Uno de los principales problemas que puede implicar el tratamiento masivo de datos es la exposición de datos personales a terceros no autorizados. Una filtración de datos podría causar un daño dramático a miles o millones de usuarios, cuya privacidad podría verse comprometida. Por ejemplo, en Qatar un fallo de seguridad en su aplicación nacional de localización de contactos expuso datos personales sensibles de más de un millón de personas en mayo de 2020.[1]
Estos riesgos deben mitigarse mediante la aplicación de controles de seguridad técnicos y/u organizativos. Las medidas técnicas incluyen -aunque no se limitan a- el uso de técnicas criptográficas de última generación, capaces de asegurar los datos almacenados en los servidores y aplicaciones, los intercambios entre las aplicaciones y el servidor remoto. También debe realizarse una autenticación mutua entre la aplicación y el servidor. Si la aplicación informa de los usuarios, esto debe ser objeto de una autorización adecuada, por ejemplo, mediante un código de uso único vinculado a una identidad seudónima del usuario. Si la confirmación no puede obtenerse de forma segura, no debe realizarse ningún tratamiento de datos que presuma la validez del estado del usuario.[2]
Las medidas organizativas deben garantizar una aplicación adecuada de principios de seguridad bien establecidos, como la “necesidad de conocer” (es decir, permitir el acceso a la información o al conocimiento si es necesario para realizar una tarea asignada), la creación de roles con diferentes permisos para acceder a los datos, o la “seguridad por capas” (es decir, una estrategia de seguridad defensiva con múltiples capas que están diseñadas para frenar un ataque de seguridad). Es importante saber que el nivel global de seguridad de una solución es tan fuerte como el eslabón más débil. Así, “cada componente de una solución, ya sean sistemas centrales o dispositivos remotos, debe estar protegido adecuadamente”.[3] De hecho, muchas veces este eslabón más débil puede ser causado por un error humano. Pensemos, por ejemplo, en el caso de contraseñas débiles que son objeto de ataques de phishing o en la pérdida de un dispositivo que almacena datos. Por ello, las medidas de seguridad deberán incluir programas de formación y concienciación del personal implicado.
Antes de desplegar la herramienta en el mundo real, es aconsejable realizar pruebas de seguridad (pruebas aleatorias de datos, también llamadas “fuzzing”, escaneo de vulnerabilidades, etc.). Estas servirán para comprobar que el producto sigue funcionando de forma aceptable cuando se abandona su uso normal y que no presenta ninguna vulnerabilidad que pueda permitir a terceros comprometer su seguridad. Ambos tipos de pruebas son importantes para el buen funcionamiento de la herramienta. Por ejemplo, un sistema de integración continua debería estar configurado para ejecutar pruebas automáticamente después de cada cambio en el código fuente.
Cuadro 5: Verificación y comprobación de los identificadores y participantes en la herramienta
Cuando una aplicación crea o utiliza un identificador único, es necesario tomar medidas para garantizar que el identificador está vinculado al usuario legítimo de la aplicación y mantiene esta información actualizada. Cada parte que utilice identificadores es responsable de tomar medidas para – implementar medidas dedicadas a garantizar que cualquier identificador se aplique a un único usuario. Si esto es demasiado complejo, introducir medidas destinadas a prevenir o mitigar las consecuencias indeseables e informar a los interesados al respecto. – garantizar que los identificadores únicos se mantengan actualizados y se conserven sólo durante el tiempo necesario para cumplir la finalidad de la aplicación y los motivos notificados a los usuarios – impedir que un identificador único se asocie a otro usuario, a menos que lo exija una necesidad justificada del proyecto. El uso de un identificador persistente (como un número IMEI o un identificador publicitario) generalmente crea más riesgo que el uso de un identificador aleatorio o rotativo. Además, la gestión de los perfiles de los usuarios finales/participantes debe pensarse antes del desarrollo. Autenticar a los usuarios siempre que sea posible utilizando métodos de autenticación adecuados al riesgo. Cuando la afirmación de una identidad del mundo real sea un componente importante de un servicio, debe aplicarse una autenticación más fuerte, como la autenticación de dos factores utilizando un teléfono móvil y una UICC. |
Lista de control: Garantice la seguridad[4]
☐ El responsable evaluó las posibles formas de ataque a las que podría ser vulnerable la herramienta, introdujo medidas de mitigación y las documentó. ☐ El responsable consideró diferentes tipos y naturalezas de vulnerabilidades, como la contaminación de datos, la infraestructura física y los ciberataques. ☐ El responsable puso en marcha medidas o sistemas para garantizar la integridad y resistencia del sistema frente a posibles ataques. ☐ El responsable verificó cómo se comporta el sistema en situaciones y entornos inesperados. ☐ El responsable consideró hasta qué punto el sistema podría ser de doble uso. Si es así, el responsable tomó las medidas preventivas adecuadas contra ello. ☐ El responsable se aseguró de que el sistema dispone de un plan de emergencia suficiente si se encuentra con ataques de adversarios u otras situaciones inesperadas (por ejemplo, procedimientos técnicos de conmutación o solicitud de un operador humano antes de proceder). ☐ Los datos enviados al servidor central se transmiten por un canal seguro. El uso de los servicios de notificación proporcionados por los proveedores de plataformas de sistemas operativos se evalúa cuidadosamente y no conlleva la divulgación de ningún dato a terceros. ☐ Las solicitudes no son vulnerables a la manipulación por parte de un usuario malintencionado. ☐ Se implementan técnicas criptográficas de última generación para asegurar los intercambios entre la aplicación y el servidor y entre las aplicaciones y, por regla general, para proteger la información almacenada en las aplicaciones y en el servidor. ☐ El servidor central no guarda los identificadores de conexión a la red (por ejemplo, las direcciones IP) de ningún usuario. ☐ Para evitar la suplantación de identidad o la creación de usuarios falsos, el servidor autentifica la aplicación. ☐ La aplicación autentifica al servidor central. ☐ Las funciones del servidor están protegidas contra los ataques de repetición. ☐ La información transmitida por el servidor central está firmada para autenticar su origen e integridad. ☐ El acceso a todos los datos almacenados en el servidor central y no disponibles públicamente está restringido únicamente a las personas autorizadas. ☐ El gestor de permisos del dispositivo a nivel del sistema operativo sólo solicita los permisos necesarios para acceder y utilizar los módulos de comunicación, para almacenar los datos en el terminal y para intercambiar información con el servidor central. ☐ El personal y otras personas físicas involucradas en el proyecto han sido informados y concienciados sobre las medidas de seguridad. |
- https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/ ↑
- CEPD (2020) Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 Adoptadas el 21 de abril de 2020, disponible en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_es.pdf ↑
- JRC Technical Reports, Guidelines for public administrations on location privacy, en: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110 ↑
- Esta lista ha sido elaborada siguiendo los documentos: CEPD (2020) Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 Adoptadas el 21 de abril de 2020, disponible en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_es.pdf; Grupo de Expertos de Alto Nivel sobre IA (2019) Directrices Éticas para una IA Fiable. Comisión Europea, Bruselas, p. 17. Disponible en: https://op.europa.eu/en/publication-detail/-/publication/d3988569-0434-11ea-8c1f-01aa75ed71a1. ↑