Hace algunos días hemos venido viendo noticias que nos aconsejan a cambiar nuestras claves de Redes Sociales y otros servicios en Internet, en vista de que se ha hecho pública una falla de la seguridad.
No se trata de un virus o un programa que directamente tome control de equipos o que permita obtener información determinada, sino de una falla de algunas versiones del sistema de seguridad SSL, que pone en riesgo la privacidad de las comunicaciones. La falla permite que algún usuario envíe una petición a algún servidor que tenga esa vulnerabilidad, y que reciba información que no debería ser compartida ni descodificada, y que es parte del corazón de la seguridad; corazón que derrama ahora datos de forma no deseada (heartbleed, de ahí el nombre). Esta información puede ser relevante (claves, datos bancarios, certificados de seguridad) o puede no serlo. El riesgo es aleatorio. Lo que lo hace peligroso es que esa falla está presente en cerca de dos tercios de los servidores que usa la Industria en Estados Unidos, y sus efectos no se conocerán sino hasta que alguien use esa información o se detecte el acceso no autorizado a ella.
Las principales Redes Sociales aseguran haber puesto ya un parche para que los datos personales estén protegidos (luego de un obligatorio cambio de claves), y trabajan en mejorar la seguridad de sus bases de datos.
Sin embargo, ellos no son los únicos que manejan datos personales o que tienen el deber de procurar seguridad.
En Costa Rica, desde el año 2011, existe la ley 8968 Ley de Protección de la Persona ante el Tratamiento de sus Datos Personales, que obliga a organismos públicos y (sujetos) privados a proteger la información de sus bases de datos y que busca garantizar la autodeterminación informativa.
Claramente establece que: “El responsable de la base de datos debe adoptar medidas de índole técnica y de organización para garantizar la seguridad de los datos de carácter personal y evitar .. su tratamiento o acceso no autorizado.” (artículo 10).
Incluso crea un ente encargado de velar por el cumplimiento de esos deberes y derechos de la ley, llamado Agencia de Protección de Datos, adscrito al Ministerio de Justicia y Paz.
¿Se ha informado a la población el estado de seguridad de las diversas bases de datos? ¿Se ha informado cuáles pueden presentar ese riesgo y cuáles no? Aún si todo es perfecto, debería haber una divulgación masiva del estado de la seguridad de las bases de datos del Estado. Pedir un llamado a cuentas a sujetos privados para que rindan cuentas del estado de esa seguridad no es un sueño: es un deber legal.
Aunque avanzamos lentamente hacia un gobierno digital, cada vez más información se encuentra en bases de datos. Es urgente que el tratamiento de esta información sea de amplia divulgación pública. El Estado Digital y de Datos Abiertos exige que sea éste quien tome la iniciativa en esa protección, no el ciudadano individual.
Queda la petición de información sobre la mesa.
No hay comentarios:
Publicar un comentario