jueves, 21 de abril de 2016

Caso TIGO: o como dormís con el enemigo.


Así como @ml_lawii recibió el mail donde se ofertaba “un cubo” actualizado a febrero con el 100% de clientes de TIGO, recibieron otras personas. 150$ nada más costaba “la información” de (según el mail) 3.933.020 “registros”. Datos de casi 4 millones de personas, de paraguayos. Según una publicación de Ultima Hora en la empresa “deslindaron toda responsabilidad y prometieron tomar acciones judiciales en torno a lo denunciado.”
UPDATE: también se aclaró un caso de homonimia parcial en ultima hora.


En esos registros se puede ver la estructura de datos que se utiliza en alguno de los sistemas, datos técnicos/administrativos de uso interno, ademas el número de celular, el nombre del propietario de la cuenta y un dato de geolocalización aparentemente, la identificación de la celda.

Y esto le sucedió ahora a Tigo, pero sabemos que ya antes le había sucedido, ya que desde hace tiempo se vienen ofreciendo estas bases de datos. Y no solo le sucedió a Tigo, sino también a otras prestadoras de servicios incluyendo bancos y cooperativas. Hace años estamosdesprotegidos

Es decir, gran parte de las empresas del sector privado que manejan nuestros datos fueron vulnerados de alguna forma, ya sea por un hackeo desde algún servicio en Internet, o desde la copia directa de algún empleado desleal o irresponsable. Es probable que muchas empresas de alguna forma estén comerciando con sus datos para agregarlas a otras bases. ¿A quien no le pasó que una vez que solicitaste una tarjeta de crédito al poco tiempo te llueven las ofertas de otros bancos o financieras con las cuales nunca operaste? Al menos a mí eso me sucedió en VARIAS oportunidades. Esto último evidencia alguna especie de intercambio de información entre grandes empresas con datos de la población. Por supuesto es “lícito” que una empresa cualquiera se comunique conmigo para ofrecerme servicios o productos. ¿Pero qué tan lícito es que comercien (vendiendo o intercambiando) mis datos?

Es decir en el sector privado tenemos dos aspectos:
1) cuando la información sale por medios no legales
2) cuando las mismas empresas intercambian nuestra información


Por otro lado en el sector público tenemos otro esquema legal. Según varios abogados, varias ONGs y la misma SENATICs el Estado está obligado a entregar datos de la población, salvo los datos que se prohíben explícitamente diversas leyes. Este es el argumento principal de por qué existe hoy http://documentos.gov.py, servicio de la SENATICs o el de IPS. Servicios que siguen en línea exponiendo todo tipo de datos de la población sin mayores trámites (Tramites que la misma ley 5282 y decreto 4064 Capitulo IV les exige cumplir y que no están cumpliendo).

La combinación de bases de datos del sector público con bases de datos del sector privado es simplemente explosiva. Amenaza real, concreta. Amenaza bajo la cual vivimos desde hace al menos una década. Amenaza que va evolucionando en el tiempo y así va perfeccionándose. Ejemplos de ello ya tenemos varios. Hoy en la red existen varios servicios donde con introducir tu número de cédula y tu email te muestran tu “prontuario” comercial. Es decir, estas bases se están integrando a las redes sociales. Desde hace tiempo seguro recibís SPAM por ejemplo de Nora Ruoti entre otros.

Dado estos eventos que se vienen dando tanto en el sector público como en el sector privado, se hace urgente (vuelvo a repetir) una ley de datos de carácter personal.

Como ya dije en otros post, mis datos de carácter personal NO SON PÚBLICOS.

