Por Antonio Martínez Algora, Responsable Técnico de Stormshield en Iberia
En junio de 2013, Edward Snowden, un antiguo miembro del servicio secreto norteamericano, filtraba a dos importantes periódicos de habla inglesa documentos clasificados como de ‘alto secreto’ sobre varios programas de vigilancia electrónicaliderados por la NSA, la Agencia Nacional de Seguridad de EEUU.
Entre otros, dichos archivos revelaban la existencia de PRISM, un programa confidencial de vigilancia para la recogida masiva de comunicaciones online. A dichas comunicaciones, realizadas por personas no norteamericanas sospechosas de querer conspirar contra el país, la NSA accedía consultando los servidores de grandes gigantes tecnológicos locales.
El descubrimiento de PRISM supuso un antes y un después en las relaciones de muchos gobiernos europeos con el país americano: EEUU había lanzado un órdago contra la privacidad, y la Unión Europea (UE) tenía que reaccionar.
Como primera medida, el Tribunal de Justicia de la UE declaró inválido el acuerdo Safe Harbor de transferencia de datos personales, lo que provocó que cerca de 4.500 empresas se encontrasen en medio de un vacío legal en esta materia. De igual forma, distintas autoridades, incluida la AEPD, alzaron la voz pidiendo nuevas restricciones en materia de seguridad de datos para evitar que, iniciativas como PRISM, volviesen a repetirse.
En la actualidad, y tras varios años de negociaciones, la Comisión Europea acaba de anunciar la rúbrica de un acuerdo con la Comisión Federal de Comercio (FTC) de EEUU. En virtud de este nuevo convenio, denominado Privacy Shieldy que será aplicable en los próximos meses, Estados Unidos se compromete, entre otras, a no realizar un acceso indiscriminado a la información personal de ciudadanos europeos. Este tratado, además, armoniza con el Reglamento Europeo de Protección de Datos aprobado el pasado mes de diciembre.
La tensión entre seguridad y privacidad se agrava
Tras esta resolución, que a priori parece sentar las bases hacia un nuevo marco regulatorio que promete ser más cuidadoso y transparente con la información personal, toca cuestionarse si realmente será así. La inestabilidad económica, y, más aún, la creciente amenaza terrorista, incluido el uso de Internet como herramienta universal para su dispersión, podrían dilapidar este propósito.
En el terreno tecnológico, fenómenos como Big Data o IoT han acrecentado la brecha que separa la privacidad de la seguridad. Cantidades ingentes de información, las cuales se mueven libremente por las arterias de un todo conectado, son tratadas de forma analítica para su posterior uso comercial, en la mayoría de los casos. Esta información, que subyace en forma de petabyte o exabyte, se almacena y gestiona -en ocasiones- rozando o traspasando los límites legales existentes en materia de protección de datos.
Ante tal panorama, y con un futuro marcado por la incertidumbre, una forma correcta de avanzar en este sentido podría ser a través de una vía de doble dirección; sacando el mayor valor posible de la información, pero también, asegurando el carácter confidencial de aquellos datos que pertenecen a las personas, por el mero hecho de serlo. El problema de la seguridad, como ya se ha dicho en otras ocasiones, no atañe tanto a la falta de información sino, más bien, a la forma de gestionarla.
Ciertamente, y en materia de protección de datos, existen amplias diferencias entre la forma de actuar de la FTC, que también incluye entre sus competencias la defensa de la privacidad de los consumidores estadounidenses, con la de las autoridades europeas. Iniciativas como el programa PRISM no son ilegales, pero la carga psicológica que producen, no conjuga con las leyes de protección de datos que perviven en Europa.
Stormshield puede proveer las máximas especificaciones en cuanto a seguridad no solo por las estrictas certificaciones al más alto nivel (EU RESTRICTED, OTAN y Common Criteria EAL4 +), sino también por tratarse de un producto europeo no sujeto a la obligación legal de fabricantes americanos para facilitar mecanismos software y hardware en sus productos que permitan la monitorización remota.Las últimas noticias aparecidas en la prensa sobre puertas traseras descubiertas en fabricantes de productos de comunicaciones parecen reforzar esta hipótesis.
Si bien carecemos de información sobre productos concretos y en qué medida están afectados, el analista e investigador Bruce Schneier, que colaboró con The Guardian en la revisión de la documentación filtrada por Snowden, confirma que los mecanismos pueden ser múltiples: debilitamiento deliberado de algoritmos de encriptación y de algoritmos de generación aleatoria de números, copias de llaves maestras o cifrado de la llave de sesión con otra llave específica de monitorización.
