Traducción del post de Peter Fleischer 20130406
Cuando estuve en Rodas hace poco, me maravilló que prácticamente todos los edificios estaban diseñados teniendo en mente un principio: la seguridad. ¿Cuál es la mayor amenaza a la privacidad en el mundo hoy en día? ¡Las violaciones de seguridad! La gente que sabe ahora se preocupan de lo vulnerables que se han vuelto las bases de datos mundiales respecto a las brechas de seguridad.
Nebulosos
ejércitos de hackers alrededor del mundo, especialmente en China y Rusia, a
veces vagamente conectados con los gobiernos, están logrando hackear las bases
de datos corporativas y gubernamentales más sofisticadas de todo el mundo. Los
expertos en seguridad saben que a menudo es difícil saber que te han hackeado. A
mí me preocupan más las empresas y gobiernos que piensan a la ligera (seguramente
errados) que no les han hackeado, que aquellos que sí que han detectado brechas
de seguridad.
La
gente real, año tras año, declaran que la usurpación de identidad es su mayor preocupación de privacidad. Y por lo
general, la gente resulta víctima de una usurpación de identidad después de que
sus datos personales han sido hackeados en una base de datos controlada
legitimamente; por ejemplo en tu hospital local.
Los
riesgos de las violaciones de seguridad están empeorando, y seguirán yendo a
peor por varias razones. Primero, los hackers se van haciendo más sofisticados.
Segundo, existen más y más datos que se recopilan y
almacenan en todas partes. Tercero, existe una proliferación de mecanismos que
se usan para recopilar, almacenar y compartir datos. Cuarto, la delimitación
entre las bases de datos públicas y las privadas se está oscureciendo; por
ejemplo, entre lo que está detrás de un firewall y lo que no. Quinto, el
aumento de las redes sociales y de la compartición masiva de datos. ¿Cómo
debería la ley responder a estas amenazas?
Primero, las leyes de notificación de brechas de seguridad son una cosa buena. Aportan transparencia y ayudan a que la gente tome precauciones después de que les comuniquen que sus datos personales pudieran estar en riesgo. Estados Unidos ha tenido estas leyes desde hace más de una década, y Europa propone adoptar leyes similares pronto.
Primero, las leyes de notificación de brechas de seguridad son una cosa buena. Aportan transparencia y ayudan a que la gente tome precauciones después de que les comuniquen que sus datos personales pudieran estar en riesgo. Estados Unidos ha tenido estas leyes desde hace más de una década, y Europa propone adoptar leyes similares pronto.
Segundo,
los controladores tienen que ser considerados responsables de tener una
adecuada seguridad. Pero también tenemos que tener cuidado de no castigar a la
víctima. En la mayoría de casos de hackeo de seguridad, la empresa/gobierno que
ha sido hackeado es la víctima de un crímen. A menudo han sido hackeados por
criminales organizados altamente sofisticados. Las leyes han de tener cuidado
de no castigar a las víctimas de tales crímenes, a menos que se pueda demostrar
que han fallado en sus obligaciones de mantener una seguridad adecuada. Si eres
víctima de un atraco en tu casa, no esperas que la policía te multe por no
haber tenido una seguridad adecuada protegiendo tu casa. Siempre podrías haber
tenido más seguridad. El reto consiste en determinar cuál debería ser el nivel
de seguridad adecuado, o cuál debería haber sido.
Tercero, los gobiernos y las agencias para el cumplimiento de la ley deben elevar sus estándares para detectar, castigar y disuadir a los hackers. La administración Obama ha elevado el tema de los hackers chinos a los más altos niveles del gobierno chino. Hoy, los hackers sofisticados se libran con éxito de la identificación y castigo.
Tercero, los gobiernos y las agencias para el cumplimiento de la ley deben elevar sus estándares para detectar, castigar y disuadir a los hackers. La administración Obama ha elevado el tema de los hackers chinos a los más altos niveles del gobierno chino. Hoy, los hackers sofisticados se libran con éxito de la identificación y castigo.
Cuarto, los individuos necesitan ayuda para protegerse
mejor ellos mismos. Por ejemplo, se les puede educar y animar a usar passwords
más fuertes, a que aprendan a usar configuraciones de privacidad, mantener
actualizados sus sistemas de seguridad, etc.
Quinto, pregúntate a ti mismo quién te está protegiendo de los riesgos de la
ciberguerra y el ciberterrorismo y el espionaje industrial. La gente que se
supone que está protegiéndote... ¿está trabajando conjuntamente con eficacia?
Es muy obvio que la mayoría de los gobiernos y de los
controladores de las empresas tienen una seguridad debil. Hace poco estuve en
las oficinas de una administración del gobierno francés, que lleva toda una
vida procesando datos personales sensibles sobre mí, y estaban trabajando ¡en
un ordenador de los años 90! Los hackers rumanos no necesitarían más de 5
minutos para robar de ese sistema todas las piezas de mis datos personales
sensibles; y ni el gobierno francés ni yo mismo nos hubiéramos dado nunca cuenta.
Si te importa la privacidad, y
no te preocupas de la seguridad, eres como una tortuguita recién salida del
huevo apresurándote por la arena hacia el mar ignorando a la gaviota que pronto
dará cuenta de tu joven vida.
o0o