  • Tengo derecho a saber quien, para qué, cuando y como alguna persona o empresa consulto alguno de mis datos en servicios como documentos.gov.py. Inclusive en un servicios como Inforconf.
  • Tengo derecho a que un servicio como Tigo o cualquier otra empresa del sector privado solo me pida lo estrictamente necesario para ofrecerme el servicio. (no como le sucedió a un amigo que para cobrar 150.000 Guaraníes que le enviaron por giro, le quisieron obligar a firmar un documento donde la financiera podía urgar en sus movimientos comerciales, finalmente rechazó firmar y no pudo cobrar el dinero).
  • Tengo derecho a que empresas como Tigo tengan prohibido y penado el compartir datos de sus clientes. Nuestros datos.
  • Tengo derecho a que las personas o empresas que comercien con mis datos sean penados con fuertes condenas de cárcel y/o fuertes sanciones económicas. Si esto le sucedió a Tigo varias veces en los últimos años es simplemente por que no les interesa proteger los datos de sus clientes y eso sucede por que no reciben penas o por la ausencia de un marco legal para el sector privado.
  • Tengo derecho a que la fiscalía o alguna otra institución pueda salir a defendernos de la violación de los derechos de nivel constitucional ante casos de fuga de datos masivas, como sucede en documentos.gov.py o en el caso de Tigo y el de otras empresas.

Es muy probable como dice el articulo de última hora que los abogados de Tigo puedan “deslindar responsabilidades” en base al marco legal vigente. Es probable que pueda conseguir que las personas implicadas en este caso paguen con cárcel. ¿Pero y por que Tigo no? Etica y moralmente Tigo como empresa es responsable de esta fuga. Legalmente puede que no, y es por ello que necesitamos urgente una Ley de Datos de Carácter personal. URGENTE.

Sin una ley de Datos de Carácter Personal, el Estado paraguayo nos obliga a dormir con el enemigo.

miércoles, 20 de abril de 2016

Millicom's customer data leaked


With  much fanfare just a month ago a Paraguayan Government Office, SENATICs launched a service where exposed 100% of the Paraguayan population private data. This services posted online contains the personal information of 6 million people on the Paraguayan citizenship database, potentially making all the population of the country vulnerable to identity theft and massive privacy violations.


Paraguay’s national ID number system is used to enable access to a number of government services, like taxation, voting, education, social security, health care, and military recruitment. It is also used to verify identity in other cases where security is necessary, such as banking.


A tweet from @ml_lawii show us that 100% of Tigo Customer database was leaked too, This database is being sold on the black market now. From time to time such offers arising in the country, updating the database of several Telco.

Neither Tigo, neither the Prosecution Office nor the regulator CONATEL have commented the case. In Paraguay there are laws and jurisprudence for personal data protection, but there is no pursue these activities, so they continue to commit abuses that violate the human rights of the entire population. Both from the government and from different companies.

Millicom is an international telecommunications and media company. It offers a range of digital services to more than 63 million customers primarily under the Tigo brand in fourteen markets in Africa and Hispanic America. Its online partnerships are active in more than 40 markets.

domingo, 17 de abril de 2016

Datos Privados vs Datos Públicos


Accedí al audio del panel "debate" que se dio en segurinfo. Como la transmisión en vivo daba pena, no la pude escuchar en vivo. Por suerte me pasaron la grabación de las exposiciones de Santagada y de Sequera.
Espero que @godcito, levante estos audios en algún lugar, para que lo puedan juzgar uds mismos. Gracias @godcito, cuando se vive en el kokue 2.0 y cuando la SENATICs no utiliza adecuadamente las herramientas que tiene en Internet, se hace difícil saber que pasa en Asunción acá en la campaña.
La exposición de Sequera me asustó, por lo que volveré a su exposición en otro post.
Luego de escuchar varias veces la exposición de Santagada y siguiendo los post anteriores (I, II, III, IV, V, VI, VII) se me ocurre lo siguiente:

