Innovación, derecho y seguridad

Los retos de la privacidad: innovación, derecho y seguridad (crónica personal)

He asistido al segundo día del "Congreso internacional [sobre] los retos de la privacidad: innovación, derecho y seguridad" que parece formar parte de la "Cátedra Google" llamada "Privacidad, Sociedad e Innovación". Esta es la página oficial del evento: http://www.uspceu.es/pages/investigacion/catedras/catedra-google-privacidad-sociedad-e-innovacion-congreso-internacional.html

Me ha parecido tremendamente interesante y, por eso, voy a publicar aquí mis notas y algunos comentarios personales que he tomado durante las mesas redondas. Para que no haya dudas, mis comentarios están en cursivas.


Abogacía y Derecho a la protección de datos personales
He llegado tarde a la primera mesa por una sucesión de incidentes domésticos.
Jonathan Goldsmith (Secretario General de CCBE. Council of Bars and Law Societies of Europe), ha hecho referencia, entre otras cosas, a dos proyectos europeos interesantes:

  1. e-codex: un proyecto europeo para poner en línea la legislación de los países de la unión.
  2. FAL 2 (Find a lawyer 2): permitiría localizar y homologar abogados entre países de la unión. Es decir, permitiría a un abogado español demandar a una empresa italiana en Italia.

No soy experto en leyes pero creo que estamos lejos de conseguir esto. Por ejemplo, estoy designado como perito desde hace dos años en un juicio en que las partes son de Irlanda, España e Italia. El caso no avanza porque, entre otras cosas, Italia no acepta la provisión de fondos que solicité en su día. Otra duda: ¿cómo se podría aplicar esto a la discutible figura del procurador, desconocida en la mayoría de los países europeos?

Durante las preguntas, Rodolfo Tesone (Presidente de “Asociación de Expertos Nacionales de la Abogacía TIC”, ENATIC) hizo un comentario interesante sobre cómo los abogados aplican leyes como la LOPD pero no son sensibles a la privacidad en su trabajo diario (por ejemplo, en las comunicaciones con los procuradores). Mencionó el concepto "Privacy by design".


Innovación, Redes sociales y Privacidad del menor
  • Moderador: Carlos Represa. Centro de Seguridad TIC Escolar. 
  • Conrado Escobar de las Heras. Diputado Nacional del Congreso por el PP. Portavoz de la Comisión de Interior. Portavoz de la subcomisión de estudio del uso de las redes sociales.
  • Félix Lavilla Martínez. Diputado por el PSOE.
  • Jose Díaz Cappa. Fiscal en la Fiscalía Superior de la Comunidad Autónoma de las Islas Baleares. Delegado de Criminalidad Informática. 
  • José de la Peña. Director de SIC


Carlos Represa (@CarlosRepresa1) comentó que la edad media de acceso a Internet es ya de sólo 9 años.
Mi hijo ya accede a portales diseñados para niños que no leen aún. Es decir, no tenemos tiempo para prevenir a nuestros hijos de lo que se van a encontrar en Internet porque ya están ahí. Necesitan un "training on the net".

Conrado Escobar (@conrado_escobar) hizo un comentario que me pareció muy pertinente contraponiendo las características de "Internet 2.0" (inmediatez, movilidad, no-privacidad) frente a dos cualidades eminentemente humanas: talento y cariño. 
Talento y cariño (innovación y emoción) como piedra de toque del test de Turing. 
José Díaz Cappa (@josediazcappa) dejó varias "perlas".

  1. PRISM es una mezcla entre Minority report y La vieja del visillo
  2. Los menores en las redes sociales no mantienen siempre identidades individuales, a veces se trata de identidades grupales.

Esto es muy interesante. En Internet se tiende a equiparar usuario con persona cuando no es siempre así. Entre los menores es común que se comparta un usuario de Tuenti entre varios menores. A veces es un usuario falso que se usa para mofarse de un profesor, otras veces los jóvenes comparten la información más comprometida en estos perfiles de grupo o, incluso, ocurre que un menor "más mayor" haga de editor para colgar contenido generado por sus amigos.

José de la Peña comentó la necesidad de disponer de herramientas técnicas que soporten la privacidad porque únicamente la aplicación de leyes es claramente insuficiente.

Durante el turno de preguntas un asistente comentó el dato de que en algunas regiones (sudamérica, por ejemplo) hay hasta un 5% de personas sin identidad. Personas que no están en ningún registro, que no existen legalmente, que no se les puede imputar delitos.
Esto lo relaciono con el delito de usurpación del estado civil cuando el afectado no es usuario de Internet. ¿cómo perseguir este delito si el legítimo dueño de esa identidad no tiene presencia en Internet y no es consciente de las "andanzas" de su otro yo? Por ejemplo, el responsable de un asilo podría usurpar la identidad de los ancianos y operar con ella (por ejemplo, realizar operaciones financieras de alto riesgo).  


