#DATOS

#DATOS

#voces

Santiago Vallés, Docente en la Certificación Profesional en Ciberseguridad. Consultor de seguridad informática en el ámbito público y privado.

En el campo de la seguridad informática, “la autenticación” es el proceso mediante el cual una persona o sistema valida su identidad. Por ejemplo, desde hace varias décadas, utilizamos usuarios y claves para lograr acceder a distintas plataformas o aplicaciones. Sin embargo, este sistema ha demostrado ser frágil y nos obliga a utilizar múltiples claves a diario, lo que incrementa la vulnerabilidad ante estafas o engaños virtuales.
Después de muchos años de búsqueda de métodos más robustos, eficaces y seguros, se han implementado factores adicionales o capas para la autenticación. Estos «múltiples factores de autenticación» generalmente se basan en la siguiente tríada: algo que sé (una clave, por ejemplo); algo que tengo (podría ser un token USB de firma digital) y algo que soy (algún dato biométrico).
Las primeras implementaciones de autenticación biométrica incluyeron las huellas dactilares, el iris y los rasgos faciales. Luego, se avanzó hacia la llamada «biometría del comportamiento», que se centra en las acciones y los patrones individuales de una persona y los evalúa a través de diferentes sensores, como cámaras o software que identifican cómo caminamos o interactuamos con un dispositivo, por ejemplo, cómo escribimos una frase en un teclado (que podría ser la misma clave que usamos todos los días).
Cuando necesitamos o nos piden cambiar una contraseña, podemos hacerlo fácilmente. Sin embargo, ¿qué sucede si debemos modificar un dato biométrico que ha sido filtrado o clonado por un tercero? ¿Cómo actúan las empresas u organismos que almacenan nuestros datos biométricos? ¿Existe regulación? ¿Qué tipo de protección y resguardo tiene nuestra información?
Sin duda, el robo de información de los sistemas biométricos presenta un problema mayor que en los sistemas convencionales. Aquí es donde aparece el concepto de “biometría cancelable”, que aborda la privacidad y la seguridad de nuestros datos biométricos. En lugar de almacenar esta información en una base de datos, se aplica una distorsión en los patrones de un usuario para proteger sus datos biométricos y así intentar que, una vez filtrados, el proceso de obtenerlos sea irreversible. Como vemos, estas tecnologías plantean nuevos desafíos tecnológicos y la necesidad de crear regulaciones y procedimientos de protección de datos personales a nivel global.

#voces

Jorge Litvin, Chief Cybersecurity Officer en Resguarda.

Voy a partir del presupuesto de que el lector o lectora de esta nota ya escuchó o leyó —sin descartar que quizás participó— sobre el proyecto Worldcoin al momento de leer este texto. Si el nombre no le suena, quizás sí el hecho de que hay filas de personas que se prestan a que un orbe escanee su iris a cambio de criptomonedas. Un escaneo por segundo es el promedio actual. Antes de que salga corriendo a buscar un “ojo enlatado”, le advierto que, a veces, hay que mirarle los dientes al caballo regalado. En este mundo, “gratis”, ni un abrazo.
No bucearé con profundidad en el proyecto ni en la tecnología de Worldcoin, sino en sus riesgos. El foco no es criticar a la organización, sino fomentar la concientización. En una sociedad basada en datos, las organizaciones demuestran una sed insaciable por conocer más sobre los ciudadanos. “Mejorar la experiencia del usuario”, “facilitar la toma de decisiones”, “mostrar lo que más interesa” son algunas de las promesas con las que los lobos se disfrazan de abuelas. A mí no me preocupan tanto los lobos disfrazados como las caperucitas que no se dan cuenta. Van algunos puntos a considerar :

