¿Seguridad o Privacidad? (pt. II)

Considerando como hecho el que los sistemas en línea pueden recopilar una gran cantidad de datos personales de los usuarios, ¿cómo pueden los usuarios finales asegurarse de que estos no estarán siendo usados de manera indebida? ¿Cómo podemos estar seguros de que los mecanismos de seguridad que conocemos hasta hoy no son, en realidad, más puertas de acceso a nuestra información? Los procesos encargados de recoger los datos de los usuarios son completamente invisibles para permitir la recopilación por otras organizaciones comerciales. Entonces, al ser un proceso invisible, ¿cómo saber qué datos están recopilando? ¿Cómo podemos estar seguros de que que no replicarán algún tipo de información delicada?

A pesar de las nuevas medidas de seguridad que se han impuesto para permitir el monitoreo de los usuarios en la red, el marco legal ha protegido, protege y seguirá protegiendo la privacidad de los individuos de las intromisiones abusivas en la información personal del usuario; siempre que puedan demostrarlas, claro está. Los nuevos paquetes informáticos dedicados a proteger la privacidad y los datos regulan las intromisiones de los actores externos. Esto genera el equilibrio necesario para evitar un control total de los ciudadanos y los datos que manejan.

Desde hace algún tiempo he escuchado el término “mercenarios de datos.” Este término aplica para ese hueco especial de la legislación que no protege al individuo y sus datos personales. Los mercenarios de datos se dedican a comerciar con la información recopilada de una población de usuarios. ¿Ejemplo de ellos? Asumámonos en un ambiente de encuentro cibernauta, el antiguo Latinchat. De vez en vez se vería a algún usuario que revelaba un enlace de internet, junto con un mensaje que prometía rico material para adultos, para que “visualizarán su perfil” o alguna cuenta de correo para que “le agregaran.” Los que caían en el truco del enlace, guardaban una cookie (mediante un proceso invisible) en el que expresaban a todos aquellos que tuvieron acceso ella sus preferencias de navegación; además de que podría lanzar la dirección de correo electrónico del usuario para agregarle a la lista de boletines informativos de corporaciones específicas. Por ello es que, a los que cayeron en el truco, les aparecían miles de accesos directos a sitios para adultos y recibían boletines informativos con el mismo contenido.

El caso anterior muestra una clara invasión a los datos personales del usuario al grado de poderlos denominar un ataque informático. Pero, ¿a quién infraccionar y cómo? Para empezar, el usuario fue quien permitió el ataque; en segundo lugar, la legislación actual sólo protege de manera efectiva al ciudadano de las intromisiones cometidas por el gobierno, no así por las cometidas por partes empresariales. Por ello es que, en la entrega pasada, comentaba la necesidad de reformar el marco legal para adecuarlo a las nuevas necesidades de la comunidad informática.

En la entrega anterior también mencionaba la existencia de troyanos. Considero que un punto que no se ha contemplado por la mayoría de los especialistas en seguridad es el mismo que los informáticos siempre han gritado a los cuatro vientos: “Microsoft Windows está lleno de huecos en su seguridad.” Cada nueva versión del sistema operativo más popular en el mundo asegura ser más seguro que el anterior, pero ¿será realmente más seguro? ¿O sólo será más silencioso al ejecutar sus procesos invisibles? Tomen el comentario como parte de una paranoia generada al realizar este artículo pero, antes, pregúntense por qué existen países en los que por sus políticas de Seguridad Nacional no se software extranjero (Windows por ejemplo) o por qué los especialistas en seguridad prefieren utilizar software libre. Continuando con esta lógica, ¿Intel también será copartícipe en estas tareas de recopilación de datos invisibles? Después de todo, las tarjetas madre Intel tienen un agente de arranque que permite encender la computadora a través de la tarjeta de red.

Otro problema constante es la utilización de los archivos temporales de internet o cookies. Ya hemos visto un ejemplo claro de qué puede suceder si los datos contenidos en ellos son utilizados de la manera incorrecta, pero también debemos considerar que no es la única forma en la que nuestra computadora guarda, genera y envía esta información. Los usuarios debemos entender que los navegadores de internet nos muestran los archivos html que se descargaron, primeramente, a nuestros ordenadores; luego, la aplicación va y abre dicho archivo para que lo visualicemos interpretado. Junto con estos archivos temporales, se descargan otros archivos llamados cookies que guardan nuestras configuraciones personalizadas de cada página de internet a la que accedemos. Estas cookies pueden enviar datos que hayan recopilado de nuestras máquinas a los creadores de las páginas que visitamos con propósitos comerciales regularmente. Así es como tenemos en nuestra bandeja del correo electrónico propaganda referente a los temas de páginas que hemos visitado recientemente.

Por otro lado, no debemos perder de vista las medidas de seguridad implementadas para dotar al Estado de herramientas eficaces para proteger a la nación. Si bien el sacrificio es nuestra privacidad, ¿no hubiera preferido saber qué terroristas abordaban los vuelos 11, 175, 77 y 93 el 11 de Septiembre del 2001? Expongo un caso.

Hamid Hayat, un chico de 23 años, fue arrestado por apoyar a conocidos terroristas al asistir a un campo de entrenamiento paramilitar en Pakistán del 2003 al 2004. Al ser interrogado sobre otras personas que hayan asistido a dichos campos de entrenamiento, Hayat señaló a su primo, Jaber Ismail, declarando que debía de haber asistido “porque se está memorizando el Santo Coram.” Jaber había nacido en Estados Unidos 18 años antes y se encontraba en Pakistán con su familia de vacaciones. Al trasbordar en Hong Kong para regresar a casa, Jaber y Muhammad, su padre, fueron detenidos en el aeropuerto y enviados de vuelta a Pakistán. Sólo su madre y sus hermanas pudieron regresar a casa en Estados Unidos. Las declaraciones de Hamid los habían puesto en las listas de vigilancia de los americanos y sólo podrían reingresar si la embajada estadounidense en Pakistán los inspeccionaba. Es decir, que fueran sometidos a un interrogatorio del FBI con pruebas de detección de mentiras.

El Departamento de Seguridad Nacional recibió una queja por parte de la Unión Americana de las Libertades Civiles denunciando la suspensión de los derechos ciudadanos de Jaber y Muhammad. Su abogada señaló que, como americanos, “tienen derecho a regresar a casa” y que el Departamento “no los puede declarar apátridas” por ser sospechosos. Sin embargo, las leyes sobre inmigración y nacionalidad americanas le dan poder al Estado para restringirles a los ciudadanos el derecho de viajar fuera del país para impedir el escape de algún fugitivo; así mismo, lo hace al reservarse el derecho de admisión hacia sus propios ciudadanos. Así que, por arbitrario que pudiera parecer, el Estado actuó conforme a derecho.

Tomando como referencia el caso anterior y contemplando las necesidades de cualquier Estado para brindarse seguridad, ¿es justo que el Estado pueda retener los datos del emisor y del receptor junto con fecha y hora a través de cualquier red de telecomunicaciones? Si el Estado lo considera necesario, puede disponer de las medidas de seguridad necesarias para proteger a sus ciudadanos; aún en contra de las aplicaciones que puedan existir para salvaguardar la privacidad de los usuarios.

A pesar de la tensión inherente a los conceptos de seguridad y privacidad, las nuevas tecnologías de información tenderán a desempeñar un rol importante en la protección de la privacidad de los individuos.