Seguridad en Internet, lucha contra la ciberdelincuencia y sistemas de interceptación policial

  • Moderador: José de la Peña. Director de SIC. 
  • Juan Luis García Rambla: Director Técnico de Seguridad en Sidertia Solutions. Responsable del equipo de implantación de sistemas de seguridad, auditoría y análisis forense de la organización.
  • Juan Antonio Calles García. Consultor senior de seguridad en Everis. Creador de Flu– AD, la herramienta de interceptación policial.
  • Carlos Represa Estrada: Director del Centro de Seguridad TIC Escolar. Coordinador de la Escuela de Seguridad en la Red
  • Cesar Lorenzana. Capitán en Grupo de Delitos Telemáticos de la Guardia Civil. Jefe de investigación de delitos telemáticos de la Unidad Central Operativa de la Policía Judicial
  • Silvia Barrera Ibáñez. Inspectora de la BIT.


José de la Peña puso la nota de humor al pedir que la comunidad hacker dejara de usar el término "troyano" para el software malicioso oculto dentro de otro software legítimo. José recordó que los troyanos de la Odisea no hicieron nada malo, simplemente fueron los receptores del caballo que estaba lleno de griegos.
Quizá la comunidad hacker debería usar el término "programar un griego" e "infectar con un griego". No tengo opinión, aún. 
Juan Antonio (@jantonioCalles) hizo una demostración "espídica" de Flu-AD. También planteó algunas cuestiones interesantes a sus compañeros de mesa.

Cesar Lorenzana (miembro del @GDTGuardiaCivil) dejó algunas ideas concretas y muy claras:

  1. El 95% de delitos en internet no son considerados graves por el legislador. 
  2. El problema principal es regulatorio, y no tecnológico. También rememoró el esfuerzo realizado por las fuerzas de seguridad del estado para poder afirmar ahora que tecnológicamente están a la altura de los "malos".
  3. Sobre el uso de "troyanos", recordó el famoso caso del hackeo de Finfisher cuando la herramienta para perseguir malos se convirtió en una puerta trasera de las propias fuerzas de seguridad.
  4. Comentó la limitación que supone el tener que documentar en diligencias las herramientas utilizadas durante la investigación. Esto haría inútil el desarrollo de un troyano policial ya que sería fácil desarrollar contramedidas (una vez que se ha hecho público el funcionamiento del mismo). La información del troyano quedaría a disposición de las partes personadas en el proceso.
  5. Mencionó la necesaria colaboración con el sector privado para el desarrollo (y uso) de los troyanos policiales.

No veo cómo se puede articular la colaboración del sector privado en esto. Imagino que el ejemplo sería SITEL pero el escenario no es precisamente igual. En el caso de SITEL, el escenario es sencillo y los actores están controlados: los operadores (un oligopolio fuertemente regulado) y los proveedores de telecomunicaciones (un oligopolio de facto). Sin embargo, el troyano policial presenta una dispersión de tecnologías y servicios mucho más grande (desde gigantes tecnológicos como Microsoft hasta start-ups como Spotbros). Tampoco me imagino a la Guardia Civil contratando un ejército de consultores para customizar, desplegar y operar troyanos que están ejecutándose en los sistemas de los malos. 

Silvia Barrera recordó la imposibilidad legal de utilizar agentes encubiertos (tampoco en Internet) y comentó la dificultad de equiparar Internet con las figuras conocidas en la legislación actual. Por ejemplo, se preguntó qué es una comunicación si el medio utilizado es el correo electrónico.

Ya en el turno de preguntas, Juan Luis García comentó los problemas de la inexistente cadena de custodia en los procedimientos civiles y mercantiles.
+1. No sólo se trata de explicar cuál ha sido el tratamiento que haces como perito, sino que, muchas veces, la evidencia digital no es tratada adecuadamente en los juzgados. Discos duros en cajas de cartón que se pasan años en una estantería sin proteger (ni limpiar) hasta que llega el perito y la única identificación que encuentras es un postit con un texto escrito a lápiz (por ejemplo, "2o disco duro").

También durante el turno de preguntas, se insistió en la necesidad de diferenciar claramente 
entre inteligencia y seguridad (e, incluso, ciberdefensa). 

Lo dicho, una mañana interesante en el CEU.

</ Innovación, derecho y seguridad>





No hay comentarios:

Publicar un comentario