan inhabilitar muchos trámites a cualquier persona.
En Chile, una vez obtenido el RUT de una persona es posible complicarle la vida en forma muy concreta, podemos impedirle emitir un cheque, o bloquearle un documento, por ejemplo, ¿cómo se sentiría un senador si en el aeropuerto la INTERPOL no lo dejara subir por tener bloqueado su pasaporte? (me pregunto si eso le llegaría a pasar a un senador).
No hay que ser "hacker" para hacer todo esto, la verdad es que no cuesta nada.
No sé que pretendía hacer CIPER al tachar ciertos datos, supongo que evitarle algunos problemas a los honorables, o evitarse problemas ellos mismos. Mejor hubieran tachado los RUTs y los ROLES de las propiedades.
Ojalá no pase nada, pero espero que los senadores consideren mejorar nuestras leyes de protección de datos, porque en realidad estamos muy mal en estos temas.
Acá va una solución para padres aprensivos. Pero también es un ejemplo interesante de cómo autenticar identidades de las contrapartes (pero eso es más técnico).
Matel para su mundo virtual gratuito para preadolescentes: barbiegirls.com ha desarrollado un mecanismo de autenticación utilizando uno de sus juguetes.
El sitio permite a las niñas "chatear" con sus amigas a través del Secret B Chat, pero con la restricción de que sólo permite que las niñas conversen con amigas que ellas realmente conocen (en el mundo real se entiende).
Como mecanismo de autenticación de la relación se usa el Player MP3 de barbie.
La idea es la siguiente: Sally lleva su Barbie Girl a la casa de su amiga Tiffany's, y la coloca en la cuna conectada al puerto USB del PC de Tiffany. El software de Mattel's (sólo disponible en Windows) lee algún tipo de identificador único global que se encuentra en la Barbie Girl de Tifanny y con esto autentica a Sally como una de las mejores amigas de Tifanny. A partir de ese momento ambas chicas pueden conversar libremente usando el Secret B Chat. (Si los papás de Sally no pueden comprarle una BarbieGirl entonces Sally no puede ser una de las mejores amigas de Tifanny, ¡como se te ocurre, que atróz!)
El chat permite sólo las conversaciones entre amigas autenticadas de esta manera. Además el chat sólo permite el uso de palabras presentes un lista blanca de palabras. El sitio advierte que"If you happen to use a word that's not on our list (even if it's not a bad one), it will get blocked. But don't worry -- we're always adding cool new words!"
Todo esto con un bonito color rosado de fondo...
Fuentes:
* Wired: Barbie Becomes an Authentication Device for Pre-Teen Friendship
* Kim Cameron: Ready or not: Barbie is an identity provider...
Un interesante estudio la Universidad de Carnegie Mellon investiga el mercado negro de servicios de cibercrimen. El trabajo se basó en en el análisis de unos 2.4 GiB de registros de conversaciones en canales IRC, lo que comprende unos 13 millones de mensajes.
El "abstract" de este paper dice:
"Este paper estudia una economía subterránea activa que se especializa en la "comoditización" de actividades como el fraude con tarjetas de crédito, robo de identidad, spamming, phishing, robo de credenciales en línea, y la venta de servidores comprometidos. Usando la traza de siete meses de bitácoras recolectadas de un mercado subterráneo activo que opera en redes públicas de servidores de Internet Relay Chat, hemos podido medir el cambio desde el "hacking por diversión" al "hacking por ganancias" que ha dado nacimiento a un substrato societal lo suficientemente maduro que roba riquezas por millones de dolares en menos de un año"
Además de los típicos servicios como envío de spam, listas de direcciones de email, servicios de phishing, hay que agregar listas de servidores con vulnerabilidades, servicios de ataques DDOS (Distributed Denial of Services), pero además hay un mercado de datos de identidad, como datos completos de tarjetas de crédito, incluyendo el registro de datos de este tipo:
Nombre: Phil Phished
Dirección: 100 Scammed Lane, Pittsburg, PA
Teléfono: 555-677-1234
Número de Tarjeta: 4123 4567 8901 2345
Exp: 10/09 CVV: 123
SSN: 123-45-6789
SSN es el security social number.
Según los investigadores en los mensajes registrados circularon más de 80.000 datos verídicos de tarjetas de crédito, y el valor de esta información varía si la tarjeta es más reciente.
Una lectura obligatoria y recomendada para todos los preocupados de los problemas asociados al robo de identidad y la seguridad en general.
Mucha gente visita este blog por algunas noticias que he puesto sobre la normativa que regula al Boletín Comercial. Ya he comentado que trabajé en esa institución, y sé lo que significa para muchas personas el drama de caer en este listado de deudores morosos.
Si uno contrae un compromiso debe cumplir con este, pero lamentablemente este instrumento, que fue pensado para proteger a los comerciantes, a medidados del siglo XX, se ha convertido en fuente de muchos abusos.
El peor de todos es usarlo para discriminar a los postulantes a un trabajo. Si una persona tiene deuda no puede asumirse a priori que esa persona sea sinverguenza, o deshonesta. Pueden haber muchas razones por las que una persona cae en mora.
