“Dábamos unos datos pensando que eso no enriquecía a nadie y luego se ha demostrado que sí”
Fue el cinco de junio del pasado año. El hasta entonces desconocido Edward Snowden puso sobre el tapete mediático la existencia de un programa de espionaje orquestado por la Agencia Nacional de Seguridad del gobierno estadounidense.
A partir de aquel momento, la preocupación por la privacidad, hasta ese momento instalada solo en el ámbito del activismo, empezó a brotar en millones de usuarios alrededor de todo el mundo. El interés por la seguridad y la protección de datos se convirtió en un estandarte que aplicaciones como Telegram enarbolaron para llegar hasta el gran público.
En España, la institución encargada de defender estas banderas es el Instituto Nacional de Tecnologías de la Comunicación (INTECO), perteneciente al Ministerio de Industria. Esta empresa pública se encarga de investigar, coordinar y aplicar herramientas y servicios en el ámbito de la ciberseguridad. En otras palabras: su trabajo es inculcar a los internautas españoles la importancia de la seguridad informática a través de recomendaciones y consejos que debemos seguir para evitar disgustos.
Para conocer de primera mano cuál es la situación respecto a temas tan relevantes como la privacidad, la ciberseguridad y la concienciación del usuario, HojaDeRouter.com ha charlado con el abogado TIC Francisco Pérez Bes, que acaba de anunciar su nombramiento como secretario general de INTECO, cargo desde el que coordinará los aspectos internos de la organización.
El 'boom' de la seguridad se ha materializado en aplicaciones de mensajería instantánea como Telegram. ¿Será esto el comienzo de un largo camino o la ciberseguridad en las 'apps' es solo una moda pasajera?
No debe ser una cuestión de modas. La seguridad en este tipo de aplicaciones tiene que ser algo que, por defecto, esté establecido. No nos podemos plantear que existan herramientas en el mercado que no cumplan con los estándares mínimos de seguridad.
Con la cantidad de información que se maneja con este tipo de herramientas, los aspectos relacionados con la ciberseguridad no pueden estar aplicándose cuando tenga lugar un incidente. Deberían implementarse en el desarrollo de esas aplicaciones, con absoluta naturalidad.
¿Deberían convertirse entonces los aspectos de ciberseguridad en una característica más de las aplicaciones?
Creo que sí. Debería formar parte natural del desarrollo de la propia aplicación. No debería ser una característica diferenciadora de las demás, sino algo normal en cualquier tipo de aplicación que maneje información personal o información sensible de cualquier tipo. Entre las funcionalidades de una herramienta cualquiera, la ciberseguridad o la privacidad deben ser elementos que se tomen en cuenta desde el inicio del diseño de arquitectura de este tipo de plataformas.
Uno de los grandes campos en los que ya se trabaja desde el punto de vista de la ciberseguridad es el de las monedas virtuales, ¿no?
Sí. De hecho, INTECO ha publicado recientemente un informe técnico sobre los sistemas de Bitcoin. La explosión de las monedas virtuales está siendo muy interesante y está generando un debate muy interesante desde el punto de vista técnico, jurídico e incluso político.
De cara al futuro, ¿el siguiente foco de atención en materia de seguridad va a estar en lo 'wearable'?
Desde luego, es un tema que hay que tener presente. Si el mercado de la tecnología permite este tipo de herramientas, los aspectos relacionados con la seguridad también deben tenerse en cuenta e implementarse debidamente en ellas.
Estas herramientas revelan información de los usuarios y evidentemente a lo que se debe tender es a la protección de esa información para que no se distribuya sin el conocimiento del usuario, ni sin su consentimiento. Lo que se trata es de que esa información esté suficientemente protegida y controlada por el propio afectado, para que no puedan entrar terceros sin autorización o conocimiento del afectado y puedan hacer mal uso de ella.
Son temas legales de privacidad en los que ya se está trabajando, pero, técnicamente, evidentemente sí que debemos prestarle mucha atención para que toda esta tecnología no tenga brechas de seguridad que permitan fugas de información indeseadas.
