Dilemas

Formé parte en su momento del equipo de trabajo de S2 Grupo que asesoró a la Autoridad Portuaria de Valencia durante el proceso de implantación de su Sistema de Gestión de la Protección de la Cadena de Suministro según la norma ISO 28000. Su certificación en Mayo de 2011 por parte de AENOR constituyó un hito a nivel europeo.

Como saben, esta norma es una consecuencia de las diferentes iniciativas que promulgaron los Estados Unidos tras los atentados del 11-S en Nueva York en materia de protección y de seguridad en el transporte de mercancías. Esos atentados marcaron un punto de inflexión, supusieron un antes y un después en el nivel de seguridad o mejor, en la sensación de seguridad que los estadounidenses tenían. Y supuso un cambio en sus planteamientos. Supuso por ejemplo la creación de la iniciativa MEGAPORTS, que trasladaba a los puertos más importantes del mundo desde los que llegaban mercancías a puertos estadounidenses (en el caso de España, los puertos de Valencia, Algeciras y Barcelona) la obligación de realizar costosas inversiones para detectar la posible existencia de sustancias radioactivas en los contenedores con destino USA.

Y no sólo en el ámbito del transporte marítimo de mercancías. Recordarán la polémica surgida alrededor de la obligación impuesta a las compañías aéreas de entregar al gobierno estadounidense la lista de pasajeros de todos los vuelos internacionales con destino a los Estados Unidos antes del despegue de los aparatos. Y seguro que también se acordarán de las polémicas surgidas por la instalación de escáneres corporales en los aeropuertos estadounidenses a partir de los atentados de 2001, y en otros aeropuertos internacionales posteriormente.

Todo este tipo de medidas físicas de seguridad tienen un coste económico muy elevado, por la necesidad de diseñar, fabricar e instalar dispositivos muy costosos en múltiples infraestructuras. Pero es que además se dieron cuenta de que el terrorismo internacional estaba cambiando sus estrategias. Los ataques “clásicos” tenían una probabilidad de éxito muy baja, requerían maquinar acciones cada vez más rocambolescas y complicadas, acciones que en muchos casos requerían además que los terroristas no sólo participaran en las mismas, sino que se “implicaran” personalmente (ya saben, la diferencia entre implicarse y participar: el caso de la tortilla de jamón). El ciberterrorismo entró en escena de una manera paulatina, rudimentaria si quieren al principio, pero venía para quedarse. La relativa sencillez de llevar a cabo ataques más o menos coordinados contra instalaciones e infraestructuras críticas de países objetivo, con niveles de riesgo muy bajo para los ciberterroristas, sin que precisen de grandes ni costosos medios, y con probabilidades de éxito considerables por el nivel de vulnerabilidad de muchas de estas instalaciones, como podían ser por ejemplo las centrales nucleares. Toni Villalón nos puso en situación en un post hace no mucho. Y no voy a ponerme ahora a hablarles de las múltiples iniciativas legales y de todo tipo dirigidas a mejorar la seguridad física, lógica y organizativa de las infraestructuras críticas nacionales, europeas y mundiales.

Si el terrorismo y la delincuencia organizada cambiaban de hábitos, las armas para combatirlos también tenían que evolucionar y readaptarse. Las medidas de seguridad fueron extendiéndose de lo físico a lo virtual. De hecho los sistemas de inteligencia y contrainteligencia de los países más avanzados comenzaron a ver las ventajas de este tipo de actuaciones, bordeando ellos mismos la ilegalidad (¿se acuerdan del gusano Stuxnet en 2010?).

El control pasó también a las telecomunicaciones, con directivas y leyes que exigían a los operadores el mantenimiento de registros y logs de las comunicaciones mantenidas, y permitían la posibilidad de que las autoridades y/o las fuerzas de orden público accediesen a dichos registros con la pertinente orden judicial para la investigación de delitos de diferente índole, como podía ser el terrorismo, el fraude, el crimen organizado, etc.

Todo esto no era nada nuevo. Desde hace muchos años los diferentes gobiernos norteamericanos habían auspiciado iniciativas –algunas conocidas, otras que quizás nunca conoceremos- relacionadas con el control de las comunicaciones de los ciudadanos. Para muestra la serie de posts de nuestro excompañero y colaborador Rafa Páez sobre sistemas de monitorización social, control de redes sociales etc. (véase Sistemas de monitorización social parte I, II y III, y ¿Cuánto sabe Internet de nosotros?, entre otras).

