Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -

Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender.

Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia?

Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de publicidad e incluso para fines ilícitos y criminales.

De eta manera, la privacidad debe ser una consideración importante y debemos atenderla en cada una de las actividades diarias, máxime que hoy muchas de ellas se llevan a cabo en espacios digitales. De tal manera que, si queremos tener más privacidad, debemos ser los primeros que cuestionemos si vamos a publicar esa foto o esa información sobre con quién vamos a salir de vacaciones, dónde comimos, quiénes son nuestras amistades u otra información personal. La privacidad comienza por uno mismo.

Ahora, también existe una preocupación legítima sobre las bases de datos que recaba el gobierno para los distintos trámites. Con la publicación de las modificaciones a la Ley General de Población, en materia de fortalecimiento de búsqueda, localización e identificación de personas desaparecidas, el gobierno recabará datos biométricos para actualizar la CURP e incluir datos biométricos, que estará correinado y a cargo de la Agencia de Transformación Digital y Telecomunicaciones. (que por cierto me encanta el nombre ñoño de ATDT).

Considero que hay considerar estas preocupaciones como legítimas y tomar acciones adecuadas para la recabación, procesamiento, interoperabilidad, transmisión e incluso revocación de datos.

Para esto ya existen mecanismos y estándares, para el procesamiento de los datos biométricos de una manera segura. El gobierno ha anunciado que las medidas de seguridad que implemente para este procedimiento estarán alineadas con estándares. No me ha tocado verlo directamente el diseño ni la operación de los sistemas (solo han mencionado que existirán).

Basado en las preocupaciones legítimas que ya mencioné es que quiero compartir algunos detalles sobre la implantación de estos estándares. Comencemos por la base de una de las preocupaciones, pues a diferencia de que te roben el usuario y el password de una cuenta, que después podrías cambiar: Si te roban un dato biométrico, por ejemplo los datos de la huella digital, del iris o de la forma del rostro, obviamente no puedes cambiarlos ni cancelarlos. Sin embargo, lo que sí se puede hacer es almacenarlos de una manera segura, de tal manera que no almacenes el biométrico completo.

Para esto el INAI (ahora extinto) en su momento publicó una guía para el tratamiento de datos biométricos (que aunque ya no exista el IANI, tiene información muy útil.


A blue and white cover with a fingerprint AI-generated content may be incorrect.

En resumen de los puntos mencionados en la guía, en palabras coloquiales, no almacenarías una foto en alta resolución de la huella digital, del iris o de la forma del rostro, sino lo que se llama un patrón o plantilla biométrica; es decir, una fórmula matemática representada por un vector que describe las distancias entre las minucias que tiene el dato biométrico. A fingerprint diagram with different colors AI-generated content may be incorrect.

Por ejemplo, en la huella digital es fácil de ejemplificar: sobre la huella digital y podríamos trazar varias líneas como una cruz o como un asterisco y medir las distancias que existen desde el centro hasta cada uno de los cruces con los surcos de la huella y las distintas formas caprichosas que esta tiene, que es lo que hace única una huella. En lugar de almacenar el dato completo con una imagen, almacenas esos vectores y distancias.A fingerprint and a fingerprint scan AI-generated content may be incorrect.


Incluso existen estándares internacionales como ISO/IEC 24745, que establece más detalles sobre estos mecanismos de seguridad para datos biométricos, sobre la que ya se han creado varias soluciones y productos que implementan tecnologías que refuerzan la privacidad, permitiendo la recabación del dato biométrico y estableciendo mecanismos para hacerlo comparable e interoperable entre varios sistemas, pero que se almacena con características únicas que solamente puede utilizar el sistema para el que fue diseñado.