Hablando de privacidad, hace unos días se conoció la historia de un estudiante holandés que vendió sus datos personales a cambio de 350 euros. ¿Es ese el futuro, vender literalmente nuestros datos?la historia de un estudiante holandés que vendió sus datos personales a cambio de 350 euros
Lo veo complicado. Es una opinión personal, pero sería inviable, o muy complicado, salvo que creáramos una plataforma donde los usuarios se pudiesen unir... Las empresas no van a poder estar negociando individualmente con cada usuario y mucho menos estarán dispuestas a pagar estas cantidades de dinero, salvo que los datos merezcan realmente la pena para algo.
Las empresas al final quieren solo unos datos muy concretos y ahora mismo no podemos valorar un intangible de estas características y ponerle un precio.
Lo que sí que es cierto es que el experimento de este chico holandés - que al final es un caso de laboratorio -, nos debe hacer reflexionar acerca de que nuestra información puede tener un valor. Y a lo mejor no es un valor monetario, pero sí que es valiosa para terceros.
¿Los usuarios no están del todo concienciados de las consecuencias de ir cediendo datos a través de internet?
La gente a veces no lo sabe, y otras veces lo sabe y no tiene alternativa. Por eso es necesario concienciar e informar a los usuarios para que sepa qué consecuencias puede tener. El hecho de que la información la hagas pública no significa que estés autorizando a que se utilice con determinadas finalidades. Ahí sí que deberemos trabajar: en permitir al usuario el control, la recuperación y la gestión de esa información que terceras personas y empresas puedan estar utilizando. Pero eso, desde luego, se ha demostrado que es bastante complejo.
También hay que tener en cuenta que nuestros datos son la moneda con la que se paga el acceso a ciertos servicios aparentemente gratuitos.
Es la frase de siempre: “cuando algún servicio es gratis es porque tú eres el producto”. Pero, evidentemente, hasta ahora la gente no se había parado a pensar en cuál era el potencial valor que para esa empresa tenía esa información. Creíamos que dábamos unos datos pensando que eso no enriquecía a nadie y luego se ha demostrado que sí que hay muchísimas empresas que están ganando muchísimo dinero a costa de la información personal de esos usuarios. Por lo tanto, el usuario debe ser consciente de ello y debemos implementar las medidas necesarias para garantizar que esa información se preste con las debidas garantías legales.
¿Deberíamos los internautas tener miedo ante ataques o agujeros como Heartbleed?agujeros como Heartbleed
Miedo no. Sí que debemos ser conscientes de que existen riesgos, como pueden existir riesgos en el mundo físico. Como puedes tener miedo a la Gripe A: lo que deberías es tomar precauciones para evitar contagios, para evitar exposiciones innecesarias, para evitar accesos a páginas no seguras... El riesgo siempre existe y a veces ya no depende del propio usuario. En el caso de Heartbleed, por ejemplo, hicieras lo que hicieras, la contaminación existía y no dependía de la diligencia del usuario.
Pero en todo lo demás el usuario debe procurar comportarse en internet con las mismas precauciones con las que se comportaría en el mundo físico. Con eso, en principio, no tendría por qué tener miedo, sino solo ser consciente de que existen unos riesgos y tomar las medidas adecuadas para minimizar al máximo la probabilidad de que te ocurra algo.
En el corto plazo, ¿cuál es el gran reto de España y de INTECO en lo que respecta a ciberseguridad?
Creo que en el corto plazo debemos ser ambiciosos para que nuestra apuesta por la ciberseguridad sea una referencia internacional. Para eso hace falta trabajar duro con los suficientes apoyos (creo que ahora mismo España los tiene), para realmente poder desarrollar un ecosistema de ciberseguridad del que podamos estar orgullosos.
Ya se está trabajando para que tanto los usuarios como las empresas españolas tengan un alto nivel de seguridad y para que otros países se fijen en cierta manera en España, en nuestras buenas prácticas y en el buen hacer que estamos llevando a cabo. Además, tenemos excelentes investigadores, profesionales y científicos que desarrollan su labor en este campo. Debemos ser optimistas de cara al futuro.