El caso del terrorista yihadista de Tolouse finalmente abatido el pasado mes de Marzo, y que fue identificado entre otras cosas tras “cruzar siete millones de datos telefónicos, 700 conexiones de Internet y cientos de respuestas al anuncio de venta de una moto” es un ejemplo más de que el uso de internet y de las telecomunicaciones está siendo registrado y monitorizado.

José Luis Villalón también nos habló del asunto en un post sobre la privacidad de las redes de este mismo blog. Poco a poco este tipo de medidas han ido ampliándose e irremediablemente han ido acercándose a la tenue línea que separa lo lógico de lo excesivo. Siempre se ha dicho que la gente que nos dedicamos a esto de la seguridad —ya sea desde planteamientos físicos, lógicos, organizativos y/o legales— tenemos un componente paranoico importante, y vemos riesgos y puntos débiles donde otros no reparan. Vemos la necesidad de implantar controles, sensores, mecanismos de prevención que permitan detectar a tiempo los riesgos y actuar en consecuencia. Pero a la vez somos personas, somos ciudadanos, y al menos yo no puedo evitar plantearme ciertas preguntas: ¿Dónde situamos esa línea que no se debería sobrepasar? Porque esa frontera no está en el mismo sitio si estamos hablando de un entorno de trabajo o corporativo o de un entorno privado… ¿A partir de qué momento decimos que estamos allanando el terreno privado de las personas?

En el mundo físico las “fronteras” se ven, son palpables. La puerta de una casa, de un domicilio particular, es el límite que no se debe sobrepasar, salvo que se tengan sospechas fundadas y se cuente con una orden judicial que permita allanarla. Pero, ¿y en el mundo “no real” de internet? ¿Y en las redes sociales?

Porque es tan fácil caer en la tentación… Piensen sin ir más lejos en Whatsapp, la aplicación de mensajería instantánea más utilizada en el mundo. Sí esa que todos (o muchos) utilizamos, más o menos. Piensen en lo que se dice a través de Whatsapp, en el ámbito profesional, en el personal, en las fotos que se mandan y piensen que todo ese tráfico de todo el mundo que la utiliza viaja por internet, sin cifrar, y que cada vez que mandan un mensaje a una persona que está en su misma ciudad, ese mensaje antes ha pasado por un servidor que está en los Estados Unidos. Qué tentador, ¿no?

Insisto. Como profesional de la seguridad entiendo, justifico e incluso defiendo la adopción de medidas de control destinadas a prevenir posibles incidentes de seguridad. Como ciudadano me preocupa el cariz que están tomando ciertas iniciativas, como la que se publicaba este fin de semana pasado en El País: un proyecto de ley que está en el Congreso norteamericano y que posibilitaría el intercambio, entre empresas privadas que operan en la Red y el Gobierno y otros organismos federales, de información de los usuarios que utilizan sus servicios. Con la excusa de la defensa nacional ante posibles ataques informáticos a través de Internet y la defensa de la propiedad intelectual estadounidense ante ataques de otros países, tener acceso a datos personales de los usuarios de la red. Parece que la Casa Blanca no está por la labor de aprobarla, pero parece también que la norma contaría con el apoyo inicial de Facebook y de Microsoft.

De acuerdo. Es un proyecto de ley. Primero tendrá que vencer la controversia que se está suscitando, y después aprobarse. Incluso la noticia podría ser malintencionada o falsa. Pero ya saben, cuando el río suena…

Es evidente que la estrategia correcta en materia de seguridad es la prevención y la detección precoz. En según qué casos tener que adoptar planteamientos correctivos puede estar implicando hablar de pérdidas económicas importantes o incluso, de vidas humanas. Pero llevar esta estrategia al extremo puede implicar la pérdida injustificada de derechos fundamentales, como puede ser el derecho a la intimidad. Todo un dilema. ¿Dónde opinan ustedes que están los límites?

Comments

  1. No hay límites. Como tú muy bien dices, el trafico que viaja de un punto a otro, siempre puede ser interceptado/manipulado/rastreado/etc.

    Creo que llegará un momento, en el que no tendremos secretos. Como bien reza en la película “Sneakers, los fisgones”, “demasiados secretos”. Llega un momento, en el que tus datos, que supuestamente son privados, de repente, se hacen públicos, parpables, en claro, a disposición del gran hermano que siempre nos vigila.

