La seguridad de un Estado digital, hacia una detección participativa

Facebook icon
2023-03-16 Leer en voz alta

Por: Stéphane Labarthe, consultor de la Fundación Karisma

La Fundación Karisma, desde su laboratorio de seguridad digital del K+LAB,  ha estado trabajando desde el año 2016 en el tema de divulgación responsable de vulnerabilidades, incidentes y fugas de datos personales; en particular cuando involucran sistemas del Estado que manejan datos de la ciudadanía. El objetivo siempre ha sido que se mejoren los derechos de todas  las personas usuarias además de que se implementen mejores prácticas para la protección de los datos y para que estos reportes puedan ser efectivos, es necesario facilitar los mecanismos para reportar ante el Estado, por lo cual hemos trabajado siguiendo dos ejes:

  • Investigación: Realizando análisis de sitios web, aplicaciones y sistemas del Estado y generando reportes privados de vulnerabilidades y recomendaciones.
  • Trabajo de incidencia: a través de reuniones con el gobierno, participación en conferencias y publicación de textos e informes.  

En este largo camino, del lado de la incidencia, hemos publicado el informe «Rutas de divulgación en seguridad digital» en el año 2019 y nuestras prácticas fueron reconocidas en el informe de la OECD «Encouraging vulnerability treatment, responsible management, handling and disclosure of vulnerabilities», que fue publicado en el 2021. Estas publicaciones no han sido sólo teóricas sino que se alimentan de nuestras propias experiencias, de las dificultades que han surgido de ellas (la incomprensión del alcance de nuestros ejercicios o las  amenazas de demandas), y de las metodologías que se han ido construyendo: tanto para el análisis técnico cómo para la manera de reportar los hallazgos al Gobierno.

El nuevo texto que se publica aquí extiende este trabajo y se titula «La seguridad de un Estado digital, hacia una detección participativa». Es la traducción en español, con algunos pequeños añadidos, de un artículo escrito originalmente en francés en el 2021 y publicado en octubre de 2022 con título «Sécurité d’un État digital, vers une détection participative» en la compilación «L’État digital» que incluye otras contribuciones  Este trabajo se hizo a raíz del coloquio del mismo nombre, co-organizado por la Universidades de París Panthéon-Assas y la Fundação Getulio Vargas (FGV) de Rio de Janeiro.

El artículo sostiene que «la capacidad de detección de los riesgos digitales tiene que apoyarse en toda la sociedad, incluyendo las universidades, la sociedad civil, los usuarios, los expertos técnicos e incluso lo que los medios de comunicación llaman de manera confusa los hackers». Resalta la importancia de la detección en seguridad digital, clasifica los tipos de eventos que se pueden detectar y analiza los riesgos legales actuales para un investigador en seguridad digital que desempeña este papel fundamental de detector, en función de la metodología técnica de análisis que él usa. En su última parte contempla las evoluciones recientes tanto legales como en cuanto la actitud de los Estados frente a estos temas, con un enfoque especial hacia Colombia, Estados Unidos y Europa y muestra todo lo que falta para poder llegar a una detección participativa eficiente y responsable.

Finalmente se concluye con algunas recomendaciones, tanto para los Estados cómo para los investigadores en seguridad digital:

Recomendaciones para los Estados:

  • Mejorar y completar los canales de notificación estatales existentes, ya sea que los canales estén asociados a los CERT, a las autoridades de protección de datos o a cualquier entidad receptora de notificaciones, estos deben mejorarse y completarse. Todos los eventos de seguridad deben poder ser reportados y deben ser atendidos: vulnerabilidades genéricas y específicas (fallas de seguridad), incidentes y violaciones de datos que sean informaciones personales o de otro tipo. Es importante que estos canales tengan políticas de divulgación coordinada claras y completas (ver parte C, 2, b del artículo). 
  • Crear un marco organizacional de confianza con los organismos estatales receptores de notificaciones. En particular es fundamental que los CERT nacionales y otras entidades con este papel puedan tener una independencia real respecto al Ministerio de Defensa y los organismos de inteligencia. Por otra parte, una relación de confianza tiene que construirse con los investigadores. 
  • Minimizar los riesgos legales para los investigadores. Esto puede hacerse por medio de evoluciones legislativas, dándoles garantías con respecto a ciertas condiciones (como en Francia), la creación de excepciones a las infracciones posibles y/o una sensibilización de los fiscales para limitar los procedimientos legales en el caso de «hacking ético» (como en Holanda).
  • Desarrollar acciones de comunicación destinadas a los descubridores potenciales. Se trata de investigadores universitarios, de la sociedad civil, de expertos independientes, de hackers, de usuarios de los sistemas, etc. La creación de guías y documentos de sensibilización relativos a este tema, así como la organización de programas de recompensas (bug bounty) son buenos ejemplos de lo que se puede hacer.

Recomendaciones para los investigadores:

  • Elegir una metodología de análisis cuyos riesgos sean aceptables en función del contexto de la investigación / del análisis. La parte B de este artículo puede ser útil.
  • Apoyarse, si se puede, en un organismo intermediario de confianza que ofrece garantías adicionales y ofrece una protección al investigador. Puede tratarse por ejemplo de una organización de la sociedad civil, de una Universidad, de un organismo estatal que ofrezca todas las garantías de confianza o de una empresa organizadora de programas bug bounty.
  • Más allá de los aspectos jurídicos, realizar los análisis de manera ética y transparente, en particular cuando impliquen completar formularios con datos personales (ver B, 2).

A continuación, puedes acceder al articulo completo:

La-seguridad-de-un-Estado-digitalDescargar

Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.

Indícanos el título del contenido en el asunto del correo, por ejemplo: La seguridad de un Estado digital, hacia una detección participativa

Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co

Acompáñanos en @Karisma en Twitter, Fundación Karisma en Facebook y YouTube, y @karismacol en Instagram y Tik Tok.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Relacionados