Archivos Privacidad: Abril 2007

La noticia:

"Producto de la desaparición de 2.400 menores en Chile durante el año pasado, mil niños de Estación Central inauguraron el innovador "Pasaporte Infantil", documento que facilitará la búsqueda en caso de extravío o catástrofe natural a través del ADN. En la ocasión, el acalde Gustavo Hasbún señaló que "esta medida se debe aplicar a nivel país, porque en caso de desgracia agilizará la búsqueda de los pequeños. Nosotros reconocemos la utilidad del pasaporte infantil y por lo mismo replicaremos la iniciativa en toda la comuna de Estación Central". El innovador sistema es parte de la campaña que está realizando la Brigada de Ubicación de Personas de la Policía de Investigaciones (BRIUP), que tiene por objetivo generar conciencia en la ciudadanía sobre la importante cifra de los menores perdidos y al mismo tiempo hacer un registro de la mayor cantidad de menores de 12 años."

Fuente: http://www.chile.com/tpl/articulo/detalle/ver.tpl?cod_articulo=88053 Tenía que ser en una comuna controlada por la UDI donde se implementara una locura como esta, no me extraña. ¿Por qué hay que construir un banco de datos de ADN de los niños ?

Alarma provocó recientemente, en la comunidad interesada en estos temas de privacidad la recolección de huellas digitales en niños británicos. Pero en Chile vamos más allá, no sólo se obtienen las huellas, sino que también muestras orgánicas para obtener ADN. ¿Soy el único que ve lo incorrecto de esta medida? Si tienes hijos, y te preocupa el identificarlos posteriormente, entonces puedes guardar una muestra de su cabello, o saliva, pero no es necesario que el estado arme una base de datos con nuestro ADN, menos con el de los niños que no pueden reclamar.

El problema es que estas bases de datos son muy mal manejadas. Llevo años trabajando en biometría y tecnología de identidad, y la principal preocupación es cómo evitar que esta información sea expuesta a malos usos. Por lo general la solución es muy simple, no es necesario almacenar este tipo de información, lo importante es poder acceder a esta información en el momento que se necesita, y luego debe descartarse.

Armar bases de datos de ADN no es el camino para garantizar la seguridad de los niños, ni de nadie. Sólo podemos especular para qué diablos podría usarse esta información.

Probablemente el gobierno no tiene planes siniestros de control tipo gran hermano, sólo sea un problema de no entender la importancia de la privacidad y del manejo adecuado de los datos personales. Ojalá podamos tener la oportunidad de hablar con las autoridades y explicarles lo incorrecto de este tipo de implementaciones.

Actualización

La ONG en formación Perdidos Chile está detrás de la campaña de los pasaportes con ADN, junto con el soporte de la Brigada de Ubicación de Personas.

En principio la idea no es mala, lo malo es entregar esa información a una institución para construir una base de datos. En la página de perdidos Chile se puede encontrar un procedimiento para almacenar muestras del ADN de los niños, los que pueden ser usados posteriormente en caso de que sea necesario identificarlos.

Si tienes miedo y piensas que sacando una muestra de ADN tu hijo está más seguro, entonces hazlo, pero te aconsejo no entregar esa información para que terceros armen una base de datos.

Cuenta RUT es un nuevo producto de BancoEstado, esencialmente es una cuenta vista para todos los chilenos, sin excepción. Un producto interesante, y muy práctico también.

Lo malo, es su procedimiento de activación de la cuenta, nada más peligroso. Basta saber el RUT de una persona, llenar algunos datos y recibes la tarjeta en tu casa. Ese procedimiento es muy vulnerable, siendo el RUT un pésimo elemento para identificar personas, además que el resto de los datos que piden son de fácil obtención.

Se pueden hacer muchos fraudes con esto, sirve para lavar dinero, validar identidades falsas, recibir dinero en nombre de otras personas. No voy a entrar en detalles de cómo se pueden montar estos delitos, porque no es la idea avivar giles. Lo correcto sería que el proceso de activación de la cuenta fuera presencial, no virtual. Además debería haber un mecanismo para evitar que otro active la cuenta si uno no quiere.

¡Pero lo peor es que hay personas que están recibiendo tarjetas de la cuenta RUT en su casa! ¿Que es eso, una nueva forma de SPAM FInanciero? ¿Necesita el Banco aumentar su cartera de clientes? Alegarán que son sólo cuentas a la vista, pero con eso basta para hacer muchas operaciones fraudulentas.

Espero no recibir una tarjeta a mi nombre en mi casa, pero también espero que otro la reciba. Soy paranoico, pero un día les contaré las cosas que he visto hacer con los datos privades de la gente....

El Problema

"Internet fue construida sin una manera de saber quien se conecta y a que se conecta."

El trabajo de parchar

Dado que la capacidad de identificar a las personas no está construida en la internet todo aquel que ofrece un servicio en internet tiene que resolver el problema de alguna manera. Podemos decir que la capa de identidad que le falta a internet constituye una amalgama de parches que resuelven el problemas de controlar la identidad de las personas.

A medida que la web crece la necesidad de identificar se hace más necesaria, y siempre nos topamos con distintos tipos de verificación de identidad, cada uno creado y adaptado a distintas necesidades. Millones de personas han aprendido a acpetar que cualquier cosa que un sitio web les pida es la "forma normal" de conducir los negocios en línea. Han sido entrenados para ingresar sus nombres, claves secretas e información de identificación personal en cuanto formulario de entrada que se les presenta en pantalla.