A modo de partida

  • Partamos de la base de que no estoy en contra del espíritu de la ley 5282 de acceso a la información pública. Particularmente creo que esta ley es fabulosa para miles de cuestiones que se pueden hacer desde el sector privado para fortalecer el gobierno electrónico y para monetizar si se quiere los datos abiertos que puedan surgir o implementarse con esta ley. Más allá de tener claro que es una herramienta fundamental para ventilar, con el propósito de corregir, todos los malos manejos que se tienen de la cosa pública. Esta ley hace al fortalecimiento de la democracia, aunque creo que esto solo se fortalecerá si hay grupos de ciudadanos monitoreando permanentemente la información que se va generando. Donde cada vez se deben exigir más y mejores datos. Algo que no sucede hoy. Fijarse en los datos abiertos de la DNCP, son datos de muy alto nivel, prácticamente resúmenes, no hay detalles que también deberían estar expuestos. Aunque imagino que forma parte de la evolución del proceso de implementación de estos sistemas. Esto es un tema para otro post. Tengo mis reservas respecto a varios artículos de la ley, sobre todo porque no existen suficientes reglamentaciones que regulen todo lo referente a datos de carácter personal. Si bien están:
  • Ley 861/96 “De bancos, financieras y otras entidades de crédito”, los artículos 84 a 86
  • Ley 1268/98 “Código Procesal Penal”, los artículos 322 a 326
  • Ley 1337/99 “De defensa nacional y seguridad interna”, los artículos 12 y 13
  • Ley 1630 “De patentes e invenciones”, los artículos 23 y 71
  • Ley 1682/01 con su reforma la Ley 1969/02 “Que reglamenta la información de carácter privado”, el artículo 4
  • Ley 1680/01 “Código de la Niñez y la Adolescencia” , los artículos 27 a 29 
Esta lista no es exhaustiva, se que existen más leyes, pero no las tengo a mano.
Falta aún mucha más reglamentación para que ese ítem 2 del artículo 2 sobre Información pública quede delimitado.
En cuanto a las fuentes públicas, no todo es ni debe ser información pública. Los límites de cada derecho deben estar claros, centrados en la protección del ciudadano.
  • Partamos de la base de que no estoy en contra del espíritu de la ley 1682 que reglamenta la información de carácter privado. Aunque creo que esta ley es obsoleta en sí misma, debe modernizarse, se le debe sacar el foco que tiene sobre inforconf y se la debe centrar en proteger los datos de carácter privado de toda la ciudadanía.
    Me parece risible argumentar que todos se tiraron al pozo de las redes sociales por falta de educación en seguridad por eso tenemos que tirarnos todos, señalando el cambio de mentalidad sobre la privacidad, en especial en facebook donde el negocio justamente es la exacerbación del vouyerismo. Están lucrando con nuestros datos y eso hoy es legal. Además, es muy diferente cuando una persona “cede” sus derechos ante una corporación, a que el Estado por medio de sus servicios nos obligue a “ceder” los nuestros por una mala interpretación de la ley o por simple antojo de un funcionario.
    Prefiero centrarme en las distintas generaciones de leyes y reglamentaciones referentes al tema privacidad, estamos en la tercera o cuarta generación de leyes donde cada vez se busca la protección de los datos de carácter personal, con más y mejores reglamentaciones, inclusive con la creación de instituciones para la defensa de estos datos. Como sucede en Europa.
  • Partamos de la base de que mi planteamiento no ataca la acordada 1306. Este documento, de cierta manera recoge el choque entre dos derechos constitucionales. El del derecho a la información y el derecho a la privacidad. Donde la Corte Suprema define que existe un interés general que prima sobre el particular en referencia a datos patrimoniales de funcionarios públicos.Claramente expresa que el funcionario público al “Asumir un cargo público y ser depositario de la confianza pública exigen que este interés en resguardar la intimidad ceda en cierta medida en favor de la obligación de rendir cuentas a la comunidad”. Este es el costo de acceder a un cargo público. Los funcionarios públicos deben estar conscientes de ello.
  • Partamos de la base de que no soy activista, no tengo una agenda financiada por algún organismo o por algún sector, o por algún partido político. Lo que expreso son posturas mías, personales, analizando lo que sucede en el país y el mundo a partir de estas tecnologías, y sobre todo siendo consciente de las capacidades que una persona con mínimos conocimientos técnicos puede realizar con cualquiera de estos datos (sean estos lícitos o no).
  • Partamos de la base de que las leyes evolucionan, que no existe una ley escrita en piedra, que sea absoluta. Las leyes cambian dependiendo de las políticas mismas o de las sociedades. Hoy es ilegal la marihuana, mañana puede que no.
  • Partamos de la base de que el gobierno electrónico es necesario y urgente. No solo para evitar largas colas, también servirá para atacar cotos de corrupción, sobre todo para la obtención de documentos. Cuanto más y mejores servicios el Estado ofrezca a la ciudadanía por estos medios, mayor será la penetración de estas tecnologías y vice versa.