Para impedir estos abusos la ley 19.812 introduce un inciso al código del trabajo:
"Ningún empleador podrá condicionar la contratación de trabajadores a la ausencia de obligaciones de carácter económico, financiero, bancario o comercial que, conforme a la ley, puedan ser comunicadas por los responsables de registros o bancos de datos personales; ni exigir para dicho fin declaración ni certificado alguno. Exceptúanse solamente los trabajadores que tengan poder para representar al empleador, tales como gerentes, subgerentes, agentes o apoderados, siempre que, en todos estos casos, estén dotados, a lo menos, de facultades generales de administración; y los trabajadores que tengan a su cargo la recaudación, administración o custodia de fondos o valores de cualquier naturaleza.".
Es decir, si su cargo no tiene que ver con el manejo de fondos y valores,o usted no va a ocupar un cargo gerencial, no deben exigirle ningún certificado de DICOM ni del boletín comercial para ser contratado.
Mientras en nuestro país se desata la lucha por la protección de nuestra nuestros derechos digitales, en China el gobierno decide implementar la mayor red de seguimiento de personas.
La motivación oficial es combatir el crimen, por ejemplo, en la ciudad de SHENZHEN, en el sur del país, se han instalado más de 22.000 cámaras de vigilancia, las que estarán conectadas a software de reconocimiento facial, provisto por una empresa norteamericana, sin especificar.
Pero además la red hará seguimiento de las tarjetas de identidad, que corresponden a smart cards, o tarjetas con un chip incorporado, que incluye datos personales, nivel de educación, religión, registro policial, estado del registro médico, e incluso el historial reproductivo de la persona, con el fin de revisar el cumplimiento de la infame ley de "un sólo hijo".
En China, cuando una persona migra a una nueva ciudad debe adquirir la tarjeta de identificación o de lo contrario no puede conseguir trabajo, ni obtener los beneficios del gobierno.
"Producto de la desaparición de 2.400 menores en Chile durante el año pasado, mil niños de Estación Central inauguraron el innovador "Pasaporte Infantil", documento que facilitará la búsqueda en caso de extravío o catástrofe natural a través del ADN. En la ocasión, el acalde Gustavo Hasbún señaló que "esta medida se debe aplicar a nivel país, porque en caso de desgracia agilizará la búsqueda de los pequeños. Nosotros reconocemos la utilidad del pasaporte infantil y por lo mismo replicaremos la iniciativa en toda la comuna de Estación Central". El innovador sistema es parte de la campaña que está realizando la Brigada de Ubicación de Personas de la Policía de Investigaciones (BRIUP), que tiene por objetivo generar conciencia en la ciudadanía sobre la importante cifra de los menores perdidos y al mismo tiempo hacer un registro de la mayor cantidad de menores de 12 años."
Fuente: http://www.chile.com/tpl/articulo/detalle/ver.tpl?cod_articulo=88053 Tenía que ser en una comuna controlada por la UDI donde se implementara una locura como esta, no me extraña. ¿Por qué hay que construir un banco de datos de ADN de los niños ?
Alarma provocó recientemente, en la comunidad interesada en estos temas de privacidad la recolección de huellas digitales en niños británicos. Pero en Chile vamos más allá, no sólo se obtienen las huellas, sino que también muestras orgánicas para obtener ADN. ¿Soy el único que ve lo incorrecto de esta medida? Si tienes hijos, y te preocupa el identificarlos posteriormente, entonces puedes guardar una muestra de su cabello, o saliva, pero no es necesario que el estado arme una base de datos con nuestro ADN, menos con el de los niños que no pueden reclamar.
El problema es que estas bases de datos son muy mal manejadas. Llevo años trabajando en biometría y tecnología de identidad, y la principal preocupación es cómo evitar que esta información sea expuesta a malos usos. Por lo general la solución es muy simple, no es necesario almacenar este tipo de información, lo importante es poder acceder a esta información en el momento que se necesita, y luego debe descartarse.
Armar bases de datos de ADN no es el camino para garantizar la seguridad de los niños, ni de nadie. Sólo podemos especular para qué diablos podría usarse esta información.
Probablemente el gobierno no tiene planes siniestros de control tipo gran hermano, sólo sea un problema de no entender la importancia de la privacidad y del manejo adecuado de los datos personales. Ojalá podamos tener la oportunidad de hablar con las autoridades y explicarles lo incorrecto de este tipo de implementaciones.
Actualización
La ONG en formación Perdidos Chile está detrás de la campaña de los pasaportes con ADN, junto con el soporte de la Brigada de Ubicación de Personas.
En principio la idea no es mala, lo malo es entregar esa información a una institución para construir una base de datos. En la página de perdidos Chile se puede encontrar un procedimiento para almacenar muestras del ADN de los niños, los que pueden ser usados posteriormente en caso de que sea necesario identificarlos.
Si tienes miedo y piensas que sacando una muestra de ADN tu hijo está más seguro, entonces hazlo, pero te aconsejo no entregar esa información para que terceros armen una base de datos.
