«… parece mentira que no hayamos conseguido una navegación segura, que comprar online signifique pasar a formar parte de una base de datos, se quiera o no, o que usar nuestro correo electrónico pueda ser todavía una excelente vía de entrada para el malware y los virus».

«El consumidor recibe mensajes del tipo: ‘No ejecute aplicaciones peligrosas’… pero, ¿cómo puede saber cuáles lo son? ¡Si además, potencialmente, todas lo son realmente!».

Radia Perlman «DISI 2008: Adventures in Network Security«[1]

.

Esto lo decía la doctora en Ciencias de la Computación por el MIT Radia Perlman[2] en el año 2008, en Madrid, con motivo de las jornadas organizadas por la Cátedra UPM (Universidad Politécnica de Madrid ) Applus+ de Seguridad y Desarrollo de la Sociedad de la Información «Día Internacional de la Seguridad de la Información, DISI».

A pesar de las leyes de protección de datos, en realidad, tal y como afirma la Dra. Perlman, no somos dueños de los datos que «voluntariamente» dejamos en Internet cuando interactuamos con la red. Podríamos, por ejemplo, una vez conseguido el objetivo de nuestra interacción, ser capaces de borrar nuestro rastro, si así lo deseáramos, y no que todo lo que hacemos quede registrado y perdamos el control sobre ello.

Utilizamos herramientas que no sabemos muy bien qué es lo que hacen, además de lo que se supone deben hacer, y recibimos mensajes ominosos acerca del peligro que podemos correr utilizándolas.

Y aún hay más. En esta misma sección y en el otoño de 2014 ya apunté, bajo el título ‘»Internet de las cosas” o la peligrosa transformación del mundo real en virtual[3], que la conectividad de los objetos cotidianos a Internet ampliaba el margen de inseguridad de la vida misma al poder ser “manipulados” de forma remota, ellos mismos o los datos que se intercambian, violando el principio de integridad de la seguridad de la información.

Un subconjunto de dichos dispositivos lo constituyen los «wereables»  o, en español, lo que podemos llevar encima, como relojes, pulseras, gafas, etc., que integran cámaras, micrófonos y sensores que pueden constituir medidores de nuestros parámetros biológicos y de nuestro entorno próximo. Y en el caso de dispositivos como marcapasos y prótesis activas varias, no solo medidores, sino “actuadores”.

A los objetos cotidianos se les provee de más funcionalidades: permiten grabar y transferir datos, están hechos para portarlos regularmente y para registrar información sobre nuestros hábitos y estilos de vida, y, una vez que los datos se almacenan de forma remota, pueden ser compartidos con terceros, a veces sin que la persona afectada sea consciente de ello.

Como ejemplo podemos citar rastreadores de movimiento, indicadores cuantitativos relacionados con la actividad física, calorías quemadas o distancias recorridas, pulso u otros indicadores de salud. Estos son datos que se refieren a personas físicas -nosotros- que se pueden identificar, por tanto son datos personales y como tales hay que tratarlos. Pasamos, entonces a otro principio de la seguridad de la información: el de la confidencialidad.

Las vulnerabilidades de dichos dispositivos entrañan riesgos significativos para nuestra privacidad y, dado que los tenemos con nosotros casi permanentemente, pueden crear un sentimiento de estar siempre vigilados.

Para paliar estos desafíos de privacidad, el órgano consultivo europeo de protección de datos conocido como Grupo de Trabajo del Artículo 29 (GT29/ WP29)[4] aprobó en el pasado año 2014 el primer Dictamen conjunto sobre Internet de las cosas (IoT)[5],  del cual se puede resaltar lo siguiente:

«Las organizaciones que coloquen la privacidad y protección de datos en la vanguardia del desarrollo de productos, estarán en buenas condiciones para asegurar que sus productos y servicios respetan los principios de privacidad desde el diseño (PbD) y están dotados de la privacidad por defecto de forma amigable, que esperan los ciudadanos de la UE.»[6]

«Los datos personales deben ser recogidos y tratados de manera leal y lícita. El principio de equidad requiere específicamente que los datos personales nunca se recojan y procesen sin que el individuo realmente sea consciente de ello. Este requisito es tanto más importante en relación con la IoT al estar los sensores  realmente diseñados para no ser invasivos, es decir, tan invisibles como sea posible.»[7].

Debemos dotarnos de una serie de normas para un uso adecuado de la tecnología y conseguir para todos un acceso digital de calidad en todas las facetas de la vida, apoyando la confianza y la innovación.

Poco a poco…

 

 

[email protected]

 

 

 

[1] Véase https://www.youtube.com/watch?v=zDyQ5TleDYg

[2] A Radia Perlman se le conoce como «la madre de Internet» por su desarrollo en 1985 del STP (spanning tree protocol) y a lo largo de su carrera ha desarrollado más de 100 patentes, muchas de ellas dedicadas a la seguridad en Internet.  http://solutionists.ieee.org/radia-perlman/

[3] María José de la Calle. Magazcitum, Oct-2014.  http://www.magazcitum.com.mx/?p=2697

[4] Véase http://www.agpd.es/portalwebAGPD/internacional/Europa/grupo_29_europeo/index-ides-idphp.php

[5] Véase https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1

[6] «Organisations which place privacy and data protection at the forefront of product development will be well placed to ensure that their goods and services respect the principles of privacy by design and are equipped with the privacy friendly defaults expected by EU citizens.» https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1

[7] «Personal data should be collected and processed fairly and lawfully. The fairness principle specifically requires that personal data should never be collected and processed without the individual being actually aware of it. This requirement is all the more important in relation to the IoT as sensors are actually designed to be non-obtrusive, i.e. as invisible as possible.»  https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1