Si alguna vez piensa usted en sacar un dinerillo vendiendo ese ordenador, esa llave USB o ese disco duro cuya capacidad es ya irrisoria o que no le sirve de nada, acuérdese de borrar los datos que contiene, porque con toda probabilidad, aparte del teléfono de su suegra o de su ex, no querrá que sus correos personales, las fotos de su pareja o los teléfonos de sus amigos acaben en manos de un desconocido, ¿verdad?

Y le digo esto porque, aunque no sea usted el gobernador de Arkansas, estoy seguro de que se aprecia sus datos tanto como él. Ah, y por si hay alguna duda, cuando hablo de “borrar”, no quiero decir borrar. Quiero decir “hacer los datos irrecuperables”.

Aunque no pensaba actualizar hasta mañana al menos, y no acostumbro a poner nada en inglés, no me he podido resistir a esto, que describe el impresionante y complejo sistema de escuchas telefónicas montado por el FBI, basado en un informe de cerca de mil hojas hecho público gracias a la Freedom of Information Act (FOIA) y destinado a la Electronic Frontier Foundation (EFF). Les recomiendo que vayan al artículo de Wired, mucho más completo y realmente interesante:

El pasado mes de junio se aprobó la Ley de acceso electrónico de los ciudadanos a los Servicios Públicos, en la que se establece que la Administración no es que sólo “pueda”, sino que “debe” ofrecer todos sus servicios de manera electrónica. Sin ninguna duda, esta ley acompaña de manera definitiva al DNI electronico, y a otras opciones de certificación digital como puede ser la ACCV. No hay ninguna duda de que todas estas iniciativas pueden mejorar en mucho los trámites de los ciudadanos, pero por otro lado abren una gran cantidad de incógnitas frente a las garantías que tienen los ciudadanos al realizar trámites de manera digital, entre las que queremos destacar la asimetría de las transacciones digitales en la presentación de la declaración de Hacienda.

Recientemente muchos contribuyentes han realizado su declaración de Hacienda de manera digital a través de Internet. El proceso de presentación telemático asociado tiene visos de ser bastante completo: los usuarios deben acreditarse para obtener su certificado digital (formado por una clave pública y una privada), y la clave privada es generada por el PC particular de cada uno, con lo que este certificado digital permite que el usuario “firme digitalmente” su declaración. Todo ello a traves de la Fábrica Nacional de Moneda y Timbre, una autoridad de certificación con en principio todas las garantías.

Antes del pertinente, necesario, deseado y siempre corto descanso veraniego, recordarán que estuvimos hablando de ataques de Inyección SQL, utilizados al parecer en los ataques a la delegación de Microsoft en el Reino Unido el mes de junio y a la página Web de la ONU hace unas semanas.

Como les dijimos literalmente aquella vez, los ataques de inyección SQL se basan en explotar la interacción con el usuario ofrecida por aplicaciones Web (formularios de petición de datos, por ejemplo), para hacer llegar a la base de datos consultas SQL manipuladas. Y las principales herramientas utilizadas para ello son los caracteres que dentro de SQL sirven para declarar cadenas de texto: las comillas simples (‘) y los caracteres que introducen comentarios en el código (––), igual que en cualquier código fuente. Pues bien, los atacantes suelen aprovechar este tipo de caracteres para incrustar código aleatorio y conseguir validar cualquier sentencia manipulada. Vamos a ver un ejemplo:

No sé si conocen el concepto de “Security Theater”, y permítanme que no traduzca la expresión. La idea, acuñada por Bruce Schneier, viene a representar la presencia de medidas de seguridad que aportan poca o nula protección, pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad. De ahí la combinación de “seguridad” con “teatro”. Por ejemplo, hace unos días Bruce Schneier puso en su blog un caso que estoy seguro de que se repite en otros lugares: nadie vigila las 178 cámaras de seguridad de San Francisco, y en varios casos en los que diversos crímenes se realizaron frente a ellas, estaban incorrectamente orientadas. Por si esto no fuese suficiente, al parecer la visión “nocturna” es de ínfima calidad, lo que resta validez a las grabaciones. Por supuesto, como todo, este concepto tiene un efecto positivo, y uno negativo.

Empecemos por el segundo. En el caso mencionado, el ciudadano mira, y más allá de consideraciones de privacidad, ve las cámaras que le observan y en cierto modo, se siente seguro, protegido. Sin embargo, su sensación es simplemente una ilusión. Y eso le puede llevar a realizar acciones y correr riesgos que de otro modo no correría; no cambiarse de acera al cruzarse con alguien “sospechoso”, por ejemplo. Otro efecto negativo de estas instalaciones, sobre todo a partir del 11S, es la limitación de la libertad de las personas, sobre todo al otro lado del charco; con toda probabilidad muchas de las medidas de seguridad que se aplican en los aeropuertos contra ataques terroristas son inútiles, a causa de la complejidad y tamaño de éste, pero sirven como excusa para coartar la libertar y privacidad de las personas, y generar una falsa sensación de miedo en la persona; que esta consecuencia sea intencionada o un producto de la incompetencia administrativa es algo que no voy a entrar a considerar.

La verdad es que hay veces que nos pasa poco respecto de lo que nos podría llegar a pasar. En el fondo el ser humano tiene un cupo de suerte razonable, aunque siempre nos parezca poca. No son pocas las organizaciones que gastan sumas importantes de dinero en productos y servicios que incrementan, aparentemente de forma proporcional, la disponibilidad de la información, la confidencialidad y su integridad en el perímetro interior de las organizaciones. Muchos gestores TIC centran sus políticas de seguridad en la protección puertas adentro pero ¿es realmente efectiva, en los tiempos que corren, una política de seguridad que solo contemple el perímetro físico interior de nuestra organización?

En mi opinión no, y si no, piensen ustedes en qué les sugieren las dos imágenes que incluimos en este comentario.

He hablado más de una vez a favor de la LOPD, incluso, como el otro día, cuando se trata de defender las nada despreciables multas que su incumplimiento conlleva. Considero que, más allá de consideraciones profesionales, la LOPD es una ley necesaria y aunque por supuesto susceptible de ser mejorada, bastante correcta.

Lo que me parece indignante es que una simple búsqueda en Google proporcione listados de admitidos a concursos públicos de todo tipo de organismos (públicos), y no sólo nombres, apellidos y DNI, sino además, la correspondiente información de admitidos en el cupo de discapacitados, que como saben es un dato especialmente protegido, porque además en las bases se suele indicar el porcentaje mínimo de minusvalía que se requiere para entrar en éste. Entiendo que esta información debe estar disponible para que los interesados comprueben sus calificaciones, si han sido admitidos o no, y el porqué no en este último caso. Entiendo que por una simple cuestión de transparencia, estos listados deben estar accesibles a todos los afectados.