Por: Laboratorio de Seguridad Digital y Privacidad-K+LAB.
A petición de varias personas que nos siguen y están pendientes de nuestro trabajo, hicimos el análisis técnico de seguridad digital y privacidad del Registro voluntario para la visibilidad de la diversidad sexual y de género en Colombia del DANE-.
Este ejercicio, que adelantamos desde 2017 bajo la coordinación de nuestro Laboratorio de seguridad digital y privacidad de la Fundación (K+LAB), hace parte de un proyecto de veeduría ciudadana de aplicaciones y páginas del Estado en el que analizamos cómo estos sistemas gestionan los datos que reciben de las personas. Nos interesa establecer cómo y si se protege la seguridad digital y privacidad de quienes usan esas herramientas.
Como en otros casos, revisamos las políticas de seguridad y privacidad, lo que se puede ver del código, e hicimos análisis del tráfico de datos que se intercambia con los servidores. Es importante recordar que todas las pruebas técnicas aplicadas por el equipo de K+LAB son NO intrusivas. No se trata de una prueba de penetración o una auditoría de seguridad, sino del análisis de lo que se puede ver en la aplicación o la página web. Ver y no tocar.
En este caso, no encontramos problemas serios con respecto a trackers o desvío de datos a terceros, sin embargo la página de la encuesta no tenía un certificado TLS (HTTPS) válido y de forma predeterminada la página entraba por HTTP lo cual implica que el envío de los datos no se hace de forma encriptada y cualquier intermediario en esa conexión (desde los administradores locales de la red en las oficinas, universidades u otras redes públicas, hasta los proveedores del servicio de internet) podría ver los datos que se transmitían en esta encuesta.
Por ser este un problema de configuración que se puede solucionar de manera rápida, decidimos no activar la ruta de vulnerabilidades que hemos desarrollado con el Ministerio TIC y simplemente mediante un informe, reportamos directamente al DANE que reaccionó con prontitud, mantuvo una comunicación asertiva desde que lo recibió y arregló el problema en muy poco tiempo.
Es importante notar que si bien es un fallo de fácil resolución, el no uso de conexiones seguras en páginas web del Estado Colombiano no es raro y es muy frecuente en los análisis que hace el K+LAB. El costo-beneficio de esta solución bien implementada en términos de privacidad y seguridad, tanto de las aplicaciones como de las personas usuarias es enorme, su no uso deja expuestos los datos de las personas usuarias a los intermediarios de las conexiones mientras que usarlo siempre es barato y añade una gruesa capa de seguridad y privacidad.
Otro de los problemas que frecuentemente encontramos con las entidades del Estado es que piden información personal en exceso y además no informan el porqué y para qué de su uso. En este caso el DANE está explicando con detalle la finalidad de su ejercicio que en este punto corresponde a un registro para el que necesita varios datos personales y de contacto incluido el nombre, la identidad de género, el correo electrónico y la ubicación, indica también su compromiso con mantener la confidencialidad de la información y da detalles sobre ese compromiso.
En Karisma reconocemos que para promover una vida autónoma y digna se debe evitar la invisibilidad estadística que sufren varias poblaciones y para ello el DANE debe balancear este interés público con la privacidad de las personas, que de ser identificadas pueden sufrir consecuencias indeseables.
Entonces, en relación con lo que podemos advertir en el análisis que hacemos y por considerarla una estrategia para luchar contra la invisibilidad estadística, desde Karisma felicitamos la iniciativa del Registro voluntario para la visibilidad de la diversidad sexual y de género. De otra parte, si bien -como dice el DANE en el consentimiento informado de éste registro- los estudios estadísticos no conllevan un riesgo para las personas, lo cierto es que los registros de este tipo suponen la creación de una base de datos con información sensible que de ser abusada o filtrada pueden generar consecuencias serias.
Por los documentos que acompañan este ejercicio se ve que el DANE está tomando medidas para evitar los posibles daños, sin embargo, hay un riesgo residual porque en todo caso no hay seguridad digital completa -siempre habrá riesgo de una filtración- y existe la posibilidad -ojalá remota- de volver a escenarios donde se retroceda en los derechos de esta población.
La importante participación de las personas que hacen parte de estas comunidades diligenciando este registro, podrá ayudar a evitar la invisibilidad estadística, por tanto queda confiar en el DANE y vigilar colectivamente que se mantenga un entorno garantista donde estas bases de datos se mantengan como una herramienta positiva.
Informe con el análisis
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Análisis de privacidad del Registro Voluntario para la Visibilidad de la Diversidad Sexual y de Género del DANE.
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co