  2. Fernando Seco says

    Cukz, está claro que existen pocas cosas que no se puedan técnicamente hacer. Ese no es el problema. Eso es bueno si se utiliza con buenos fines. Pero hay que poner algún tipo de coto al uso de la tecnología cuando se utiliza con fines alegales o indiscriminados. Sinceramente me cuesta imaginar cómo poner límites a eso. Se puede intentar legislar, pero ¿quién vigila al vigilante? Actualmente la sociedad en general se rige por patrones interesados, y creo que es evidente que hoy en día los criterios son los de rentabilizar económicamente la ingente cantidad de información que existe en la red con fines comerciales, cuando no se hace con intenciones exclusivamente de control y de intentar regular el uso de internet. Soy muy escéptico al respecto, quizás es que no tengo un buen día. Un saludo, y gracias por tu comentario.

  3. Hola, enhorabuena por el blog y por la entrada. Se me plantea terrorífico un mundo en el que no haya lugar para la intimidad y la privacidad. Hoy ya me causa un gran desasosiego sentirme más conocido de lo que quisiera por los social media y la facilidad de conexión entre ellos de mi información. Y no es que tenga algo que esconder, creo sinceramente que la mejor praxis es ser sincero y trasparente también en tu perfil virtual sabiendo que es parte de tu misma identidad, una identidad única.

    Sin embargo, y a la vez, encuentro una gran necesidad en estar presente en todos ellos y no siempre por placer si no por cuestiones laborales, que si fuese por placer podría marcar mejor los límites que yo quiero. Paradójicamente hoy resulta más discreto tener un sitio web abierto a disposición de toda la red, en el que puedo recibir unas 20 visitas diarias, que disponer de un perfil en una red social de acceso restringido en la cual ‘todos tienen acceso’ porque todos están ahí, donde el simple hecho de la automática difusión de mis actividades en las lineas de tiempo de mis círculos cercanos desnudan más amplia e instantáneamente mi privacidad ‘selectiva’.

    Si en ello, que todavía puedo configurar ciertas opciones de privacidad, se me antoja demasiado expuesto, ¡Qué no podrán disponer los propietarios de esos medios! Creo que la carencia de espacio privado y de intimidad nos deshumaniza y eso me aterra, no ya sólo como usuario de la red o ciudadano sino como persona. Las dudas que siempre me asaltan son: ¿De dónde aflora esa ‘necesidad’ que se nos ha creado de estar virtualmente presente en todas partes? ¿Cuán de vendido está ya el pescado?

    Y tengo otra pregunta más por curiosidad: ¿Cuánto cuesta desaparecer de la red sin dejar rastro?

  4. Fernando Seco says

    Gracias por tu comentario Alex. Interesantes reflexiones. Son para debatir largo y tendido delante de una cerveza :)

    En cuanto a la “necesidad” de tener presencia virtual, yo diferenciaría entre lo profesional y lo personal. En lo profesional, si no estás en la red no existes… ni como empresa ni como profesional, y más si te dedicas a sectores relacionados con las “nuevas” teconologías. En lo personal, las redes sociales han abierto posibilidades que en el mundo real ya no existen. La gente ahora “habla” más o se expresa más por Whatsapp, Twitter o Facebook que cara a cara. Es triste, pero es así. Claro que se puede vivir sin las redes! Pero ya te mirarían como un bicho raro. Se han abierto infinitas posibilidades de contacto, de intercambio. Pero también nuevas dependencias y desequilibrios emocionales. Todos conocemos a alguien que “vive” en las redes sociales.

    En cuanto a lo de desaparecer de la red… se está legislando a nivel europeo el llamado “derecho al olvido”, pero personalmente opino que va a ser difícil llevarlo a la realidad. Internet no olvida. Sí, la Agencia Española de Protección de Datos ha mostrado sensibilidad al respecto, y un@, a nivel particular, puede ejercer sus derechos de cancelación de sus datos, o de oposición al tratamiento, pero debes hacerlo individualmente frente a cada organización que puede estar tratándolos, lo que lo hace complicado de abordar en su totalidad. Quizás se pueda trabajar en la “desindexación” en buscadores y demás, pero la información seguirá existiendo en la red. A parte de todo lo que quede registrado, trazado… No nos engañemos.