Como aporte para el debate

Me parece correcta la afirmación de Santagada referente a que existe un costo que el ciudadano debe pagar por vivir en sociedad hoy. Este costo es elevado en un país como el nuestro donde las Instituciones son débiles, inmersas en una sociedad que reacciona muy lentamente a los cambios, que en tiempos tecnológicos se puede percibir como una especie de estancamiento en el pasado.
Pero el costo a pagar no es un cheque en blanco al Estado, y menos al gobierno y a un funcionariado soberbio y prepotente. Las leyes vigentes actualmente pueden dar un cierto velo de legalidad a las acciones de SENATIC respecto a documentos.gov.py, una legalidad aparente, dada la interpretación que se tiene de las mismas.
Publicar datos de licitaciones, adquisiciones, de rutas, de recursos naturales, etc me parece estupendo como ya dije anteriormente, estos datos pueden servir para la toma de decisiones a cualquier ciudadano que quiera tomarlo, procesarlo y utilizarlo.
Pero otra cosa muy diferente es la de publicar documentos de personales, datos sobre las personas, sobre todo cuando cualquier persona puede acceder libremente al dato y no solo eso, puede bajar e imprimir una especie de certificado de ese documento. Son conocidos diferentes casos donde con tan solo fotocopias de cedulas se han levantado cuentas a personas propietarias de esos documentos.
Al inicio se notó claramente la falta de planificación, no se tuvo la más mínima intensión de aplicar ciertos esquemas básicos de seguridad sobre el sistema. Y esto es sumamente preocupante ya que esta misma institución es una de las encargadas de diseñar el PlanNacional de Ciberseguridad  que por lo que nos enteramos en segurinfo está en su etapa final. Respecto a este plan, es interesante que no se abra a la ciudadanía en general para su definición. Plan Nacional de Seguridad a puertas cerradas.


A todo esto, es necesaria la participación ciudadana en la construcción de este plan. Esto me preocupa de sobre manera ya que SENATICs teniendole como cabeza al Ministro-Secretario David Ocampos pareciera que no le interesan los Derechos Humanos de la población, en su momento el apoyó la ley #pyrawebs. ¿Será que este “Plan Nacional de Ciberseguridad” contempla algún esquema parecido?
En cuanto al padrón que mostró como ejemplo, una cosa es tener sistemas de controles de forma transparente, otra muy diferente es disponibilizar todos los datos para cualquier ciudadano en Internet, y no solo eso, sino a cualquier usuario de Internet en cualquier parte del mundo. Antes que fortalecer la democracia, esto es debilitar más a las instituciones del Estado. En aquella época varias personas se pusieron a analizar esos datos (recuerdo un sistema que hizo Thor y que presentó una serie de informes analizando la calidad de los datos), se encontraron diversos problemas al cual nadie prestó la atención debida, por lo que de vuelta fue una vez más una forma de hacer vito de nuestros datos. Ya que real y efectivamente no se implementaron esquemas de retroalimentación para la verificación de esos datos. Fue exponer los datos de la ciudadanía “para la foto” algo a lo cual están muy acostumbrados nuestros funcionarios públicos y ni que decir algunas ONGs.
Publicar el padrón como se hizo me pareció una locura desde el punto de vista de la seguridad de la información, para ilustrar esto, hace unos días sucedió algo similar con el padrón de Turquía, más información pueden leerla aquí
Y el razonamiento para esto es simple. Supongamos que somos 6.000.000 de habitantes. Se publican los datos de 3.000.000 que están inscriptos en el padrón. Se realizan 100.000 copias de la base bajando de Internet (suponiendo que solo se baja en nuestro país, eso sin contar quienes bajan de otros países ya que al fin y al cabo esta expuesto libremente en Internet). De esas 100.000 copias supongamos que 50.000 personas tienen capacidad de procesar y analizar la información, también tienen el interés. Es decir para un 0.8% de la población se realiza esta acción. Encima se realizan los análisis y no existen mecanismos para hacer llegar las dificultades que se encuentran.
En síntesis, no estoy en contra del proceso de transparencia electoral sobre el padrón. Esto es necesario. Discrepo profundamente en la forma en que se hizo. Esto implica simplemente hacer vito de la información de la población. Y esto es lo que se señala en el caso de Turquía. Esta acción irracional de parte de una institución como el Tribunal Superior de Justicia Electoral fue simplemente para la foto, para decir: “tenemos un proceso transparente”. El costo desde el punto de vista de la seguridad de la información es excesivamente alto.
Este tipo de acción, de hacer vito con nuestros datos, históricamente lo hicieron diversas Instituciones, En el caso de la SENATICs fue peor porque concentró un montón de información en un solo sitio. Existen otras instituciones que siguen haciendo exactamente lo mismo sin ningún mecanismo de control, de forma totalmente abierta e irrestricta. Inclusive se llega hasta el punto de dejar expuestos datos de niños (Esto sucedió con los sistemas de SENATICs) y sigue sucediendo hoy por Ej. en IPS. Como muestra un botón:




