Reflexiones sobre privacidad y las órdenes judiciales

De -
Hoy se desató la polémica porque el FBI ha solicitado a Apple crear una "actualización de software" para que puedan hacer intentos ilimitados de contraseñas, desde un dispositivo de interfaz humana distinto a la pantalla de teléfono. (http://blog.trailofbits.com/2016/02/17/apple-can-comply-with-the-fbi-court-order/)

Esto en teoría no tiene ningún problema, a mi parecer. La solicitud se está haciendo mediante una orden judicial por la juez Shery Pym luego que Syed Rizwan Farook, junto con su esposa Tashfeen Malik, matara a 14 personas en San Bernardino, California.

Los jueces hacen órdenes de cateo para abrir domicilios y examinar las pertenencias de presuntos culpables o personas en proceso judicial todo el tiempo, en realidad la solicitud no dista mucho de millones que se deben emitir cada mes. El problema aquí es el manejo del potencial "parche".

Un poco más de contexto. En el artículo arriba referido se puede leer la solicitud del FBI que en resumen consiste en:
- deshabilitar la función de borrado del dispositivo después de un número de intentos fallidos.
- permitir que se introduzcan intentos de contraseña desde un dispositivo de captura externo, p.e. un teclado o un generador de contraseñas desde una PC.
- que se elimine el retraso en tiempo entre la introducción de una contraseña y otra.

Estas tres cosas permitirían que el FBI ejecutara un ataque de fuerza bruta (https://es.m.wikipedia.org/wiki/Ataque_de_fuerza_bruta) para descubrir la contraseña y desbloquear el dispositivo. Esto en realidad es solicitar que el FBI tenga la capacidad de hacer lo mismo que podría hacer al forzar una cerradura o derribar una puerta, pero en el mundo cibernético.

El problema está en el precedente que esto causa, por dos razones:
- porque el aceptarlo permitiría que en futuras ocasiones sea más rápida la respuesta de Apple, lo cual no es tan grave.
- que se genere una pieza de software que puede ser alterada e implementada en otros dispositivos y que si cae en malas manos puede significar un conflicto serio a la privacidad.

En realidad esta segunda razón es la que en verdad preocupa. En un mundo perfecto, donde no hay corrupción y se puede garantizar que el "parche" solo será usado para fines que benefician la impartición de justicia y el bien común, yo no tendría ningún reparo en que esto se ejecutara de inmediato. El problema está en que nada puede garantizar que será así, eso sumado a toda la polémica generada por la revelación de programas de espionaje oficial del gobierno de EEUU, lo que hace que tengamos serias dudas sobre el futuro que tomarían acciones como ésta. El FBI es enfático en su solicitud sobre que el "parche" debe ser diseñado de forma que pueda ser aplicado solamente en el dispositivo específico que está sujeto a esta investigación, pero la creación y existencia de dicha herramienta permitiría su potencial replicación y adaptación a otros dispositivos y para otros fines.

Lo que pide el FBI es sensato desde su punto de vista y perfectamente ejecutable desde el punto de vista técnico, de hecho hasta donde sé existen vulnerabilidades "0-day" que permitirían ejecutar el ataque, por lo que al parecer es más importante el precedente que sienta la resolución y ejecución de la orden judicial que la factibilidad técnica del "ataque". Posiblemente, (aquí no estoy seguro porque no soy abogado y menos conozco la legislación gringa al respecto), el FBI requiere legitimar la posibilidad de ejecutar el ataque de forma que la obtención de evidencia se haga por medios legales y pueda ser usada en una corte, porque de otro modo los cargos podrían ser imputables por irregularidades en el proceso.

La posición de Apple es muy entendible, Tim Cook, su CEO manifestó en un comunicado que no tienen nada a favor de los terroristas y que la acción es repudiable, pero que la creación de dicha herramienta puede hacer que caiga en malas manos y se le den usos extrajudiciales. Apple en realidad no está pensando sólo en los derechos de privacidad de sus usuarios sino en su propia reputación, pues al ser un caso sin precedente, aun cuando al final terminaran cediendo a la solicitud cuando les hagan la presión necesaria, podrán decir que ellos pelearon por la privacidad de sus usuarios hasta la última instancia posible.

Seguramente como hoy hay llaves maestras para cerraduras y candados, ganzúas y otras herramientas físicas que ya son de uso común y se ha legitimado su existencia, en el futuro podrán existir herramientas similares para el mundo cibernético. Esa es la tirada de varios gobiernos que han solicitado la existencia de "backdoors" o puertas traseras en los sistemas de seguridad y encripción de dispositivos, para de alguna forma alcanzar las capacidades que tienen para acceder a sitios y medios físicos; sin embargo en la tecnología existen elementos que permitirían que la información sea destruida de forma irreparable en caso de que se hagan intentos forzados de obtenerla y obviamente eso no le gusta a los "big brothers".

¿Se trata de un difícil predicamento entre la privacidad del individuo contra la impartición de justicia en beneficio de "bien común"? O ese es solo el disfraz de una operación mucho más grande y compleja para mantener control y hegemonía sobre otras personas/estados. ¿Qué opinan ustedes?

Comentarios

  1. Unknown18 de febrero de 2016 a las 6:09

    Claro, y muy preciso el artículo. A ciencia cierta no entendía muy bien cual era la verdadera razón por la que el FBI estaba emitiendo esa orden, con esto me queda más claro y sí creo que en determinado momento Apple tendrá que ceder y veremos como comienza a gestar tal vez una verdadera intrusión a la privacidad

    ResponderEliminar
  2. Unknown18 de febrero de 2016 a las 16:13

    Interesante articulo... Es muy probable que el FBI busque crear precedente para "hackeos legales"... Como lo comentó alguna vez el General Keith Alexander en el Defcon, es muy complejo el poder dar seguridad y no transgredir los derechos de los ciudadanos

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más