De esta forma, una vulneración en los datos biométricos no podría ser utilizada para suplantar identidad en otros sistemas, porque habría un patrón distinto cada tipo de sistema, además, basado en nuevas tecnologías de tratamiento biométrico, se puede cancelar el dato, haciéndolo inválidos para futiros trámites , basado en un nivel de riesgo adecuado y solicitando recabar un nuevo patrón biométrico de la misma persona con datos matemáticos nuevos.


Refer to caption


Medidas como esta. que técnicamente ya existen y han sido implementadas, no son demasiado complejas y permitirían tener una recabación y tratamiento adecuado, con controles de seguridad tanto en el momento en el que se obtienen, como en el momento en que se utilizan, transmiten o se hacen interoperables entre distintos sistemas y dependencias. 



De esta manera la primera recomendación es aplicar estos estándares y diseñar o armar soluciones en cumplimiento de ellos, en conjunto con otros estándares más conocidos para temas de seguridad de información como ISO/IEC 27001 y privacidad como ISO/IEC 27701, así como la ISO/IEC 42001 cuando se trate de sistemas que utilizan inteligencia artificial.

La segunda recomendación tiene que ver con la apertura a la colaboración público-privada y a implementar mecanismos de auditoría y revisión por parte de terceros; es decir, que haya entes tanto públicos como privados que puedan validar, auditar, revisar y, en su momento, emitir recomendaciones sobre la implementación y su mejora continua.

Para ello también ya existen mecanismos reconocidos a nivel nacional e internacional para realizar estará actividades de evaluación de la conformidad a través de pruebas a los sistemas, auditorias y certificaciones. Estos brindan transparencias, seguridad y confianza, tanto al a población, autoridades y otras partes interesadas, en que el tratamiento de estos datos biométricos se realiza de manera adecuada.

Hay distintos mecanismos de auditoría. Desde la auditoría interna, o sea, que esta misma agencia tenga sus propios procesos de evaluación interna con personal propio, pero también se complementa con evaluaciones por parte de entes de tercera parte. No me parece que sea una cosa o la otra; se complementan de manera práctica y elevan el nivel de revisión y credibilidad.

Así organismos de certificación, de auditoría, expertos, sociedad civil, instituciones dedicadas a validar, verificar, investigar la implementación y aplicación de estos estándares y herramientas, brindan transparencia y dan herramientas a la agencia para una interlocución ordenada en el entorno altamente cambiante de la tecnología.

Un tercer punto también será un despliegue controlado, incluso a través de programas piloto, en donde se comience a realizar esta recabación, uso y aplicación en los sistemas de estos datos biométricos y de las relaciones que habrá para que otras dependencias puedan utilizar esa información y se cruce con algunos otros elementos ya previstos en la ley. Me parece que ya existen algunos esfuerzos como el caso del estado de Veracruz donde se dio a conocer que se haría obligatorio la CURP biométrica desde el año pasado, pero sobre lo que no he identificado reportes de la implementación, del desempeño del sistema, problemas identificados o mecanismos de transferencia.

Por otro lado, otra preocupación a resurgido por la reciente publicación de la nueva ley de telecomunicaciones, que al parecer abre la puerta a que la policía solicite metadatos, o sea quién llamó a quién, desde dónde y por cuánto tiempo o la ubicación a través de la triangulación de las radiobases de un teléfono celular, con un trámite simplificado ante el Ministerio Público, algo que las organizaciones de derechos humanos han señalado como “vigilancia masiva disfrazada”.

Aun no quedan claros los mecanismos que se utilizaran para evitar el uso desproporcionado de esta información más allá de las finalidades relacionadas con la persecución del crimen, sin embargo la experiencia y las mejores prácticas indican que es necesario que haya mecanismos de autorización, registro y transparencia respecto de los usos. No me parece un secreto que esto en la práctica ya sucede, pero dejarlo abierto definitivamente podría llevar a abusos.