No hay una plataforma consistente y comprensible que les permita a los usuarios evaluar la auntenticidad de los sitios que visitan, y no tienen una manera segura de saber que la información privada que están entregada no será entregada a terceros que la usen en forma ilegítima. Al mismo tiempo los usuarios no tienen a su disposición una plataforma para controlar, e incluso recordar los diferentes aspectos de su existencia digital.

Crimininalización de la internet

La gente ha comenzado a usar internet para manejar e intercambiar cosas de gran valor crecientemente. Esto no ha pasado inadvertido por el mundo criminal que entiende la naturaleza y vulnerabilidades del parchado de identidades, y las maneras de explotarlas. Estas fuerzas criminales se han profesionalizado y organizado a nivel internacional.

Los individuos son engañados para que entreguen información financiera y bancaria a través de mecanismos de "phishing" que aprovechan la incapacidad de los usuarios de saber con quién están tratando. También son inducidos a instalara inadvertidamente "spyware" que reside en sus computades y que cosecha información en prolongados ataques de "pharming". Otros esquemas tienen como objetivo las bases de datos corporativas, gubernamentales y educacionales, que contienen vastas cantidades de identidades, y son existosos en la obtención de cientos de miles de identidades en una pasada. Existen organizaciones criminales que adquieren estas identidad y las revenden a nuevas generaciones de innovadores expertos en usarlas para robar tanto como sea posible en el menor tiempo. El carácter internacional de estas redes las hace difíciles de penetrar y desmantelar.

Se cree que el "phishing" y "pharming" están entre los segmentos de mayor crecimiento en la industria de la computación, con una tasa de crecimiento compuesta anual del 1000%.
nual compound growth rate (CAGR) of 1000%. (Por ejemplo, el reporte del Anti-Phishing Working Group titulado “Phishing Activity Trends Report” de Febrero de 2005 cita un crecimiento anual en sitios de phishing entre julio y febrero del 26% por mes, lo que representa un crecimiento compuesto anual de 1600%) Sin un cambio significativo en cómo hacemos las cosas esta tendencia continuará.

Es esencial mirar más allá de la situación actual, y entender que si las dinámicas actuales continuan sin revisar nos dirigimos a una profunda crisis: la naturaleza ad hoc de la identidad en internet no puede hacer frente al asalto creciente de los atacantes profesionalizados.

Una crisis profunda de este tipo puede significar que la internet podría comenzar a perder credibilidad y aceptación para las transacciones económicas cuando debería ser al contrario. Pero aparte del peligro de volver atrás, necesitamos entender los costos de no avanzar. La ausencia de una capa de identidad es uno de los factores limitantes del asentamiento definitivo de del ciberespacio.

Más aún, la ausencia de una fábrica unificada y racional de identidades evita que alcancemos los beneficios de los servicios web.
Los servicios web han sido diseñados para permitirnos construir sistemas robustos, flexibles y distribuidos, que puedan proveer de importantes capacidades nuevas, y permitan evolucionar en respuesta al ambiente en donde se ejecutan. Estos servicios vivos necesitan estar levemente acoplados y ser orgánicos, rompiendo con el paradigma de una premeditación rígida y un cableado en duro. Pero en tanto la identidad digital permanezca como un parchado de soluciones ad-hoc que deben ser cableadas, toda la negociación y composición que hemos logrado en otros aspectos de los servicios web no nos habilitarán nada nuevo. Sabiendo quie se conecta con qué es una necesidad de la siguiente generación de ciber servicios, para poder atravesar la puerta inicial.

Traducción libre de Las Leyes de La Identidad, por Kim Cameron.

Hace unas semanas atrás me puse en contacto con Kim Cameron con el fin de que me autorizara la traducción de sus Leyes de la Identidad. Para los que no dominan el tema, el trabajo de Kim ha sido investigar los problemas del manejo de la identidad en internet. Cito:

"Internet fue construida sin una manera de saber quien y a que te estas conectando. Estos límita lo que podemos hacer y nos expone a peligros crecientes. Si no hacemos nada enfrentaremos rápidamente una proliferación de episodios de robo y fraudes que acumulativamente erosionarán la confianza pública en Internet."

Como emprendedor centrado en el desarrollo de tecnologías de identidad el trabajo de Kim Cameron es importante para mí, pero creo que lo es para todos los que estamos preocupados de la privacidad, el uso y el abuso de la información personal, tanto en las transacciones comerciales, como en otros ámbitos tan diversos, como la libertad de expresión, y la protección de la privacidad.

Por ejemplo, debido a ciertos casos particulares se está discutiendo en la blogosfera sobre el anonimato de los comentarios. El tema es complejo, y como apunta Carlos, finalmente es decisión de cada cual. Pero hay espacios en que el anonimato no es deseable, puesto que queremos protegernos malos o desagradables "elementos". Siguiendo la analogía de considerar al blog como un símil de nuestra casa, entonces si llega un visitante me gustaría de quien se trata, porque si comete un acto vandálico, me gustaría poder denunciarle, y eventualmente, si comete un delito, puedo denunciarlo.

Sin embargo, también queremos un grado de privacidad, muchos de mis comentaristas dejan su email cuando hacen comentarios, porque confían en que no haré mal uso de esta información.

Investigando Las Leyes de la Identidad

Hay una frase de ElastiGirl, en esa maravillosa película Los Increibles, que dice:

"Tu identidad es tu posesión más valiosa. ¡Protéjela! Y si algo sale mal, entonces usa tus superpoderes".

Kim ha usado esta figura, de una forma muy acertada a mi parecer, para destacar la importancia de este tema.

En este blog emprenderemos una exploración a leyes de la identidad, y traduciremos el trabajo seminal de Cameron, que es probablemente uno de los más importantes que se han publicado en el último tiempo.