Estoy más que seguro que seguirán miles de reuniones para ver estrategias de como “proteger” a la niñez y a la adolescencia.


 
Pero si cuestiones mínimas no se tienen en cuenta, estas reuniones quedaran en la nada, ya que son las mismas instituciones quienes ofrecen estos datos a TODO internet.

Llegado a este punto quisiera aclarar algo. Cuando señalo que los datos son expuestos de forma abierta e irrestricta en Internet me refiero a los peligros que implican desde el punto de vista de la seguridad de la información. Sostengo: NO DEBE SER ASÍ. De hecho, el decreto 4064 reglamenta todo lo concerniente a la ley 5282. Se tiene todo el Capítulo IV que perfectamente se puede implementar en todos los sistemas para el acceso a la información. Sostengo que implementar con sistemas lo que se reglamenta en este capítulo DEBE SER MINIMAMENTE la forma para acceder a los datos.
Es decir, si bien creo que no están del todo claras las limitaciones de cada derecho constitucional, dada la falta de una ley de Protección de Datos de Carácter Personal, implementar estos mecanismos permite de cierta manera, el acceso teniendo mínimos recaudos respecto a la seguridad de la información. La forma en como se hace hoy, atenta contra los Derechos Humanos de toda la población.
Me resulta claro que la SENATICs y otras instituciones NO CUMPLEN con las disposiciones del Capitulo IV de este decreto, en relación a documentos.gov.py.

Conclusión.


Una cosa es aplicar la ley a partir de una interpretación determinada para justificar crasos errores de implementación de los sistemas y una muy diferente es la de aplicar la ley a la luz de las tendencias y doctrina actual de las mismas, inclusive teniendo en cuenta la jurisprudencia existente en nuestro país.
Es necesario que la implementación de estas leyes en los sistemas de Gobierno Electrónico asegure mínimamente cuestiones referentes a la Seguridad de la Información. Hoy no se da esto.
Por supuesto la ley misma, en su evolución, tendrá o tenderá a modernizarse hasta llegar a tener acabadamente delimitados los derechos que eventualmente colisionan. Es una lastima que SENATICs y otras instituciones no sean proactivas a la modernización en estos temas. Son más bien reactivos.

Para ir terminando. Los argumentos esgrimidos por el Sr. Santagada creo que tienen sustento por si mismos. Estoy de acuerdo con el espíritu de su argumentación, en gran medida. Donde claramente discrepamos es en la forma de implementación de esos sistemas a la luz de las leyes, teniendo en cuenta conceptos mínimos referente a la seguridad de la información.