Uno de los elementos que durante muchos años existió fue que se pudiera acceder a esos datos mediante una orden judicial. Ahora no estaría así, y considero que hará falta establecer de manera muy clara controles que eviten el abuso, pero al mismo tiempo den herramientas a las fuerzas del orden y a las capacidades investigadoras para que, cuando se busque perseguir un delito, se genere información y se obtenga información de esa gente pero no se pueda utilizar para otros fines.

Esto es un equilibrio que no es sencillo de mantener: necesitará cuestionamiento constante de todos, periodistas, sociedad civil, entes privados, gubernamentales, así como las condiciones particulares de cada uno de los estados de la República. Ese cuestionamiento no acabará el día que termine la implementación de estos sistemas o se den a conocer las reglas, sino que debe ser permanente y constante.

Considero que el cuestionamiento y las preocupaciones son legítimas y deben ser permanentes, no para evitar o limitar un proyecto, sino más bien para darle el cauce adecuado que necesita. Debemos estar alertas todo el tiempo, tanto en la información que nosotros publicamos como en las acciones que un gobierno o el Estado realiza para recabar y proteger la identidad y también para dar fuerza y capacidades a las fuerzas del orden para perseguir a los delincuentes.

Otro aspecto relevante es que, aunque líneas telefónicas requerirán de la CURP para su registro y habrá mecanismos que permitan rastrear, con mayor facilidad, a quien las utiliza para cometer delitos y crímenes. Por definición, los delincuentes buscan dar la vuelta a la ley, por lo tanto el uso de líneas registradas previo a la publicación de la ley (a mi entender esto no puede hacerse retroactivo, igual que ninguna otra ley) o peor aún, el uso de líneas de otros países, que hoy puedes comparar a través de internet sin identificación biométrica seguirán dificultando las investigaciones y solo tendremos como consecuencia que los que nos mantenemos dentro de la ley habremos entregado más información y estará más disponible.

Los atacantes también todo el tiempo estarán buscando vulnerar las bases de datos; el tener una base de datos muy grande obviamente se vuelve un objetivo interesante. Por eso es importante tener mecanismos que puedan almacenarla de manera segura, que puedan revocarse los datos, que puedan utilizarse en apego a estos estándares. Esta es la clave para estar permanentemente en un proceso de mejora continua y de adaptación a las condiciones.

La identidad siempre ha tenido problemas de robo, desde actas de nacimiento falsas y credenciales de elector falsas hasta credenciales legítimas dadas de alta para una persona falsa. Seguramente habrá intentos de realizarlo con esta nueva tecnología e implementación. Pero, en la medida en la que se adopten buenas prácticas, medidas de seguridad y estándares que ya han sido probados en otros y que definitivamente podemos mejorar y “tropicalizar” a las condiciones locales. Con esto estoy seguro que se reducirán esos riesgos, maximizando los beneficios de lo que se busca, a mi entender: proteger a la ciudadanía, dar herramientas a las fuerzas del orden, perseguir a los delincuentes, pero manteniendo la privacidad y la protección de los datos personales, fomentando las garantías individuales.

Por último, también está la preocupación sobre que hoy todavía no nos queda del todo claro cómo va a funcionar la nueva autoridad en materia de transparencia y protección de datos personales derivado de la desaparición del INAI, pero supongo que en cuanto se publiquen las reglas, los mecanismos, las formas de operación, de transparencia, auditoría, protección a privacidad y datos personales, me parece que se irán respondiendo más y más.

Invitarnos a estar en esta conversación permanente. Creo que todos: sociedad civil, empresas y gobierno, debemos estar permanentemente atentos a estos cambios, hacer críticas constructivas, propuestas y buscar el esquema de la mejora. Pero también, desde el ámbito personal, proteger nuestra privacidad, sabiendo a quién le damos nuestros datos, con quién los compartimos, qué publicamos en redes sociales, qué publicamos en otros lugares para mantener nuestra privacidad y buscando que quien tenga los datos, ya sea un ente público o privado, lo haga a través de mecanismos seguros.


Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más