● La biometría no deja de ser un dato que se almacena en algún sistema informático y, como todo aquello que está conectado a “la matrix”, puede ser hackeado. Pero este es especialmente sensible y a diferencia de una contraseña o algún otro dato (que rápidamente podemos cambiar), modificar nuestro iris puede resultar “un poco” más complicado. No me alcanzan los caracteres para describir escenarios poco felices que podrían darse si su biometría llega a las manos de alguien que transita el camino de la ilegalidad.
● La empresa asegura que no recopila la biometría del usuario, sino que en base a ella genera un código único que no queda vinculado a ningún dato personal. El relato suena espectacular, para los que pasamos por la facultad de Derecho, sin evidencia se reduce a creer o reventar.
● Por más loable que se presente la misión del proyecto, en la categoría “flojito de papeles” merece premio. ¿Adecuación a normativas de protección de datos? A marzo. ¿Alguna auditoría de seguridad y gestión de riesgos que hayan aprobado? No que nos hayamos enterado. ¿Evidencias de lo que prometen? Recursando. ¿Ética en sus formas? Mejor aquí lo dejamos.
● Los problemas de privacidad y seguridad se ven agravados porque profundizan la inequidad. Para quien carece de recursos el dinero fácil no solo es un alivio, es una necesidad. La necesidad apaga el criterio y anula la validez de todo tipo de consentimiento, pero a su vez, pone en mayor riesgo a quienes se han prestado a escanear su biometría tan solo porque necesitaban el dinero.
Estos puntos no son la verdad revelada ni se presentan como respuestas, son interrogantes que deberían tener en cuenta quienes cambian uno de los más importantes de sus datos personales por unos pocos dólares.
En el contexto actual, en el que las cifras de ciberataques contra individuos y empresas proliferan a tal punto que es difícil medirlos con certeza, es necesario crear conciencia, sobre todo cuando alrededor del 90% de los ataques exitosos tienen al factor humano como consecuencia.
Estos párrafos no buscan “cancelar” a la empresa, ridiculizar a quienes hayan escaneado su iris por criptomonedas ni profesar una paranoia digital en pos de que el lector no vuelva a compartir un dato personal. El objetivo es que sepa que las decisiones referentes a nuestra información, y a quienes se la confiamos, actualmente, requieren una cuota de cautela adicional.
Worldcoin no es la primera (ni será la última) empresa que, mediante prácticas controvertidas, recopila datos de forma masiva. Y aunque hay muchas herramientas legales con las que se puede accionar por no proteger debidamente un dato personal, mi experiencia jurídica y en ciberseguridad me ha demostrado que siempre es mejor —y menos costoso, en todos los sentidos— prevenir que solucionar.

#QUIZ

En tu organización

• ¿Se implementan medidas proactivas para prevenir ataques cibernéticos?
• ¿Se utilizan firewalls, sistemas de detección de intrusiones y otras herramientas de seguridad avanzada?
• ¿Se lleva a cabo una gestión regular de vulnerabilidades en los sistemas?
• ¿Se abordan y corrigen las vulnerabilidades identificadas?
• ¿Existen medidas robustas de autenticación y control de acceso para garantizar que solo usuarios autorizados accedan a la información?
• ¿Se ofrecen recursos educativos a los colaboradores para que estén al tanto de los riesgos y tomen decisiones informadas?

Mayoría de respuestas positivas:
Tu organización tiene un enfoque integral hacia la seguridad informática, que aborda tanto cuestiones técnicas como relacionadas con la concientización del personal. Está bien posicionada para enfrentar y mitigar los riesgos cibernéticos en un entorno cada vez más complejo y amenazante. Sin embargo, siempre es importante mantenerse actualizado y considerar las nuevas amenazas y desafíos en seguridad digital.

Mayoría de respuestas negativas:
Tu organización está en riesgo de sufrir brechas de seguridad y pérdida de datos. Es recomendable que implemente medidas para abordar estas deficiencias y fortalecer su seguridad informática. Por ejemplo, puede comenzar a transitar este camino con la adopción de tecnologías de seguridad, la implementación de programas de concientización y capacitación, y el diseño de políticas y procedimientos de seguridad sólidos, que se actualicen de forma continua.

Mayoría de respuestas NS/NC (no sabe/no contesta):
Tu organización necesita diseñar e implementar medidas para que todos sus integrantes conozcan la importancia de la seguridad informática y la consideren en sus prácticas. De esta manera, todos estarán mejor preparados para proteger los activos digitales de la organización contra posibles amenazas y ataques cibernéticos y enfrentar otros tipos de riesgos en los entornos digitales.

#ESCRIBINOS

¿Cómo creés que la creciente adopción de la biometría en la informática impacta en la seguridad y la privacidad de los usuarios?

Te invitamos a compartir tus aportes y ser parte de la conversación en nuestras redes sociales.

https://www.linkedin.com/company/itba-innovacion/mycompany/verification/

¿Qué temas te gustaría que aborden las próximas ediciones del EI news?
Tus propuestas son valoradas.
escuelainnovacion@itba.edu.ar

También te puede interesar